Kompüter şəbəkələrində ARP spoofing, ARP cache poisoning və ya ARP poison routing hücumu korlanmış (spoofed) ARP mesajlarını daxili şəbəkəyə göndərərək şəbəkəyə müdaxilə texnikasıdır. Bu hücumda əsas məqsəd hücumçunun MAC adresini başqa bir istifadəçinin İP -adresi ilə əlaqələndirməkdir (Məsələn: default-gateway). Default Gateway-ə olunan bu cür hücum bütün trafikin hücumçunun (attacker) cihazından keçməsinə şərait yaradır.
ARP spoofing hücumçuya şəbəkədəki bütün data hissəciklərini əldə etməyə, trafikdə dəyişiklik etməyə və ya trafiki dayandırmağa imkan verir. Bu hücum digər hücumlar üşün daha çəx başlanğıc xarakter daşıyır. Məsələn, denial of service, və ya .
Bu hücum ancaq ARP protokolundan istifadə edilən şəbəkələrdə işlədilir.
ARP təhlükəsizlik boşluqları
ARP protokolu internet təbəqəsi adreslərinin link təbəqə adreslərinə çevrilməsində işlədilən geniş yayılmış bir protokoldur.
Şəbəkədə Internet Protocol (IP) dataqram bir istifadəçidən başqa istifadəçiyə göndəriləndə hədəf İP adresə uyğun MAC adres tapılır ki, data link səviyyədə məlumat ötürülməsi olsun. Əgər şəbəkədə istifadəçinin İP adresi bilinir, MAC adresi bilinmirsə, radioyayım paketi (broadcast packet) göndərilir. Bu paket ARP sorğu adlanır. Bu sorğuya cavab olaraq, ARP reply (cavab) göndərilir və paketin daxilində İP-yə uyğun MAC adres də mövcud olur.
ARP cavablar şəbəkədəki hər kəs tərəfindən avtomatik olaraq alına bildiyi üçün sahibsiz protokol adlanır (stateless protocol). ARP cavablar aktiv olma müddəti bitmədən yeni cavablar tərəfindən üstələnə bilir. ARP protokolunun doğrulanması üçün hər hansı bir metodun olmaması ARP spoofing hücumları üçün təhlükəsizlik baxımından boşluqların yaranması ilə nəticələnir.
ARP spoofing hücumu analizi
ARP spoofing hücumunun əsas prinsipi qeyd olunan boşluqlara əsasən şəbəkəyə korlanmış (spoofed) ARP mesajların göndərilməsidir. ARP spoofing hücumları ya şəbəkədəki istifadəçilərin kompüterlerindən ya da hücumçunun öz cihazlarından edilə bilər.
Ümumi olaraq hücumun məqsədi hücumçunun MAC adresini hücum edilən istifadəçinin İP adresi ilə əlaqələndirməkdir, bununla da hücum edilən istifadəçiyə göndərilən trafik hücumçu tərəfindən ələ keçirilir. Hücumçu paketləri gözdən keçirir , trafikin üzərində dəyişiklik edərək əsl default gateway-ə (çıxış qapısı) göndərə bilər (man-in-the-middle-attack) və ya DOS hücum edərək bütün trafikin və ya trafikin bir hissəsinin silinməsinə səbəb ola bilər.
Müdafiə üsulları
Statik ARP girişləri
İP-yə uyğun MACların təyin edilməsi statik olaraq daxil edildikdə, istifadəçi cihazları başqa ARP cavab paketlərini ləğv edir. Əgər əməliyyat sisteminin statik girişləri düzgün çalışarsa ,bu cür təhlükəsizlik metodları ARP hücumlarının qarşısını ala bilər., amma bu üsul şəbəkəni məşğul edərək, şəbəkə keyfiyyətini azaldacaq.
ARP spoofing tapma proqramları
ARP spoofing hücumları ümumi olaraq müıyyın sertifikatları və ya ikili-ARP cavabları yoxlama ilə aşkar edilir. Sertifikikatsız ARP cavabları bu vasitə ilə bloklanır. Bu üsul DHCP serverlərlə də birləşdirilə bilər ki, bununla da həm dinamik həm də statik İP adreslər sertifikatlana bilər. Bu üsul həmçinin istifadəçilərin cihazlarında, və ya Ethernet switchlərdə və başqa şəbəkə cihazlarında tətbiq oluna bilər. Bir MAC adres-ə birçox İP adresin verilməsi də ARP spoofing hücumu kimi dəyərləndirilə bilər, baxmayaraq ki bu cür tənzimləmənin qanuni istifadəsi mövcuddur. Ən passiv yanaşma olaraq, şəbəkə cihazı vasitəsilə ARP cavabların dinlənməsi, ARP girişlər dəyişərsə email vasitəsiylə bildiriş göndərilməsidir.[citation needed]
Əməliyyat sistemi təhlükəsizliyi
Əməliyyat Sistemləri bu cür hücumlara müxtəlif reaksiyalar verə bilir, Məs; Linux bütün istənməyən cavabları rədd edir, amma istifadəçilər sorğuları görə bilirlər. Solaris girişlərdəki yeniləmələri girişlərin vaxtı bitdikdən sonra qəbul edirlər. Microsoft Windows-da, ARP sorğular yaddaşı tənzimləmələri aşağıdakı ünvandan edilir, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount.
AntiARP Windows-bazalı sistemlərdə kernel səviyyədə təhlükəsizliyi təmin edir. ArpStar kernel 2.6 Linux modul üçün və Linksys routerlər üçün etibarsız paketlərin silinməsində və paketlərin düzəldilməsində istifadə edilir.
Sertifikatın ən sadə forması statik girişlərdən istifadə olunmasıdır.. Bu halda sade spoofing hücumlar baş verə bilər və bu böyük şəbəkədə hiss edilmir. Hər bir şəbəkə cihazında şəbəkədəki n sayda cihaz qədər ARP girişlər mövcud olur.
İcazəli istifadə
ARP spoofing hücumunda istifadə olunan texnikalar həmçinin şəbəkə servislərinin əvəz olunmasında istifadə oluna bilər. Məsələn, bəzi proqramlar lazımsız ARP sorğuların backup serverlərə əlavə edilməsinin qarşısını ala bilir.
ARP spoofing developerlar tərəfindən 2 istifadəçinin İP trafikinin tınzimlənməsində istifadə olunur, əgər A və B istifadəçiləri ethernet süitch üzərindən əlaqə saxlayırlarsa, onların trafiki 3-cü şəxs istifadəçi B tərəfindən görülə bilməz. Developer A-nı M istifadəçinin MAC adresini alacaq şəkildə və M istifadəçisini paketləri göndərəcəyi şəkildə tənzimləyir. Bu halda M aradakı-şəxs hücumunda olduğu kimi trafiki izləyə bilər.
Tools
Name | OS | GUI | Free | Protection | Per interface | Active/passive |
Agnitum Outpost Firewall | Windows | passive | ||||
AntiARP | Windows | active+passive | ||||
Antidote | Linux | passive | ||||
Arp_Antidote | Linux | passive | ||||
Arpalert | Linux | passive | ||||
ArpON | Linux | active+passive | ||||
ArpGuard | Mac | active+passive | ||||
ArpStar | Linux | passive | ||||
Arpwatch | Linux | passive | ||||
ArpwatchNG | Linux | passive | ||||
Colasoft Capsa | Windows | no detection, only analysis with manual inspection | ||||
cSploit | Android (rooted only) | passive | ||||
Prelude IDS | ||||||
remarp | Linux | passive | ||||
Snort | Windows/Linux | passive | ||||
Winarpwatch | Windows | passive | ||||
XArp | Windows, Linux | active + passive | ||||
Seconfig XP | Windows 2000/XP/2003 only | only activates protection built-in some versions of Windows | ||||
zANTI | Android (rooted only) | passive |
Notlar
- ARP was defined by RFC 826 in 1982.
Həmçinin bax
- DNS spoofing
- IP address spoofing
- MAC spoofing
- Proxy ARP
İstinadlar
- Ramachandran, Vivek & Nandi, Sukumar. Detecting ARP Spoofing: An Active Technique // Jajodia, Suchil & Mazumdar, Chandan (redaktorlar ). Information systems security: first international conference, ICISS 2005, Kolkata, India, December 19-21, 2005 : proceedings. Birkhauser. 2005. səh. 239. ISBN . 2021-04-17 tarixində . İstifadə tarixi: 2016-04-28.
- Lockhart, Andrew. Network security hacks. O'Reilly. 2007. səh. 184. ISBN . 2016-12-23 tarixində . İstifadə tarixi: 2016-04-28.
- Lockhart, Andrew. Network security hacks. O'Reilly. 2007. səh. 186. ISBN . 2014-08-20 tarixində . İstifadə tarixi: 2016-04-28.
- "Address Resolution Protocol". 2017-08-26 tarixində . İstifadə tarixi: 2016-04-28.
- . 2011-06-06 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- "OpenBSD manpage for CARP (4)". 2011-04-22 tarixində . İstifadə tarixi: 2016-04-28., retrieved 2013-01-04
- Simon Horman. . 2012-11-18 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-04-28.
- "cSploit". tux_mind. 2019-03-12 tarixində . İstifadə tarixi: 2015-10-17.
- "XArp". 2020-06-16 tarixində . İstifadə tarixi: 2016-04-28.
