جلسه ۰۹ : مسمومیت ARP – هک قانونمند

• جزئیات
• نوع محتواآموزشی

مقدمه

درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک در خدمتتون هستیم.
در صورتی که سیستم با دانستن IP بخواهد با یک سیستم ارتباط داشته باشد. وظیفه ARP شناخت و تشخیص Mac address می باشد. پروتکلARP عمل تبدیل IP به MAC را  انجام می دهد و مهاجم از این پروتکل برای حملات خود سود می برد.
بنابراین Address Resolution Protocol (ARP) Poisoning یا مسمومیت ARP – هک قانونمند و یا ARP Poisoning و نحوه ی مقابله با آن رو همراه با مثالی عملی در این قسمت از آموزش خواهیم داشت. با هک قانونمند و مباحث مربوط به آن همراه ما باشید.

مسمومیت ARP – هک قانونمند

در این آموزش مباحث زیر یاد خواهیم گرفت:

• IP و مک آدرس چیست؟
• مسمومیت (Address Resolution Protocol (ARP چیست؟
• فعالیت هک : پیکربندی ARP استاتیک در ویندوز

IP و مک آدرس چیست؟

آدرس IP مخفف Internet Protocol است. یک آدرس پروتکل اینترنتی برای شناسایی منحصر به فرد رایانه یا دستگاه هایی مانند چاپگرها ، دیسک های ذخیره سازی در شبکه کامپیوتری استفاده می شود. در حال حاضر دو نسخه از آدرس های IP وجود دارد. IPv4 که از آدرس دهی ۳۲ بیتی استفاده می کند. با توجه به رشد عظیم اینترنت، IPv6 توسعه یافته است و از آدرس دهی ۱۲۸ بیتی استفاده می کند.

آدرس های IPv4  از ۴ قسمت تشکیل شده است که با نقطه (.) از هم جدا می شوند. حداقل تعداد ۰ است  و حداکثر تعداد ۲۵۵ است. نمونه ای از نشانی IPv4 به شکل زیر می باشد.

۱۲۷٫۰٫۰٫۱

آدرس های IPv6 در گروه های شش عددی که توسط دو نقطه جدا شده اند ، فرمت می شوند. شماره های هر گروه به عنوان ۴ رقم هگزادسیمال نوشته شده اند. نمونه ای از یک آدرس IPv6 شبیه این است.

۲۰۰۱:۰db8:85a3:0000:0000:8a2e:0370:7334

به منظور ساده تر نمايش دادن آدرس هاي IP در قالب متن، صفرهاي اصلي حذف مي شوند و گروه صفر حذف مي شود. آدرس فوق در قالب ساده نمایش داده می شود که به صورت زیر است:

MAC Address مخفف media access control address است. آدرس MAC برای شناسایی منحصر به فرد واسط های شبکه برای ارتباط در لایه فیزیکی شبکه مورد استفاده قرار می گیرد. آدرس MAC معمولا در کارت شبکه تعبیه شده است.

یک آدرس MAC مانند شماره سریال یک تلفن است در حالی که آدرس IP مانند شماره تلفن است.

تمرین

فرض می کنیم که شما از ویندوز برای این تمرین استفاده می کنید. خط فرمان را باز کنید.

دستور را وارد کنید.

با این دستور اطلاعاتی دقیق در مورد تمام اتصالات شبکه موجود در رایانه خود خواهید یافت. نتایج نشان داده شده در زیر برای مودم باند پهن برای نشان دادن آدرس MAC و فرمت IPv4 و شبکه بی سیم برای نشان دادن فرمت IPv6 است.

آلودگی با ARP – هک قانونمند

آلودگی با ARP – هک قانونمند

در این بخش به بیان ARP Poisoning و نحوه ی مقابله با آن می پردازیم.

مسمومیت ARP چیست؟

ARP مخفف Address Resolution Protocol است. ARP برای تبدیل آدرس آی پی به آدرس های فیزیکی [آدرس مک] روی سوئیچ استفاده می شود. میزبان یک ARP broadcast را در شبکه ارسال می کند و رایانه گیرنده با آدرس فیزیکی [MAC Address] پاسخ می دهد. آدرس IP / MAC سپس برای برقراری ارتباط استفاده می شود. مسمومیت با ARP ارسال آدرس های جعلی MAC را به سوئیچ می دهد تا بتواند آدرس های جعلی MAC را با آدرس IP یک کامپیوتر واقعی در شبکه مرتبط کند. در نتیجه ترافیک شبکه به جای ارسال به مقصد اصلی به کامپیوتر هکر ارسال می شود.

مقابله با مسمومیت ARP

Static ARP entries: این را می توان در حافظه کش ARP محلی تعریف کرد و سوئیچ پیکربندی شده تمام بسته های ARP reply را نادیده بگیرد. مشکل این روش این است که نگه داری آن در شبکه های بزرگ دشوار است. آدزس IP / MAC باید به تمام رایانه های شبکه توزیع شود.

نرم افزار شناسایی مسمومیت های ARP: این سیستم ها می توانند برای بررسی آدرس آی پی / مک و تایید آن ها اگر اعتبار آن ها تایید شده است، مورد استفاده قرار گیرند. آدرس IP / MAC غیرقانونی می تواند مسدود شود.

امنیت سیستم عامل: این ویژگی وابسته به سیستم عامل استفاده شده است. در زیر تکنیک های اساسی استفاده شده توسط سیستم عامل های مختلف را داریم.

• مبتنی بر لینوکس: این کار با نادیده گرفتن بسته های ناخواسته ARP reply است.
• مایکروسافت ویندوز: رفتار کش ARP را می تواند از طریق رجیستری پیکربندی شود. لیست زیر شامل برخی از نرم افزارهایی است که برای محافظت از شبکه در برابر اسنیفر می تواند مورد استفاده قرار گیرد.

• AntiARP– محافظت در برابر هرگونه sniffing غیرفعال و فعال را فراهم می کند.
• Agnitum Outpost Firewall – حفاظت در برابر sniffing غیرفعال را فراهم می کند.
• XArp – حفاظت در برابر هرگونه sniffing غیرفعال و فعال را فراهم می کند.

• سیستم عامل مک: از ArpGuard می توان برای حفاظت استفاده کرد. از آن در مقابل هر دو sniffing فعال و غیرفعال محافظت می کند.

فعالیت هک کردن: پیکربندی ورودی ARP در ویندوز

برای این تمرین از ویندوز ۷ استفاده می کنیم، اما دستورات باید بتوانند بر روی نسخه های دیگر ویندوز نیز کار کنند. ( ARP Poisoning و نحوه ی مقابله با آن )

خط فرمان را باز کنید و دستور زیر را وارد کنید.

این جا:

aprcalls برنامه پیکربندی ARP واقع در دایرکتوری Windows/System32
a- پارامتری برای نمایش محتویات حافظه ARP است.
شما نتایج مشابهی به دست خواهید آورد.

مسمومیت ARP – هک قانونمند

توجه: ورودی های پویا اضافه شده و به طور خودکار هنگام استفاده از جلسات TCP / IP با کامپیوتر از راه دور حذف می شوند

ورودی های استاتیک به صورت دستی اضافه می شوند و زمانی که رایانه راه اندازی مجدد می شود حذف می شود و کارت رابط شبکه دوباره راه اندازی می شود و دیگر فعالیت هایی که بر آن تأثیر می گذارد.

اضافه کردن ورودی های استاتیک

خط فرمان را باز کنید و سپس از دستور ipconfig / all برای دریافت آدرس IP و MAC استفاده کنید.

مسمومیت ARP – هک قانونمند – مقابله با مسمومیت ARP

آدرس MAC با استفاده از Physical Address نشان داده می شود و آدرس IP آدرس IPv4Address است.

دستور زیر را وارد کنید.

مسمومیت ARP – هک قانونمند

توجه: آدرس IP و MAC متفاوت از آن هایی است که در این جا استفاده شد و این به این دلیل منحصر به فرد بودن آن هاست.

برای مشاهده کش ARP از دستور زیر استفاده کنید.

نتایج زیر را دریافت خواهید کرد.

مسمومیت ARP – هک قانونمند

توجه داشته باشید که آدرس IP به آدرس MAC ما ارائه شده است و از انواع استاتیک می باشد.

حذف یک ورودی کش ARP

برای حذف یک ورودی از دستور زیر استفاده کنید.

مسمومیت ARP – هک قانونمند

P.S. مسمومیت با ARP با فرستادن آدرس جعلی MAC به سوئیچ کار می کند.

توضیحات مزبوط به ARP Poisoning و نحوه ی مقابله با آن به پایان می رسه.

کلام پایانی

ARP Poisoning و نحوه ی مقابله با آن رو در این قسمت از آموزش هک قانونمن مشاهده نمودیم. بعد از ARP Poisoning و نحوه ی مقابله با آن و در جلسه ی آینده مبحث آموزش Network و Passwords Sniffer رو از سایت آموزشی پی وی لرن دنبال خواهیم نمود. امیدوارم مباحث آموزشی مورد استفاده شما عزیزان قرار گرفته باشه. با ادامه ی آمورش hack در جلسات بعدی همراه ما باشید.