Pokaż wyniki 1 do 5 z 5

Temat: Protokół ARP - kilka pytań

  1. #1
    Zarejestrowany
    Mar 2008
    Postów
    13

    Domyślnie Protokół ARP - kilka pytań

    Witam, węszyłem troszkę w sieci ale postanowiłem się jeszcze upewnić.

    1.Rozumiem że sprawa tablicy wygląda tak - ową tablice posiada przeważnie każda stacja robocza i jest ona ściśle związana z systemem operacyjnym?
    2.Kiedy następuje wyczyszczenie tablicy? Bo wyłączeniu systemu operacyjnego?
    3.Rozumiem że ARP działa przy połączeniach w sieciach lokalnych, lecz ni tylko w nich? Mam na myśli dłuższą przechadzkę naszego bitu jak np przez kilka bram?
    4.Od jakich czynników zależy pomyślność ataku ARP redirect i jak się przed tym uchronić?
    5. Jak się ma sprawa tablicy ARP do bramy/routera? Rozumiem że też ją posiadają?

    Pozdrawiam

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał Bss Zobacz post
    1.Rozumiem że sprawa tablicy wygląda tak - ową tablice posiada przeważnie każda stacja robocza i jest ona ściśle związana z systemem operacyjnym?
    Wszystko zalezy od fizycznej topologii sieci. Jesli mowa o ethernet i podobnych to bedziesz mial adresy MAC, protokol ARP do mapowania miedzy MAC i IP, itd. Kazda maszyna gadajaca TCP/IP (chocby byla to druarka, telefon albo termometr w lodowce) bedzie tego uzywal jesli lacze jest ethernet lub podobne. Pisze ze ethernet bo nie jestem pewien jak to sie ma w FDDI czy innych bardziej egzotycznych technologiach, ktore nie sa powszechnie uzywane w domach.
    Cytat Napisał Bss Zobacz post
    2.Kiedy następuje wyczyszczenie tablicy? Bo wyłączeniu systemu operacyjnego?
    Tak, to jest tablica dynamiczna i jest tworzona automatycznie w locie. Do tego wpisy moga w niej wygasac po okreslonym czasie zazwyczaj jest to 5 albo 10 minut, zaleznie od OSu i urzadzenia. Czasami mapowanie MAC-IP mozna tez okreslic na stale ale jesli nie masz konkretnie takiego wymogu to mija sie to z celem
    Cytat Napisał Bss Zobacz post
    3.Rozumiem że ARP działa przy połączeniach w sieciach lokalnych, lecz ni tylko w nich? Mam na myśli dłuższą przechadzkę naszego bitu jak np przez kilka bram?
    ARP i adresy MAC nie wychodza poza brame Twojej sieci LAN. Brama ma w swojej tablicy liste adresow MAC ktore widzi tez na innych interfejsach, wiec mysl o tym jak o przekazywaniu pakietu z reki do reki - dostaje pakiet do lewej reki, przekazuje dalej prawa reka - znam MAC i IP tego kto mi podal po lewej i tego komu oddalem po prawej.
    Cytat Napisał Bss Zobacz post
    4.Od jakich czynników zależy pomyślność ataku ARP redirect i jak się przed tym uchronić?
    Najprosciej wpisac na stale w swoim systemie jaki MAC ma Twoja brama, lokalny serwer DNS jesli masz itp... tak aby nic tego nie zmienilo jesli Ty takiej zmiany nie zrobisz. Wtedy atakujacy robiac arp spoofing bedzie w stanie co najwyzej slyszec odpowiedzi ale nie bedzie widzial tego co Ty wysylasz... albo calkiem zerwie Twoja lacznosc bo brama bedzie miala konflikt u siebie - jeden IP i dwa adresy MAC (prawdziwy i ten spoofowany). To co sie stanie bedzie zalezalo od bramy...
    Cytat Napisał Bss Zobacz post
    5. Jak się ma sprawa tablicy ARP do bramy/routera? Rozumiem że też ją posiadają?
    Jak wyzej... jesli klient wysyla pakiet do IP poza swoja siecia (jak okreslone adresem sieci i maska) to pakiet zostanie na warstwie drugiej zaadresowany do MAC bramy... brama dostaje pakiet, widzi ze adres IP odbiorcy nie nalezy do niej i sprawdza w swojej tablicy routingu gdzie to wyslac. Jesli siec docelowa jest na jakims innym interfejsie to wysla dalej, jesli nie, to wysle do swojej bramy domyslnej (np do internetu) i proces powtarza sie do skutku...
    Pozdrawiam[/QUOTE]
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Mar 2008
    Postów
    13

