Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena
Starija izmjena
racfor_wiki:mrezna_forenzika:arp_protokol_i_napadi [2022/01/03 17:27]
pjovic [ARP iz perspektive sigurnosti i računalne forenzike]
racfor_wiki:mrezna_forenzika:arp_protokol_i_napadi [2023/06/19 18:17] (trenutno)
Redak 24: Redak 24:
   - Svaki put kada dođe do zahtjeva za nekom MAC adresom prvo se provjeri je li pohranjena u predmemoriji, ako je koristi je, a ako nije šalje ARP zahtjev da je sazna i pohrani.   - Svaki put kada dođe do zahtjeva za nekom MAC adresom prvo se provjeri je li pohranjena u predmemoriji, ako je koristi je, a ako nije šalje ARP zahtjev da je sazna i pohrani.
  
-{{ https://geek-university.com/wp-content/images/ccna/how_arp_works.jpg?400x200 }}+{{ https://geek-university.com/wp-content/images/ccna/how_arp_works.jpg?500x300 }}
  
 Slika 1. Primjer razmjene ARP poruka [[https://geek-university.com/ccna/address-resolution-protocol-arp/|izvor]] Slika 1. Primjer razmjene ARP poruka [[https://geek-university.com/ccna/address-resolution-protocol-arp/|izvor]]
Redak 31: Redak 31:
  
 ===== ARP iz perspektive sigurnosti i računalne forenzike ===== ===== ARP iz perspektive sigurnosti i računalne forenzike =====
-Sigurnost je prihvaćena kao jako bitna stavka u većini mreža i mnoge tvrtke žele ostvariti sigurnost na svim slojevima OSI modela. Tako i nastaju mnogi protokoli koji su sigurnija verzija starijih protokola. Međutim često se zaboravlja uspostaviti bolju sigurnost na sloju podatkovne poveznice, tj. 2. sloja OSI modela. Na taj način mreža ostaje otvorena za razne napade.+Sigurnost je prihvaćena kao jako bitna stavka u većini mreža i mnoge tvrtke žele ostvariti sigurnost na svim slojevima OSI modela. Tako i nastaju mnogi protokoli koji su sigurnija verzija starijih protokola. Međutim često se zaboravlja uspostaviti bolju sigurnost na sloju podatkovne poveznice, tj. 2. sloju OSI modela. Na taj način mreža ostaje otvorena za razne napade.
  
 Nedostaci i ranjivosti ARP-a [3]: Nedostaci i ranjivosti ARP-a [3]:
Redak 48: Redak 48:
  
 Slanje lažnih ARP poruka može se izvoditi s kompromitiranog uređaja u LAN-u, ali i direktno s napadačevog računala koje je izravno povezano na ciljni LAN [3]. Kada je ARP lažiranje uspješno provedeno tada napadač može raditi neke ostale zlonamjerne radnje kao što su: Slanje lažnih ARP poruka može se izvoditi s kompromitiranog uređaja u LAN-u, ali i direktno s napadačevog računala koje je izravno povezano na ciljni LAN [3]. Kada je ARP lažiranje uspješno provedeno tada napadač može raditi neke ostale zlonamjerne radnje kao što su:
-Pregledavanje paketa i prosljeđivanje prometa na originalno odredište (presretanje) +  * Pregledavanje paketa i prosljeđivanje prometa na originalno odredište (presretanje) 
-Izmjenjivanje podataka prije prosljeđivanja (napad čovjeka u sredini) +  * Izmjenjivanje podataka prije prosljeđivanja (napad čovjeka u sredini) 
-Pokretanje napada uskraćivanja usluge+  * Pokretanje napada uskraćivanja usluge
  
-{{ https://camo.githubusercontent.com/ceae9483af7c4a5881081ac4d44e471efc5bfcfb26122937eafc50a8f2b1b70e/68747470733a2f2f746f75726e617364696d697472696f73312e66696c65732e776f726470726573732e636f6d2f323031312f30322f6172702d73706f6f66696e672e706e67 }} +{{ https://miro.medium.com/max/1838/1*mgmPwYZR7cw0NaIHSO2YtA.jpeg?500x300 }} 
-Slika 2. Primjer ARP lažiranja [[https://github.com/SRJanel/arp_poisoning|izvor]]+ 
 +Slika 2. Primjer ARP lažiranja [[https://levelup.gitconnected.com/man-in-the-middle-attack-part-1-arp-spoofing-6f5b174dec59|izvor]]
  
