TCP/IP Attacks – ARP Cache Poisoning Fundamentals Explained

chmood
       Misalkan 'A' dan 'B' adalah teman yang sangat baik dan saham 'A' semua rahasia dengan 'B'.Sekarang jika seorang pria 'C' datang dan palsu seolah-olah ia adalah 'B'. Dapatkah Anda membayangkan apa yang bisa terjadi? Ya, 'A' bisa memberitahu semua rahasia untuk 'C' dan 'C' bisa menyalahgunakannya.Dalam bahasa awam, ini adalah apa yang kita maksud dengan keracunan ARP cache.

Keracunan ARP dapat menyebabkan banyak masalah serius jaringan dan administrator jaringan harus tahu bagaimana serangan ini bekerja.
ARP Protocol
Sebelum Melompat ke deskripsi keracunan ARP cache, mari kita pertama menyegarkan bagaimana protokol ARP bekerja. Protokol ARP terdiri dari 4 pesan dasar sebagai berikut:
1. permintaan ARP: Komputer 'A' meminta pada jaringan, "yang memiliki IP ini?"
2. ARP balasan: Semua komputer lain mengabaikan permintaan kecuali komputer yang memiliki IP yang diminta. Komputer ini, katakanlah 'B' kata, saya memiliki alamat IP yang diminta dan di sini adalah alamat MAC saya.
3. Permintaan RARP: Ini lebih atau kurang sama dengan permintaan ARP, perbedaan adalah bahwa dalam pesan ini alamat MAC adalah luas dicor pada jaringan.
4. RARP balasan: Konsep yang sama. Komputer 'B' mengatakan bahwa MAC diminta adalah milikku dan di sini adalah alamat IP saya.
Semua perangkat yang terhubung ke jaringan memiliki cache ARP. Cache ini berisi pemetaan dari semua MAC dan IP address untuk perangkat jaringan host ini sudah dikomunikasikan dengan.
ARP Cache Poisoning Concept
Protokol ARP dirancang untuk menjadi sederhana dan efisien tapi cacat besar dalam protokol adalah kurangnya otentikasi. Tidak ada otentikasi telah ditambahkan ke pelaksanaannya dan sebagai hasilnya, tidak ada cara untuk mengotentikasi IP ke alamat MAC pemetaan di balasan ARP. Selanjutnya, tuan rumah bahkan tidak memeriksa apakah itu mengirim permintaan ARP untuk yang menerima ARP pesan.
Dalam bahasa awam, jika komputer 'A' telah dikirim dan permintaan ARP dan mendapat balasan ARP, maka protokol ARP tidak berarti dapat memeriksa apakah informasi atau IP untuk MAC pemetaan di balasan ARP benar atau tidak. Juga, bahkan jika tuan rumah tidak mengirim permintaan ARP dan mendapat balasan ARP, kemudian juga mempercayai informasi di balasan dan update ARP cache-nya. Hal ini dikenal sebagai keracunan ARP cache.

Jadi Anda dapat melihat bahwa mudah untuk mengeksploitasi kelemahan ini protokol ARP. Hacker jahat dapat menyusun ARP balasan valid di mana IP setiap dipetakan ke alamat MAC dari pilihan hacker dan dapat mengirim pesan ini ke jaringan lengkap. Semua perangkat pada jaringan akan menerima pesan ini dan akan memperbarui tabel ARP mereka dengan informasi baru dan cara ini hacker dapat mengontrol untuk dan komunikasi mondar-mandir dari semua host di jaringan.

Keracunan ARP Cache Konsekuensi

Setelah seorang hacker melihat kemungkinan keracunan ARP cache, penyerang dapat menggunakan berbagai teknik serangan untuk menyakiti atau untuk mendapatkan kontrol dari mesin korban. Mari kita membahas beberapa dari mereka di sini:

1) Penolakan layanan

Seorang hacker dapat mengirim ARP pemetaan alamat IP pada jaringan dengan alamat MAC yang salah atau tidak ada. Sebagai contoh, ARP palsu balasan pemetaan jaringan router IP dengan MAC tidak ada akan menurunkan konektivitas dari seluruh jaringan dengan dunia luar seperti sekarang setiap paket yang dikirim ke IP router akan dikirim ke mesin dengan alamat MAC yang tidak ada.

2) Man di Tengah

Sebagai nama menyarankan, para hacker dapat membuat mesinnya duduk tepat di antara komunikasi antara sistem dan sistem lain pada jaringan. Cara ini hacker dapat mengendus semua lalu lintas ke dan dari dari kedua mesin.

Untuk mencapai hal ini kira mesin Anda adalah tuan rumah 'A' dan router jaringan Anda adalah host 'B'. 'A' memiliki IP-A dan MAC-A, sementara 'B' memiliki IP-B dan MAC-B sebagai alamat IP dan alamat MAC masing-masing. Sekarang, hacker mengirimkan ARP membalas router pemetaan IP (IP-A) dengan alamat MAC mesinnya dan ARP lain membalas mesin anda router pemetaan IP dengan alamat MAC mesin nya. Sekarang setiap pesan yang dikirim oleh mesin Anda ke router atau dari router ke mesin anda akan mencapai mesin hacker. Hacker sekarang dapat mengaktifkan fitur 'IP forwarding' pada mesin-nya yang memungkinkan mesin hacker untuk meneruskan semua lalu lintas ke sana kemari untuk mesin Anda dan router. Dengan cara ini mesin hacker duduk tepat di tengah dan dapat mengendus atau memblokir lalu lintas.

3) MAC Banjir

Untuk switch pada jaringan, MAC banjir adalah teknik cache yang poising ARP yang digunakan. Banyak jaringan switch ketika kelebihan beban dapat mulai bertindak seperti sebuah hub dan mulai penyiaran semua lalu lintas jaringan untuk semua host terhubung ke jaringan. Jadi hacker dapat membanjiri switch dengan balasan ARP palsu dan dapat beralih untuk memulai berperilaku seperti hub. Dalam peran ini, switch tidak mengaktifkan fitur yang 'keamanan pelabuhan' karena yang menyiarkan semua lalu lintas jaringan dan mengambil keuntungan dari ini, hacker dapat packet mengendus jaringan.

ARP Cache Teknik Mitigasi Keracunan

Keracunan cache ARP dari jarak jauh agak sulit karena membutuhkan baik akses fisik ke jaringan atau kontrol dari salah satu mesin di jaringan. Sejak tidak selalu mudah serangan sehingga ARP tidak sering terdengar. Anyways, mengambil tindakan pencegahan lebih baik daripada mengambil obat-obatan. Administrator jaringan harus berhati-hati bahwa jenis ini serangan tidak terjadi. Berikut adalah poin mitigasi beberapa:

§ Untuk jaringan kecil, entri ARP statis dapat dipertahankan. Statis berarti tidak berubah, sehingga namanya entri ini tidak dapat diubah dan dengan demikian setiap mencoba oleh hacker untuk mengubah pemetaan gagal. Ini bagus untuk jaringan kecil tetapi tidak untuk jaringan besar sebagai pemetaan untuk setiap perangkat baru ditambahkan ke jaringan perlu dilakukan secara manual.
§ Untuk jaringan yang besar, fitur keamanan pelabuhan switch jaringan dapat dieksplorasi. Beberapa fitur ketika dihidupkan kekuatan saklar untuk memungkinkan hanya satu alamat MAC untuk setiap port fisik pada switch. Fitur ini akan memastikan bahwa mesin tidak dapat mengubah alamat MAC mereka dan tidak dapat memetakan lebih dari satu MAC untuk mesin mereka maka mencegah serangan seperti 'manusia di tengah'.
§ Secara umum, Beberapa alat pemantauan seperti arpwatch dapat digunakan untuk mendapatkan peringatan ketika beberapa aktivitas ARP berbahaya terjadi pada jaringan Anda.
Untuk menyimpulkan, dalam artikel ini, kami mempelajari dasar-dasar protokol ARP, celah-nya, bagaimana celah ini dapat dimanfaatkan dan bagaimana mereka dapat dikurangi.

Komentar