Introduction to ARP Spoofing Sean Whalen arpspoof@gmx.net http://chocobospore.org/arpspoof April, 2001 Revisi 1.

8 P U P R O S E Makalah ini dengan subjek spoofing ARP. spoofing ARP adalah metode memanfaatkan interaksi protokol IP dan Ethernet. Hal ini hanya berlaku untuk jaringan Ethernet berjalan IP. Subjek akan ditangani sedemikian rupa sehingga orang dengan pengalaman jaringan dasar dapat memahami kunci poin subjek. Pengetahuan tentang model / referensi TCP IP adalah penting untuk m emahami penuh, seperti sebuah keakraban dengan pengoperasian jaringan switched dan non-switched. Beberapa latar belakang akan disajikan dalam "Pendahuluan" bagian, tapi pembaca yang berpengalaman mungkin ingin untuk melomp at ke "Operasi". Aku N T R O D U C T I O N Sebuah komputer yang tersambung ke Ethernet IP / LAN memiliki dua alamat. Salah satunya adalah alamat dari kartu jaringan, disebut alamat MAC. MAC, dalam teori, adalah alamat global yang unik dan tak ber ubah yang disimpan pada kartu jaringan itu sendiri. alamat MAC diperlukan sehingga protokol Ethernet dap at mengirim data bolak-balik, independen dari protokol apapun aplikasi yang digunakan di atasnya. Ethernet mem bangun "frame" data, yang terdiri dari 1500 blok byte. Setiap frame memiliki header Ethernet, berisi alamat MAC da ri sumber dan komputer tujuan. Alamat kedua adalah alamat IP. IP adalah protokol yang digunakan oleh aplikasi, independen apapun teknologi jaringan beroperasi di bawahnya. Setiap komputer di jaringan harus mem iliki alamat IP yang unik untuk berkomunikasi. alamat IP virtual dan ditugaskan melalui perangkat lunak. IP dan Ethernet harus bekerja sama. IP berkomunikasi dengan membangun "paket" ya ng mirip dengan frame, tapi memiliki struktur yang berbeda. Paket ini tidak dapat disampaikan ta npa lapisan data link. Dalam kasus kami mereka disampaikan oleh Ethernet, yang membagi paket menjadi frame, menambahkan header Ethernet untuk pengiriman, dan mengirimkan mereka turun kabel ke saklar. Switch kemudian memutuskan yang port u ntuk mengirim frame untuk, dengan membandingkan alamat tujuan dari frame ke sebuah meja internal yang memetakan nomor port ke al amat MAC. Ketika sebuah frame Ethernet dibangun, harus dibangun dari sebuah paket IP. Namu n, pada saat konstruksi, Ethernet tidak tahu apa alamat MAC dari mesin tujuan ini, yang perlu menciptakan header Ethernet. Satu-satunya informasi yang telah tersedia adalah IP tujuan dar i header paket. Ada harus ada cara untuk protokol Ethernet untuk menemukan alamat MAC dari mesin tuj uan, mengingat tujuan IP. Ini adalah tempat ARP, Address Resolution Protocol, masuk O P E R A T I O N ARP bekerja dengan mengirimkan keluar "ARP meminta" paket. Permintaan ARP mengaj ukan pertanyaan, "Apakah Anda IP alamat x.x.x.x? Jika demikian, mengirim Anda kembali MAC kepada saya "Ini paket