 ===== Ostali napadi ===== ===== Ostali napadi =====
-Otmica sesije je napad u kojem se preuzme aktivna komunikacijska sesija legitimnog korisnika (tj. žrtve) nakon što se autentificirao se na poslužitelju [4,5]. +  * **Otmica sesije** je napad u kojem se preuzme aktivna komunikacijska sesija legitimnog korisnika (tj. žrtve) nakon što se autentificirao se na poslužitelju [4,5]. 
-Napad resetiranjem veze rezultira gubljenjem žrtvine povezanosti sa željenim sustavom [3]. +  * **Napad resetiranjem veze** rezultira gubljenjem žrtvine povezanosti sa željenim sustavom [3]. 
-Oponašanje poslužitelja znači da napadač oponaša drugog poslužitelja i tako dobije pristup osjetljivim informacijama koji su poslani originalnom poslužitelju [4,6]. +  * **Oponašanje poslužitelja** znači da napadač oponaša drugog poslužitelja i tako dobije pristup osjetljivim informacijama koji su poslani originalnom poslužitelju [4,6]. 
-Čovjek u sredini (MITM) napad je u kojem napadač presreće komunikaciju dvije žrtve s ciljem otmice sesije, krađe osjetljivih podataka, krađe portova itd. [4] Napadač prvobitno izvršava ARP lažiranje predmemorije na obje žrtve. +  * **Čovjek u sredini (MITM)** napad je u kojem napadač presreće komunikaciju dvije žrtve s ciljem otmice sesije, krađe osjetljivih podataka, krađe portova itd. [4] Napadač prvobitno izvršava ARP lažiranje predmemorije na obje žrtve. 
-Njuškanje paketa +  * **Njuškanje paketa** 
-Uskraćivanje usluge (DOS) iskorištavanje je ARP lažiranja predmemorije. Napadač može dati žrtvi lažni zadani pristupnik koji ne postoji na mreži i na taj način žrtva gubi vezu s mrežom.  +  * **Uskraćivanje usluge (DOS)** iskorištavanje je ARP lažiranja predmemorije. Napadač može dati žrtvi lažni zadani pristupnik koji ne postoji na mreži i na taj način žrtva gubi vezu s mrežom.  
-MAC poplava tehnika je kojom se preopterete „switch“ uređaji u mreži i time često prelaze u „hub“ način rada. Tako preopterećen uređaj prestaje održavati sigurnost na portovima i šalje sav promet svim računalima u toj mreži. Na taj način napadač može njuškati pakete u mreži. [3]+  * **MAC poplava** tehnika je kojom se preopterete „switch“ uređaji u mreži i time često prelaze u „hub“ način rada. Tako preopterećen uređaj prestaje održavati sigurnost na portovima i šalje sav promet svim računalima u toj mreži. Na taj način napadač može njuškati pakete u mreži. [3]
  
 ===== Prikupljanje tragova ===== ===== Prikupljanje tragova =====
Redak 68: Redak 69:
 Trenutno postoji nekoliko programa koji se koriste za otkrivanje ARP lažiranja, ali većina njih nije u potpunosti učinkovita. [3] Neki od tih programa su XArp, ARPWatch, Netcut, NoCut, AntiARP, AVASS itd. Dosta je truda uloženo u tehnike ublažavanja ARP lažiranja predmemorije, ali jednako su potrebne i tehnike koje se bave pitanjima napada iz forenzičke perspektive. U slučaju postojanja napada na mrežu, potrebno je prikupiti tragove koji su u skladu sa standardom forenzičke istrage. Tada se može zaključiti da se napad doista dogodio i ako se identificira izvor napada to se može koristiti protiv osumnjičenika na sudu [7]. Trenutno postoji nekoliko programa koji se koriste za otkrivanje ARP lažiranja, ali većina njih nije u potpunosti učinkovita. [3] Neki od tih programa su XArp, ARPWatch, Netcut, NoCut, AntiARP, AVASS itd. Dosta je truda uloženo u tehnike ublažavanja ARP lažiranja predmemorije, ali jednako su potrebne i tehnike koje se bave pitanjima napada iz forenzičke perspektive. U slučaju postojanja napada na mrežu, potrebno je prikupiti tragove koji su u skladu sa standardom forenzičke istrage. Tada se može zaključiti da se napad doista dogodio i ako se identificira izvor napada to se može koristiti protiv osumnjičenika na sudu [7].
  
-Daljnje navedeni forenzički postupci detaljnije su opisani u konferencijskom listu [4] autora H. Awang, C. Benzaid, A. Al-Nemrat i A.-R. Tawil. U tom radu provjera predloženih forenzičkih istraga ARP lažiranja provedena je usporedbom između prikupljenih forenzičkih tragova kada nema napada i kada ima napada na mrežu. Pritom je korišteni alat bio Ettercap. +Daljnje navedeni forenzički postupci detaljnije su opisani u konferencijskom listu [4] autora H. Awang, C. Benzaid, A. Al-Nemrat i A.-R. Tawil. U tom radu provjera predloženih forenzičkih istraga ARP lažiranja provedena je usporedbom između prikupljenih forenzičkih tragova kada nema napada i kada ima napada na mrežu. Pritom je korišteni alat bio Ettercap. 
 + 
 +Prvo je bilo potrebno snimiti promet mreže dok nije pod napadom. To je učinjeno koristeći TCPdump, Wireshark, TCPstat i Ntop. TCPdump izlaz se sastoji od jedanaest polja koja sadrže vremensku oznaku, protokol, izvornu IP adresu i port, odredišnu IP adresu i port, TCP zastavice, relativni redni broj, relativni broj potvrde, veličinu prozora i duljinu paketa. Na Wiresharku uhvaćen je ARP promet koji sadrži određene MAC i IP adrese ovisno o ARP poruci. Statistika prometa zabilježena može se ispisati pomoću TCPstat i ona sadržava procijenjeni broj bajtova koji se prenose u sekundi, minuti, satu, danu i mjesecu. Ntop bilježi podatke poput vremena snimanja prometa, broja primljenih paketa, brojeve i postotke „unicast“, „broadcast“ i „multicast“ paketa itd. 
 + 
 +Zatim je u gore navedenom istraživanju bio namjerno izazvan napad ARP lažiranja predmemorije kako bi se mogli usporediti rezultati. Svrha pokretanja napada bila je pronaći učinkovit način pronalaska tragova o počinitelju napada iz snimanog mrežnog prometa. Za pokretanje napada korišten je alat Ettercap. Jedinstveno njuškanje se pokreće na Ethernet sučelju koje povezuje napadača u mrežu. Sučelje se stavlja u „promiskuitetni“ način rada. Zadani pristupnik i uređaj žrtve odabrani su kao prvo i drugo odredište. Pokrenut je Čovjek u sredini ARP napad lažiranja predmemorije odredišnih uređaja. Zatim se odvija i napad otmice sesije. 
 + 
 +Tijekom samog napada ponovno se snima mrežni promet prethodno spomenutim alatima. Čitanjem ispisa tih alata pokušava se primijetiti bilo koje nepravilnosti ili nelogičnosti. U TCPdump-u između ostalog provjerava se broj ARP odgovora i adrese navedene u njima. U Wiresharku se također promatraju sve adrese u ARP porukama. U TCPstatu zamjećuje se brzina protoka podataka. U Ntopu se  provedenom istraživanju primjećuje da je broj obrađenih paketa manji od broja primljenih. 
 + 
 +Usporedba podataka dobivenih prije i tijekom napada: 
 +  - **TCPdump** - Uspoređuje se vremenska oznaka snimljenog prometa. Zabilježeno vrijeme nenapadnutom prometa je bilo prije nego vrijeme napadnutog prometa. Može se dogoditi da izvorni uređaj ne održava jedinstvenu IP adresu nego se ona naglo mijenja. Potrebno je promotriti i portove, TCP poruke, duljinu paketa, veličinu prozora itd.  U zabilježenom prometu može se dogoditi da postoji ARP odgovor u kojem je navedena IP adresa žrtve kao izvor, ali da ima netočnu MAC adresu (moguće napadačeva MAC adresa). Ako je u pitanju MITM napad mogu biti dva takva ARP odgovora, jedan s izvorišnom IP adresom prve žrtve, a druga s izvorišnom adresom druge žrtve i obje mogu imati postavljenu netočnu izvorišnu MAC adresu. Takve poruke upućuju na zlonamjerne radnje. 
 +  - **Wireshark** - Uređaj žrtve tijekom napada šalje ARP upit tražeći adresu pristupnika. Ponekad je korisno i iz MAC adrese saznati koja vrsta uređaja sadrži tu adresu. Potrebno je pogledati i razgovor između žrtvinog uređaja i napadačevog. Razgovor može upućivati na to da je „switch“ priznao postojanje žrtvinog uređaja dodavši MAC-IP zapis u svoju ARP predmemoriju. Wireshark u „Info“ dijelu doda napomenu o  dupliciranom korištenju neke IP adrese što ponekad upućuje na napad. U statistici razgovora također se ponekad primijeti da je korištena neka druga MAC adresa. Treba se obratiti i pozornost na adrese zadanog pristupnika jer neka od MAC adresa može biti zadana lažno što bi za posljedicu moglo imati DoS napad. 
 +  - **TCPstat** – Ako se procjena stope prometa povećala to može značiti da se događa napad. To povećanje moglo bi biti posljedica povećanja ARP odgovora. 
 +  - **Ntop** – Naglo povećan broj „unicast“ paketa može biti zbog lažnog ARP odgovora od napadača na uređaj žrtve. 
  
 ===== Zaključak ===== ===== Zaključak =====
-Cilj ovog seminara bio je navesti glavne osnove ARP protokola, način na koji on funkcionira, koje su sve njegove mane, do kojih napada dovode te ranjivosti. Također je objašnjen i napad ARP lažiranja predmemorije i neki od postupaka prikupljanja forenzičkih tragova kada je do tog napada došlo. Ti tragovi mogu se upotrijebiti protiv osumnjičenika na sudu. U već postojećim istraživanjima utvrđeno je da su TCPdump, wireshark, TCPstat i Ntop korisni alati u prikupljanju upravo tih tragova. +Cilj ovog seminara bio je navesti glavne osnove ARP protokola, način na koji on funkcionira, koje su sve njegove mane, do kojih napada dovode te ranjivosti. Također je objašnjen i napad ARP lažiranja predmemorije i neki od postupaka prikupljanja forenzičkih tragova kada je do tog napada došlo. Ti tragovi mogu se upotrijebiti protiv osumnjičenika na sudu. U već postojećim istraživanjima utvrđeno je da su TCPdump, Wireshark, TCPstat i Ntop korisni alati u prikupljanju upravo tih tragova. 
  
 ===== Literatura ===== ===== Literatura =====
Redak 87: Redak 101:
 [6] [[https://ieeexplore.ieee.org/abstract/document/4279062 | C. Abad and R. I. Bonilla, “An analysis on the schemes for detecting and preventing arp cache poisoning attacks,” In Proc. of the 27th IEEE Int. Conf. on Distributed Computing Systems Workshops (ICDCSW ’07), pp. 60–, 2007.]] [6] [[https://ieeexplore.ieee.org/abstract/document/4279062 | C. Abad and R. I. Bonilla, “An analysis on the schemes for detecting and preventing arp cache poisoning attacks,” In Proc. of the 27th IEEE Int. Conf. on Distributed Computing Systems Workshops (ICDCSW ’07), pp. 60–, 2007.]]
  
-[7] [https://ieeexplore.ieee.org/abstract/document/6081933 | S. Rekhis and N. Boudriga, “A system for formal digital forensic investigation aware of anti-forensic attacks,” IEEE Trans. on Inform. Forensics and Security, vol. 7, no. 2, pp. 635–650, 2012.]+[7] [[https://ieeexplore.ieee.org/abstract/document/6081933 | S. Rekhis and N. Boudriga, “A system for formal digital forensic investigation aware of anti-forensic attacks,” IEEE Trans. on Inform. Forensics and Security, vol. 7, no. 2, pp. 635–650, 2012.]]
  
  
racfor_wiki/mrezna_forenzika/arp_protokol_i_napadi.1641227238.txt.gz · Zadnja izmjena: 2023/06/19 18:14 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0