Analizoare de pachete de rețea. Wireshark (interceptor de pachete de rețea)

Mulți utilizatori ai rețelei de calculatoare nu sunt, în general, familiarizați cu conceptul de „sniffer”. Să încercăm să definim ce este un sniffer, în limbajul simplu al unui utilizator neinstruit. Dar mai întâi, mai trebuie să vă adânciți în predefinirea termenului în sine.

Sniffer: ce este un sniffer din punctul de vedere al limbii engleze și al tehnologiei informatice?

De fapt, nu este deloc dificil să determinați esența unui astfel de complex software sau hardware-software dacă traduceți pur și simplu termenul.

Acest nume provine din cuvântul englezesc sniff (sniff). De aici și sensul termenului rusesc „sniffer”. Ce este un sniffer în înțelegerea noastră? Un „sniffer” capabil să monitorizeze utilizarea traficului de rețea sau, mai simplu, un spion care poate interfera cu funcționarea rețelelor locale sau bazate pe Internet, extragând informațiile de care are nevoie pe baza accesului prin protocoale de transfer de date TCP/IP.

Analizor de trafic: cum funcționează?

Să facem imediat o rezervare: un sniffer, fie că este vorba despre o componentă software sau shareware, este capabil să analizeze și să intercepteze traficul (date transmise și primite) exclusiv prin intermediul plăcilor de rețea (Ethernet). Ce se întâmplă?

Interfața de rețea nu este întotdeauna protejată de un firewall (din nou, software sau hardware) și, prin urmare, interceptarea datelor transmise sau primite devine doar o chestiune de tehnologie.

În cadrul rețelei, informațiile sunt transmise pe segmente. Într-un singur segment, pachetele de date ar trebui să fie trimise la absolut toate dispozitivele conectate la rețea. Informațiile segmentate sunt transmise către routere (routere) și apoi către comutatoare (comutatoare) și concentratoare (hub-uri). Trimiterea informațiilor se face prin împărțirea pachetelor, astfel încât utilizatorul final să primească toate părțile pachetului conectate între ele de pe rute complet diferite. Astfel, „ascultarea” tuturor rutelor potențiale de la un abonat la altul sau interacțiunea unei resurse de internet cu un utilizator poate oferi nu numai acces la informații necriptate, ci și la unele chei secrete, care pot fi și trimise într-un astfel de proces de interacțiune . Și aici interfața de rețea se dovedește a fi complet neprotejată, deoarece intervine o terță parte.

Intenții bune și scopuri rău intenționate?

Snifferele pot fi folosite atât pentru bine, cât și pentru rău. Ca să nu mai vorbim de impactul negativ, merită remarcat faptul că astfel de sisteme software și hardware sunt destul de des folosite de administratorii de sistem care încearcă să urmărească acțiunile utilizatorilor nu numai în rețea, ci și comportamentul lor pe Internet în ceea ce privește resursele vizitate, descărcări activate pe computere sau trimitere de la acestea.

Metoda prin care funcționează analizatorul de rețea este destul de simplă. Sniffer-ul detectează traficul de ieșire și de intrare al mașinii. Nu vorbim de IP intern sau extern. Cel mai important criteriu este așa-numita adresă MAC, unică pentru orice dispozitiv conectat la internetul global. Este folosit pentru a identifica fiecare mașină din rețea.

Tipuri de sniffer

Dar după tip ele pot fi împărțite în mai multe principale:

• hardware;
• software;
• hardware și software;
• applet-uri online.

Detectarea comportamentală a prezenței unui sniffer în rețea

Puteți detecta același sniffer WiFi după încărcarea din rețea. Dacă este clar că transferul de date sau conexiunea nu este la nivelul declarat de furnizor (sau routerul permite), ar trebui să acordați atenție imediat la acest lucru.

Pe de altă parte, furnizorul poate rula și un software sniffer pentru a monitoriza traficul fără știrea utilizatorului. Dar, de regulă, utilizatorul nici măcar nu știe despre asta. Însă organizația care furnizează servicii de comunicație și conexiune la Internet garantează astfel utilizatorului securitate deplină în ceea ce privește interceptarea inundațiilor, autoinstalarea clienților diverși troieni, spioni etc. Dar astfel de instrumente sunt mai degrabă software și nu au un impact prea mare asupra rețelei sau terminalelor utilizatorului.

Resurse online

Dar un analizor de trafic online poate fi deosebit de periculos. Un sistem primitiv de hacking computerizat este construit pe utilizarea sniffer-urilor. Tehnologia în cea mai simplă formă se rezumă la faptul că un atacator se înregistrează inițial pe o anumită resursă, apoi încarcă o imagine pe site. După confirmarea descărcării, este emis un link către un sniffer online, care este trimis unei potențiale victime, de exemplu, sub forma unui e-mail sau a aceluiași mesaj SMS cu un text de genul „Ați primit o felicitare de la așa și -asa de. Pentru a deschide imaginea (cartea poștală), faceți clic pe link.”

Utilizatorii naivi fac clic pe hyperlinkul specificat, în urma căruia recunoașterea este activată și adresa IP externă este transferată atacatorului. Dacă are aplicația corespunzătoare, va putea nu numai să vizualizeze toate datele stocate pe computer, ci și să modifice cu ușurință setările sistemului din exterior, lucru de care utilizatorul local nici nu își va da seama, confundând o astfel de modificare cu influența unui virus. Dar scanerul va afișa zero amenințări atunci când verifică.

Cum să te protejezi de interceptarea datelor?

Fie că este vorba de un sniffer WiFi sau de orice alt analizor, există încă sisteme de protejare împotriva scanării neautorizate a traficului. Există o singură condiție: acestea trebuie instalate numai dacă sunteți complet încrezător în „interceptări”.

Astfel de instrumente software sunt cel mai adesea numite „antisniffer”. Dar dacă te gândești bine, acestea sunt aceleași sniffer-uri care analizează traficul, dar blochează alte programe care încearcă să primească

De aici întrebarea legitimă: merită să instalați un astfel de software? Poate că piratarea sa de către hackeri va cauza și mai mult rău sau va bloca ea însăși ceea ce ar trebui să funcționeze?

În cel mai simplu caz cu sistemele Windows, este mai bine să utilizați firewall-ul încorporat ca protecție. Uneori pot exista conflicte cu antivirusul instalat, dar acest lucru se aplică adesea numai pachetelor gratuite. Versiunile achiziționate profesionale sau activate lunar nu au astfel de neajunsuri.

În loc de o postfață

Acesta este totul despre conceptul de „sniffer”. Cred că mulți și-au dat seama deja ce este un sniffer. În cele din urmă, întrebarea rămâne: cât de corect va folosi utilizatorul obișnuit astfel de lucruri? Altfel, printre utilizatorii tineri se poate observa uneori o tendință spre huliganism pe computer. Ei cred că piratarea computerului altcuiva este ceva ca o competiție interesantă sau auto-afirmare. Din păcate, niciunul dintre ei nici măcar nu se gândește la consecințe, dar este foarte ușor să identifici un atacator folosind același sniffer online după IP-ul său extern, de exemplu, pe site-ul WhoIs. Adevărat, locația furnizorului va fi indicată ca locație, cu toate acestea, țara și orașul vor fi determinate exact. Ei bine, atunci este o chestiune de lucruri mărunte: fie un apel către furnizor pentru a bloca terminalul din care s-a făcut acces neautorizat, fie un dosar penal. Trageți propriile concluzii.

Dacă este instalat un program pentru a determina locația terminalului din care se face o încercare de acces, situația este și mai simplă. Dar consecințele pot fi catastrofale, deoarece nu toți utilizatorii folosesc acele servere de anonimizare sau servere proxy virtuale și nici măcar nu au habar despre Internet. Ar merita invatat...

Sniffers Sniffer-urile sunt programe care pot intercepta și ulterior analiza traficul de rețea. Snifferele sunt utile în cazurile în care trebuie să interceptați parole sau să efectuați diagnostice de rețea. Programul poate fi instalat pe un dispozitiv la care aveți acces și în scurt timp să primiți toate datele transmise de la subrețea.

Cum funcționează sniffer-urile

Puteți intercepta traficul printr-un sniffer în următoarele moduri:

• Ascultând în modul normal al interfeței de rețea, această metodă este eficientă numai atunci când se folosesc hub-uri și nu switch-uri într-un anumit domeniu.
• Dacă conectați un sniffer la locul unde canalul se rupe, puteți intercepta traficul.
• Adaptorul sau programul schimbă calea traficului și trimite o copie către sniffer.
• Radiația electromagnetică rătăcită este analizată și traficul este restabilit pentru ascultare.
• Sunt atacate legăturile și stratul de rețea, care redirecționează traficul către sniffer pentru a obține date, după care traficul este redirecționat de-a lungul rutei precedente.

Se analizează traficul interceptat de sniffer, ceea ce ne permite să identificăm:

Sniffer-urile convenționale analizează traficul foarte simplu, folosind cele mai disponibile instrumente automate și sunt capabile să analizeze doar volume foarte mici.

Exemple dintre cei mai faimoși sniffer:

• WinSniffer 1.3 este cel mai bun sniffer, are multe moduri de personalizare diferite și este capabil să prindă parole pentru diverse servicii;
• CommViev 5.0 captează și analizează traficul de Internet, precum și rețeaua locală. Colectează date de informații asociate modemului și plăcii de rețea și le decodifică. Acest lucru face posibilă vizualizarea unei liste complete de conexiuni în rețea și informații statistice despre IP. Informațiile interceptate sunt salvate într-un fișier separat pentru analiza ulterioară; în plus, un sistem de filtrare convenabil vă permite să ignorați pachetele inutile și să lăsați doar pe cele de care atacatorul are nevoie;
• ZxSniffer 4.3 este un sniffer de dimensiuni mici, cu un volum de 333 kb, se potrivește pe orice mediu de stocare modern și poate fi folosit de;
• SpyNet este un sniffer destul de cunoscut și popular. Funcționalitatea principală include interceptarea traficului și decodarea pachetelor de date;
• IRIS are capacități extinse de filtrare. Capabil să prindă pachete cu restricții specificate.

Clasificarea sniffer-urilor

Snifferele sunt împărțite în funcție de metoda de utilizare în legale și ilegale. În același timp, însuși conceptul de sniffer este aplicat în mod specific în legătură cu utilizarea ilegală, în timp ce cele legale sunt numite „Analizator de trafic”.

Pentru a primi informații complete despre starea rețelei și pentru a înțelege ce fac angajații la locurile lor de muncă, aceștia folosesc sniffer-uri legale (analizori de trafic). Ajutorul sniffer-urilor nu poate fi supraestimat atunci când este necesar să „asculte” porturile de programe prin care pot trimite informații confidențiale proprietarilor lor. Pentru programatori, ei ajută la depanare și interacționa cu programele. Folosind analizoarele de trafic, puteți detecta imediat accesul neautorizat la date sau un atac DoS.

Utilizarea ilegală implică spionarea utilizatorilor rețelei; atacatorul va putea obține informații despre site-urile pe care utilizatorul le folosește, trimite date și învață despre programele utilizate pentru comunicare. Scopul principal al „ascultării” traficului este de a obține date de conectare și parole transmise în formă necriptată.

Analizatoarele de trafic diferă prin următoarele capacități:

• Suport pentru protocoale de nivel de legătură, precum și pentru interfețe fizice.
• Calitatea decodării protocolului.
• Interfața cu utilizatorul.
• Oferiți acces la statistici, vizualizarea traficului în timp real etc.

Sursa amenințării

Sniffer-urile pot lucra la:

• Router – tot traficul care trece prin dispozitiv poate fi analizat.
• La nodul final al rețelei, toate datele transmise prin rețea sunt disponibile pentru toate plăcile de rețea, dar în modul de funcționare standard, plăcile de rețea pentru care datele nu sunt destinate pur și simplu nu le observă. În același timp, dacă comutați placa de rețea în modul promiscuu, veți putea primi toate datele transmise în rețea. Și, desigur, sniffer-urile vă permit să treceți la acest mod.

Analiza de risc

Orice organizație poate fi expusă riscului de adulmecare. În același timp, există mai multe opțiuni pentru a proteja o organizație de scurgeri de date. În primul rând, trebuie să utilizați criptarea. În al doilea rând, puteți folosi antisniffer.

Antisniffer este un instrument software sau hardware care funcționează într-o rețea și vă permite să găsiți sniffer.

Folosind doar criptarea la transmiterea datelor, nu va fi posibilă ascunderea faptului transmiterii. Prin urmare, puteți utiliza criptarea împreună cu un antisniffer.

Un sniffer este un alt nume pentru un analizor de trafic - este un program sau alt dispozitiv hardware care interceptează și apoi analizează traficul de rețea. În prezent, aceste programe au o justificare complet legală, prin urmare sunt utilizate pe scară largă pe Internet, dar pot fi folosite atât pentru bine, cât și pentru rău.

Istoria originii lor datează din anii 90, când hackerii care foloseau un astfel de software puteau captura cu ușurință autentificarea și parola unui utilizator, care la acea vreme erau foarte slab criptate.

Cuvântul sniffer vine din engleză. to sniff - to sniff, principiul de funcționare este că acest program registre si analize programe care sunt instalate pe mașinile care transmit pachete de informații. Pentru ca operațiunea de citire a informațiilor să fie eficientă, aceasta trebuie să fie amplasată aproape de PC-ul principal.

Programatorii folosesc această aplicație pentru analiza traficului, alte obiective sunt urmărite de hackeri din rețea; aceștia urmăresc parolele sau alte informații de care au nevoie.

Tipuri de analizoare de trafic

Sniffer-urile variază ca tip; pot fi aplicații online sau aplicații instalate direct pe un computer, care la rândul lor sunt împărțite în hardware și software-hardware.

Cel mai adesea sunt folosite pentru a intercepta parolele, în acest caz aplicația obține acces la codurile informațiilor criptate. Acest lucru poate aduce un inconvenient enorm utilizatorului, deoarece există adesea cazuri când mai multe programe sau site-uri sunt setate cu aceleași parole, ceea ce duce în cele din urmă la pierderea accesului la resursele necesare.

Există un tip de sniffing care este folosit pentru a intercepta un instantaneu al memoriei RAM, deoarece este dificil să citiți informațiile în mod constant fără a utiliza puterea procesorului. Detectează spionul posibil prin monitorizarea încărcării maxime de fișiere a computerului în timpul funcționării.

Un alt tip de program funcționează cu un canal mare de transmisie a datelor, iar dăunătorul poate genera protocoale de până la 10 megaocteți în fiecare zi.

Cum functioneaza

Analizoarele funcționează numai cu protocoale TCP/IP; astfel de programe necesită o conexiune prin cablu, de exemplu, routere care distribuie Internetul. Transferul de date se realizează folosind pachete separate, care, atunci când obiectivul final este atins, devin din nou un întreg unic. Ei sunt, de asemenea, capabili să intercepteze pachete în orice stadiu al transmiterii și să obțină informații valoroase sub formă de parole neprotejate împreună cu acestea. În orice caz, cu ajutorul programelor de decriptare este posibil să obțineți cheia chiar și la o parolă protejată.

Cel mai simplu mod de a utiliza sniffer-urile WiFi este în rețelele cu protecție slabă - în cafenele, locuri publice etc.

Furnizorii care folosesc aceste programe pot urmăriți accesul neautorizat către adrese de sistem externe.

Cum să te protejezi de sniffers

Pentru a înțelege că cineva a pătruns în rețeaua locală, în primul rând ar trebui să acordați atenție viteza de descărcare a pachetului, dacă este semnificativ mai mic decât este declarat, acest lucru ar trebui să vă avertizeze. Puteți monitoriza performanța computerului folosind Managerul de activități. Puteți utiliza utilități speciale, dar ele sunt cel mai adesea în conflict cu firewall-ul Windows, așa că este mai bine să îl dezactivați pentru o perioadă.

Pentru administratorii de sistem, verificarea și căutarea analizoarelor de trafic în rețeaua locală este o întreprindere necesară. Pentru a detecta aplicațiile rău intenționate, puteți utiliza antivirusuri de rețea binecunoscute, precum Doctor Web sau Kaspersky Anti-Virus, care vă permit să detectați dăunători atât pe gazdele de la distanță, cât și direct în rețeaua locală.

Pe lângă aplicațiile speciale care sunt pur și simplu instalate pe computer, puteți utiliza parole mai complexeși sisteme criptografice. Sistemele criptografice lucrează direct cu informații, criptându-le folosind o semnătură electronică.

Prezentare generală a aplicației și caracteristici principale

CommView

CommView decodifică pachetele de informații transmise și afișează statistici ale protocoalelor utilizate sub formă de diagrame. Sniffer-ul de trafic vă permite să analizați pachetele IP și cele necesare. Sniffer pentru Windows funcționează cu protocoale cunoscute: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP etc. CommView funcționează cu modemuri Ethernet, wi-fi și altele. Pachetele sunt capturate printr-o conexiune stabilită folosind „ ActualIP- conexiuni", unde puteți crea aliasuri de adrese.

Fila " Pachete» afișează informații despre acestea și pot fi copiate în clipboard.

« BUTURUGA-fisare» vă permite să vizualizați pachete în format NFC.

Fila " Reguli" Aici puteți seta condițiile pentru interceptarea pachetelor. Secțiuni din această filă: adrese IP, adrese MAC, porturi, proces, formule și parametri individuali.

« Avertizare„: prevede configurarea notificărilor în rețeaua locală, funcționează folosind butonul „Adăugați”. Aici puteți seta condiții și tipuri de evenimente:

• „Pachete pe secundă” - atunci când nivelul de încărcare a rețelei este depășit.
• „Octeți pe secundă” - atunci când frecvența de transmisie a datelor este depășită.
• „Adresă necunoscută”, adică detectarea conexiunilor neautorizate.

Fila " Vedere»—statisticile de trafic sunt reflectate aici.

CommView este compatibil cu Windows 98, 2000, XP, 2003. Este necesar un adaptor Ethernet pentru a utiliza aplicația.

Avantaje: interfață ușor de utilizat în limba rusă, acceptă tipuri comune de adaptoare de rețea, statisticile sunt vizualizate. Singurul dezavantaj este prețul ridicat.

Spynet

Spynet îndeplinește funcțiile de decodare a pachetelor și de interceptare a acestora. Cu ajutorul acestuia, puteți recrea paginile pe care le-a vizitat utilizatorul. Constă din 2 programe CaptureNet și PipeNet. Este convenabil de utilizat într-o rețea locală. CaptureNet scanează pachetele de date, un al doilea program monitorizează procesul.

Interfața este destul de simplă:

• Buton Modifica Filtru– instalarea filtrelor.
• Buton Strat 2,3 – instalează protocoale Flame – IP; Stratul 3 – TCP.
• Buton Model Potrivire caută pachete cu parametrii specificați.
• Buton IP— Adrese vă permite să scanați adresele IP necesare care transmit informații de interes. (Opțiunile 1-2, 2-1, 2=1). În acest din urmă caz, tot traficul.
• Buton Porturi, adică selecția de porturi.

Pentru a intercepta datele, trebuie să rulați programul Capture Start, adică începe procesul de interceptare a datelor. Fișierul cu informațiile salvate este copiat numai după comanda Stop, adică terminarea acțiunilor de captare.

Avantajul Spynet este capacitatea de a decoda paginile web pe care utilizatorul le-a vizitat. Programul poate fi descărcat și gratuit, deși este destul de greu de găsit. Dezavantajele includ un set mic de caracteristici în Windows. Funcționează în Windows XP, Vista.

BUTTSniffer

BUTTSniffer analizează pachetele de rețea direct. Principiul de funcționare este interceptarea datelor transmise, precum și capacitatea de a le salva automat pe un mediu, ceea ce este foarte convenabil. Acest program este lansat prin linia de comandă. Există și opțiuni de filtrare. Programul este format din BUTTSniff.exe și BUTTSniff. dll.

Dezavantajele semnificative ale BUTTSniffer includ funcționarea instabilă, blocările frecvente, chiar și blocarea sistemului de operare (ecran albastru al morții).

Pe lângă aceste programe sniffer, există multe altele la fel de cunoscute: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Există și sniffer online, care, pe lângă obținerea adresei IP a victimei, schimbă direct adresa IP a atacatorului. Acestea. Hackerul se înregistrează mai întâi sub o adresă IP și trimite către computerul victimei o imagine care trebuie descărcată sau un e-mail care trebuie doar deschis. După aceasta, hackerul primește toate datele necesare.

Merită să ne amintim că interferarea cu datele computerului altcuiva este o infracțiune.

Un sniffer nu este întotdeauna rău intenționat. De fapt, acest tip de software este adesea folosit pentru a analiza traficul de rețea pentru a detecta și elimina anomaliile și pentru a asigura o funcționare bună. Cu toate acestea, sniffer-ul poate fi folosit cu intenții rău intenționate. Sniffer-ii analizează tot ceea ce trece prin ei, inclusiv parolele și acreditările necriptate, astfel încât hackerii care au acces la sniffer pot obține informațiile personale ale utilizatorilor. În plus, sniffer-ul poate fi instalat pe orice computer conectat la rețeaua locală, fără a fi necesară instalarea lui pe dispozitivul propriu-zis - cu alte cuvinte, nu poate fi detectat pe toată durata conexiunii.

De unde vin sniffer-urile?

Hackerii folosesc sniffer-uri pentru a fura date valoroase prin monitorizarea activității în rețea și culegând informații personale despre utilizatori. De obicei, atacatorii sunt cei mai interesați de parolele și acreditările utilizatorilor pentru a obține acces la conturile bancare online și la magazinele online. Cel mai adesea, hackerii instalează sniffer-uri în locurile în care sunt distribuite conexiuni Wi-Fi nesecurizate, de exemplu, în cafenele, hoteluri și aeroporturi. Sniffer-ii se pot masca ca un dispozitiv conectat la rețea într-un așa-numit atac de falsificare pentru a fura date valoroase.

Cum să recunoști un sniffer?

Snifferele neautorizate sunt extrem de greu de recunoscut virtual, deoarece pot fi instalate aproape oriunde, reprezentând o amenințare foarte serioasă la adresa securității rețelei. Utilizatorii obișnuiți nu au adesea nicio șansă de a recunoaște că un sniffer le urmărește traficul de rețea. Teoretic este posibil să-ți instalezi propriul sniffer care ar monitoriza tot traficul DNS pentru prezența altor sniffer, dar pentru utilizatorul obișnuit este mult mai ușor să instalezi un software anti-sniffing sau o soluție antivirus care să includă protecția activității în rețea pentru a opri orice intruziune neautorizată sau ascunde activitățile din rețea.

Cum să eliminați un sniffer

Puteți utiliza un antivirus extrem de eficient pentru a detecta și elimina toate tipurile de programe malware instalate pe computerul dvs. în scopuri de sniffing. Cu toate acestea, pentru a elimina complet sniffer-ul de pe computer, trebuie să ștergeți absolut toate folderele și fișierele legate de acesta. De asemenea, este recomandat să folosiți un antivirus cu un scaner de rețea, care va verifica în detaliu rețeaua locală pentru vulnerabilități și va instrui asupra acțiunilor ulterioare dacă acestea sunt găsite.

Cum să eviți să devii victima unui sniffer

• Criptați toate informațiile pe care le trimiteți și le primiți
• Scanați-vă rețeaua locală pentru vulnerabilități
• Utilizați numai rețele Wi-Fi verificate și securizate

Ce este Intercepter-NG

Să ne uităm la esența ARP folosind un exemplu simplu. Calculatorul A (adresa IP 10.0.0.1) și computerul B (adresa IP 10.22.22.2) sunt conectate printr-o rețea Ethernet. Calculatorul A dorește să trimită un pachet de date către computerul B; știe adresa IP a computerului B. Cu toate acestea, rețeaua Ethernet la care sunt conectați nu funcționează cu adrese IP. Prin urmare, pentru a transmite prin Ethernet, computerul A trebuie să cunoască adresa computerului B din rețeaua Ethernet (adresa MAC în termeni Ethernet). Protocolul ARP este utilizat pentru această sarcină. Folosind acest protocol, computerul A trimite o cerere de difuzare adresată tuturor computerelor din același domeniu de difuzare. Esența solicitării: „calculator cu adresa IP 10.22.22.2, furnizați adresa dvs. MAC computerului cu adresa MAC (de exemplu, a0:ea:d1:11:f1:01).” Rețeaua Ethernet furnizează această solicitare tuturor dispozitivelor de pe același segment Ethernet, inclusiv computerului B. Calculatorul B răspunde computerului A la cerere și raportează adresa sa MAC (de ex. 00:ea:d1:11:f1:11) Acum, având a primit adresa MAC a computerului B, computerul A îi poate transmite orice date prin intermediul rețelei Ethernet.

Pentru a evita necesitatea utilizării protocolului ARP înainte de fiecare trimitere de date, adresele MAC primite și adresele IP corespunzătoare sunt înregistrate în tabel pentru o perioadă de timp. Dacă trebuie să trimiteți date la același IP, atunci nu este nevoie să interogați dispozitivele de fiecare dată în căutarea MAC-ului dorit.

După cum tocmai am văzut, ARP include o cerere și un răspuns. Adresa MAC din răspuns este scrisă în tabelul MAC/IP. Când se primește un răspuns, acesta nu este verificat în niciun fel pentru autenticitate. Mai mult, nici nu verifică dacă cererea a fost făcută. Acestea. puteți trimite imediat un răspuns ARP către dispozitivele țintă (chiar și fără o solicitare), cu date falsificate, iar aceste date vor ajunge în tabelul MAC/IP și vor fi folosite pentru transferul de date. Aceasta este esența atacului de falsificare ARP, care se numește uneori gravare ARP, otrăvire cache ARP.

Descrierea atacului de falsificare ARP

Două computere (noduri) M și N pe o rețea locală Ethernet schimbă mesaje. Atacatorul X, situat pe aceeași rețea, dorește să intercepteze mesaje între aceste noduri. Înainte ca atacul de falsificare ARP să fie aplicat pe interfața de rețea a gazdei M, tabelul ARP conține adresa IP și MAC a gazdei N. De asemenea, pe interfața de rețea a gazdei N, tabelul ARP conține adresa IP și MAC a gazdei M. .

În timpul unui atac de falsificare ARP, nodul X (atacatorul) trimite două răspunsuri ARP (fără o solicitare) - la nodul M și la nodul N. Răspunsul ARP la nodul M conține adresa IP a lui N și adresa MAC a lui X. Răspunsul ARP la nodul N conține adresa IP M și adresa MAC X.

Deoarece computerele M și N acceptă ARP spontan, după ce primesc un răspuns ARP, își schimbă tabelele ARP, iar acum tabelul ARP M conține adresa MAC X legată de adresa IP N, iar tabelul ARP N conține adresa MAC X, legat de adresa IP M.

Astfel, atacul ARP-spoofing este finalizat, iar acum toate pachetele (cadrele) dintre M și N trec prin X. De exemplu, dacă M dorește să trimită un pachet către computerul N, atunci M caută în tabelul său ARP, găsește o intrare cu adresa IP N a gazdei, selectează de acolo adresa MAC (și există deja adresa MAC a nodului X) și transmite pachetul. Pachetul ajunge la interfața X, este analizat de acesta și apoi transmis către nodul N.