Protokół ARP - kilka pytań

[Bss]

Witam, węszyłem troszkę w sieci ale postanowiłem się jeszcze upewnić.

1.Rozumiem że sprawa tablicy wygląda tak - ową tablice posiada przeważnie każda stacja robocza i jest ona ściśle związana z systemem operacyjnym?
2.Kiedy następuje wyczyszczenie tablicy? Bo wyłączeniu systemu operacyjnego?
3.Rozumiem że ARP działa przy połączeniach w sieciach lokalnych, lecz ni tylko w nich? Mam na myśli dłuższą przechadzkę naszego bitu jak np przez kilka bram?
4.Od jakich czynników zależy pomyślność ataku ARP redirect i jak się przed tym uchronić?
5. Jak się ma sprawa tablicy ARP do bramy/routera? Rozumiem że też ją posiadają?

Pozdrawiam

[TQM]

1.Rozumiem że sprawa tablicy wygląda tak - ową tablice posiada przeważnie każda stacja robocza i jest ona ściśle związana z systemem operacyjnym?

Wszystko zalezy od fizycznej topologii sieci. Jesli mowa o ethernet i podobnych to bedziesz mial adresy MAC, protokol ARP do mapowania miedzy MAC i IP, itd. Kazda maszyna gadajaca TCP/IP (chocby byla to druarka, telefon albo termometr w lodowce) bedzie tego uzywal jesli lacze jest ethernet lub podobne. Pisze ze ethernet bo nie jestem pewien jak to sie ma w FDDI czy innych bardziej egzotycznych technologiach, ktore nie sa powszechnie uzywane w domach.

2.Kiedy następuje wyczyszczenie tablicy? Bo wyłączeniu systemu operacyjnego?

Tak, to jest tablica dynamiczna i jest tworzona automatycznie w locie. Do tego wpisy moga w niej wygasac po okreslonym czasie zazwyczaj jest to 5 albo 10 minut, zaleznie od OSu i urzadzenia. Czasami mapowanie MAC-IP mozna tez okreslic na stale ale jesli nie masz konkretnie takiego wymogu to mija sie to z celem

3.Rozumiem że ARP działa przy połączeniach w sieciach lokalnych, lecz ni tylko w nich? Mam na myśli dłuższą przechadzkę naszego bitu jak np przez kilka bram?

ARP i adresy MAC nie wychodza poza brame Twojej sieci LAN. Brama ma w swojej tablicy liste adresow MAC ktore widzi tez na innych interfejsach, wiec mysl o tym jak o przekazywaniu pakietu z reki do reki - dostaje pakiet do lewej reki, przekazuje dalej prawa reka - znam MAC i IP tego kto mi podal po lewej i tego komu oddalem po prawej.

4.Od jakich czynników zależy pomyślność ataku ARP redirect i jak się przed tym uchronić?

Najprosciej wpisac na stale w swoim systemie jaki MAC ma Twoja brama, lokalny serwer DNS jesli masz itp... tak aby nic tego nie zmienilo jesli Ty takiej zmiany nie zrobisz. Wtedy atakujacy robiac arp spoofing bedzie w stanie co najwyzej slyszec odpowiedzi ale nie bedzie widzial tego co Ty wysylasz... albo calkiem zerwie Twoja lacznosc bo brama bedzie miala konflikt u siebie - jeden IP i dwa adresy MAC (prawdziwy i ten spoofowany). To co sie stanie bedzie zalezalo od bramy...

5. Jak się ma sprawa tablicy ARP do bramy/routera? Rozumiem że też ją posiadają?

Jak wyzej... jesli klient wysyla pakiet do IP poza swoja siecia (jak okreslone adresem sieci i maska) to pakiet zostanie na warstwie drugiej zaadresowany do MAC bramy... brama dostaje pakiet, widzi ze adres IP odbiorcy nie nalezy do niej i sprawdza w swojej tablicy routingu gdzie to wyslac. Jesli siec docelowa jest na jakims innym interfejsie to wysla dalej, jesli nie, to wysle do swojej bramy domyslnej (np do internetu) i proces powtarza sie do skutku...
Pozdrawiam[/QUOTE]

[Bss]

Hej, dzięki za pomoc TQM. Jednak wracając jeszcze do sprawy ARP redirect to zrozumiałem że w większości wszystko zależy od stopnia konfiguracji bramy i interfejsu sieciowego na stacji roboczej ofiary? Kolejna sprawa to kwestia przebiegu spoofowania bramy i stacji roboczej ofiary. Rozumiem że jeżeli jakaś stacja robocza zostanie podłączona do lokalnej sieci to wysyła informacje do wszystkich maszyn ze swoim adresem? Więc jeżeli zostanie to zapisane przez inne stacje w tym bramę w tablicy ARP to brama wysyłająca do tej stacji pakiety nie będzie przy każdym transferze pytać o adres tylko będzie korzystać z tego który jest w tablicy ARP? Czyli jak dobrze zrozumiałem atak ten polega na spoofowaniu - przekonaniu bramy/stacji że stacja/brama zmieniła adres i jest dostępna pod nowym adresem (hakera)? Więc wynika z tego że wykonywanie spoofingu co jakiś(powiedzmy 10s) czas jest konieczne żeby stacja/brama nie wysłały w czasie ataku komunikatu o swoim adresie jeżeli ten ulegnie wyczyszczeniu w tablicy ARP? I do tego kwestia czy pakiety będą wędrować między sobą brama-stacja ale przez stacje hakera to już osobna kwestia np. wykorzystanego skryptu(jednym słowem czy komputer hakera zatrzyma pakiety czy prześle je dalej dając mylne stwierdzenie że wszystko jest ok)?

[TQM]

Hej, dzięki za pomoc TQM. Jednak wracając jeszcze do sprawy ARP redirect to zrozumiałem że w większości wszystko zależy od stopnia konfiguracji bramy i interfejsu sieciowego na stacji roboczej ofiary?

Tak ale mozna zabezpieczenie zrobic tez na poziomie sieci jesli masz odpowiedni sprzet - niektore switche (ja znam to z urzadzen Cisco) pozwalaja okreslic ile adresow MAC moze byc na danym fizycznym porcie. Jesli masz podpieta stacje robocza to ustawiasz na 1 adres MAC, jak sie pojawi wiecej niz jeden to port moze zostac calkiem wylaczony - rownowazne z wyciagnieciem kabla z gniaza... wtedy admin sieci musi recznie przywrocic lacznosc ale juz wie ze cos tam bylo nie tak i dlaczego port zostal wylaczony.

Kolejna sprawa to kwestia przebiegu spoofowania bramy i stacji roboczej ofiary. Rozumiem że jeżeli jakaś stacja robocza zostanie podłączona do lokalnej sieci to wysyła informacje do wszystkich maszyn ze swoim adresem?

Moze nie zawsze do wszystkich ale w uproszczeniu mozna to tak okreslic

Więc jeżeli zostanie to zapisane przez inne stacje w tym bramę w tablicy ARP to brama wysyłająca do tej stacji pakiety nie będzie przy każdym transferze pytać o adres tylko będzie korzystać z tego który jest w tablicy ARP?

Dokladnie - jesli inna stacja zauwazy pytania i odpowiedzi ARP to zapamieta w swojej tablicy i bedzie tego uzywac przez jakis czas.

Czyli jak dobrze zrozumiałem atak ten polega na spoofowaniu - przekonaniu bramy/stacji że stacja/brama zmieniła adres i jest dostępna pod nowym adresem (hakera)? Więc wynika z tego że wykonywanie spoofingu co jakiś(powiedzmy 10s) czas jest konieczne żeby stacja/brama nie wysłały w czasie ataku komunikatu o swoim adresie jeżeli ten ulegnie wyczyszczeniu w tablicy ARP?

Tak... ale niektore systemy/urzadzenia nie pozwalaja na podmiane rekordow w tablicy jesli juz cos zapamietaja - wtedy atakujacy musi czekac az wpis w tablicy wygasnie i wtedy wstawic szybko swoj, co nie zawsze jest mozliwe. Z tego co pamietam to miedzy innymi Solarisy tak robia

I do tego kwestia czy pakiety będą wędrować między sobą brama-stacja ale przez stacje hakera to już osobna kwestia np. wykorzystanego skryptu(jednym słowem czy komputer hakera zatrzyma pakiety czy prześle je dalej dając mylne stwierdzenie że wszystko jest ok)?

Tak, dlatego atakujacy musi poprawnie skonfigurowac swoja stacje aby calosc dzialala.

To sa podstawy arp spoofing'u...

[Bss]

Ok dzięki za wszystko, moje wątpliwości zostały rozwiane.

EDIT: Z ciekawości, posiada ktoś dane statystyczne w ilu % ta metoda ataku jest skuteczna?

Pozdrawiam