- Wat is IP- en Mac-adres
- Wat is Address Resolution Protocol (ARP) -vergiftiging?
- Hacking-activiteit: configureer statische ARP in Windows
Wat zijn IP- en MAC-adressen
IP-adres is de afkorting voor Internet Protocol-adres. Een internetprotocoladres wordt gebruikt om een computer of apparaat, zoals printers, opslagschijven op een computernetwerk, uniek te identificeren. Er zijn momenteel twee versies van IP-adressen. IPv4 gebruikt 32-bits getallen. Vanwege de enorme groei van internet is IPv6 ontwikkeld en gebruikt het 128-bits nummers.
IPv4-adressen worden opgemaakt in vier groepen getallen gescheiden door punten. Het minimumaantal is 0 en het maximumaantal is 255. Een voorbeeld van een IPv4-adres ziet er als volgt uit;
127.0.0.1
IPv6-adressen worden opgemaakt in groepen van zes cijfers gescheiden door volledige dubbele punten. De groepsnummers worden geschreven als 4 hexadecimale cijfers. Een voorbeeld van een IPv6-adres ziet er als volgt uit;
2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334
Om de weergave van de IP-adressen in tekstformaat te vereenvoudigen, worden voorloopnullen weggelaten en wordt de groep nullen weggelaten. Het bovenstaande adres in een vereenvoudigd formaat wordt weergegeven als;
2001: db8: 85a3 ::: 8a2e: 370: 7334
MAC-adres is de afkorting voor media access control-adres. MAC-adressen worden gebruikt om netwerkinterfaces op unieke wijze te identificeren voor communicatie op de fysieke laag van het netwerk. MAC-adressen zijn meestal ingebed in de netwerkkaart.
Een MAC-adres is als een serienummer van een telefoon, terwijl het IP-adres hetzelfde is als het telefoonnummer.
Oefening
We gaan ervan uit dat u voor deze oefening vensters gebruikt. Open de opdrachtprompt.
Voer de opdracht in
ipconfig /all
U krijgt gedetailleerde informatie over alle netwerkverbindingen die op uw computer beschikbaar zijn. De hieronder getoonde resultaten zijn voor een breedbandmodem om het MAC-adres en IPv4-formaat te tonen en voor draadloos netwerk om het IPv6-formaat te tonen.
Wat is ARP-vergiftiging?
ARP is de afkorting voor Address Resolution Protocol . Het wordt gebruikt om IP-adressen om te zetten in fysieke adressen [MAC-adres] op een switch. De host verzendt een ARP-uitzending op het netwerk en de ontvangende computer antwoordt met zijn fysieke adres [MAC-adres]. Het opgeloste IP / MAC-adres wordt vervolgens gebruikt om te communiceren. ARP-vergiftiging stuurt nep-MAC-adressen naar de switch, zodat deze de nep-MAC-adressen kan associëren met het IP-adres van een echte computer op een netwerk en het verkeer kan kapen .
ARP-vergiftigingsmaatregelen
Statische ARP-vermeldingen : deze kunnen worden gedefinieerd in de lokale ARP-cache en de switch kan worden geconfigureerd om alle automatische ARP-antwoordpakketten te negeren. Het nadeel van deze methode is dat het moeilijk te onderhouden is op grote netwerken. IP / MAC-adrestoewijzing moet naar alle computers op het netwerk worden gedistribueerd.
ARP-vergiftigingsdetectiesoftware : deze systemen kunnen worden gebruikt om de IP / MAC-adresresolutie te controleren en te certificeren als ze zijn geverifieerd. Ongecertificeerde IP / MAC-adresresoluties kunnen dan worden geblokkeerd.
Beveiliging besturingssysteem : deze maatregel is afhankelijk van het gebruikte besturingssysteem. Hieronder volgen de basistechnieken die door verschillende besturingssystemen worden gebruikt.
- Linux gebaseerd : deze werken door ongevraagde ARP-antwoordpakketten te negeren.
- Microsoft Windows : het ARP-cachegedrag kan worden geconfigureerd via het register. De volgende lijst bevat een deel van de software die kan worden gebruikt om netwerken tegen snuffelen te beschermen;
- AntiARP - biedt bescherming tegen zowel passief als actief snuiven
- Agnitum Outpost Firewall - biedt bescherming tegen passief snuiven
- XArp - biedt bescherming tegen zowel passief als actief snuiven
- Mac OS : ArpGuard kan worden gebruikt om bescherming te bieden. Het beschermt tegen zowel actief als passief snuiven.
Hacking-activiteit: configureer ARP-vermeldingen in Windows
We gebruiken Windows 7 voor deze oefening, maar de commando's zouden ook in andere versies van Windows moeten kunnen werken.
Open de opdrachtprompt en voer de volgende opdracht in
arp -a
HIER,
- apr roept het ARP-configuratieprogramma aan dat zich in de Windows / System32-directory bevindt
- -a is de parameter om de inhoud van de ARP-cache weer te geven
U krijgt resultaten die vergelijkbaar zijn met de volgende
Opmerking : dynamische vermeldingen worden automatisch toegevoegd en verwijderd bij gebruik van TCP / IP-sessies met externe computers.
Statische vermeldingen worden handmatig toegevoegd en worden verwijderd wanneer de computer opnieuw wordt opgestart en de netwerkinterfacekaart opnieuw wordt opgestart of andere activiteiten die hierop van invloed zijn.
Statische vermeldingen toevoegen
Open de opdrachtprompt en gebruik vervolgens de opdracht ipconfig / all om het IP- en MAC-adres op te halen
Het MAC-adres wordt weergegeven met het fysieke adres en het IP-adres is IPv4Address
Voer de volgende opdracht in
arp -s 192.168.1.38 60-36-DD-A6-C5-43
Opmerking: het IP- en MAC-adres zullen verschillen van de hier gebruikte adressen. Dit komt omdat ze uniek zijn.
Gebruik de volgende opdracht om de ARP-cache te bekijken
arp -a
U krijgt de volgende resultaten
Merk op dat het IP-adres is omgezet naar het MAC-adres dat we hebben opgegeven en het is van een statisch type.
Een ARP-cache-item verwijderen
Gebruik de volgende opdracht om een item te verwijderen
arp -d 192.168.1.38
PS ARP-vergiftiging werkt door nep-MAC-adressen naar de switch te sturen