Ochrona przed atakiem ARP Poisoning (MITM)

W dzisiejszym wpisie pokażemy jak obronić Twój system operacyjny Linux lub Windows przed atakiem ARP Poisoning. W pierwszej kolejności zajmiemy się systemem operacyjnym Kali Linux 2017.1, a na samym końcu tego wpisu systemem Microsoft Windows. Dzięki wykorzystaniu tego poradnika i aplikacji arpon uchronisz swój komputer dodatkowo przed odcinaniem internetu za pomocą narzędzi takich jak netcut. W przypadku konfiguracji statycznych adresów MAC w Windows również to osiągniesz o czym w dalszej części tego poradnika…

Na wstępie dodam, że program arpon jest bardzo prosty w użytkowaniu. Osoby które miały styczność z protokołem ARP, bez problemu zrozumieją też jak on działa. W uproszczeniu mówiąc analizuje on w czasie rzeczywistym tablicę ARP w systemie operacyjnym i w podstawowej konfiguracji po prostu nie pozwala na modyfikowanie jej. Narzędzie dodatkowo wyświetla monit informujący o próbie ataku crackerskiego.

Ochrona przed ARP Poisoning – arpon

Dzisiaj będzie szybka praktyka bez dogłębnego tłumaczenia czym jest atak man in the middle, tablica ARP lub narzędzie arpspoof. Jeśli nie wiesz czym jest ten atak to znajdziesz na ten temat wiele wpisów na na naszym blogu np: podsłuch komputera za pomocą mitm. Przejdźmy teraz od razu do instalacji narzędzia arpon.

Instalacja arpon

sudo apt-get install arpon przeciwko atakowi arp poisoning
Instalacja oprogramowania arpon które ochroni naszego Linuksa przed atakami ARP poisoning (mitm) za pomocą narzędzia apt-get

Teraz sprawdźmy sobie poleceniem ifconfig adres IP naszego komputera. Dodatkowo poleceniem arp -a sprawdzimy wpisy w naszej tablicy ARP.

Adres IP i tablica ARP w Kali Linux
Za pomocą polecenia arp -a sprawdziliśmy wszystkie adresy zapisane w tablicy ARP. Na powyższym obrazku widzimy adres MAC naszego prawdziwego routera w sieci. Dzięki tablicy ARP system operacyjny potrafi powiązać adres IP z adresem MAC urządzenia w sieci.

Atak ARP Poisoning crackera

Teraz na chwilę przechodzę do komputera napastnika (inna maszyna wirtualna z systemem Kali Linux 2017.1). Wykonuje tam atak nazywany często ARP spoofing. Chce w ten sposób zmodyfikować tablicę ARP w komputerze, który jest celem ataku.

Wydaje następujące polecenia:

  • arpspoof -i eth0 -t 192.168.0.19 192.168.0.1,
  • macchanger -s eth0.
Atak arpspoof i adres mac komputera hakera
W tym kroku na komputerze napastnika wykonujemy atak ARP spoofing. Zwróć uwagę na adres MAC komputera napastnika.

Po powyższym ataku tablica ARP na komputerze „celu” została zmodyfikowana, tak jak widać to na poniższym obrazku.

Tablica ARP z fałszywym MAC address
Na naszym komputerze który jest celem ataku możemy zauważyć, że za pomocą protokołu ARP został zmodyfikowany adres MAC bramy domyślnej (routera). Teraz nasz komputer myśli, że routerem jest komputer cyberprzestępcy i cały ruch wysyłany jest przez niego. Dzięki temu cracker może wykonać podsłuch (sniffing).

Obrona przed ARP Poisoning (MITM)

Dobrze. W tym momencie przerywam atak bo miała być to tylko szybka demonstracja tego jak działa atak ARP Poisoning umożliwiający MITM. W skrócie tak jak wspomniałem Tobie cyberprzestępca za pomocą protokołu ARP podszywa się pod dane urządzenie np: router, dodając odpowiedni wpis w tablicy ARP.

Teraz przechodzę do obrony. Za pomocą polecenia sudo arpon -D eth0 y rozpoczynam obronę przed ARP poisoning. Wykorzystuje parametr -D (DARPI – dynamic arp inspection). Istnieje również drugi alternatywny parametr -S (SARPI – static arp inspection). Jeśli chcesz uzyskać więcej informacji wpisz man arpon.

Ochrona przed mac spoofing i atakiem mitm narzędziem arpon
Za pomocą narzędzia arpon korzystając z metody DARPI chronimy naszą kartę sieciową o nazwie eth0 przed atakami man in the middle (zatruwaniem tablicy ARP).

Na poniższym obrazku możesz zobaczyć, że atak hakera został udaremniony a adres MAC prawdziwego routera nie został zmodyfikowany.