    Domyślnie

    Hej, dzięki za pomoc TQM. Jednak wracając jeszcze do sprawy ARP redirect to zrozumiałem że w większości wszystko zależy od stopnia konfiguracji bramy i interfejsu sieciowego na stacji roboczej ofiary? Kolejna sprawa to kwestia przebiegu spoofowania bramy i stacji roboczej ofiary. Rozumiem że jeżeli jakaś stacja robocza zostanie podłączona do lokalnej sieci to wysyła informacje do wszystkich maszyn ze swoim adresem? Więc jeżeli zostanie to zapisane przez inne stacje w tym bramę w tablicy ARP to brama wysyłająca do tej stacji pakiety nie będzie przy każdym transferze pytać o adres tylko będzie korzystać z tego który jest w tablicy ARP? Czyli jak dobrze zrozumiałem atak ten polega na spoofowaniu - przekonaniu bramy/stacji że stacja/brama zmieniła adres i jest dostępna pod nowym adresem (hakera)? Więc wynika z tego że wykonywanie spoofingu co jakiś(powiedzmy 10s) czas jest konieczne żeby stacja/brama nie wysłały w czasie ataku komunikatu o swoim adresie jeżeli ten ulegnie wyczyszczeniu w tablicy ARP? I do tego kwestia czy pakiety będą wędrować między sobą brama-stacja ale przez stacje hakera to już osobna kwestia np. wykorzystanego skryptu(jednym słowem czy komputer hakera zatrzyma pakiety czy prześle je dalej dając mylne stwierdzenie że wszystko jest ok)?

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał Bss Zobacz post
    Hej, dzięki za pomoc TQM. Jednak wracając jeszcze do sprawy ARP redirect to zrozumiałem że w większości wszystko zależy od stopnia konfiguracji bramy i interfejsu sieciowego na stacji roboczej ofiary?
    Tak ale mozna zabezpieczenie zrobic tez na poziomie sieci jesli masz odpowiedni sprzet - niektore switche (ja znam to z urzadzen Cisco) pozwalaja okreslic ile adresow MAC moze byc na danym fizycznym porcie. Jesli masz podpieta stacje robocza to ustawiasz na 1 adres MAC, jak sie pojawi wiecej niz jeden to port moze zostac calkiem wylaczony - rownowazne z wyciagnieciem kabla z gniaza... wtedy admin sieci musi recznie przywrocic lacznosc ale juz wie ze cos tam bylo nie tak i dlaczego port zostal wylaczony.

    Cytat Napisał Bss Zobacz post
    Kolejna sprawa to kwestia przebiegu spoofowania bramy i stacji roboczej ofiary. Rozumiem że jeżeli jakaś stacja robocza zostanie podłączona do lokalnej sieci to wysyła informacje do wszystkich maszyn ze swoim adresem?
    Moze nie zawsze do wszystkich ale w uproszczeniu mozna to tak okreslic
    Cytat Napisał Bss Zobacz post
    Więc jeżeli zostanie to zapisane przez inne stacje w tym bramę w tablicy ARP to brama wysyłająca do tej stacji pakiety nie będzie przy każdym transferze pytać o adres tylko będzie korzystać z tego który jest w tablicy ARP?
    Dokladnie - jesli inna stacja zauwazy pytania i odpowiedzi ARP to zapamieta w swojej tablicy i bedzie tego uzywac przez jakis czas.
    Cytat Napisał Bss Zobacz post
    Czyli jak dobrze zrozumiałem atak ten polega na spoofowaniu - przekonaniu bramy/stacji że stacja/brama zmieniła adres i jest dostępna pod nowym adresem (hakera)? Więc wynika z tego że wykonywanie spoofingu co jakiś(powiedzmy 10s) czas jest konieczne żeby stacja/brama nie wysłały w czasie ataku komunikatu o swoim adresie jeżeli ten ulegnie wyczyszczeniu w tablicy ARP?
    Tak... ale niektore systemy/urzadzenia nie pozwalaja na podmiane rekordow w tablicy jesli juz cos zapamietaja - wtedy atakujacy musi czekac az wpis w tablicy wygasnie i wtedy wstawic szybko swoj, co nie zawsze jest mozliwe. Z tego co pamietam to miedzy innymi Solarisy tak robia
    Cytat Napisał Bss Zobacz post
    I do tego kwestia czy pakiety będą wędrować między sobą brama-stacja ale przez stacje hakera to już osobna kwestia np. wykorzystanego skryptu(jednym słowem czy komputer hakera zatrzyma pakiety czy prześle je dalej dając mylne stwierdzenie że wszystko jest ok)?
    Tak, dlatego atakujacy musi poprawnie skonfigurowac swoja stacje aby calosc dzialala.

    To sa podstawy arp spoofing'u...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Mar 2008
    Postów
    13

    Domyślnie

    Ok dzięki za wszystko, moje wątpliwości zostały rozwiane.

    EDIT: Z ciekawości, posiada ktoś dane statystyczne w ilu % ta metoda ataku jest skuteczna?

    Pozdrawiam
    Ostatnio edytowane przez Bss : 07-18-2011 - 22:24

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj