http://www.ictnews.ir/
http://ictnews.ir
آرشیوی
حملات ARP Poison و راهکارهای مقابله با آن
حملات ARP Poison و راهکارهای مقابله با آن

برای انتقال اطلاعات یا ارتباط سیستم‌ها با یکدیگر در شبکه، نیازمند پروتکل‌های متعدد و همچنین ارتباط درست پروتکل‌ها با یکدیگر هستیم.

درصورتی‌که هر یک از پروتکل‌های شبکه دچار ضعف امنیتی شود می‌تواند کل شبکه را تحث تاثیر خود قرار داده و باعث اخلال و به‌خطر افتادن امنیت شبکه شود.
در شبکه، پروتکل‌های متعددی وجود دارد؛ مانندARP .HTTP .SMB .FTP .TFTP .DNS .NTP .CUPS . ‌MAIL .SMTP .POP3 .IMAP هر یک از این پروتکل‌ها دارای وظیفه‌ای خاص هستند که در شبکه استفاده می‌شوند. در این مطلب می‌خواهیم در مورد پروتکل ARP صحبت کنیم و نقاط ضعف امنیتی و راهکارهای مقابله با حملات ARP را بررسی کنیم.
ARP چیست؟
ARP مخفف سه کلمه Address Resolution Protocol است که وظیفه آن شناخت و تشخیص Mac Address (hardware address ) است؛ البته درصورتی‌که یک کامپیوتر با دانستن IP بخواهد با یک سیستم ارتباط برقرار کند. به‌عبارت دیگر، arp وظیفه تبدیل ip address به mac address را بر عهده دارد. هنگامی که یک کامپیوتر بخواهد با یک کامپیوتر دیگر در یک شبکه ارتباط برقرار کند باید ip آن را داشته باشد، اما این ظاهر قضیه است و در واقع سیستم باید برای دریافت و ارسال داده از آدرس سخت‌افزاری یا MAC Address استفاده کند و پیدا کردن mac address کامپیوترهای یک شبکه توسط arp انجام می‌شود.
پروسه یعنی تبدیل منطقی آدرس از لایه سوم به آدرس MAC در لایه دوم که از طریق ارسال broadcasting در داخل شبکه انجام می‌شود. برای کاهش تعداد broadcast (‌کاهش تعداد Broadcast Domain‌) و در نتیجه افزایش بهره‌وری در استفاده از شبکه، یک client cache وجود دارد که آدرس‌ها را برای مدت زمانی درون یک جدول نگهداری می‌کند. پروتکل RARP برعکس arp عمل كرده و mac address را به‌ip address تبدیل می‌کند.‌ARP، از جدولي خاص (ARP Table)به‌منظور ذخيره‌سازي آدرس‌هاي IP و MAC مربوطه استفاده می‌کند.
معرفی حمله ARP Poison
یک کامپیوتر در یک شبکه برای فهمیدن‌Mac Address سایر سیستم‌ها یا Mac Address مربوط بهDefault Gateway پیام‌هایی به نام ARP به‌صورتBroadcast در شبکه منتشر می‌کند. در این حالت router که همان Default Gateway شناخته می‌شود،Mac Address خود را در جواب‌ARP
به کامپیوترهای Client ارسال می‌کند و در memory کارت شبکه در جدولی به نام ARP Cach ذخیره می‌شود. این اطلاعات فقط به مدت 10 دقیقه نگهداری می‌شوند و از دفعات بعدی از همین جدول استفاده خواهد شد. نکته مهم در این قسمت این است؛ در صورتی‌که یک هکر بتواند در پاسخ به پیام‌های ARP کامپیوتر کلاینت برای آگاهی از MAC Address روتر Gateway مک آدرس کامپیوتر خودش را ارسال کند، توانسته تمام اطلاعات را ابتدا از کامپیوتر خود عبور دهد و شنود کند و همچنین هکر بعد از ضبط اطلاعات به روتر gateway دیات می‌شود و به این ترتیب روتر متوجه این جمله نخواهد شد. از مهم‌ترین حملات ARP می‌توان به ARP Spoof ‌یا همان ARP Poison اشاره کرد. اساس اولیه‌ARP Spoof ‌، فرستادن بسته‌های جعلی ARP ‌درون شبکه LAN است.
معمولا حمله‌کننده، آدرس MAC خود را به جای سایر‌IP ها معرفی می‌کند. (‌معمولا دروازه پیش‌فرض)