Xarici Linklər
- Steve Gibson. "ARP Cache Poisoning". . 2005-12-11.
wikipedia, oxu, kitab, kitabxana, axtar, tap, meqaleler, kitablar, oyrenmek, wiki, bilgi, tarix, tarixi, endir, indir, yukle, izlə, izle, mobil, telefon ucun, azeri, azəri, azerbaycanca, azərbaycanca, sayt, yüklə, pulsuz, pulsuz yüklə, haqqında, haqqinda, məlumat, melumat, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, şəkil, muisiqi, mahnı, kino, film, kitab, oyun, oyunlar, android, ios, apple, samsung, iphone, pc, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, web, computer, komputer
Komputer sebekelerinde ARP spoofing ARP cache poisoning ve ya ARP poison routing hucumu korlanmis spoofed ARP mesajlarini daxili sebekeye gondererek sebekeye mudaxile texnikasidir Bu hucumda esas meqsed hucumcunun MAC adresini basqa bir istifadecinin IP adresi ile elaqelendirmekdir Meselen default gateway Default Gateway e olunan bu cur hucum butun trafikin hucumcunun attacker cihazindan kecmesine serait yaradir ARP spoofing hucumu sebekede yonlendirmeleri routing deyismeye ve aradaki sexs man in the middle hucumlarini teskil etmeye icaze verir ARP spoofing hucumcuya sebekedeki butun data hisseciklerini elde etmeye trafikde deyisiklik etmeye ve ya trafiki dayandirmaga imkan verir Bu hucum diger hucumlar usun daha cex baslangic xarakter dasiyir Meselen denial of service ve ya Bu hucum ancaq ARP protokolundan istifade edilen sebekelerde isledilir ARP tehlukesizlik bosluqlariARP protokolu internet tebeqesi adreslerinin link tebeqe adreslerine cevrilmesinde isledilen genis yayilmis bir protokoldur Sebekede Internet Protocol IP dataqram bir istifadeciden basqa istifadeciye gonderilende hedef IP adrese uygun MAC adres tapilir ki data link seviyyede melumat oturulmesi olsun Eger sebekede istifadecinin IP adresi bilinir MAC adresi bilinmirse radioyayim paketi broadcast packet gonderilir Bu paket ARP sorgu adlanir Bu sorguya cavab olaraq ARP reply cavab gonderilir ve paketin daxilinde IP ye uygun MAC adres de movcud olur ARP cavablar sebekedeki her kes terefinden avtomatik olaraq alina bildiyi ucun sahibsiz protokol adlanir stateless protocol ARP cavablar aktiv olma muddeti bitmeden yeni cavablar terefinden ustelene bilir ARP protokolunun dogrulanmasi ucun her hansi bir metodun olmamasi ARP spoofing hucumlari ucun tehlukesizlik baximindan bosluqlarin yaranmasi ile neticelenir ARP spoofing hucumu analizi ARP spoofing hucumunun esas prinsipi qeyd olunan bosluqlara esasen sebekeye korlanmis spoofed ARP mesajlarin gonderilmesidir ARP spoofing hucumlari ya sebekedeki istifadecilerin komputerlerinden ya da hucumcunun oz cihazlarindan edile biler Umumi olaraq hucumun meqsedi hucumcunun MAC adresini hucum edilen istifadecinin IP adresi ile elaqelendirmekdir bununla da hucum edilen istifadeciye gonderilen trafik hucumcu terefinden ele kecirilir Hucumcu paketleri gozden kecirir trafikin uzerinde deyisiklik ederek esl default gateway e cixis qapisi gondere biler man in the middle attack ve ya DOS hucum ederek butun trafikin ve ya trafikin bir hissesinin silinmesine sebeb ola biler Mudafie usullariStatik ARP girisleri IP ye uygun MAClarin teyin edilmesi statik olaraq daxil edildikde istifadeci cihazlari basqa ARP cavab paketlerini legv edir Eger emeliyyat sisteminin statik girisleri duzgun calisarsa bu cur tehlukesizlik metodlari ARP hucumlarinin qarsisini ala biler amma bu usul sebekeni mesgul ederek sebeke keyfiyyetini azaldacaq ARP spoofing tapma proqramlari ARP spoofing hucumlari umumi olaraq muiyyin sertifikatlari ve ya ikili ARP cavablari yoxlama ile askar edilir Sertifikikatsiz ARP cavablari bu vasite ile bloklanir Bu usul DHCP serverlerle de birlesdirile biler ki bununla da hem dinamik hem de statik IP adresler sertifikatlana biler Bu usul hemcinin istifadecilerin cihazlarinda ve ya Ethernet switchlerde ve basqa sebeke cihazlarinda tetbiq oluna biler Bir MAC adres e bircox IP adresin verilmesi de ARP spoofing hucumu kimi deyerlendirile biler baxmayaraq ki bu cur tenzimlemenin qanuni istifadesi movcuddur En passiv yanasma olaraq sebeke cihazi vasitesile ARP cavablarin dinlenmesi ARP girisler deyiserse email vasitesiyle bildiris gonderilmesidir citation needed Emeliyyat sistemi tehlukesizliyi Emeliyyat Sistemleri bu cur hucumlara muxtelif reaksiyalar vere bilir Mes Linux butun istenmeyen cavablari redd edir amma istifadeciler sorgulari gore bilirler Solaris girislerdeki yenilemeleri girislerin vaxti bitdikden sonra qebul edirler Microsoft Windows da ARP sorgular yaddasi tenzimlemeleri asagidaki unvandan edilir HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters ArpCacheLife ArpCacheMinReferenceLife ArpUseEtherSNAP ArpTRSingleRoute ArpAlwaysSourceRoute ArpRetryCount AntiARP Windows bazali sistemlerde kernel seviyyede tehlukesizliyi temin edir ArpStar kernel 2 6 Linux modul ucun ve Linksys routerler ucun etibarsiz paketlerin silinmesinde ve paketlerin duzeldilmesinde istifade edilir Sertifikatin en sade formasi statik girislerden istifade olunmasidir Bu halda sade spoofing hucumlar bas vere biler ve bu boyuk sebekede hiss edilmir Her bir sebeke cihazinda sebekedeki n sayda cihaz qeder ARP girisler movcud olur Icazeli istifadeARP spoofing hucumunda istifade olunan texnikalar hemcinin sebeke servislerinin evez olunmasinda istifade oluna biler Meselen bezi proqramlar lazimsiz ARP sorgularin backup serverlere elave edilmesinin qarsisini ala bilir ARP spoofing developerlar terefinden 2 istifadecinin IP trafikinin tinzimlenmesinde istifade olunur eger A ve B istifadecileri ethernet suitch uzerinden elaqe saxlayirlarsa onlarin trafiki 3 cu sexs istifadeci B terefinden gorule bilmez Developer A ni M istifadecinin MAC adresini alacaq sekilde ve M istifadecisini paketleri gondereceyi sekilde tenzimleyir Bu halda M aradaki sexs hucumunda oldugu kimi trafiki izleye biler Tools Name OS GUI Free Protection Per interface Active passiveAgnitum Outpost Firewall Windows passiveAntiARP Windows active passiveAntidote Linux passiveArp Antidote Linux passiveArpalert Linux passiveArpON Linux active passiveArpGuard Mac active passiveArpStar Linux passiveArpwatch Linux passiveArpwatchNG Linux passiveColasoft Capsa Windows no detection only analysis with manual inspectioncSploit Android rooted only passivePrelude IDSremarp Linux passiveSnort Windows Linux passiveWinarpwatch Windows passiveXArp Windows Linux active passiveSeconfig XP Windows 2000 XP 2003 only only activates protection built in some versions of WindowszANTI Android rooted only passiveNotlarARP was defined by RFC 826 in 1982 Hemcinin baxDNS spoofing IP address spoofing MAC spoofing Proxy ARPIstinadlarRamachandran Vivek amp Nandi Sukumar Detecting ARP Spoofing An Active Technique Jajodia Suchil amp Mazumdar Chandan redaktorlar Information systems security first international conference ICISS 2005 Kolkata India December 19 21 2005 proceedings Birkhauser 2005 seh 239 ISBN 978 3 540 30706 8 2021 04 17 tarixinde Istifade tarixi 2016 04 28 Lockhart Andrew Network security hacks O Reilly 2007 seh 184 ISBN 978 0 596 52763 1 2016 12 23 tarixinde Istifade tarixi 2016 04 28 Lockhart Andrew Network security hacks O Reilly 2007 seh 186 ISBN 978 0 596 52763 1 2014 08 20 tarixinde Istifade tarixi 2016 04 28 Address Resolution Protocol 2017 08 26 tarixinde Istifade tarixi 2016 04 28 2011 06 06 tarixinde orijinalindan arxivlesdirilib Istifade tarixi 2016 04 28 OpenBSD manpage for CARP 4 2011 04 22 tarixinde Istifade tarixi 2016 04 28 retrieved 2013 01 04 Simon Horman 2012 11 18 tarixinde orijinalindan arxivlesdirilib Istifade tarixi 2016 04 28 cSploit tux mind 2019 03 12 tarixinde Istifade tarixi 2015 10 17 XArp 2020 06 16 tarixinde Istifade tarixi 2016 04 28 Xarici LinklerSteve Gibson ARP Cache Poisoning 2005 12 11