تحليل هجوم انتحال ARP في Wireshark

أدوات لاستخدامها في ARP Spoofing Attack

هناك العديد من الأدوات مثل Arpspoof و Cain & Abel و Arpoison و Ettercap المتاحة لبدء عملية انتحال ARP.

إليك لقطة الشاشة لتوضيح كيف يمكن للأدوات المذكورة إرسال طلب ARP بشكل مثير للجدل:

ARP Spoofing Attack بالتفصيل

دعونا نرى بعض لقطات الشاشة ونفهم عملية انتحال ARP خطوة بخطوة:

الخطوة 1 :

يتوقع المهاجم الحصول على رد ARP حتى يتمكن من معرفة عنوان MAC الخاص بالضحية. الآن ، إذا ذهبنا إلى أبعد من ذلك في لقطة الشاشة المحددة ، يمكننا أن نرى أن هناك ردان ARP من عناوين 192.168.56.100 و 192.168.56.101 IP. بعد ذلك ، تقوم الضحية [192.168.56.100 و 192.168.56.101] بتحديث ذاكرة التخزين المؤقت ARP الخاصة بها ولكنها لم تستعلم مرة أخرى. لذلك ، لا يتم تصحيح الإدخال في ذاكرة التخزين المؤقت لـ ARP.

أرقام حزم طلبات ARP هي 137 و 138. أرقام حزمة استجابة ARP هي 140 و 143.

وبالتالي ، يجد المهاجم الثغرة الأمنية من خلال انتحال ARP. وهذا ما يسمى 'دخول الهجوم'.

الخطوة 2:
أرقام الحزمة هي 141 ، 142 ، 144 ، 146.

من النشاط السابق ، أصبح لدى المهاجم الآن عناوين MAC صالحة من 192.168.56.100 و 192.168.56.101. الخطوة التالية للمهاجم هي إرسال حزمة ICMP إلى عنوان IP الخاص بالضحية. ويمكننا أن نرى من لقطة الشاشة المقدمة أن المهاجم أرسل حزمة ICMP وتلقى رد ICMP من 192.168.56.100 و 192.168.56.101. هذا يعني أنه يمكن الوصول إلى عنواني IP [192.168.56.100 و 192.168.56.101].

الخطوه 3:

يمكننا أن نرى أن هناك آخر طلب ARP لعنوان IP 192.168.56.101 لتأكيد أن المضيف نشط ولديه نفس عنوان MAC وهو 08: 00: 27: dd: 84: 45.

رقم الحزمة المحدد هو 3358.

الخطوة الرابعة:

يوجد طلب ICMP واستجابة أخرى بعنوان IP 192.168.56.101. أرقام الحزمة هي 3367 و 3368.

يمكننا أن نفكر من هنا أن المهاجم يستهدف الضحية التي يكون عنوان IP الخاص بها هو 192.168.56.101.

الآن ، أي معلومات تأتي من عنوان IP 192.168.56.100 أو 192.168.56.101 إلى IP 192.168.56.1 تصل إلى مهاجم عنوان MAC الذي يكون عنوان IP الخاص به هو 192.168.56.1.

الخطوة الخامسة:

بمجرد وصول المهاجم ، يحاول إنشاء اتصال فعلي. من لقطة الشاشة المقدمة ، يمكننا أن نرى أنه تتم تجربة إنشاء اتصال HTTP من المهاجم. يوجد اتصال TCP داخل HTTP مما يعني أنه يجب أن يكون هناك اتصال ثلاثي الاتجاهات. هذه هي عمليات تبادل الحزم لـ TCP:

SYN -> SYN + ACK -> ACK.

من لقطة الشاشة المقدمة ، يمكننا أن نرى أن المهاجم يعيد محاولة حزمة SYN عدة مرات على منافذ مختلفة. رقم الإطار 3460 إلى 3469. رقم الحزمة 3469 SYN للمنفذ 80 وهو HTTP.

الخطوة السادسة:

يتم عرض أول مصافحة ناجحة لـ TCP على أرقام الحزم التالية من لقطة الشاشة المحددة:

4488: إطار SYN من المهاجم
4489: إطار SYN + ACK من 192.168.56.101
4490: إطار ACK من المهاجم

الخطوة السابعة:

بمجرد نجاح اتصال TCP ، يكون المهاجم قادرًا على إنشاء اتصال HTTP [رقم الإطار 4491 إلى 4495] متبوعًا باتصال SSH [رقم الإطار 4500 إلى 4503].

الآن ، الهجوم لديه سيطرة كافية بحيث يمكنه القيام بما يلي:

• هجوم اختطاف الجلسة
• هجوم رجل في الوسط [MITM]
• هجوم رفض الخدمة (DoS)

كيفية منع هجوم انتحال ARP

فيما يلي بعض وسائل الحماية التي يمكن اتخاذها لمنع هجوم انتحال ARP:

1. استخدام إدخالات 'ثابت ARP'
2. برنامج كشف ومنع الانتحال ARP
3. تصفية الحزم
4. شبكات VPN ، إلخ.

أيضًا ، يمكننا منع حدوث ذلك مرة أخرى إذا استخدمنا HTTPS بدلاً من HTTP واستخدمنا طبقة النقل SSL (طبقة المقابس الآمنة). هذا بحيث يتم تشفير جميع الاتصالات.

خاتمة

من هذه المقالة ، حصلنا على فكرة أساسية عن هجوم انتحال ARP وكيف يمكنه الوصول إلى أي مورد من موارد النظام. أيضا ، نحن الآن نعرف كيف نوقف هذا النوع من الهجوم. تساعد هذه المعلومات مسؤول الشبكة أو أي مستخدم نظام للحماية من هجوم انتحال ARP.