Το προφίλ μας στο Google Plus
39

Αντίμετρα για το ARP poisoning!

Στα άρθρα που ξεκινούν από τις σελίδες 12 και 74 του deltaHacker 001 βλέπουμε πώς υλοποιείται μια επίθεση Man in The Middle (MiTM) μέσα σ’ ένα τοπικό δίκτυο, με βάση την αδυναμία του πρωτοκόλλου ARP για authentication. Στο ίδιο τεύχος κάνουμε και μια αναλυτική επίδειξη δύο τέτοιων επιθέσεων, η μία στόχο την αλλοίωση του DNS και η άλλη την υποκλοπή συνομιλιών instant messaging.

Νομίζουμε ότι ήλθε η ώρα να δούμε και τα μέτρα προστασίας που μπορούμε να πάρουμε προκειμένου ν’ αποφεύγουμε επιθέσεις που βασίζονται στην τεχνική του ARP poisoning ή αλλιώς ARP spoofing. Η αλήθεια είναι ότι η άμυνα σ’ αυτές τις περιπτώσεις δεν είναι και τόσο εύκολη υπόθεση, κυρίως γιατί από τη φύση του το πρωτόκολλο ARP είναι ευάλωτο στις επιθέσεις του είδους. Αν και υπάρχουν διάφορες τεχνικές/μέθοδοι προστασίας, οι πλέον αποτελεσματικές άμυνες είναι δύο: η διαρκής (αυτοματοποιημένη) παρακολούθηση του λεγόμενου ARP table για τον εντοπισμό αλλαγών στις διευθύνεις MAC των συστημάτων, καθώς και η χρήση στατικών καταχωρήσεων. Ας πάρουμε όμως τα πράματα από την αρχή…

Μέθοδοι προστασίας από τη δηλητηρίαση
Ανάλογα με το αν είμαστε διαχειριστές του δικτύου ή απλοί χρήστες, θα στραφούμε σε διαφορετικές μεθόδους προστασίας. Οι διαχειριστές έχουν πρόσβαση στον router και δυνατότητα εποπτείας του συνολικού (τοπικού) δικτύου. Είναι σαφώς ευκολότερο για ένα διαχειριστή να εντοπίσει ή ακόμα και ν’ αποτρέψει μία επίθεση ARP poisoning, απ’ ό,τι για έναν απλό χρήστη, ενός απλού μηχανήματος, ο οποίος κάνει απλά τη δουλειά του, χωρίς να πειράζει κανέναν. Εδώ που τα λέμε, ο απλός χρήστης μπορεί μόνο να αντιληφθεί τις επιθέσεις που γίνονται στο *δικό* του σύστημα, χωρίς να γνωρίζει τι γίνεται στο υπόλοιπο δίκτυο.

Ο διαχειριστής μπορεί ν’ ανακαλύψει την παρουσία -ή αν θέλετε τη δράση- ενός επιτιθέμενου, από τη διακίνηση και μόνο των δικτυακών πακέτων. Κι αυτό γιατί ο υπολογιστής, μέσω του οποίου θα εξαπολυθεί μία επίθεση ARP poisoning, είναι αρκετά πιθανό να παρουσιάζει μεγάλη κίνηση μιας και θα λαμβάνει όλα τα πακέτα που ανταλλάσσουν οι υπολογιστές που στοχεύει. Άλλο ένα μεγάλο πλεονέκτημα που έχει ο διαχειριστής σε σύγκριση με τον απλό χρήστη, είναι ότι μπορεί ακόμη και ν’ αποτρέψει μία επίθεση ARP poisoning που βρίσκεται σε εξέλιξη. Αυτό που χρειάζεται να κάνει είναι να χρησιμοποιήσει στατικές καταχωρήσεις στον πίνακα ARP.

Βλέπετε, σ’ έναν στατικό πίνακα ARP η διεύθυνση IP κάθε υπολογιστή του δικτύου είναι αντιστοιχισμένη μονοσήμαντα με μία διεύθυνση MAC – προφανώς μ’ αυτή της κάρτας δικτύου του. Έτσι, είναι πρακτικά αδύνατον κάποιος να αλλάξει τις αντιστοιχίσεις MAC address <--> IP address! Βέβαια οι στατικοί πίνακες εξασφαλίζουν μεν ασφάλεια, προϋποθέτουν όμως ότι σε κάθε υπολογιστή του δικτύου θα προστεθούν όλες οι αντιστοιχίσεις διευθύνσεων IP και MAC. Σε μικρά δίκτυα οι στατικές καταχωρήσεις αποτελούν άριστη λύση, καθώς μπορούν να υλοποιηθούν και να συντηρηθούν χωρίς μεγάλο κόπο. Όμως σε μεγάλα δίκτυα, π.χ., των 20 και πλέον υπολογιστών, είναι κάτι πρακτικά ανέφικτο, αφού σε κάθε υπολογιστή θα πρέπει να δηλωθούν όλες οι αντιστοιχίσεις διευθύνσεων IP και MAC και σ’ οποιαδήποτε αλλαγή, όπως, π.χ., αντικατάσταση μιας κάρτας δικτύου, θα πρέπει να επαναλαμβάνεται η ίδια διαδικασία!

Εξετάζοντας το θέμα από την πλευρά του χρήστη, γρήγορα βλέπουμε ότι τα πράγματα είναι πολύ πιο ζόρικα αφού δεν υπάρχει κανένα ουσιαστικό μέτρο αποτροπής του ARP poisoning. Ως απλοί χρήστες, το μόνο που μπορούμε να κάνουμε όταν υποψιαζόμαστε ότι μας παρακολουθούν είναι να εγκαταστήσουμε έναν… συναγερμό, ο οποίος θα χτυπάει κάθε φορά που κάποιος μας στοχεύει. Έχοντας λοιπόν βεβαιωθεί ότι είμαστε υπό παρακολούθηση, μπορούμε μόνοι μας ή με τη βοήθεια του διαχειριστή να ξετρυπώσουμε τον attacker. Βέβαια ακόμα καλύτερα θα ήταν αν με κάποιον τρόπο μπορούσαμε να αποτρέπουμε μια απόπειρα ARP poisoning – ή ακριβέστερα να ακυρώνουμε τις συνέπειές της. Είναι άραγε εφικτό κάτι τέτοιο; Συνεχίστε το διάβασμα ;)

Ντετέκτιβ XArp!
Το πόσο εύκολο είναι ν’ ανακαλύψουμε αν είμαστε το υποψήφιο θύμα μιας επίθεσης ARP poisoning εξαρτάται κυρίως από τα εργαλεία που έχουμε στη διάθεσή μας. Ένα από τα εργαλεία που ξεχωρίζει στην πλατφόρμα των Windows είναι το XArp, το οποίο παρεμπιπτόντως διατίθεται *και* για Linux. Από το δικτυακό τόπο του προγραμματιστή του XArp παρέχονται δύο εκδοχές, η μία δωρεάν και η άλλη επί πληρωμή (δείτε τον συγκριτικό πίνακα στο site για τις διαφορές). Στα screenshots που ακολουθούν δείχνουμε τη χρήση της δωρεάν εκδοχής.



Αντίμετρα για τη δηλητηρίαση
Η δωρεάν εκδοχή του XArp ειδοποιεί για μια επίθεση ARP poisoning, δεν κάνει όμως τίποτε για να αποτρέψει τις συνέπειές της. Με τη βοήθεια βέβαια του υπεύθυνου διαχειριστή του τοπικού δικτύου, ο επιτιθέμενος είναι δυνατόν να εντοπιστεί και να “πειστεί” να σταματήσει ό,τι κάνει.

Ας δούμε στη συνέχεια το ArpON, ένα open source tool που όχι μόνο ειδοποιεί για μια επίθεση ARP poisoning σε εξέλιξη αλλά ακυρώνει και τις συνέπειές της – τουλάχιστον για τον υπολογιστή που τρέχει το ArpON. Το εργαλείο διατίθεται για διανομές Linux, BSD flavors και το Mac OS X. Ας δούμε στη συνέχεια πώς το εγκαθιστούμε, ρυθμίζουμε κι ενεργοποιούμε κάτω από το Ubuntu 11.10 (Oneiric Ocelot), καθώς και πώς συμπεριφέρεται κατά τη διάρκεια μιας επίθεσης ARP poisoning. Είναι νομίζουμε περιττό ν’ αναφέρουμε ότι θα δουλέψουμε κυρίως από τη γραμμή εντολής, γι’ αυτό ανοίξτε τώρα ένα τερματικό.

Ξεκινάμε με την εγκατάσταση του ArpON:

sub0@oneiric:~$ sudo apt-get install arpon
[sudo] password for sub0: 
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following extra packages will be installed:
  libdumbnet1 libnet1
The following NEW packages will be installed:
  arpon libdumbnet1 libnet1
0 upgraded, 3 newly installed, 0 to remove and 0 not upgraded.
Need to get 301 kB of archives.
After this operation, 717 kB of additional disk space will be used.
Do you want to continue [Y/n]? Y
Get:1 http://gr.archive.ubuntu.com/ubuntu/ oneiric/universe libdumbnet1 i386 1.12-3build1 [27.1 kB]
Get:2 http://gr.archive.ubuntu.com/ubuntu/ oneiric/main libnet1 i386 1.1.4-2 [58.2 kB]
Get:3 http://gr.archive.ubuntu.com/ubuntu/ oneiric/universe arpon i386 2.0-2ubuntu2 [216 kB]
Fetched 301 kB in 1s (285 kB/s)
Selecting previously deselected package libdumbnet1.
(Reading database ... 127131 files and directories currently installed.)
Unpacking libdumbnet1 (from .../libdumbnet1_1.12-3build1_i386.deb) ...
Selecting previously deselected package libnet1.
Unpacking libnet1 (from .../libnet1_1.1.4-2_i386.deb) ...
Selecting previously deselected package arpon.
Unpacking arpon (from .../arpon_2.0-2ubuntu2_i386.deb) ...
Processing triggers for man-db ...
Processing triggers for ureadahead ...
ureadahead will be reprofiled on next reboot
Setting up libdumbnet1 (1.12-3build1) ...
Setting up libnet1 (1.1.4-2) ...
Setting up arpon (2.0-2ubuntu2) ...
 * arpon disabled, please adjust the configuration to your needs 
 * and then set RUN to 'yes' in /etc/default/arpon to enable it.
Processing triggers for libc-bin ...
ldconfig deferred processing now taking place
sub0@oneiric:~$ 

Προς το τέλος της εγκατάστασης βλέπουμε ότι οφείλουμε να τροποποιήσουμε το βασικό αρχείο ρυθμίσεων του ArpON, η πλήρης διαδρομή του οποίου στο Ubuntu είναι η /etc/default/arpon. Ας ανοίξουμε το αρχείο με τον editor ονόματι nano, φυσικά με δικαιώματα root:

sub0@oneiric:~$ sudo nano -w /etc/default/arpon

Ιδού τα περιεχόμενα του αρχείου ρυθμίσεων:

# Defaults for arpon initscript
# sourced by /etc/init.d/arpon
# installed at /etc/default/arpon by the maintainer scripts

# You must choose between static ARP inspection (SARPI) and
# dynamic ARP inspection (DARPI)
#
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS=&quot;-q -f /var/log/arpon/arpon.log -g -s&quot;

# For DARPI uncomment the following line
# DAEMON_OPTS=&quot;-q -f /var/log/arpon/arpon.log -g -d&quot;

# Modify to RUN=&quot;yes&quot; when you are ready
RUN=&quot;no&quot;

Αν στο τοπικό μας δίκτυο οι διευθύνσεις IP διανέμονται δυναμικά μέσω DHCP server, τότε πρέπει να επιλέξουμε τη μέθοδο προστασίας μέσω DARPI (Dynamic ARP Inspection). Αν από την άλλη στο δίκτυό μας οι διευθύνσεις IP είναι στατικές και δεν διανέμονται από κάποιον DHCP server, τότε οφείλουμε να επιλέξουμε τη μέθοδο προστασίας μέσω SARPI (Static ARP Inspection). Σημειώστε εδώ ότι υπάρχει και μια τρίτη περίπτωση, όπου ναι μεν οι διευθύνσεις IP διανέμονται δυναμικά από κάποιον DHCP server αλλά ορισμένα μηχανήματα του δικτύου είναι ρυθμισμένα ώστε να έχουν στατικά IP. Το ArpON είναι σε θέση να προστατεύει ακόμα και σ’ αυτά τα περιβάλλοντα, μέσω του λεγόμενου HARPI (Hybrid ARP Inspection). Το πώς τροποποιείται το /etc/default/arpon για το HARPI αφήνεται ως άσκηση. Τώρα, αν στο σημείο αυτό έχετε περιέργεια να μάθετε πώς ακριβώς προστατεύει το ArpON ανά περίπτωση, δεν έχετε παρά να μελετήσετε τους αντίστοιχους αλγόριθμους εξετάζοντας τα διαγράμματά τους.

Για το δικό μας LAN είχε νόημα το DARPI, έτσι τροποποιήσαμε το αρχείο /etc/defaults/arpon ως ακολούθως:

# Defaults for arpon initscript
# sourced by /etc/init.d/arpon
# installed at /etc/default/arpon by the maintainer scripts

# You must choose between static ARP inspection (SARPI) and
# dynamic ARP inspection (DARPI)
#
# For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
# DAEMON_OPTS=&quot;-q -f /var/log/arpon/arpon.log -g -s&quot;

# For DARPI uncomment the following line
DAEMON_OPTS=&quot;-q -f /var/log/arpon/arpon.log -g -d&quot;

# Modify to RUN=&quot;yes&quot; when you are ready
RUN=&quot;yes&quot;

(Παρατηρήστε ότι αλλάξαμε και την τελευταία γραμμή.) Ενεργοποιούμε ακολούθως τον δαίμονα του ArpON:

sub0@oneiric:~$ sudo /etc/init.d/arpon start
 * Starting anti ARP poisoning daemon  arpon                                                                                                  
  19:27:48 - Task is forking to background, using /var/run/arpon.pid pid file...

Ας υποθέσουμε τώρα ξεκινάει μια επίθεση ARP poisoning από ένα μηχάνημα με IP 172.16.242.129. Δεν πρόκειται να πάρουμε κάποια σχετική προειδοποίηση στο desktop ή σε κάποιο τερματικό του Ubuntu μας. Αν όμως εξετάσουμε το log file του ArpON, θα δούμε ότι ο arpon daemon μάς προστατεύει σιωπηλά:

sub0@oneiric:~$ head -n 25 /var/log/arpon/arpon.log 
  19:27:50 - Wait link connection on eth0...
  19:29:08 - DARPI on dev(eth0) inet(172.16.242.131) hw(0:c:29:6e:53:ba)
  19:29:08 - Deletes these Arp Cache entries:
  19:29:08 - 1)  172.16.242.129 -&gt;  0:50:56:37:27:5e
  19:29:08 - 2)    172.16.242.2 -&gt;   0:50:56:ec:a:60
  19:29:08 - 3)  172.16.242.254 -&gt;  0:50:56:eb:a8:94
  19:29:08 - Cache entry timeout: 500 milliseconds.
  19:29:08 - Realtime Protect actived!
  19:29:09 - Reply   &lt;&lt; Delete entry 
172.16.242.2 -&gt; 0:50:56:37:27:5e
  19:29:11 - Reply   &lt;&lt; Delete entry 
172.16.242.2 -&gt; 0:50:56:37:27:5e
  19:29:13 - Reply   &lt;&lt; Delete entry 
172.16.242.2 -&gt; 0:50:56:37:27:5e
  19:29:15 - Reply   &lt;&lt; Delete entry 
172.16.242.2 -&gt; 0:50:56:37:27:5e
  19:29:17 - Reply   &lt;&lt; Delete entry 
172.16.242.2 -&gt; 0:50:56:37:27:5e
  19:29:19 - Reply   &lt;&lt; Delete entry 
172.16.242.2 -&gt; 0:50:56:37:27:5e
  19:29:21 - Reply   &lt;&lt; Delete entry 
172.16.242.2 -&gt; 0:50:56:37:27:5e
  19:29:23 - Reply   &lt;&lt; Delete entry 
172.16.242.2 -&gt; 0:50:56:37:27:5e
  19:29:25 - Reply   &lt;&lt; Delete entry 
sub0@oneiric:~$

Όπως βλέπετε, το ArpON ακυρώνει τις αλλαγές των διευθύνσεων MAC για τον router (172.16.242.2) και τον επιτιθέμενο (172.16.242.129), απαγορεύοντας τη μόλυνση της τοπικής ARP cache και συνεπώς εξουδετερώνοντας τις συνέπειες της επίθεσης!

Σκέτη πώρωση, δεν νομίζετε;

39 Responses to “Αντίμετρα για το ARP poisoning!”

  1. Mr.Anderson | 20/10/2011 at 15:28

    “Ως απλοί χρήστες, το μόνο που μπορούμε να κάνουμε όταν υποψιαζόμαστε ότι μας παρακολουθούν είναι να εγκαταστήσουμε έναν… συναγερμό, ο οποίος θα χτυπάει κάθε φορά που κάποιος μας στοχεύει”

    Epitrepse mou na diafonisw mazi sou file mou panw se afto, kai oi aploi xristes einai se 8esi na apotrepsoun mia epi8esi MiTM gnorizontas apo tin arxi to pragmatiko tou MAC Address, iparxei ena opensource tool san afto: http://sourceforge.net/projects/arpantispoofer/ to opoio apotrepei tin epi8esi.
    To exw dokimasei me to arpspoof kai to ettercap kai ontws tin apotrepei.

    • subZraw | 20/10/2011 at 15:37

      Έχεις δίκιο, η διατύπωσή μου ήταν επιπόλαιη – και την αφήνω έτσι ως υπενθύμιση για την επόμενη φορά :)

      Πάντως κατ’ ουσίαν συμφωνούμε, όπως φαίνεται κι από τη συνέχεια του ίδιου του άρθρου! Απλά, αντί για το ARP AntiSpoofer παρουσιάζω μία εναλλακτική λύση, για Linux.

  2. Mr.Anderson | 20/10/2011 at 15:29

    A kai sorry gia ta greekleash..

    • subZraw | 20/10/2011 at 15:38

      Ε, αν πραγματικά λυπάσαι για τα greeklish, τότε σταμάτα να γράφεις greeklish :D

      • Mr.Anderson | 20/10/2011 at 15:50

        θα κανω μια προσπαθεια ξεκινοντας απο τωρα :-/ αγνόησε οσα ορθογραφικα θα δες παρακατω :-P

        Να σε ρωτισω και κατι αλλο καπως offtopic?
        Ξερεις πως μπορει καποιος να τρεξει sslstrip και squid proxy (σε transparent mode) ταυτοχρονα?

        Εχω ψαξει και εχω κανει πολλες δοκιμες με το proxychains και το εχω φτασει μεχρι ενα σημειο αλλα αντιμετοπιζω καπια προβληματακια…

        • subZraw | 20/10/2011 at 16:21

          Αχά. Πολύ καλή ερώτηση. Δεν το ‘χω ψάξει, ομολογώ. Μου όμως βάζεις ιδέες τώρα (…κι έχω ένα “κενό” για το τεύχος Νοεμβρίου :D)

          • Mr.Anderson | 21/10/2011 at 00:55

            Λεγε μου τετοια να χαιρομαι, θα ειθελα να το δω ως θεμα στο επομενο τευχος γιατι το προσπαθω καιρο τωρα.. (εχω κολλησει σε αυτο, δεν θα σταματησω μεχρι να δω πως γινεται).

            Η βασικη μου ιδεα ηταν η δημιουργια μιας αλυσιδας σαν αυτη:
            sslstrip —-> proxychains ——> squid

            Απο τις δοκιμες μου η συνδεση περνα κανονικα και απο το sslstrip και απο το proxychains και σταματα στο squid, εκει περνω μυνηματα “denied”, πρεπει να χρειαζεται καποια σχετικη ρυθμιση το αρχειο squid.conf αλλα και παλι δεν ειμαι συγουρος :-P

  3. ^^TnT^^ | 21/10/2011 at 18:03

    Ούτε το Eset Smart Security σε αφήνει να κάνεις την δουλειά :)

    • subZraw | 21/10/2011 at 18:31

      Έχει μηχανισμό προστασίας κατά του ARP spoofing το ESET Smart Security;! Πάρα πολύ ενδιαφέρον. Άντε μην το αγοράσω, τώρα που έχω και Windows-based PC. (Δεν το χρειάζομαι βέβαια, αλλά μιλάμε για ένα lean, mean security kit anyways.)