Obrona przed hakerem (deany arpon)
Monitor narzędzia arpon wykrył próbę zmodyfikowania przez złośliwego hakera wpisu w tablicy ARP naszego komputera. Zwróć uwagę, że pozyskaliśmy adres MAC cyberprzestępcy a sam adres prawdziwego routera nie został zmodyfikowany.

Poniżej dodatkowo sprawdziłem adresy MAC komputerów w sieci w celu detekcji adresu IP przestępcy. Moglibyśmy teraz go po prostu wyrzucić z sieci.

Skanowanie sieci za pomocą ping w programie nmap w Kali Linux 2017.1
Za pomocą skanera portów NMAP odnaleźliśmy adres IP cyberprzestępcy z naszej sieci.

arpon jako usługa (autostart) – OPCJONALNIE

Ta porada jest opcjonalna dla ambitnych początkujących administratorów systemu Linuksa. Możesz skonfigurować również aplikacje arpon jako usługę systemową (deamona), która uruchomi się wraz ze startem systemu.

Wydaj następujące polecenia (możesz użyć innego edytora plików niż leftpad):

sudo leftpad /etc/default/arpon

Zmodyfikuj ten plik odkomenderowując poniższą linijkę (usuń „#”):

DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"

i zmień parametr no na yes tak jak poniżej:

RUN="yes"

Teraz uruchom usługę za pomocą programu service:

service apton start 
service apton status

Uruchom ponownie system Kali Linux i gotowe. Wszystkie logi z atakami tego typu możesz odnaleźć w pliku /var/log/arpon/arpon.log.

Ochrona przed ARP Poisoning w Windows

Statyczny adres MAC w systemie Microsoft Windows i programie ARPFreezeNG
Ustawienie statycznego adresu MAC dla routera za pomocą ARPFreezeNG 0.02

Powyższy program do statycznych adresów MAC do pobrania jest na stronie autora ARPFreezeNG. Wystarczy, że zaznaczysz urządzenie któremu chcesz przypisać statyczny adres MAC i wciśniesz Apply. Najlepiej zrobić to dla wszystkich znanych Tobie urządzeń w sieci. Warto zadbać również o to, żeby serwer DHCP nie zmieniał im adresów IP.

Konfiguracja statycznego MAC jest możliwa również za pomocą wbudowanych narzędzi w system Microsoft Windows. Aby wyświetlić tablice ARP użyj w swoim wierszu poleceń komendy arp -a.

W celu wyświetlenia pomocy wpisz arp -h. Jeśli chciałbyś dodać statyczny adres MAC routera to możesz to zrobić za pomocą parametru -s. W pomocy dołączonej do narzędzia systemowego jest dostępny oczywiśćie przykład. Przed konfiguracją upewnij się tylko dokładnie jakie adresy MAC mają urządzenia w sieci i dopiero ustaw im statyczny powiązanie pomiędzy adresem fizycznym MAC a adresem IP.

Tablica ARP w systemie Microsoft Windows i parametr -s
Pomoc wbudowanego w system programu konsolowego arp. Posiada on parametr -s umożliwiający ustawienie statycznych fizycznych adresów karty sieciowej (MAC).

Podsumowanie o ARP Spoofing

To by było na tyle. Wystarczy, że zapamiętasz na przyszłość, że ochroną przed atakiem z ukrytym pośrednikiem z wykorzystaniem ARP poisoning mogą być statyczne adresy MAC w systemie operacyjnym. Co można przykładowo zrobić atakiem MITM możesz zobaczyć w wpisie:

WEP lekcja #6 – Cookie Cadger, Wireshark i przechwytywanie ciasteczek sesyjnych

Nie ma tutaj znaczenia jaki to jest system, ponieważ protokół ARP jest dla wszystkich jednakowy. Mam nadzieje, że dzięki dzisiejszemu wpisowi trochę lepiej zrozumiałeś atak zatruwający tablice ARP.

Jeśli podobają Ci się nasze wpisy to zlajkuj nas na fejsie i subskrybuj nasz kanał na YouTube, aby być na bieżąco! Zawsze kiedy dodajemy coś na kanał YT lub na bloga, to wrzucamy informacje o tym na Facebooka. Powodzenia w nauce! 🙂

25 thoughts to “Ochrona przed atakiem ARP Poisoning (MITM)”

    1. Cześć kris, gdzie są źle wyświetlane? Sprawdziłem i zarówno wersja mobilna jak i desktopowa wyświetla wszystko okej (Chrome). Jaką masz przeglądarkę www?

  1. Hej

    czy moglibyście napisać kolejnego posta na temat WannaCry? Pojawiły się nowe informacje na Torze odnośnie samodzielnego kreowania Ransomware w virtualnej maszynie. Myślę że był to fajny temat. Oczywiście z rozwagą aby „jakieś dzieciaki nie wbijały kolegom na stronki” 😉
    Pozdrawiam i podziękowania za świetnego bloga

  2. Tak troche nie do tematu ale intryguje mnie to pytanie czy jak polacze plik png i plik bat w png to moge jakims cudem z png uruchomic plik pat ktory jest w srodku?
    Przyklad bedzie bardziej zrozumialy 🙂 : C:/ copy /B plik.png+plik.bat plik1.png
    czy z pliku plik1.png da sie uruchomic bat ?
    Testowalem z plikiem rar i dalo sie otworzyc biblioteke a z bat nadal sie mecze 🙂
    Dzieki z gory za pomoc 😀

    1. Krótko i na temat: nie możesz bo nie jest to plik wykonywalny. Każdy plik jest plikiem edytowalnym. Nawet program komputerowy .exe możesz sobie otworzyć w edytorze (hex edytor) i dopisać byle co. Jednak i tak nie uruchomisz tego dopisanego np: zdjęcia. Wirusy mogą tylko znajdować się w plikach wykonywalnych (bo de facto są to zwykłe też aplikacje, tylko że złośliwe). Polecam poszukać w Wikipedii czym jest plik wykonywalny. Dla każdego systemu jest inny. W przypadku Windows jest to .exe/.msi itd.

      1. Tylko .msi to nie plik wykonywalny. To pakiet instalatora windows. Nie chodzi tu o tego co instaluje Windowsa. Ten instalator jest wgrany w windowsa. A jak go jakimś cudem usuniesz to pliki .msi nie zadziałają. .msi to pliki programu, a nie sam program. Jak np. do .docx potrzebujesz office lub wordpada. Tak do .msi potrzebujesz instalatora windows. 🙂

        1. Trochę mocno uprościłeś. Pliki .exe też nie zadziałają jeśli wymagają danej biblioteki rozszerzającej. Proponuje usunąć .NET Framework z pomocą którego zostało zaprojektowanych bardzo dużo aplikacji :-). Inny przykład to pakiet Visual C++ Redistributable. Albo usuń kluczowe biblioteki DLL. Przykład dla graczy? Proszę bardzo: DirectX. Dzisiaj aplikacje całkowicie NATYWNE o których piszesz praktycznie nie istnieją. Bez problemu możesz utworzyć KAŻDĄ APLIKACJĘ WYKONYWALNĄ nawet grę z rozszerzeniem .msi. Tak naprawdę faktyczne pliki masz w odpowiedniku zasobów z rozszerzeniem .exe i możesz je podejrzeć specjalnymi edytorami. Bez problemu też utworzysz aplikacje z rozszerzeniem .com lub nawet .scr które jest rozszerzeniem uwaga… WYGASZACZY EKRANU. Nie wyłapałeś kontekstu. Pozdrawiam

    2. @Agfraz tekst w ramce pod Podsumowanie o ARP. U mnie przeglądarka Safari na Mac Os, nieprawidłowe kodowanie znaków jest.

  3. Witam w leafpad i apton jest literówka (chyba)?. Nie wiem jak u was oprócz zmiany w pliku /etc/default/arpon z „no ” na „yes” i usunięcia „#” musiałem zmienić litere „d” na „D”, ponieważ miałem taki komunikat
    „Failed to start LSB: Start arpon at boot time.” Pozdrawiam

    1. Takie programy to ściema. Osoba zarabia zazwyczaj za wypełnienie ankiety lub liczbę pobrał. Magiczne programy „HACK” nie istnieją.

    1. Nie mam za bardzo czasu, nic więcej do powiedzenia w tym temacie i… sam się chleb nie zarobi. Już po prostu skończyłem czas studencki. 🙂

  4. Witam,skanowalam adresy emeil programem antywirusowym i 1 adres emeil coś nie tak wykazało ze ktoś mógł wykraść moje dane osobowe. Adres emeil zablokowałam (usunęłam wcześniej zmieniając hasło) czy telefon może być już z wirusem? Co teraz mam zrobić żeby czuć się pewnoe w telefonie ze mi pieniądze z konta nie znikną …ten adres nie byl powiązany ani z iCloud ani z fb…
    dzięki za podpowiedz 🙁

    1. W jaki sposób skanowałaś adresy e-mail bo nie do końca rozumiem i jakim dokładnie programem antywirusowym. Sam adres e-mail to tylko kawałek tekstu z małpą…

          1. Rozumiem ale to wykryło Ci, że aplikacja do poczty ma uprawnienia w telefonie takie że może zbierać dane o osobie. Taki problem praktycznie teraz jest z każdą aplikacją na Androida. To żaden haker, firmy zbierają dane o użytkownikach i to normalne. 😉

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *