Ochrona przed atakiem ARP Poisoning (MITM)

W dzisiejszym wpisie pokażemy jak obronić Twój system operacyjny Linux lub Windows przed atakiem ARP Poisoning. W pierwszej kolejności zajmiemy się systemem operacyjnym Kali Linux 2017.1, a na samym końcu tego wpisu systemem Microsoft Windows. Dzięki wykorzystaniu tego poradnika i aplikacji arpon uchronisz swój komputer dodatkowo przed odcinaniem internetu za pomocą narzędzi takich jak netcut. W przypadku konfiguracji statycznych adresów MAC w Windows również to osiągniesz o czym w dalszej części tego poradnika…

Na wstępie dodam, że program arpon jest bardzo prosty w użytkowaniu. Osoby które miały styczność z protokołem ARP, bez problemu zrozumieją też jak on działa. W uproszczeniu mówiąc analizuje on w czasie rzeczywistym tablicę ARP w systemie operacyjnym i w podstawowej konfiguracji po prostu nie pozwala na modyfikowanie jej. Narzędzie dodatkowo wyświetla monit informujący o próbie ataku crackerskiego.

Ochrona przed ARP Poisoning – arpon

Dzisiaj będzie szybka praktyka bez dogłębnego tłumaczenia czym jest atak man in the middle, tablica ARP lub narzędzie arpspoof. Jeśli nie wiesz czym jest ten atak to znajdziesz na ten temat wiele wpisów na na naszym blogu np: podsłuch komputera za pomocą mitm. Przejdźmy teraz od razu do instalacji narzędzia arpon.

Instalacja arpon

sudo apt-get install arpon przeciwko atakowi arp poisoning
Instalacja oprogramowania arpon które ochroni naszego Linuksa przed atakami ARP poisoning (mitm) za pomocą narzędzia apt-get

Teraz sprawdźmy sobie poleceniem ifconfig adres IP naszego komputera. Dodatkowo poleceniem arp -a sprawdzimy wpisy w naszej tablicy ARP.

Adres IP i tablica ARP w Kali Linux
Za pomocą polecenia arp -a sprawdziliśmy wszystkie adresy zapisane w tablicy ARP. Na powyższym obrazku widzimy adres MAC naszego prawdziwego routera w sieci. Dzięki tablicy ARP system operacyjny potrafi powiązać adres IP z adresem MAC urządzenia w sieci.

Atak ARP Poisoning crackera

Teraz na chwilę przechodzę do komputera napastnika (inna maszyna wirtualna z systemem Kali Linux 2017.1). Wykonuje tam atak nazywany często ARP spoofing. Chce w ten sposób zmodyfikować tablicę ARP w komputerze, który jest celem ataku.

Wydaje następujące polecenia:

  • arpspoof -i eth0 -t 192.168.0.19 192.168.0.1,
  • macchanger -s eth0.
Atak arpspoof i adres mac komputera hakera
W tym kroku na komputerze napastnika wykonujemy atak ARP spoofing. Zwróć uwagę na adres MAC komputera napastnika.

Po powyższym ataku tablica ARP na komputerze “celu” została zmodyfikowana, tak jak widać to na poniższym obrazku.

Tablica ARP z fałszywym MAC address
Na naszym komputerze który jest celem ataku możemy zauważyć, że za pomocą protokołu ARP został zmodyfikowany adres MAC bramy domyślnej (routera). Teraz nasz komputer myśli, że routerem jest komputer cyberprzestępcy i cały ruch wysyłany jest przez niego. Dzięki temu cracker może wykonać podsłuch (sniffing).

Obrona przed ARP Poisoning (MITM)

Dobrze. W tym momencie przerywam atak bo miała być to tylko szybka demonstracja tego jak działa atak ARP Poisoning umożliwiający MITM. W skrócie tak jak wspomniałem Tobie cyberprzestępca za pomocą protokołu ARP podszywa się pod dane urządzenie np: router, dodając odpowiedni wpis w tablicy ARP.



Teraz przechodzę do obrony. Za pomocą polecenia sudo arpon -D eth0 y rozpoczynam obronę przed ARP poisoning. Wykorzystuje parametr -D (DARPI – dynamic arp inspection). Istnieje również drugi alternatywny parametr -S (SARPI – static arp inspection). Jeśli chcesz uzyskać więcej informacji wpisz man arpon.

Ochrona przed mac spoofing i atakiem mitm narzędziem arpon
Za pomocą narzędzia arpon korzystając z metody DARPI chronimy naszą kartę sieciową o nazwie eth0 przed atakami man in the middle (zatruwaniem tablicy ARP).

Na poniższym obrazku możesz zobaczyć, że atak hakera został udaremniony a adres MAC prawdziwego routera nie został zmodyfikowany.

