Slijede razlike između dviju inačica stranice.
Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
racfor_wiki:mrezna_forenzika:arp_protokol_i_napadi [2022/01/03 17:37] pjovic [Osnove ARP protokola] |
racfor_wiki:mrezna_forenzika:arp_protokol_i_napadi [2023/06/19 18:17] (trenutno) |
||
---|---|---|---|
Redak 31: | Redak 31: | ||
===== ARP iz perspektive sigurnosti i računalne forenzike ===== | ===== ARP iz perspektive sigurnosti i računalne forenzike ===== | ||
- | Sigurnost je prihvaćena kao jako bitna stavka u većini mreža i mnoge tvrtke žele ostvariti sigurnost na svim slojevima OSI modela. Tako i nastaju mnogi protokoli koji su sigurnija verzija starijih protokola. Međutim često se zaboravlja uspostaviti bolju sigurnost na sloju podatkovne poveznice, tj. 2. sloja OSI modela. Na taj način mreža ostaje otvorena za razne napade. | + | Sigurnost je prihvaćena kao jako bitna stavka u većini mreža i mnoge tvrtke žele ostvariti sigurnost na svim slojevima OSI modela. Tako i nastaju mnogi protokoli koji su sigurnija verzija starijih protokola. Međutim često se zaboravlja uspostaviti bolju sigurnost na sloju podatkovne poveznice, tj. 2. sloju OSI modela. Na taj način mreža ostaje otvorena za razne napade. |
Nedostaci i ranjivosti ARP-a [3]: | Nedostaci i ranjivosti ARP-a [3]: | ||
Redak 69: | Redak 69: | ||
Trenutno postoji nekoliko programa koji se koriste za otkrivanje ARP lažiranja, ali većina njih nije u potpunosti učinkovita. [3] Neki od tih programa su XArp, ARPWatch, Netcut, NoCut, AntiARP, AVASS itd. Dosta je truda uloženo u tehnike ublažavanja ARP lažiranja predmemorije, | Trenutno postoji nekoliko programa koji se koriste za otkrivanje ARP lažiranja, ali većina njih nije u potpunosti učinkovita. [3] Neki od tih programa su XArp, ARPWatch, Netcut, NoCut, AntiARP, AVASS itd. Dosta je truda uloženo u tehnike ublažavanja ARP lažiranja predmemorije, | ||
- | Daljnje navedeni forenzički postupci detaljnije su opisani u konferencijskom listu [4] autora H. Awang, C. Benzaid, A. Al-Nemrat i A.-R. Tawil. U tom radu provjera predloženih forenzičkih istraga ARP lažiranja provedena je usporedbom između prikupljenih forenzičkih tragova kada nema napada i kada ima napada na mrežu. Pritom je korišteni alat bio Ettercap. | + | Daljnje navedeni forenzički postupci detaljnije su opisani u konferencijskom listu [4] autora H. Awang, C. Benzaid, A. Al-Nemrat i A.-R. Tawil. U tom radu provjera predloženih forenzičkih istraga ARP lažiranja provedena je usporedbom između prikupljenih forenzičkih tragova kada nema napada i kada ima napada na mrežu. Pritom je korišteni alat bio Ettercap. |
+ | |||
+ | Prvo je bilo potrebno snimiti promet mreže dok nije pod napadom. To je učinjeno koristeći TCPdump, Wireshark, TCPstat i Ntop. TCPdump izlaz se sastoji od jedanaest polja koja sadrže vremensku oznaku, protokol, izvornu IP adresu i port, odredišnu IP adresu i port, TCP zastavice, relativni redni broj, relativni broj potvrde, veličinu prozora i duljinu paketa. Na Wiresharku uhvaćen je ARP promet koji sadrži određene MAC i IP adrese ovisno o ARP poruci. Statistika prometa zabilježena može se ispisati pomoću TCPstat i ona sadržava procijenjeni broj bajtova koji se prenose u sekundi, minuti, satu, danu i mjesecu. Ntop bilježi podatke poput vremena snimanja prometa, broja primljenih paketa, brojeve i postotke „unicast“, | ||
+ | |||
+ | Zatim je u gore navedenom istraživanju bio namjerno izazvan napad ARP lažiranja predmemorije kako bi se mogli usporediti rezultati. Svrha pokretanja napada bila je pronaći učinkovit način pronalaska tragova o počinitelju napada iz snimanog mrežnog prometa. Za pokretanje napada korišten je alat Ettercap. Jedinstveno njuškanje se pokreće na Ethernet sučelju koje povezuje napadača u mrežu. Sučelje se stavlja u „promiskuitetni“ način rada. Zadani pristupnik i uređaj žrtve odabrani su kao prvo i drugo odredište. Pokrenut je Čovjek u sredini ARP napad lažiranja predmemorije odredišnih uređaja. Zatim se odvija i napad otmice sesije. | ||
+ | |||
+ | Tijekom samog napada ponovno se snima mrežni promet prethodno spomenutim alatima. Čitanjem ispisa tih alata pokušava se primijetiti bilo koje nepravilnosti ili nelogičnosti. U TCPdump-u između ostalog provjerava se broj ARP odgovora i adrese navedene u njima. U Wiresharku se također promatraju sve adrese u ARP porukama. U TCPstatu zamjećuje se brzina protoka podataka. U Ntopu se provedenom istraživanju primjećuje da je broj obrađenih paketa manji od broja primljenih. | ||
+ | |||
+ | Usporedba podataka dobivenih prije i tijekom napada: | ||
+ | - **TCPdump** - Uspoređuje se vremenska oznaka snimljenog prometa. Zabilježeno vrijeme nenapadnutom prometa je bilo prije nego vrijeme napadnutog prometa. Može se dogoditi da izvorni uređaj ne održava jedinstvenu IP adresu nego se ona naglo mijenja. Potrebno je promotriti i portove, TCP poruke, duljinu paketa, veličinu prozora itd. U zabilježenom prometu može se dogoditi da postoji ARP odgovor u kojem je navedena IP adresa žrtve kao izvor, ali da ima netočnu MAC adresu (moguće napadačeva MAC adresa). Ako je u pitanju MITM napad mogu biti dva takva ARP odgovora, jedan s izvorišnom IP adresom prve žrtve, a druga s izvorišnom adresom druge žrtve i obje mogu imati postavljenu netočnu izvorišnu MAC adresu. Takve poruke upućuju na zlonamjerne radnje. | ||
+ | - **Wireshark** - Uređaj žrtve tijekom napada šalje ARP upit tražeći adresu pristupnika. Ponekad je korisno i iz MAC adrese saznati koja vrsta uređaja sadrži tu adresu. Potrebno je pogledati i razgovor između žrtvinog uređaja i napadačevog. Razgovor može upućivati na to da je „switch“ priznao postojanje žrtvinog uređaja dodavši MAC-IP zapis u svoju ARP predmemoriju. Wireshark u „Info“ dijelu doda napomenu o dupliciranom korištenju neke IP adrese što ponekad upućuje na napad. U statistici razgovora također se ponekad primijeti da je korištena neka druga MAC adresa. Treba se obratiti i pozornost na adrese zadanog pristupnika jer neka od MAC adresa može biti zadana lažno što bi za posljedicu moglo imati DoS napad. | ||
+ | - **TCPstat** – Ako se procjena stope prometa povećala to može značiti da se događa napad. To povećanje moglo bi biti posljedica povećanja ARP odgovora. | ||
+ | - **Ntop** – Naglo povećan broj „unicast“ paketa može biti zbog lažnog ARP odgovora od napadača na uređaj žrtve. | ||
===== Zaključak ===== | ===== Zaključak ===== | ||
- | Cilj ovog seminara bio je navesti glavne osnove ARP protokola, način na koji on funkcionira, | + | Cilj ovog seminara bio je navesti glavne osnove ARP protokola, način na koji on funkcionira, |
===== Literatura ===== | ===== Literatura ===== |