Analyse van ARP-spoofing-aanvallen in Wireshark

Analyse Van Arp Spoofing Aanvallen In Wireshark



We hebben misschien gehoord van veel netwerkaanvallen. ARP-spoofing is een van de vele netwerkaanvallen. ARP-spoofing is een mechanisme waarbij een ARP-verzoek omstreden door de aanvaller naar een lokaal netwerk wordt verzonden. Als een ARP-antwoord van het slachtoffer komt, wordt het MAC-adres van de aanvaller bijgewerkt met het IP-adres van een andere echte host, zodat het daadwerkelijke verkeer naar het aanvallersysteem gaat in plaats van naar het echte systeem. Laten we in dit artikel meer details leren over ARP-spoofing-aanvallen.

Tools om te gebruiken bij ARP-spoofing-aanvallen

Er zijn veel tools zoals Arpspoof, Cain & Abel, Arpoison en Ettercap die beschikbaar zijn om ARP-spoofing te starten.

Hier is de schermafbeelding om te laten zien hoe de genoemde tools het ARP-verzoek controversieel kunnen verzenden:







ARP-spoofing-aanval in details

Laten we enkele screenshots bekijken en de ARP-spoofing stap voor stap begrijpen:



Stap 1 :



De aanvaller verwacht het antwoord van de ARP zodat deze het MAC-adres van het slachtoffer kan achterhalen. Als we nu verder gaan in de gegeven schermafbeelding, kunnen we zien dat er 2 ARP-antwoorden zijn van de IP-adressen 192.168.56.100 en 192.168.56.101. Hierna werkt het slachtoffer [192.168.56.100 en 192.168.56.101] zijn ARP-cache bij, maar vraagt ​​niet terug. De invoer in de ARP-cache wordt dus nooit gecorrigeerd.

De ARP-verzoekpakketnummers zijn 137 en 138. De ARP-antwoordpakketnummers zijn 140 en 143.



De aanvaller vindt dus de kwetsbaarheid door de ARP-spoofing uit te voeren. Dit wordt de 'ingang van de aanval' genoemd.

Stap 2:
De pakketnummers zijn 141, 142 en 144, 146.

Van de vorige activiteit heeft de aanvaller nu geldige MAC-adressen van 192.168.56.100 en 192.168.56.101. De volgende stap voor de aanvaller is om het ICMP-pakket naar het IP-adres van het slachtoffer te sturen. En we kunnen aan de gegeven schermafbeelding zien dat de aanvaller een ICMP-pakket heeft verzonden en een ICMP-antwoord kreeg van 192.168.56.100 en 192.168.56.101. Dit betekent dat beide IP-adressen [192.168.56.100 en 192.168.56.101] bereikbaar zijn.

Stap 3:

We kunnen zien dat er het laatste ARP-verzoek is voor het IP-adres 192.168.56.101 om te bevestigen dat de host actief is en dat deze hetzelfde MAC-adres heeft van 08:00:27:dd:84:45.

Het opgegeven pakketnummer is 3358.

Stap 4:

Er is nog een ICMP-verzoek en -antwoord met het IP-adres 192.168.56.101. De pakketnummers zijn 3367 en 3368.

We kunnen vanaf hier denken dat de aanvaller zich richt op het slachtoffer wiens IP-adres 192.168.56.101 is.

Nu bereikt alle informatie die afkomstig is van het IP-adres van 192.168.56.100 of 192.168.56.101 tot IP 192.168.56.1 de MAC-adresaanvaller wiens IP-adres 192.168.56.1 is.

Stap 5:

Zodra de aanvaller toegang heeft, probeert hij een daadwerkelijke verbinding tot stand te brengen. Uit de gegeven schermafbeelding kunnen we zien dat de aanvaller probeert de HTTP-verbinding tot stand te brengen. Er is een TCP-verbinding binnen de HTTP, wat betekent dat er een 3-WEG-handshake moet zijn. Dit zijn de pakketuitwisselingen voor TCP:

SYN -> SYN+ACK -> ACK.

Uit de gegeven schermafbeelding kunnen we zien dat de aanvaller het SYN-pakket meerdere keren opnieuw probeert op verschillende poorten. Het framenummer 3460 tot 3469. Het pakketnummer 3469 SYN is voor poort 80, wat HTTP is.

Stap 6:

De eerste succesvolle TCP-handshake wordt getoond bij de volgende pakketnummers van de gegeven schermafbeelding:

4488: SYN-frame van aanvaller
4489: SYN+ACK-frame van 192.168.56.101
4490: ACK-frame van aanvaller

Stap 7:

Zodra de TCP-verbinding succesvol is, kan de aanvaller de HTTP-verbinding [framenummer 4491 tot 4495] tot stand brengen, gevolgd door de SSH-verbinding [framenummer 4500 tot 4503].

Nu heeft de aanval voldoende controle om het volgende te kunnen doen:

  • Session kaping aanval
  • Man-in-the-middle-aanval [MITM]
  • Denial of Service-aanval (DoS).

Hoe de ARP-spoofing-aanval te voorkomen

Hier zijn enkele beveiligingen die kunnen worden genomen om de ARP-spoofing-aanval te voorkomen:

  1. Gebruik van 'Statische ARP'-items
  2. Software voor detectie en preventie van ARP-spoofing
  3. Pakketfiltering
  4. VPN's, enz.

We kunnen dit ook voorkomen als we HTTPS gebruiken in plaats van HTTP en de SSL-transportlaagbeveiliging (Secure Socket Layer) gebruiken. Dit is zodat alle communicatie versleuteld is.

Conclusie

Uit dit artikel hebben we een basisidee gekregen over ARP-spoofing-aanvallen en hoe deze toegang kunnen krijgen tot de bronnen van elk systeem. We weten nu ook hoe we dit soort aanvallen kunnen stoppen. Deze informatie helpt de netwerkbeheerder of een systeemgebruiker om te beschermen tegen ARP-spoofing-aanvallen.

Ander

Categorie

Populaire Berichten

Een div met overgang tonen en verbergen in CSS

Hoe NVIDIA CUDA op Windows 10/11 te installeren

LWC – Navigatiedienst

Hoe Git-wachtwoord bij te werken via algemene Windows-referenties

Hoe aan de slag te gaan met AWS Elastic Beanstalk?

Hoe u het belastingsgemiddelde op Linux kunt controleren

Python-installatie gemakkelijk gemaakt op Ubuntu

Hoe voeg ik opvulling toe aan een enkele zijde in Tailwind?

MVN-afhankelijkheidsboom

Hoe een onbereikbare verklaringscodefout in Java op te lossen?

5 dingen die u moet weten over reparatie van stroomaansluitingen

C++ Unordered_Map::Find() Functie

Linux open opdracht

Statische methode C++

Wat is ESP32-Pico-D4

Een eenvoudig tekstgebaseerd spel maken in C++

Wat is de HTML DOM Element offsetTop Property in JavaScript

Waarom werkt Roblox niet op mijn telefoon?

Start een service opnieuw met behulp van systemctl restart Command

Hoe u grootschalige projecten in Minecraft kunt beheren: organiseren en beheren