Obrona przed hakerem (deany arpon)
Monitor narzędzia arpon wykrył próbę zmodyfikowania przez złośliwego hakera wpisu w tablicy ARP naszego komputera. Zwróć uwagę, że pozyskaliśmy adres MAC cyberprzestępcy a sam adres prawdziwego routera nie został zmodyfikowany.

Poniżej dodatkowo sprawdziłem adresy MAC komputerów w sieci w celu detekcji adresu IP przestępcy. Moglibyśmy teraz go po prostu wyrzucić z sieci.

Skanowanie sieci za pomocą ping w programie nmap w Kali Linux 2017.1
Za pomocą skanera portów NMAP odnaleźliśmy adres IP cyberprzestępcy z naszej sieci.

arpon jako usługa (autostart) – OPCJONALNIE

Ta porada jest opcjonalna dla ambitnych początkujących administratorów systemu Linuksa. Możesz skonfigurować również aplikacje arpon jako usługę systemową (deamona), która uruchomi się wraz ze startem systemu.

Wydaj następujące polecenia (możesz użyć innego edytora plików niż leftpad):

Zmodyfikuj ten plik odkomenderowując poniższą linijkę (usuń “#”):

DAEMON_OPTS=”-q -f /var/log/arpon/arpon.log -g -d”

i zmień parametr no na yes tak jak poniżej:

RUN=”yes”

Teraz uruchom usługę za pomocą programu service:

Uruchom ponownie system Kali Linux i gotowe. Wszystkie logi z atakami tego typu możesz odnaleźć w pliku /var/log/arpon/arpon.log.

Ochrona przed ARP Poisoning w Windows

Statyczny adres MAC w systemie Microsoft Windows i programie ARPFreezeNG
Ustawienie statycznego adresu MAC dla routera za pomocą ARPFreezeNG 0.02

Powyższy program do statycznych adresów MAC do pobrania jest na stronie autora ARPFreezeNG. Wystarczy, że zaznaczysz urządzenie któremu chcesz przypisać statyczny adres MAC i wciśniesz Apply. Najlepiej zrobić to dla wszystkich znanych Tobie urządzeń w sieci. Warto zadbać również o to, żeby serwer DHCP nie zmieniał im adresów IP.

Konfiguracja statycznego MAC jest możliwa również za pomocą wbudowanych narzędzi w system Microsoft Windows. Aby wyświetlić tablice ARP użyj w swoim wierszu poleceń komendy arp -a.

W celu wyświetlenia pomocy wpisz arp -h. Jeśli chciałbyś dodać statyczny adres MAC routera to możesz to zrobić za pomocą parametru -s. W pomocy dołączonej do narzędzia systemowego jest dostępny oczywiśćie przykład. Przed konfiguracją upewnij się tylko dokładnie jakie adresy MAC mają urządzenia w sieci i dopiero ustaw im statyczny powiązanie pomiędzy adresem fizycznym MAC a adresem IP.

Tablica ARP w systemie Microsoft Windows i parametr -s
Pomoc wbudowanego w system programu konsolowego arp. Posiada on parametr -s umożliwiający ustawienie statycznych fizycznych adresów karty sieciowej (MAC).

Podsumowanie o ARP Spoofing

To by było na tyle. Wystarczy, że zapamiętasz na przyszłość, że ochroną przed atakiem z ukrytym pośrednikiem z wykorzystaniem ARP poisoning mogą być statyczne adresy MAC w systemie operacyjnym. Co można przykładowo zrobić atakiem MITM możesz zobaczyć w wpisie:

WEP lekcja #6 – Cookie Cadger, Wireshark i przechwytywanie ciasteczek sesyjnych

Nie ma tutaj znaczenia jaki to jest system, ponieważ protokół ARP jest dla wszystkich jednakowy. Mam nadzieje, że dzięki dzisiejszemu wpisowi trochę lepiej zrozumiałeś atak zatruwający tablice ARP.

Jeśli podobają Ci się nasze wpisy to zlajkuj nas na fejsie i subskrybuj nasz kanał na YouTube, aby być na bieżąco! Zawsze kiedy dodajemy coś na kanał YT lub na bloga, to wrzucamy informacje o tym na Facebooka. Powodzenia w nauce! :-)




6 myśli na temat “Ochrona przed atakiem ARP Poisoning (MITM)

  1. Hej

    czy moglibyście napisać kolejnego posta na temat WannaCry? Pojawiły się nowe informacje na Torze odnośnie samodzielnego kreowania Ransomware w virtualnej maszynie. Myślę że był to fajny temat. Oczywiście z rozwagą aby “jakieś dzieciaki nie wbijały kolegom na stronki” ;)
    Pozdrawiam i podziękowania za świetnego bloga

    1. Cześć kris, gdzie są źle wyświetlane? Sprawdziłem i zarówno wersja mobilna jak i desktopowa wyświetla wszystko okej (Chrome). Jaką masz przeglądarkę www?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *