ARP-spoof
En traditionell ARP-spoof utnyttjar interaktionen mellan Ethernet ochIP-protokollen samt funkar således bara villig Ethernet-nätdär man använder IP. Skada i teorin funkar det i alla situationer där ARPanvänds.Kort sagt är ARP-spoofing ett fason enattackerare kan spela att produkt en annan dator samt "låna" den andrapersonens IP-adress. Man skulle kunna uttrycka det som att ställasin egen brevlåda framför grannens i skutt försåvitt att grannens post skahamna i ens egen brevlåda.
En dator villig ett IP/Ethernet-LAN har par adresser, enMAC-adress (Ethernet-adress) samt en IP-adress.
MAC-adressen är, åtminstone i teorin, speciell för allaEthernet-nätverkskort. MAC-adressen används avEthernet-protokollet när det ska sända information, såkallade ramar, eller frames, mellan sig. En sådan ram är 1500 bytelång. Varje sådan ram innehåller en MAC-adress för både sändare ochmottagare.
IP-adressen är ett virtuellt nummer som du i princip kan bestämmasjälv, så länge det ej krockar med någon annan. Oftast är detdock så att det är en nätverkstekniker, systemadministratöreller ISP som bestämmer det åt dig.
För att ett IP-paket ska kunna komma fortsättningsvis ut villig webben så måstedet, i vårt fall, resa ovan ett Ethernet. Vår dator som skickarpaketet vet mycket väl va den heter, skada försåvitt den ej har skickatinformation mot måldatorn (om den vill lämna LANet så är detofta en gateway/switch) så kan den ju ej skickapaketet. Det är här ARP-paketen dyker opp. ARP är en akronymför Address Resolution Protocol. ARP funkar ungefär somNetBEUI (fast det är mycket enklare) samt skickar ut en spörja somär "är din IP-adress v.x.y.z? Försåvitt du har den adressen kan väl duvara hygglo samt återsända din MAC-adress mot mig?". Dennafråga sprider sig ut ovan hela nätverket, även switchade, lite då ochdå tills någon svarar med ett annat ARP-paket som innehåller enMAC-adress för målet.
Denna ARP-trafik skulle produkt väldigt "tjattrig" villig nätverket omdet alltid skreks ut. För att minimera "snacket" villig nätverket såanvänder dom flesta operativsystem en cache som samlar påARP-svar, även försåvitt det ej var dom själva som skickat enförfrågan. Villig så insiktsfull så behöver ARP-trafiken ej bli så högeftersom försåvitt dator A frågar efter dator Bs MAC-adressså vet hela LANet försåvitt vilken MAC-adress dator B har såfort den svarar. Det är denna metodik som utnyttjas vidARP-spoofing.
ARP-spoofing använder sig av falska ARP-svar. Genom attskicka ut falska ARP-svar så kan andra datorer få för sig att duär en annan dator. Villig detta fason så märker, försåvitt det görs rätt, vare sigsändare eller mottagare att det är fel dator som fått paketet. Dennaprocess kallas för ARP-förgiftning, eller ARP poisoning.
Så långt så är det hela ganska fiffigt uttänkt, eller hur? Skada det härär bara början.
Ethernet-switchar använder sig av MAC-adresser för attbestämma vilken port (ofta en Ethernet-kabel som paketet skaskickas ut på. Switchen använder en tabell för att besluta vilken portsom tillhör vilken MAC-adress. Denna tabell börjar switchengenerera så fort den spöa villig samt den använder sig avadressat-MAC-adressen i den första ram den får villig varjeport. Oftast så skyddar detta förfaringssätt nätverket från att desstrafik sniffas av kort som är inställda att även läsaEthernet-paket som egentligen ej är tänkta för dom. Skada genomatt använda sig av ARP-spoofing så kan man verkligen luraswitchen i vissa baisse (vissa switchar är låsta mot en vissMAC-adress).
Se även
- ARP - Address Resolution Protocol
- ARP poisoning
- ARP flood
- ARP DoS
- DoS
- Ethernet
- Ethernet-kabel
- Ethernet-ram
- MAC
- MiM - Man In the Middle attack
- Spoof
- Datasäkerhet
Artikeln skriven 2009-01-17 av Learning4sharing
Inga kategorier för denna artikel än...Intresserad av fler artiklar?
The Tall Ships RacesSail Training Association of Sweden
Setter
Martin Elisson
Aritmetik
Hojt
Onanör
MåBra
Tom Giglione