Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:mrezna_forenzika:arp_protokol_i_napadi [2022/01/03 18:26]
pjovic [Prikupljanje tragova] 		racfor_wiki:mrezna_forenzika:arp_protokol_i_napadi [2024/12/05 12:24] (trenutno)
Redak 31: Redak 31:
  
 ===== ARP iz perspektive sigurnosti i računalne forenzike ===== ===== ARP iz perspektive sigurnosti i računalne forenzike =====
-Sigurnost je prihvaćena kao jako bitna stavka u većini mreža i mnoge tvrtke žele ostvariti sigurnost na svim slojevima OSI modela. Tako i nastaju mnogi protokoli koji su sigurnija verzija starijih protokola. Međutim često se zaboravlja uspostaviti bolju sigurnost na sloju podatkovne poveznice, tj. 2. sloja OSI modela. Na taj način mreža ostaje otvorena za razne napade.+Sigurnost je prihvaćena kao jako bitna stavka u većini mreža i mnoge tvrtke žele ostvariti sigurnost na svim slojevima OSI modela. Tako i nastaju mnogi protokoli koji su sigurnija verzija starijih protokola. Međutim često se zaboravlja uspostaviti bolju sigurnost na sloju podatkovne poveznice, tj. 2. sloju OSI modela. Na taj način mreža ostaje otvorena za razne napade.
  
 Nedostaci i ranjivosti ARP-a [3]: Nedostaci i ranjivosti ARP-a [3]:
Redak 79: Redak 79:
 Usporedba podataka dobivenih prije i tijekom napada: Usporedba podataka dobivenih prije i tijekom napada:
   - **TCPdump** - Uspoređuje se vremenska oznaka snimljenog prometa. Zabilježeno vrijeme nenapadnutom prometa je bilo prije nego vrijeme napadnutog prometa. Može se dogoditi da izvorni uređaj ne održava jedinstvenu IP adresu nego se ona naglo mijenja. Potrebno je promotriti i portove, TCP poruke, duljinu paketa, veličinu prozora itd.  U zabilježenom prometu može se dogoditi da postoji ARP odgovor u kojem je navedena IP adresa žrtve kao izvor, ali da ima netočnu MAC adresu (moguće napadačeva MAC adresa). Ako je u pitanju MITM napad mogu biti dva takva ARP odgovora, jedan s izvorišnom IP adresom prve žrtve, a druga s izvorišnom adresom druge žrtve i obje mogu imati postavljenu netočnu izvorišnu MAC adresu. Takve poruke upućuju na zlonamjerne radnje.   - **TCPdump** - Uspoređuje se vremenska oznaka snimljenog prometa. Zabilježeno vrijeme nenapadnutom prometa je bilo prije nego vrijeme napadnutog prometa. Može se dogoditi da izvorni uređaj ne održava jedinstvenu IP adresu nego se ona naglo mijenja. Potrebno je promotriti i portove, TCP poruke, duljinu paketa, veličinu prozora itd.  U zabilježenom prometu može se dogoditi da postoji ARP odgovor u kojem je navedena IP adresa žrtve kao izvor, ali da ima netočnu MAC adresu (moguće napadačeva MAC adresa). Ako je u pitanju MITM napad mogu biti dva takva ARP odgovora, jedan s izvorišnom IP adresom prve žrtve, a druga s izvorišnom adresom druge žrtve i obje mogu imati postavljenu netočnu izvorišnu MAC adresu. Takve poruke upućuju na zlonamjerne radnje.
-  - **Wireshark** - Uređaj žrtve tijekom napada šalje ARP upit tražeći adresu pristupnika. Ponekad je korisno i iz MAC adrese saznati koja vrsta uređaja sadrži tu adresu. Može se pogledati i razgovor između žrtvinog uređaja i napadačevog. Razgovor može upućivati na to da je „switch“ priznao postojanje žrtvinog uređaja dodavši MAC-IP zapis u svoju ARP predmemoriju. Wireshark u „Info“ dijelu doda napomenu o  dupliciranom korištenju neke IP adrese što može upućivati na napad. U statistici razgovora također se ponekad primijeti da je korištena neka druga MAC adresa. Treba se obratiti i pozornost na adrese zadanog pristupnika jer neka od MAC adresa može biti zadana lažno što bi za posljedicu moglo imati DoS napad.+  - **Wireshark** - Uređaj žrtve tijekom napada šalje ARP upit tražeći adresu pristupnika. Ponekad je korisno i iz MAC adrese saznati koja vrsta uređaja sadrži tu adresu. Potrebno je pogledati i razgovor između žrtvinog uređaja i napadačevog. Razgovor može upućivati na to da je „switch“ priznao postojanje žrtvinog uređaja dodavši MAC-IP zapis u svoju ARP predmemoriju. Wireshark u „Info“ dijelu doda napomenu o  dupliciranom korištenju neke IP adrese što ponekad upućuje na napad. U statistici razgovora također se ponekad primijeti da je korištena neka druga MAC adresa. Treba se obratiti i pozornost na adrese zadanog pristupnika jer neka od MAC adresa može biti zadana lažno što bi za posljedicu moglo imati DoS napad.
   - **TCPstat** – Ako se procjena stope prometa povećala to može značiti da se događa napad. To povećanje moglo bi biti posljedica povećanja ARP odgovora.   - **TCPstat** – Ako se procjena stope prometa povećala to može značiti da se događa napad. To povećanje moglo bi biti posljedica povećanja ARP odgovora.
   - **Ntop** – Naglo povećan broj „unicast“ paketa može biti zbog lažnog ARP odgovora od napadača na uređaj žrtve.   - **Ntop** – Naglo povećan broj „unicast“ paketa može biti zbog lažnog ARP odgovora od napadača na uređaj žrtve.
Redak 85: Redak 85:
  
 ===== Zaključak ===== ===== Zaključak =====
-Cilj ovog seminara bio je navesti glavne osnove ARP protokola, način na koji on funkcionira, koje su sve njegove mane, do kojih napada dovode te ranjivosti. Također je objašnjen i napad ARP lažiranja predmemorije i neki od postupaka prikupljanja forenzičkih tragova kada je do tog napada došlo. Ti tragovi mogu se upotrijebiti protiv osumnjičenika na sudu. U već postojećim istraživanjima utvrđeno je da su TCPdump, wireshark, TCPstat i Ntop korisni alati u prikupljanju upravo tih tragova. +Cilj ovog seminara bio je navesti glavne osnove ARP protokola, način na koji on funkcionira, koje su sve njegove mane, do kojih napada dovode te ranjivosti. Također je objašnjen i napad ARP lažiranja predmemorije i neki od postupaka prikupljanja forenzičkih tragova kada je do tog napada došlo. Ti tragovi mogu se upotrijebiti protiv osumnjičenika na sudu. U već postojećim istraživanjima utvrđeno je da su TCPdump, Wireshark, TCPstat i Ntop korisni alati u prikupljanju upravo tih tragova. 
  
 ===== Literatura ===== ===== Literatura =====
racfor_wiki/mrezna_forenzika/arp_protokol_i_napadi.1641234413.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0