  4. Mr.Anderson | 21/10/2011 at 21:31

    Νομιζω πως εχει δικιο ο ^^TnT^^, εχω αρχισει και το ακουω ολο και περισσοτερο αυτο, καλα δεν υπαρχει! Πρεπει να παω να το δοκιμασω και εγω για να δω αν ισχύει.

  5. ^^TnT^^ | 22/10/2011 at 10:11

    @subZraw
    Screen από τα options: http://imageshack.us/photo/my-images/219/esetarp.png/
    Τώρα δεν θυμάμαι αν ήταν προεπιλογή η τα έβαλα εγώ αργότερα :)

    • subZraw | 22/10/2011 at 11:35

      Αχά. Βλέπω βέβαια ότι ναι μεν κάνει detection αλλά (μάλλον) δεν εξουδετερώνει την επίθεση, όπως κάνει το ArpON που παρουσιάζουμε στο άρθρο.

      Ενδιαφέρον χαρακτηριστικό, μολαταύτα :)

      • ^^TnT^^ | 22/10/2011 at 12:42

        έπαιρνα “couldn’t arp for host” και υποψιάστηκα ότι το ESET κάνει την ζημιά και κοίταξα τα options (φυσικά το ίδιο αποτέλεσμα είχα και όταν έβγαλα την επιλογή, χωρίς restart)

        • subZraw | 22/10/2011 at 13:10

          Ποιος -ή καλύτερα τι- σου επέστρεφε αυτό το μήνυμα; Ποια επιλογή έβγαλες; Sorry για τις ερωτήσεις, αλλά προσπαθώ να καταλάβω 100% για τι πράγμα μιλάμε :)

  6. subZraw | 22/10/2011 at 13:28

    @^^TnT^^
    Αχά, τώρα κατάλαβα. Και γι’ αυτό “ευθύνεται” το ESET, σωστά;

    • ^^TnT^^ | 22/10/2011 at 13:42

      έτσι υποψιάζομαι τουλάχιστον :) όταν έχω χρόνο θα δοκιμάσω να το απενεργοποιήσω για να δώ.

      • subZraw | 22/10/2011 at 13:44

        Έγινε. Κι αν έχεις χρόνο πας μας και πώς πήγε! (Πάντως το ESET πάντα το σεβόμουν – κι ας μην το χρησιμοποιώ.)

  7. Neroubas | 25/10/2011 at 20:58

    Όταν διάβαζα το άρθρο, το οποίο λάτρεψα, σκεφτόμουν ότι πρέπει να μας πείτε και πως να το αντιμετωπίζουμε και φτάνω στο τέλος και βλέπω το τελευταίο link. Amazing

  8. Mr.Anderson | 29/10/2011 at 18:03

    Λοιπον παιδια κατεβασα ενα trial version του Eset NOD32 και δοκιμασα να κανω
    arp poisoning χρησιμοποιωντας το arpspoof, ο υπολογιστης θυμα ετρχεχε windows xp.

    Οταν ξεκινα η επιθεση το NOD32 ειδοπιει τον χρηστη οτι ανιχνευτηκε η επιθεση
    οπως φαινεται σε αυτο το screenshot: http://i.imgur.com/Cdt32.jpg

    Επισης προσεξα οτι το ESET εμποδιζε να γινει MITM attack :-/

    Απο την πλευρα του επιτιθεμενου ολα κύλαγαν ομαλα, δεν πηρα κανενα μυνημα «couldn’t arp for host» οπως ειπε ο ^^TnT^^ πιο πανω.

  9. Mr.Anderson | 29/10/2011 at 18:11

    Α, να προσθεσω επισης οτι η επιλογη “Arp poisoning detection” ηταν η Default ρυθμηση του Nod32, δεν το εψαξα για να το επιλεξω.

