Articles

エシカルハッキング -ARP Poisoning ARP Poisoning

Posted on
Advertisements

Address Resolution Protocol (ARP) は、IP アドレスをマシンの MAC アドレスに解決するために使用されるステートレス プロトコルです。 ネットワーク上で通信する必要のあるすべてのネットワーク機器は、他のマシンのMACアドレスを調べるためにシステム内でARPクエリをブロードキャストします。 ARP Poisoning は ARP Spoofing としても知られています。

ARP の仕組みは以下のとおりです –

  • あるマシンが他のマシンと通信する必要があるとき、そのマシンの ARP テーブルを調べます。

  • ネットワーク上のすべてのマシンは、この IP アドレスと MAC アドレスを比較します。

  • ネットワーク上のマシンの 1 つがこのアドレスを識別した場合、そのマシンは IP アドレスと MAC アドレスで ARP_request に応答します。

  • リクエストしたコンピューターは、そのアドレスペアをARPテーブルに格納し、通信が行われます。

ARP Spoofingとは?

ARPパケットは、攻撃者のマシンにデータを送信するために偽造することができます。

  • ARP Spoofingは、スイッチに負荷をかけるために、大量の偽造ARP要求および応答パケットを構築します。

  • スイッチは転送モードに設定され、ARPテーブルが偽装されたARPレスポンスであふれた後、攻撃者はすべてのネットワークパケットを盗聴することができます。

攻撃者はターゲットコンピューターのARPキャッシュに偽装されたエントリをあふれさせますが、これはポイズニングとしても知られています。

MITMとは

中間者攻撃(MITM、MitM、MIM、MiM、MITMAと略される)は、敵対者が被害者間の接続を作成してユーザーになりすまし、その間でメッセージを送信する能動的な攻撃を意味します。

Third Person

第三者は、2つの当事者間の通信のトラフィックを制御および監視するために存在します。

ARP Poisoning – Exercise

この演習では、BetterCAPを使用して、Kali LinuxとEttercapツールをインストールしたVMwareワークステーションを使用したLAN環境でARPポイズニングを実行し、LAN内のローカルトラフィックをスニッフィングします。

この演習には、以下のツールが必要です –

  • VMwareワークステーション
  • Kali LinuxまたはLinuxオペレーティングシステム
  • Ettercapツール
  • LAN接続

注意 – この攻撃は、有線および無線ネットワークで可能です。

Step 1 – VMware workstationをインストールし、Kali Linuxをインストールします。

Step 2 – username pass “root, toor “でKali Linuxにログインします。

Step 3 – ローカルLANに接続されていることを確認し、ターミナルでifconfigコマンドを入力してIPアドレスを確認します。

Ifconfig

Step 4 – ターミナルを開き、”Ettercap -G “と入力してグラフィカル版のEttercapを起動します。

Ettercap

Step 5 – メニューバーの「sniff」タブをクリックし、「unified sniffing」を選択して「OK」をクリックしてインターフェースを選択します。

Ettercap

Step 6 – メニューバーの「hosts」タブをクリックし、「scan for hosts」をクリックします。

Step 7 – 次に、「hosts」タブをクリックし、「hosts list」を選択すると、ネットワークで利用可能なホストの数が表示されます。 このリストにはデフォルトゲートウェイアドレスも含まれています。 ターゲットを選択する際には注意が必要です。

Host Tab

Step 8 – 今度はターゲットを選択しなければなりません。 MITMでは、ターゲットはホストマシンで、ルートはトラフィックを転送するためのルーターのアドレスになります。 MITM攻撃では、攻撃者はネットワークを傍受し、パケットを盗聴します。

VMware環境では、物理マシンに「1」が割り当てられているため、デフォルトゲートウェイは常に「2」で終わります。

ステップ9 – このシナリオでは、ターゲットは「192.168.121.129」で、ルーターは「192.168.121.2」です。

Target

Step 10 – 「MITM」をクリックし、「ARP poisoning」をクリックします。 その後、オプションの「Sniff remote connections」にチェックを入れ、「OK」をクリックします。

Mitm Attack

Step 11 – 「start」をクリックし、「start sniffing」を選択します。

注意 – Ettercap で HTTP スニッフィングのみを許可しているため、このプロセスで HTTPS パケットがスニッフィングされることはありません。

Result

これがスニッフィングの仕組みです。 ARP ポイズニングを有効にするだけで、いかに簡単に HTTP の認証情報を取得できるか、ご理解いただけたのではないでしょうか。

ARP Poisoning は、企業の環境において莫大な損失をもたらす可能性があります。

ARPポイズニングのように、MACフラッディング、MACスプーフィング、DNSポイズニング、ICMPポイズニングなどの攻撃があります。

次の章では、DNSポイズニングとして知られる別のタイプの攻撃について説明します。

広告

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です