Jump to content

Sign in to follow this  
zerkvlo

Обнаружение ARP-Spoof в сети

Recommended Posts

(ARP — poisoning) — разновидность сетевой атаки типа MITM (англ. Man in the middle), применяемая в сетях с использованием протокола ARP. В основном применяется в сетях Ethernet. Атака основана на недостатках протокола ARP.

b6f2880f5ca225e1d6703.png

 
При использовании в распределённой вычислительной сети алгоритмов удалённого поиска существует возможность осуществления в такой сети типовой удалённой атаки «ложный объект распределённой вычислительной системы». Анализ безопасности протокола ARP показывает, что, перехватив на атакующем узле внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный ARP-ответ, в котором объявить себя искомым узлом (например, маршрутизатором), и в дальнейшем активно контролировать сетевой трафик дезинформированного узла, воздействуя на него по схеме «ложный объект РВС».
ARP - spoofing позволяет злоумышленнику перехватывать кадры данных в сети, изменять трафик или останавливать весь трафик. Часто атака используется как средство для других атак, таких как отказ в обслуживании, MITM или атаки на перехват сеанса. Наша программа анти-ARP-спуфинга (shARP) активно обнаруживает присутствие третьей стороны в частной сети.
 

Сейчас мы разберёмся, как обнаружить попытку несанкционированного доступа к своей сети, пресечь попытки ARP-спуфинга.


cd0fc8220b681e90fb8b3.png

Она имеет 2 режима: оборонительный и наступательный.

 

Оборонительный режим:

 

· защищает конечного пользователя от спуфинга, отключая систему пользователя от сети и предупреждая пользователя сообщением.

Наступательный режим:

· Отключает систему пользователя от сети, а затем вышвыривает злоумышленника, отправив в его систему пакеты деаутентификации, неспособные к повторному подключению к сети, пока программа не будет перезапущена вручную.

 

· Программа создает файл журнала (/ usr / shARP /), содержащий детали атаки, такие как адрес Mac злоумышленников, время и дату выпуска Mac. С помощью полученного MAC-адреса мы можем идентифицировать сетевую карту системы нападавших. Если требуется, злоумышленник может быть навсегда заблокирован из сети путем подачи его адреса Mac в список блокировки маршрутизатора.

Загрузим sharp с репозиториев github:
> git clone Для просмотра ссылки Войди или Зарегистрируйся

7ab997b14613c9a5b62da.png

 
> cd shARP

28c07bee732d5ff65df8e.png

 
> chmod +x shARP.sh


be857d97c17cd8edc6e5d.png
 
> ls –a

f85160945f493c68310e5.png

 
И запустим его с опцией “help”
> ./shARP.sh -h

Теперь, запустим shARP в защитном режиме, Когда пользователь запускает программу в защитном режиме, как только программа обнаруживает спуфер в сети и отключает систему пользователя от сети, чтобы защитить личные данные, передаваемые между системой и сервером. Он также сохраняет файл журнала о злоумышленнике для дальнейшего использования.

> ./shARP –d eth0

Полный туториал Для просмотра ссылки Войди или Зарегистрируйся

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...