====ARP Spoofing====

ARP protokol definiran je 80-ih godina kada su računalne mreže bile znatno jednostavnije nego danas. Tadašnji su protokoli definirani samo sa svrhom što uspješnije komunikacije preko mreže. Sigurnost se nije previše uzimala u obzir. Zato ARP ima neke sigurnosne propuste. 

Prvo je činjenica da ARP protokol ne provjerava autentičnost uređaja koji šalje odgovor na ARP upite. Dodatno, uređaji mogu samoinicijativno slati ARP odgovore bez da je ikada prvo poslan ARP upit. Upravo su te ranjivosti iskorištene kod tzv. „ARP Spoofing“ napada.

Iz članka o samom [[arp|ARP]] protokolu znamo da svako računalo ima svoju ARP tablicu koju periodično puni unosima o tome koja IP adresa pripada kojoj MAC adresi. Unos se zadržava u tablici ovisno o operacijskom sustavu 15 do 60 sekundi. Nakon toga uređaj ponovno mora slati ARP upit da nauči MAC adresu željene IP adrese i ponovno zapisati taj unos u ARP tablicu.
Ti se podaci mogu krivotvoriti (engl. //spoof//). Napadač koji se već nalazi unutar iste mreže kao žrtva mora jedino natjerati žrtvin uređaj da izmjeni svoju MAC tablicu s krivotvorenim informacijama. To će postići s pomoću netraženih ARP odgovora (engl. //Gratuitous ARPs//). To su ARP odgovori koji su nisu bili zatraženi ARP upitom. 

Uzmimo sljedeću sliku za primjer. ARP tablice računala A i računala C početnu su točnim informacijama. IP adrese odgovaraju stvarnim MAC adresama tih uređaja.
Napadač želi uvjeriti usmjerivač (engl. //router//) da je on računalo C jer je to adresa primatelja paketa s računala A. Poslat će netraženi ARP odgovor s informacijom da se ta IP adresa (10.1.1.1) nalazi na sučelju s MAC adresom koja je u stvari njegova (B.B.B.B). Prava MAC adresa je C.C.C.C. Usmjerivač će na temelju primitka tog ARP odgovora toga osvježiti svoju ARP tablicu s lažnom informacijom. Računalo A će od usmjerivača dobiti pogrešnu informaciju i osvježiti svoju ARP tablicu krivim podatkom.

{{ :arp-spoof.png?600 |}}

Za obostranu komunikaciju isto je učinio i sa žrtvinim laptopom. Poslao je netraženi ARP odgovor da je IP adresa računala A (10.1.1.2) povezana s njegovom MAC adresom (B.B.B.B). S vremenom su obje ARP tablice bile osvježene s krivotvorenim unosima. Napadač sad može svu komunikaciju između računala A i C preusmjeriti na svoje računalo i mijenjati sadržaje poslanih paketa.


Koraci odvijanja ARP spoofing napada:
  - napadač ima pristup mreži na kojoj se nalaze uređaji čiju komunikaciju želi presresti
  - koristeći neki od spoofing alata poveže MAC adresu svog sučelja s IP adresom ciljanih uređaja
  - pusti u mrežu ARP odgovor koji u sebi sadrži informaciju kako je IP adresa s kojom žrtvino računalo želi komunicirati povezana s njegovom MAC adresom
  - žrtvino računalo  osvježi svoju MAC tablicu krivotvorenim podacima
  - napadač je sada u poziciji da sav promet sa žrtvinog računala koji treba ići na ciljanu IP adresu preusmjeri na svoje računalo.

Ovakvi se napadi nazivaju i “Man In The Middle” napadima jer se napadač “ubacio” između dva računala koji komuniciraju.

Nakon uspješno izvedenih Man In The Middle napada, napadač ima mogućnost iskorištavati primljeni promet. Može snimati sav promet za kasniju detaljnu analizu gdje će izvući povjerljive informacije, može saznati korisničke podatke, može i u realnom vremenu mijenjati promet tako da žrtva dobiva izmijenjene podatke bez da je toga svjesna.

==Izvori==
[1] https://www.semanticscholar.org/paper/Detection-and-Prevention-of-ARP-spoofing-using-Srinath-S.Panimalar/c832794cf8535677c1fbb3279406175e0ef3dd21
[2] https://www.imperva.com/learn/application-security/arp-spoofing/\\