حملات ARP
حملات ARP، پروتکل ARP ا Address Resolution Protocol در زمانی طراحی شده است که امنیت شبکه چندان مطرح نبوده و بنابراین پروتکل به شکل متن باز clear text و بدون امنیت ارائه گردیده است. به طور پیش فرض در شبکه بسته های ARP تایید اعتبار نمی شوند و حتی اگر درخواست ARP هرگز ارسال نشده باشد، پاسخ ARP پذیرفته می شود. بهطور پیشفرض، هیچ مکانیزمی تایید نمی کند که یک میزبان مهاجم پیامهای ARP مخرب ارسال نماید یا درخواست/پاسخهای ARP را رهگیری و تغییر دهد. چندین حمله معروف از فرآیند مشابهی به نام ARP spoofing استفاده می کنند. هدف نهایی مهاجمان ورود به مسیر داده و سرقت داده های خصوصی است، همانطور که در شکل 1 نشان داده شده است.
حملات ARP
هنگامی که مهاجم در شبکه LAN پیام های ARP نادرست ارسال می نماید، می تواند آدرس MAC خود را با آدرس IP Gatway پیش فرض یا هر IP دیگری در LAN مرتبط نماید. سپس می تواند شروع به دریافت داده های در نظر گرفته شده برای میزبان دیگری در شبکه کند. حملات اصلی که از این تکنیک جعلی استفاده می کنند شامل:
- Man-in-the-Middle: مهاجم پیام های ARP کاربران شبکه را رهگیری می نماید و آنها را جهت تغییر مسیر داده ها تغییر می دهد.
- Session Hijacking: مهاجم سعی می کند از ARP spoofing جهت سرقت یک کوکی، رمز یا شناسه نشست استفاده کند تا بتواند دسترسی غیرمجاز به داده های خصوصی داشته باشد. در شبکه های وای فای عمومی در ایستگاه های اتوبوس و فرودگاه های شلوغ بسیار رایج است.
- Denial of Service (DoS): یک مهاجم سعی می کند یک میزبان یا منبع شبکه را در دسترس کاربران مورد نظر خود قرار دهد. به طور معمول در مورد ARP spoofing، این کار با سرقت داده های قانونی در نظر گرفته شده برای میزبان خاص یا پر کردن میزبان با تعداد زیادی از پیام های ARP نادرست یا نادرست انجام می شود.
شکل 2. نمونه ای از ARP spoofing
همانطور که در شکل 2 مشاهده می فرمایید. PC1 یک درخواست ARP برای IP روتر 1 ارسال می نماید. همانطور که می دانید، تمامی نود ها در LAN یک کپی از این بسته را دریافت می نمایند. به همین دلیل، یک مهاجم با IP 192.168.1.6 میتواند پاسخ روتر 1 را به گونهای جعل یا تغییر دهد تا آدرس فیزیکی مرتبط با IP 192.168.1.1 ا 5445-CCCD-DDDD باشد. این فرایند تمام ترافیک بین PC1 و روتر 1 را اجبار می سازد تا از طریق مهاجم عبور نماید همانطور که در شکل 1 نشان داده شده است. این نوع سوء استفاده ARP اغلب به عنوان ARP Poisoning نیز نامیده می شود.
آموزش شبکه
نظرات کاربران