Ещё раз возвращаясь к теме ARP-spoofinga и опасностей, которые за ним стоят.
В статье http://xgu.ru/wiki/ARP-spoofing это всё написано, только как-то незаметно. Хочу ещё раз остановиться и подчеркнуть ключевые моменты.
ARP-spoofing позволят за счёт уязвимостей, а точнее, отсутствия всякой безопасности в протоколе ARP добиться того чтобы трафик между двумя компьютерами в пределах одного широковещательного домена коммутируеммоей сети передавался через третий компьютер, причём практически незаметно для жертв.
Это называется - выполнить MITM-атаку - Man In The Middle - человек посредине. Её ещё иногда называют Monkey In The Middle.
Трафик проходит через этого человека и он может
1) Просматривать его
2) Модифицировать его
Я думаю, что уже всё и так понятно, но приведу примеры.
Ловить все cleartext пароли. Например, POP3, Telnet, BASIC-аутентификация в HTTP и множество других
Ловить почту и IM-сообщения (нешифрованные). Тот же POP3 и SMTP
С шифрованным трафиком всё не так гладко, но тоже весело.
Во-первых, некоторые алгоритмы шифрования достаточно примитивные.
И поддаются очень простому взлому.
Например, NTLM (не NTLMv2 а именно NTLM) - один из ярчайших примеров.
Вроде бы и шифрованный, а всё ломается на раз.
То есть вы перехватываете хэш, а потом восстанавливаете из него пароль с помощью таких средств как John the Ripper и тд
Ещё один яркий пример - RDP (без TLS).
Некоторые думают, что он шифрованный и безопасный, а как его поломать уже давно известно и описано.
То есть, бери делай ARP-spoofing и смотри что тчувак делает через RDP на удалённой машинке.
Во-вторых, даже если алгоритм шифрования хорош, не обязательно его ломать. Достаточно просто прикинуться что вы и есть сервер. Вы ведь по средине! То есть вы расшифровываете трафик, а потом зашифровываете и отправялете его на сервер. Вот для чего нужна аутентификация сервера во всяких SSH и SSL. В браузере при первом соединении вам показывается сертификат SSL, а в SSH вам показывается fingerprint открытого ключа сервера. Это для того чтобы вы были уверены, что соединяетесь не с мужиком по средине, а с реальным сервером (естественно, у вас должны быть механизмы для проверки подлинности открытого ключа или сертификата).
Так.
теперь о том как с ним бороться.
Как его заметить для начала.
Заметить очень легко - если ни с того ни с сего поменялся MAC-адрес какой-то машины в сети, не исключено, что между вам и той машиной
появился злоумышленник.
Кто он?
Неизвестно.
Но он сейчас пользуется мак-адресом, который у вас в кэше ARP.
Вот для чего и нужны управляемые коммутаторы.
Вы обращаетесь к нему и спрашиваете, а на каком порту сидит тот кент вот с таким адресом? Он вам говорит - на таком-то
Вы же знаете, что MAC-адреса на сетевые карты можно ставить какие-угодно.
То есть, парень мог поставить себе какой-то левый адрес и начать ARP-spoofing. То что у вас был записан где-то его настоящий адрес, это классно но вам ничем не поможет, потому что свой текущий MAC-адрес он придумал только что.
Поэтому нужно сразу же лезть на управляемый свитч
и узнавать с какого порта идёт зло.
Против этого он ничего сделать не сможет.
Вы просто будете знать номер порта злого юзера и кердык.
Это всё, конечно же, делается не ручками, а скриптами в автоматическом режиме.
Для того чтобы зафиксировать смену MAC-адреса
используются разнообразные программы.
В частности, под Unix/Linux программа arpwatch.
Для того чтобы узнать на свиче порт, полно всяких скриптов.
Главное чтобы скрипт поддерживал SNMP
Это делают все более-менее нормальные свичи.
Даже из дешёвых.
Ещё одна хорошая фишка свичей, которые могут помочь в борьбе со злыми дядьками ARP-spoofer'ами это VLANы.
В идеальном случае когда каждый живёт в своём VLAN'е ARP-spoofing даже в принципе невозможен.
Но это жирно и не каждому дано.
Чаще просто изолируют наиболее активных/наиболее чувствительных в отдельных VLAN'ах. И всё.
Что касается навороченных switch'ей и их функций по борьбе с ARP-spoofing'ом, то такие тоже есть, но это совсем другая история. И нужны реально продвинутые свитчи.
Уфффф.
Вроде всё
Будут вопросы - пишите!
