Wireshark での ARP スプーフィング攻撃の分析

Wireshark Deno Arp Supufingu Gong Jino Fen Xi



多くのネットワーク攻撃について聞いたことがあるかもしれません。 ARP スプーフィングは、数あるネットワーク攻撃の 1 つです。 ARP スプーフィングは、攻撃者によって ARP 要求が競合的にローカル エリア ネットワークに送信されるメカニズムです。被害者からの ARP 応答がある場合、攻撃者の MAC アドレスは別の実際のホストの IP アドレスで更新されるため、実際のトラフィックは実際のシステムではなく攻撃者のシステムに送られます。この記事では、ARP スプーフィング攻撃について詳しく説明します。

ARP スプーフィング攻撃で使用するツール

Arpspoof、Cain & Abel、Arpoison、Ettercap など、ARP スプーフィングを開始するために利用できるツールは多数あります。

上記のツールが ARP 要求を論争的に送信する方法を示すスクリーンショットを次に示します。







ARP スプーフィング攻撃の詳細

いくつかのスクリーンショットを見て、ARP スプーフィングを段階的に理解しましょう。



ステップ1 :



攻撃者の期待は、被害者の MAC アドレスを学習できるように ARP 応答を取得することです。スクリーンショットをさらに見ていくと、192.168.56.100 と 192.168.56.101 の IP アドレスから 2 つの ARP 応答があることがわかります。この後、被害者 [192.168.56.100 および 192.168.56.101] は ARP キャッシュを更新しますが、クエリを返しませんでした。そのため、ARP キャッシュのエントリは修正されません。

ARP 要求パケット番号は 137 と 138 です。ARP 応答パケット番号は 140 と 143 です。



したがって、攻撃者は ARP スプーフィングを行うことで脆弱性を発見します。これを「攻撃の入り口」と呼びます。

ステップ2:
パケット番号は 141、142 および 144、146 です。

以前のアクティビティから、攻撃者は 192.168.56.100 および 192.168.56.101 の有効な MAC アドレスを取得しています。攻撃者の次のステップは、被害者の IP アドレスに ICMP パケットを送信することです。与えられたスクリーンショットから、攻撃者が ICMP パケットを送信し、192.168.56.100 と 192.168.56.101 から ICMP 応答を受け取ったことがわかります。これは、両方の IP アドレス [192.168.56.100 と 192.168.56.101] が到達可能であることを意味します。

ステップ 3:

ホストがアクティブであり、08:00:27:dd:84:45 の同じ MAC アドレスを持っていることを確認するために、192.168.56.101 IP アドレスに対する最後の ARP 要求があることがわかります。

指定されたパケット番号は 3358 です。

ステップ 4:

192.168.56.101 IP アドレスを持つ別の ICMP 要求と応答があります。パケット番号は 3367 と 3368 です。

ここから、攻撃者は IP アドレスが 192.168.56.101 の被害者を標的にしていると考えられます。

現在、IP アドレス 192.168.56.100 または 192.168.56.101 から IP 192.168.56.1 に由来する情報は、IP アドレスが 192.168.56.1 である MAC アドレス攻撃者に到達します。

ステップ 5:

攻撃者がアクセスすると、実際の接続を確立しようとします。与えられたスクリーンショットから、HTTP 接続の確立が攻撃者から試みられていることがわかります。 HTTP 内に TCP 接続があり、これは 3 ウェイ ハンドシェイクが必要であることを意味します。 TCP のパケット交換は次のとおりです。

SYN -> SYN+ACK -> ACK。

与えられたスクリーンショットから、攻撃者が異なるポートで SYN パケットを複数回再試行していることがわかります。フレーム番号 3460 ~ 3469。パケット番号 3469 SYN は、HTTP であるポート 80 用です。

ステップ 6:

最初に成功した TCP ハンドシェイクは、特定のスクリーンショットの次のパケット番号に示されています。

4488: 攻撃者からの SYN フレーム
4489: 192.168.56.101 からの SYN+ACK フレーム
4490: 攻撃者からの ACK フレーム

ステップ 7:

TCP 接続が成功すると、攻撃者は HTTP 接続 [フレーム番号 4491 ~ 4495] を確立し、続いて SSH 接続 [フレーム番号 4500 ~ 4503] を確立できます。

これで、攻撃は次のことを実行できるように十分に制御できるようになりました。

  • セッションハイジャック攻撃
  • 中間者攻撃 [MITM]
  • サービス拒否 (DoS) 攻撃

ARP スプーフィング攻撃を防ぐ方法

ARP スプーフィング攻撃を防ぐために実行できる保護策を次に示します。

  1. 「静的 ARP」エントリの使用
  2. ARP スプーフィングの検出および防止ソフトウェア
  3. パケットフィルタリング
  4. VPNなど

また、HTTP の代わりに HTTPS を使用し、SSL (Secure Socket Layer) トランスポート層セキュリティを使用すれば、これが再び発生するのを防ぐことができます。これにより、すべての通信が暗号化されます。

結論

この記事から、ARP スプーフィング攻撃と、システムのリソースにアクセスする方法に関する基本的なアイデアを得ることができました。また、この種の攻撃を阻止する方法もわかりました。この情報は、ネットワーク管理者またはシステム ユーザーが ARP スプーフィング攻撃から保護するのに役立ちます。

他の

カテゴリ

人気の投稿

TypeScript の const と readonly ユーティリティの種類を説明する

Docker の docker-compose.yml ファイルの目的は何ですか?

Debian 12 にスナップをインストールする方法

JavaScript でテキストの色を変更する方法

Linux で SSH サービスを再起動する方法

ESP32 電圧レギュレータ – 仕様

Fedora Linux に Dropbox をインストールする方法

Android でサイト設定の権限を変更する

JavaScript でランダムな UUID を生成するにはどうすればよいですか?

Git バージョン管理を使用してファイルのアクセス許可のみを更新およびコミットする方法

Argc および Argv C++

Ubuntu Desktop 22.04 LTS でリモート デスクトップを有効にして Windows からアクセスする方法

EC2 Ubuntu で Django 環境をセットアップする

MATLAB で入れ子になったスイッチを使用する方法

MATLAB で配列要素を使用する方法

HTML のテーブル セル内に画像を追加する

Discordで誰かにメッセージを送る方法は?

Cプログラミングにおける文字列とは?

JavaScript で abs() メソッドを使用する方法

Raspberry Pi でサウンドを修正する方法