    • subZraw | 30/10/2011 at 07:53

      Άψογο το NOD32! Έτσι μου ‘ρχεται να το αγοράσω για το Windows box που έχω για τις τιμολογήσεις. Βέβαια εδώ μέσα δεν κινδυνεύω από ARP poisoning -ή τουλάχιστον έτσι νομίζω-, ωστόσο ίσως δεν βλάπτει ν’ αρχίσω να χρησιμοποιώ κι εγώ ένα εμπορικό μεν, ποιοτικότατο δε anti-virus/firewall!

  10. Mr.Anderson | 30/10/2011 at 12:33

    Καλα, το NOD32 ειναι το μονο anti-virus που εχει ARP Poisoning Detection?
    Μου κανει εντυπωση που και τα υπολοιπα anti-virus δεν εχουν ακολουθησει τον ιδιο δρομο.

    • subZraw | 30/10/2011 at 13:48

      Για την ακρίβεια είναι το firewall της αντίστοιχης σουίτας, που παρέχει προστασία ARP spoofing. Για άλλα (εμπορικά) firewall δεν γνωρίζω, να πω την αλήθεια.

  11. orestis46 | 30/10/2011 at 17:51

    Το πρόβλημα συνήθως (99,99..%) τουλάχιστον σε enterprise networks αλλά και ISP infrastastructures δεν αντιμετωπίζετε σε επίπεδο τελικού χρήστη (endhost) αλλά σε επίπεδο network device (πχ switch).
    Spoofing mitagation: Port security — Σε μια switch port καθορίζουμε ποιές MAC addressess μπορούν να γίνουν γνωστές (με διάφορα level – strict/dynamic–sticky)
    DHCP snooping: Ουσιαστικά παρακολουθούνται τα DHCP messages και φτιάχνετε ένας πίνακας συσχέτισης (DHCP snooping database)–(vlan, port mac-address ip address και υπάρχει διαχωρισμός Network side — DHCP server facing side/ trust side με το client side — untrusted side). Η βάση/πίνακας (DHCP snooping database) χρησιμοποιείτε στην συνέχεια σαν το θέμελιο για μηχανισμούς όπως Dynamic ARP inspection ή και IP source guard τα οποία βάση των bindings τα οποία έχουν δημιουργηθεί αποτρέπουν και τις προσπάθειες spoofing.

    Μια καλή συνέχεια στο θέμα νομίζω πως θα ήταν η κάλυψη και σε IPv6 με εργαλεία όπως: http://thc.org/thc-ipv6/ && scapy.

  12. ggeo | 04/11/2011 at 13:58

    Καλησπέρα, μόλις πάω να κοιτάξω το log μου βγάζει “WARNING: eth0: no IPv4 address assigned

    (ωραία πράματα μαθαίνουμε εδώ!καλή συνέχεια!)

    • subZraw | 05/11/2011 at 16:39

      Χμ, ποιο log ανοίγεις, φίλε μου; Για βοήθησέ μας λίγο, μήπως μπορέσουμε να σε βοηθήσουμε κι εμείς…

      • ggeo | 05/11/2011 at 18:33

        Αυτό εδώ : /var/log/arpon/arpon.log

        • subZraw | 06/11/2011 at 11:06

          Αναφέρεσαι στο ArpON, λοιπόν. Δύο ερωτήσεις έχω: Το Linux box έχει πάρει διεύθυνση IP; Το αρχείο /etc/defaults/arpon το τροποποίησες αναλόγως;

          • ggeo | 06/11/2011 at 14:34

            Το έχω τροποποιήσει το αρχείο.Τι εννοείς αν έχει πάρει διεύθυνση?Έχω κανονικά διεύθυνση.

    • ratb0y | 20/11/2011 at 22:26

      Είχα και εγώ το ίδιο πρόβλημα και τελικά βρήκα την άκρη. Συνήθως το Linux δίνει το όνομα eth0 για την ενσύρματη κάρτα δικτύου και eth1 για την ασύρματη. Το arpON ξεκινάει προεπιλεγμένα προστατεύωντας την ενσήρματη κάρτα δυκτίου απο arp poisoning.

      Τώρα.. αν εσύ είσαι συνδεμένος ασύρματα, τότε το PC σου χρησιμοποιει την eth1 ενώ το arpON δουλέυει με την eth0 και απο την στιγμή που εσυ δέν είσαι συνδεμένος ασύρματα το eth0 δέν έχει IP συνεπώς και το μύνημα του arpON:

      “ΕΕΕ φίλε, η eth0 κάρτα δικτύου δέν είναι συνδεμένη ..δέν έχει IP”.

      Η λύση είναι να ανοίξεις το αρχείο “/etc/defaults/arpon και να προσθέσεις την παράμετρο “-i eth1″ όπως στο παράδηγμα παρακάτω:

      # For DARPI uncomment the following line
      DAEMON_OPTS=”-i eth1 -q -f /var/log/arpon/arpon.log -g -d”

      (όπου eth1 η κάρτα δικτύου με την οποία είσαι συνδεμένος στο δίκτυο)

      Εγώ όταν έδωσα την παραπάνω παράμετρο μου “δούλεψε σαν αρμονία” :-D

  13. Mr.Anderson | 11/11/2011 at 17:25

    Επισης καποιος μπορει να αποτρεψει μια επιθεση ΜιΤΜ εγκαθιστωντας ενα switch στο τοπικο δικτυο αν δεν κανω λαθος..

    • subZraw | 11/11/2011 at 17:30

      Οι επιθέσεις MiTM που βασίζονται στο ARP spoofing δουλεύουν μια χαρά σε switched networks, πρακτικά δηλαδή σε κάθε σύγχρονο LAN. Αν αντί για switch είχαμε κάποιο hub, τότε το ARP poisoning δεν θα χρειαζόταν καν για το packet interception: κάθε υπολογιστής πίσω από ένα hub εκπέμπει προς κάθε άλλον υπολογιστή, ασχέτως του προορισμού των πακέτων που στέλνει!

      • Mr.Anderson | 11/11/2011 at 23:23

        Ευχαριστω για την πληροφορια, εφτασα σε αυτο το συμπερασμα γιατι προσφατα εκανα ενα πειραμα με switch στο τοπικο δικτυο και για καποιον λογο δεν επιανε το arp poisoning (χωρις να εχω καποιο μυνημα σφαλματος).

        • orestis46 | 01/01/2012 at 19:14

          Ta απλά switches του κιλού δεν έχουν port security/dhcp snoop/dai/ip source-guard features. Επίσης by default δεν είναι configured οτιδήποτε σχετικό security related χαρακτηριστικό στην πλειοψηφία των switches που τα υποστιρίζουν (cisco/juniper/allied-telesis πχ). Ένα απλό port-security στο επίπεδο της φυσικής πόρτας ενός switch (και/ή) ενεργοποίηση του ip source guard πχ είναι αρκετό. Φυσικά υπάρχουν και άλλες λύσεις όπως client-authentication με 8021.x σε επίπεδο πάλι φυσικής πόρτας αν και η περίπτωση αυτή δεν καλύπτει το ενδεχόμενο του mac spoofing παρά το να αποφύγουμε προβλήματα που προκύπτουν απο την ανεξέλεγκτη σύνδεση των end clients σε ένα switch με ότι αυτό συνεπάγεται.

  14. ratb0y | 20/11/2011 at 21:35

    Παιδιά δέν ξέρω τι κάνω λάθος αλλα δέν μπορώ να βρώ πληροφορίες σχετικά με το πώς θα ρυθμήσω το arpON σε HARPI (hybrid) mode. Στην επισημη ιστοσελίδα του προγράμματος στο Documentation δέν λέει κάτι όπως και στη εντολή “man arpon”.Ούτε με γουγλάριζμα κατάφερα να βρώ κάτι και μου φένετε λίγο παράξενο οτι δέν μπορώ να βρώ κάποιο documentation.

    Λίγη βοήθεια αν κάποιος ξέρει κάποιο λίνκ.

    Ευχαριστώ

    • ratb0y | 20/11/2011 at 22:38

      Εκτός εάν το κόλπο είναι να ενεργοποιήσεις καί τα δύο modes και μετά απλά να δηλώσεις τις στατικές στο “arpon.sarpi” …..ε;

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων