- Cos'è l'indirizzo IP e Mac
- Che cos'è l'avvelenamento da protocollo ARP (Address Resolution Protocol)?
- Attività di hacking: configurare ARP statico in Windows
Che cosa sono gli indirizzi IP e MAC
Indirizzo IP è l'acronimo di indirizzo del protocollo Internet. Un indirizzo di protocollo Internet viene utilizzato per identificare in modo univoco un computer o un dispositivo come stampanti, dischi di archiviazione su una rete di computer. Attualmente esistono due versioni di indirizzi IP. IPv4 utilizza numeri a 32 bit. A causa della massiccia crescita di Internet, è stato sviluppato IPv6 e utilizza numeri a 128 bit.
Gli indirizzi IPv4 sono formattati in quattro gruppi di numeri separati da punti. Il numero minimo è 0 e il numero massimo è 255. Un esempio di indirizzo IPv4 ha questo aspetto;
127.0.0.1
Gli indirizzi IPv6 sono formattati in gruppi di sei numeri separati da due punti pieni. I numeri di gruppo vengono scritti come 4 cifre esadecimali. Un esempio di un indirizzo IPv6 è simile a questo;
2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334
Per semplificare la rappresentazione degli indirizzi IP in formato testo, gli zeri iniziali vengono omessi e il gruppo di zeri viene completamente omesso. L'indirizzo sopra in un formato semplificato viene visualizzato come;
2001: db8: 85a3 ::: 8a2e: 370: 7334
MAC Address è l'acronimo di Media Access Control Address. Gli indirizzi MAC vengono utilizzati per identificare in modo univoco le interfacce di rete per la comunicazione a livello fisico della rete. Gli indirizzi MAC sono generalmente incorporati nella scheda di rete.
Un indirizzo MAC è come un numero di serie di un telefono mentre l'indirizzo IP è come il numero di telefono.
Esercizio
Daremo per scontato che tu stia utilizzando Windows per questo esercizio. Apri il prompt dei comandi.
Immettere il comando
ipconfig /all
Otterrai informazioni dettagliate su tutte le connessioni di rete disponibili sul tuo computer. I risultati mostrati di seguito si riferiscono a un modem a banda larga per mostrare l'indirizzo MAC e il formato IPv4 e la rete wireless per mostrare il formato IPv6.
Cos'è l'avvelenamento da ARP?
ARP è l'acronimo di Address Resolution Protocol . Viene utilizzato per convertire l'indirizzo IP in indirizzi fisici [indirizzo MAC] su uno switch. L'host invia una trasmissione ARP sulla rete e il computer destinatario risponde con il suo indirizzo fisico [indirizzo MAC]. L'indirizzo IP / MAC risolto viene quindi utilizzato per comunicare. L'avvelenamento da ARP sta inviando falsi indirizzi MAC allo switch in modo che possa associare i falsi indirizzi MAC con l'indirizzo IP di un vero computer su una rete e dirottare il traffico .
Contromisure per avvelenamento da ARP
Voci ARP statiche : possono essere definite nella cache ARP locale e lo switch può essere configurato per ignorare tutti i pacchetti di risposta ARP automatici. Lo svantaggio di questo metodo è che è difficile da mantenere su reti di grandi dimensioni. La mappatura degli indirizzi IP / MAC deve essere distribuita a tutti i computer della rete.
Software di rilevamento avvelenamento ARP : questi sistemi possono essere utilizzati per verificare la risoluzione degli indirizzi IP / MAC e certificarli se sono autenticati. Le risoluzioni di indirizzi IP / MAC non certificate possono quindi essere bloccate.
Sicurezza del sistema operativo : questa misura dipende dal sistema operativo utilizzato. Le seguenti sono le tecniche di base utilizzate dai vari sistemi operativi.
- Basati su Linux : funzionano ignorando i pacchetti di risposta ARP non richiesti.
- Microsoft Windows : il comportamento della cache ARP può essere configurato tramite il registro. Il seguente elenco include alcuni dei software che possono essere utilizzati per proteggere le reti dallo sniffing;
- AntiARP - fornisce protezione contro lo sniffing attivo e passivo
- Agnitum Outpost Firewall - fornisce protezione contro lo sniffing passivo
- XArp : fornisce protezione contro lo sniffing attivo e passivo
- Mac OS : ArpGuard può essere utilizzato per fornire protezione. Protegge sia dallo sniffing attivo che da quello passivo.
Attività di hacking: configurare le voci ARP in Windows
Stiamo usando Windows 7 per questo esercizio, ma i comandi dovrebbero essere in grado di funzionare anche su altre versioni di Windows.
Apri il prompt dei comandi e inserisci il seguente comando
arp -a
QUI,
- apr chiama il programma di configurazione ARP situato nella directory Windows / System32
- -a è il parametro da visualizzare nel contenuto della cache ARP
Otterrai risultati simili ai seguenti
Nota : le voci dinamiche vengono aggiunte ed eliminate automaticamente quando si utilizzano sessioni TCP / IP con computer remoti.
Le voci statiche vengono aggiunte manualmente e vengono eliminate quando il computer viene riavviato e la scheda di interfaccia di rete viene riavviata o altre attività che la interessano.
Aggiunta di voci statiche
Aprire il prompt dei comandi, quindi utilizzare il comando ipconfig / all per ottenere l'indirizzo IP e MAC
L'indirizzo MAC è rappresentato utilizzando l'indirizzo fisico e l'indirizzo IP è IPv4Address
Immettere il seguente comando
arp -s 192.168.1.38 60-36-DD-A6-C5-43
Nota: l'indirizzo IP e MAC sarà diverso da quelli utilizzati qui. Questo perché sono unici.
Utilizzare il seguente comando per visualizzare la cache ARP
arp -a
Otterrai i seguenti risultati
Nota che l'indirizzo IP è stato risolto con l'indirizzo MAC che abbiamo fornito ed è di tipo statico.
Eliminazione di una voce della cache ARP
Utilizzare il seguente comando per rimuovere una voce
arp -d 192.168.1.38
L' avvelenamento da PS ARP funziona inviando indirizzi MAC falsi allo switch