yang disiarkan ke semua komputer di LAN., bahkan pada jaringan diaktifkan. Setiap komputer meneliti permintaan ARP, memeri ksa apakah saat ini ditugaskan IP ditentukan, dan mengirim balasan ARP yang berisi alamat MAC-nya. Untuk memperkecil jumlah permintaan broadcast ARP ini, sistem operasi menyimpan cache ARP balasan. Ketika komputer menerima balasan ARP, maka akan update ARP cache dengan IP yang baru / asosiasi MAC. Sebagai ARP adalah protokol stateless, sistem operasi paling akan memperbarui cache mereka jika jaw aban yang diterima, terlepas dari apakah mereka telah mengirimkan permintaan yang sebenarnya. ARP spoofing melibatkan membangun ditempa balasan ARP. Dengan mengirimkan ditemp a balasan ARP, sebuah komputer target bisa diyakinkan untuk mengirim frame ditujukan untuk komputer A, bukan untuk per gi ke komputer B. Ketika dilakukan dengan benar, Sebuah komputer akan tidak tahu bahwa pengalihan ini terjadi. Proses memperbarui komputer target ARP cache dengan entri ditempa disebut sebagai "keracunan". A T T A C K S S N I F F I G N Switches menentukan frame yang pergi ke port dengan membandingkan tujuan MAC pad a frame yang terhadap meja. Tabel ini berisi daftar port dan alamat MAC terlampir. Tabel ini dibangun ketika saklar dinyalakan, dengan menguji sumber MAC dari frame pertama dikirimkan pada port masing-masing. kartu jaringan dapat memasukkan negara yang disebut mode "promiscuous" mana mere ka diizinkan untuk memeriksa frame yang ditujukan untuk MAC alamat lain daripada mereka sendiri. Pada jaringan diak tifkan ini bukan masalah, karena rute switch frame berdasarkan tabel yang dijelaskan di atas. Hal ini untuk mence gah sniffing frame orang lain. Namun, dengan menggunakan ARP spoofing, ada beberapa cara yang sniffing dapat di lakukan pada jaringan diaktifkan. Sebuah "man-in-the-middle" serangan adalah salah satunya. Ketika Mim dilakukan, suatu memasukkan pengguna jahat nya komputer antara jalur komunikasi dua komputer target. Sniffing kemudian dapat di lakukan. The komputer berbahaya akan meneruskan frame antara dua komputer target sehingga kom unikasi yang tidak terganggu. Serangan ini dilakukan sebagai berikut (dimana X adalah komputer meny erang, dan T1 dan T2 adalah target): - X meracuni ARP cache T1 dan T2. - T1 T2 IP asosiasi dengan X's MAC. - Asosiasi T1 T2 IP dengan X's MAC. - Semua T1 dan T2 lalu lintas IP akan pergi ke X pertama, bukannya langsung satu sama lain. Hal ini sangat potensial ketika kita mempertimbangkan bahwa tidak hanya bisa kom puter diracuni, tetapi router / gateway juga. Semua lalu lintas Internet untuk host dapat dicegat denga n metode ini dengan melakukan Mim pada komputer target dan router LAN. Metode lain sniffing pada jaringan switched adalah MAC banjir. Dengan mengirimka n balasan ARP palsu ke beralih pada tingkat yang sangat cepat, port switch / table MAC akan meluap. Has il bervariasi dengan merek, tetapi beberapa switch akan kembali untuk menyiarkan mode pada saat ini. Sniffing kemudian dapat dilakukan. B R O A D C A S T I N G Frame dapat disiarkan ke seluruh jaringan dengan menetapkan alamat tujuan untuk

FF: FF: FF: FF: FF: FF, juga dikenal sebagai siaran MAC. Dengan menyapu jaringan dengan balasan ARP pals u yang mengatur MAC jaringan gateway ke alamat broadcast, semua data eksternal-terikat akan disiarka n, memungkinkan sniffing. Jika tuan rumah adalah untuk mendengarkan permintaan ARP dan menghasilkan balasa n yang berisi alamat broadcast, berpotensi melumpuhkan jumlah data bisa disiarkan pada jaringan besar. O D S Memperbarui ARP cache dengan alamat MAC yang tidak ada akan menyebabkan frame me njadi berkurang. Hal ini bisa dikirim dengan cara menyapu untuk semua klien di jaringan untuk menyebabkan sera ngan Denial of Service. Ini adalah juga efek samping dari serangan pasca-Mim, karena komputer ditargetkan akan teru s mengirim frame ke penyerang MAC alamat bahkan setelah mereka menghapus diri dari jalur komunikasi. Untuk melakuk an serangan Mim bersih, komputer target harus memiliki entri ARP asli dikembalikan oleh komputer menyera ng. H I J A K C I N G pembajakan Koneksi memungkinkan penyerang untuk mengambil kendali dari hubungan antara dua komputer, dengan menggunakan mirip dengan metode serangan Mim. Ini transfer kontrol dapat menghasilkan semua jenis sesi yang ditransfer. Untuk contoh, seorang penyerang dapat mengambil kendali dari sesi telnet setelah kompu ter target telah login ke kotak komputer sebagai administrator. C L O N I N G alamat MAC tersebut dimaksudkan untuk menjadi global pengidentifikasi unik untuk setiap antarmuka jaringan yang dihasilkan. Mereka akan dibakar ke dalam ROM dari tiap antar muka, dan tidak akan diganti. H ari ini, bagaimanapun, alamat MAC mudah berubah. pengguna Linux bahkan dapat mengubah mereka tanpa spoofing MAC pe rangkat lunak, menggunakan parameter tunggal untuk "Ifconfig", konfigurasi antarmuka program untuk OS. Seorang penyerang bisa DoS sebuah komputer target, kemudian menetapkan diri IP d an MAC dari komputer target, menerima semua frame ditujukan untuk target. T O L O S A P R O S O N I HTTP: / / WEB.SYR.EDU / ~ SABUER / ARPOISON / ARPoison adalah alat command-line untuk UNIX yang menciptakan palsu balasan ARP. Pengguna dapat menentukan sumber dan tujuan IP / MAC address. T E T E R C P A HTTP: / / ETTERCAP.SOURCEFORGE.NET Ettercap adalah program UNIX kuat menggunakan teks mode GUI, cukup mudah untuk d igunakan oleh "script kiddies ". Semua operasi yang otomatis, dan komputer target dipilih dari daftar host digulir terdeteksi di LAN. Ettercap dapat melakukan empat metode sniffing: IP, MAC, ARP, dan Publik ARP. Ha l ini juga mengotomatisasi prosedur berikut: - Penyuntikan karakter ke koneksi - Sniffing sesi SSH dienkripsi - Koleksi Password - OS fingerprinting - Koneksi membunuh Parasit adalah sebuah daemon yang menonton LAN untuk permintaan ARP, dan secara

otomatis mengirim balasan ARP palsu. Ini menempatkan komputer menyerang sebagai Mim untuk komputer apapun yang siaran dan permintaan ARP. Akhirnya, ini hasil dalam serangan MIM LAN-lebar dan semua data di saklar bisa mengendus. Parasit tidak melakukan yang tepat membersihkan ketika berhenti. Hal ini menghas ilkan DoS dari semua komputer keracunan karena mereka ARP cache menunjuk ke alamat MAC yang tidak lagi meneruskan frame mereka. Keracunan ARP entri harus berakhir sebelum operasi normal dapat melanjutkan kembali. D E F E N E S S Tidak ada pertahanan universal terhadap spoofing ARP. Bahkan, satu-satunya perta hanan yang mungkin adalah penggunaan statis (Non-berubah) ARP entri. Karena masukan statis tidak dapat diperbarui, ARP palsu balasan diabaikan. Untuk mencegah spoofing, ARP tabel harus memiliki entri statis untuk setiap mesin pada jaringan . Overhead dalam deploying tabel ini, serta menjaga mereka up to date, tidak praktis untuk sebagi an besar LAN. Juga diperhatikan adalah perilaku rute statis di bawah Windows. Pengujian menemukan bahwa Windows masih m enerima balasan ARP palsu dan update entri yang statis dengan MAC palsu, menyabot tujuan rute statis. MAC kloning dapat dicegah dengan fitur yang ditemukan pada switch high-end yang disebut Port Security (juga dikenal sebagai Binding port atau MAC Binding). Port Security mencegah perubahan pada tabel MAC switch, kecuali secara manual dilakukan oleh seorang admin jaringan. Hal ini tidak cocok untuk jaringan besar, atau jaringan dengan menggunakan DHCP. Port Keamanan tidak tidak mencegah spoofing ARP. Selain dari dua metode ini, satu-satunya pertahanan yang tersisa adalah deteksi. Arpwatch adalah program UNIX gratis yang mendengarkan jawaban ARP pada jaringan. Ini akan membangun sebuah tabel IP / MAC asosiasi dan menyimpannya dalam file. Bila alamat MAC yang terasosiasi dengan perubahan IP (disebut sebagai flip-flop) , sebuah email dikirim ke administrator. Pengujian menunjukkan bahwa berjalan Parasit pada sebuah jaringan menyebabkan ba njir flip-flop, meninggalkan MAC penyerang hadir di email Arpwatch's. Ettercap disebabkan beberapa sandal jepit, tetapi akan sulit untuk mendeteksi di DHCP-enabled jaringan di mana sandal jepit terjadi pada interval teratur. MAC kloning dapat dideteksi dengan menggunakan RARP (Reverse ARP). permintaan RA RP IP alamat MAC yang dikenal alamat. Mengirim permintaan RARP untuk semua alamat MAC pada jaringan bisa menen tukan apakah komputer apapun melakukan kloning, jika beberapa balasan yang diterima untuk alamat MAC tunggal. Jika banjir MAC dilakukan dan beralih kembali ke modus siaran, komputer harus me masukkan modus promiscuous untuk memeriksa frame siaran. Banyak metode yang ada untuk men deteksi mesin dalam promiscuous modus. Ini dapat ditemukan di FAQ Sniffing, di http://www.robertgraham.com/pubs/ sniffing-faq.html. Catatan bahwa Anda dapat melakukan ARP Spoofing tanpa dalam modus promiscuous sejak fram e diarahkan akan diarahkan ke Anda MAC. Penting untuk diingat bahwa sistem operasi telah mereka sendiri TCP / IP stack, dan kartu Ethernet memiliki driver sendiri, masing-masing dengan kebiasaan mereka sendiri. Bahkan b erbagai versi sistem operasi yang sama memiliki variasi dalam perilaku. Solaris adalah unik dalam perlakuan terhadap balasan ARP . Solaris hanya menerima update ARP setelah

periode timeout. Untuk meracuni cache dari kotak Solaris, penyerang harus DoS me sin target kedua di Untuk menghindari kondisi lomba setelah masa timeout. DoS ini dapat dideteksi ji ka jaringan telah Intrusion sebuah Detection System di tempat. L / C O S G I N ARP spoofing adalah salah satu dari beberapa kerentanan yang ada dalam protokol jaringan modern, yang memungkinkan berpengetahuan pemerintahan bebas individu melalui jaringan. spoofing IP, TCP pr ediksi urutan, dan ICMP pengalihan adalah hanya beberapa contoh dari kelemahan lancar lainnya pada protokol ini. Hal ini t idak mungkin bahwa masalah ini akan ditangani sampai mereka dilecehkan dalam skala cukup luas untuk memaksa perubaha n dalam status quo. Masalahnya adalah poised untuk tumbuh sebagai broadband Metropolitan Area Networks diimplementasikan meng gunakan Ethernet sebagai protokol pilihan. Informasi dalam tulisan ini sangat dipengaruhi oleh proyek Ettercap dan Parasit. Bukti konsep tes dilakukan dengan alat yang disebutkan dalam tulisan ini, terhadap Linux, Win dows NT, dan Windows 2000 mesin.