Hacknite Wiki

ARP protokol definiran je 80-ih godina kada su računalne mreže bile znatno jednostavnije nego danas. Tadašnji su protokoli definirani samo sa svrhom što uspješnije komunikacije preko mreže. Sigurnost se nije previše uzimala u obzir. Zato ARP ima neke sigurnosne propuste.

Prvo je činjenica da ARP protokol ne provjerava autentičnost uređaja koji šalje odgovor na ARP upite. Dodatno, uređaji mogu samoinicijativno slati ARP odgovore bez da je ikada prvo poslan ARP upit. Upravo su te ranjivosti iskorištene kod tzv. „ARP Spoofing“ napada.

Iz članka o samom ARP protokolu znamo da svako računalo ima svoju ARP tablicu koju periodično puni unosima o tome koja IP adresa pripada kojoj MAC adresi. Unos se zadržava u tablici ovisno o operacijskom sustavu 15 do 60 sekundi. Nakon toga uređaj ponovno mora slati ARP upit da nauči MAC adresu željene IP adrese i ponovno zapisati taj unos u ARP tablicu. Ti se podaci mogu krivotvoriti (engl. spoof). Napadač koji se već nalazi unutar iste mreže kao žrtva mora jedino natjerati žrtvin uređaj da izmjeni svoju MAC tablicu s krivotvorenim informacijama. To će postići s pomoću netraženih ARP odgovora (engl. Gratuitous ARPs). To su ARP odgovori koji su nisu bili zatraženi ARP upitom. Uzmimo sljedeću sliku za primjer. ARP tablice žrtvinog laptopa i routera R1 trenutno su popunjene aktualnim i točnim informacijama. IP adrese doista odgovaraju stvarnim MAC adresama tih uređaja.

Napadač na mreži sada će slati netražene ARP odgovore u kojima će navoditi da je njegova MAC adresa povezana s nekom drugom IP adresom. Želi uvjeriti usmjerivač (engl. router) R1 da je on laptop žrtve te će poslati netraženi ARP odgovor s informacijom da se žrtvina IP adresa (10.1.1.100) nalazi na sučelju s MAC adresom koja je u stvari njegova (BBBB.BBBB.BBBB). Usmjerivač će na temelju primitka tog ARP odgovora toga osvježiti svoju ARP tablicu s lažnom informacijom i adresirati sve pakete na mrežnu karticu BBBB.BBBB.BBBB.

Za obostranu komunikaciju će isto učiniti i sa žrtvinim laptopom. Poslat će netraženi ARP odgovor da je IP adresa usmjerivača R1 (10.1.1.1) povezana s njegovom MAC adresom (BBBB.BBBB.BBBB). Operacijski će sustav tu poruku uzeti u obzir i umjesto prave MAC adrese usmjerivača AAAA.AAAA.AAAA će u ARP tablicu za tu IP adresu napisati BBBB.BBBB.BBBB. ARP tablice su na laptopu i usmjerivaču osvježene s krivotvorenim unosima. Napadač je time presreo komunikaciju između laptopa i usmjerivača. Sva komunikacija namijenjena između njih sada prolazi kroz napadačev uređaj.

Kako se odvija ARP spoofing napad?

1. napadač ima pristup mreži na kojoj se nalaze uređaji čiju komunikaciju želi presresti
2. koristeći neki od spoofing alata poveže MAC adresu svog sučelja s IP adresom ciljanih uređaja
3. pusti u mrežu ARP odgovor koji u sebi sadrži informaciju kako je IP adresa s kojom žrtvino računalo želi komunicirati povezana s njegovom MAC adresom
4. žrtvino računalo osvježi svoju MAC tablicu krivotvorenim podacima
5. napadač je sada u poziciji da sav promet sa žrtvinog računala koji treba ići na ciljanu IP adresu preusmjeri na svoje računalo.

Ovakvi se napadi nazivaju i “Man In The Middle” napadima jer se napadač “ubacio” između dva računala koji komuniciraju.

Nakon uspješno izvedenih Man In The Middle napada, napadač ima mogućnost iskorištavati primljeni promet. Može snimati sav promet za kasniju detaljnu analizu gdje će izvući povjerljive informacije, može saznati korisničke podatke, može i u realnom vremenu mijenjati promet tako da žrtva dobiva izmijenjene podatke bez da je toga svjesna.