Heading

Just another blog

Lernen Sie ARP Poisoning mit Beispielen

In diesem Tutorial werden wir lernen –

  • Was ist IP & Mac-Adresse
  • Was ist Address Resolution Protocol (ARP) Poisoning?
  • Hacking-Aktivität: Statisches ARP in Windows konfigurieren

Was sind IP- und MAC-Adressen

IP-Adresse ist die Abkürzung für Internet-Protokoll-Adresse. Eine Internetprotokolladresse wird verwendet, um einen Computer oder ein Gerät wie Drucker, Speicherplatten in einem Computernetzwerk eindeutig zu identifizieren. Derzeit gibt es zwei Versionen von IP-Adressen. IPv4 verwendet 32-Bit-Zahlen. Aufgrund des massiven Wachstums des Internets wurde IPv6 entwickelt, das 128-Bit-Zahlen verwendet.

IPv4-Adressen sind in vier Zahlengruppen formatiert, die durch Punkte getrennt sind. Die minimale Zahl ist 0 und die maximale Zahl ist 255. Ein Beispiel für eine IPv4-Adresse sieht so aus;

IPv6-Adressen werden in Gruppen von sechs Zahlen formatiert, die durch volle Doppelpunkte getrennt sind. Die Gruppennummern werden als 4 hexadezimale Ziffern geschrieben. Ein Beispiel für eine IPv6-Adresse sieht so aus;

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Um die Darstellung der IP-Adressen im Textformat zu vereinfachen, werden führende Nullen weggelassen und die Gruppe der Nullen wird komplett weggelassen. Die obige Adresse in einem vereinfachten Format wird wie folgt dargestellt:

2001:db8:85a3:::8a2e:370:7334

MAC-Adresse ist die Abkürzung für Media Access Control-Adresse. MAC-Adressen werden zur eindeutigen Identifizierung von Netzwerkschnittstellen für die Kommunikation auf der physikalischen Schicht des Netzwerks verwendet. MAC-Adressen sind in der Regel in die Netzwerkkarte eingebettet.

Eine MAC-Adresse ist wie eine Seriennummer eines Telefons, während die IP-Adresse wie die Telefonnummer ist.

Übung

Wir gehen davon aus, dass Sie für diese Übung Windows verwenden. Öffnen Sie die Eingabeaufforderung.

Geben Sie den Befehl ein 

ipconfig /all

Sie erhalten detaillierte Informationen über alle Netzwerkverbindungen, die auf Ihrem Computer verfügbar sind. Die unten gezeigten Ergebnisse sind für ein Breitbandmodem, um die MAC-Adresse und das IPv4-Format anzuzeigen, und für ein drahtloses Netzwerk, um das IPv6-Format anzuzeigen.

Ultimate guide to Network Sniffers

Was ist ARP Poisoning?

ARP ist die Abkürzung für Address Resolution Protocol. Es wird verwendet, um IP-Adressen in physikalische Adressen auf einem Switch umzuwandeln. Der Host sendet einen ARP-Broadcast in das Netzwerk, und der Empfängerrechner antwortet mit seiner physikalischen Adresse . Die aufgelöste IP/MAC-Adresse wird dann zur Kommunikation verwendet. ARP-Poisoning ist das Senden von gefälschten MAC-Adressen an den Switch, damit dieser die gefälschten MAC-Adressen mit der IP-Adresse eines echten Computers in einem Netzwerk verknüpfen und den Datenverkehr kapern kann.

Gegenmaßnahmen für ARP Poisoning

Statische ARP-Einträge: Diese können im lokalen ARP-Cache definiert und der Switch so konfiguriert werden, dass er alle automatischen ARP-Antwortpakete ignoriert. Der Nachteil dieser Methode ist, dass sie in großen Netzwerken schwer zu pflegen ist. Die IP/MAC-Adresszuordnung muss auf alle Rechner im Netzwerk verteilt werden.

Software zur Erkennung von ARP-Poisoning: Mit diesen Systemen kann die IP/MAC-Adressauflösung gegengeprüft und zertifiziert werden, wenn sie authentifiziert ist. Unzertifizierte IP-/MAC-Adressauflösungen können dann blockiert werden.

Betriebssystemsicherheit: Diese Maßnahme ist abhängig von dem verwendeten Betriebssystem. Im Folgenden sind die grundlegenden Techniken aufgeführt, die von verschiedenen Betriebssystemen verwendet werden.

  • Linux-basiert: diese funktionieren, indem unaufgeforderte ARP-Antwortpakete ignoriert werden.
  • Microsoft Windows: das ARP-Cache-Verhalten kann über die Registry konfiguriert werden. Die folgende Liste enthält einige der Software, die zum Schutz von Netzwerken vor Sniffing eingesetzt werden kann;
  • AntiARP- bietet Schutz gegen passives und aktives Sniffing
  • Agnitum Outpost Firewall- bietet Schutz gegen passives Sniffing
  • XArp- bietet Schutz gegen passives und aktives Sniffing
  • Mac OS: ArpGuard kann zum Schutz eingesetzt werden. Es schützt sowohl vor aktivem als auch passivem Sniffing.

Hacking-Aktivitäten: ARP-Einträge in Windows konfigurieren

Wir verwenden für diese Übung Windows 7, aber die Befehle sollten auch auf anderen Windows-Versionen funktionieren.

Öffnen Sie die Eingabeaufforderung und geben Sie den folgenden Befehl ein

arp –a

HIER,

  • aprcalls the ARP configure program located in Windows/System32 directory
  • -a ist der Parameter, um den Inhalt des ARP-Caches anzuzeigen

Sie erhalten Ergebnisse ähnlich dem folgenden

Ultimate guide to Network Sniffers

Hinweis: Dynamische Einträge werden bei TCP/IP-Sitzungen mit entfernten Computern automatisch hinzugefügt und gelöscht.

Statische Einträge werden manuell hinzugefügt und gelöscht, wenn der Computer neu gestartet wird, die Netzwerkkarte neu gestartet wird oder andere Aktivitäten, die sich darauf auswirken.

Hinzufügen von statischen Einträgen

Öffnen Sie die Eingabeaufforderung und verwenden Sie den Befehl ipconfig /all, um die IP- und MAC-Adresse zu ermitteln

Ultimate guide to Network Sniffers

Die MAC-Adresse wird durch die Physikalische Adresse und die IP-Adresse durch die IPv4Adresse dargestellt

Geben Sie folgenden Befehl ein

arp –s 192.168.1.38 60-36-DD-A6-C5-43

Ultimate guide to Network Sniffers

Hinweis: Die IP- und MAC-Adresse werden sich von den hier verwendeten unterscheiden. Das liegt daran, dass sie eindeutig sind.

Nutzen Sie den folgenden Befehl, um den ARP-Cache einzusehen

arp –a

Sie erhalten die folgenden Ergebnisse

Ultimate guide to Network Sniffers

Beachten Sie, dass die IP-Adresse in die von uns angegebene MAC-Adresse aufgelöst wurde und es sich um einen statischen Typ handelt.

Löschen eines ARP-Cache-Eintrags

Mit dem folgenden Befehl können Sie einen Eintrag entfernen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.