حمله‌کننده می‌تواند داده‌های شبکه محلی را شنود کند‌، آنها را تغییر دهد، یا همه ترافیک را متوقف کند.‌ در این حمله تمام آدرس‌های MAC سیستم قربانی یکی می‌شوند؛ در نتیجه بسته‌های ارسالی برای آدرس‌IP‌های مذکور، به آدرس MAC گفته‌شده که سیستم مهاجم است ارسال می‌شود. در قالب یک مثال می‌توان گفت اگر مهاجم آدرس MAC دروازه پیش‌فرض را تغییر دهد، بسته‌های قربانی که به خارج شبکه داخلی اختصاص دارد (مثلا استفاده از وب)‌، به جای ارسال برای دروازه پیش‌فرض برای مهاجم ارسال می‌شود. همچنین این مرحله می‌تواند آسیب‌های اطلاعاتی را نیز دربر داشته باشد؛ مانند آشکار شدن اطلاعات حساس قربانی. به این حمله که مهاجم در بین قربانی و هدف قرار می‌گیرد، حمله مردی در میان گویند.
راهکارهای مقابله
برای مقابله با این حمله به هماهنگی چند قسمت در شبکه نیاز است که مدیران شبکه باید مراقب آن باشند. استفاده از ip و mac address ثابت در شبکه‌های کوچک می‌تواند مفید باشد، اما برای شبکه‌های بزرگ کارایی ندارد.
راه‌حل نرم‌افزاری
ARP WHATCH‌: این نرم‌افزار برای تحلیل عملکرد arp مفید است، اما باید دقت کرد که از حمله جلو‌گیری نمی‌کند‌.
XRAP‌‌: برای تشخیص حملات ARP استفاده می‌شود و در صورت وقوع کاربر را آگاه می‌سازد.
ARP spoofing :این برنامه در‌صورتی‌که حمله از نوع ARP spoof رخ دهد، آن را شناسایی و خنثی مي‌کند که از آدرس http://sourceforge.net/projects/arpantispoofer/ قابل دریافت است.
Arping‌: این ابزار برای شناسایی آی‌پی گرفته‌شده و شناسایی اینکه چه کسانی بسته‌های‌ARP در شبکه را منتشر می کنند. همچنین بسته‌های بی‌استفاده در شبکه را مشخص می‌کند که از آدرس؛
http://www.habets.pp.se/synscan/programs.php?prog=arping قابل دریافت است.
arp-scan‌: ارسال مشخص کوئری arp به client‌های خاص و دیدن جواب دریافتی از طرف client که از آدرس
http://www.nta-monitor.com/tools-resources\ / قابل دریافت است.
arpalert ‌: از این برنامه براي شناسایی و جلوگیری از اتصالات ناامن و احراز هویت‌نشده در شبکه استفاده شده و در صورت شناسایی به کاربر هشدار داده می‌شود.
آدرس‌: http://www.arpalert.org/
ArpOn‌‌: یک کنترل‌کننده ARP قابل حمل است که تمامی حملات ARP Spoofing را شناسایی و بلاک می‌کند.
آدرس‌:http://arpon.sourceforge.net/download.html
ARPDefender‌‌: یک برنامه‌ کامل و پرکاربرد در این زمینه است که در بسیاری از موسسات تجاری به کار می‌رود که به‌صورت تجاری قابل خرید است.
آدرس‌: www.arpdefender.com
باید دقت کرد در کنار تمامی ابزارهای مانیتورینگ و کنترل شبکه باید از سخت‌افزار و فایروال مناسب نیز استفاده شود و همچنین امنیت dhcp نیز باید به‌درستی تامین شود؛ چراکه توسط این پروتکل نیز می‌توان خطرات متعددی را روی شبکه ایجاد کرد.



    مطالب مرتبط
    نظرات کاربران

    ارسال نظر در مورد این مطلب:
    نام شما : *
    آدرس ایمیل : *
    متن نظر : *
    کد امنیتی :
    Refresh Code

    لطفا عبارت درج شده در تصویر بالا را در کادر زیر بنویسید

    *
     


    کليه حقوق اين سایت متعلق به ICTNEWS است.
    انتشار مطالب با ذکر منبع و لینک به سایت مجاز است.
    تماس با ما: 88946450  فرم تماس با ما
    این پرتال قدرت گرفته از :
    سیستم مدیریت پرتال و خبرگزاری دیاسافت
    ارتباط با ما : 1000030200