ARP oraz RARP UMK WMiI Inf5 WSS labE Jarosław Piersa 2007 – 10 – 10.

1 ARP oraz RARP UMK WMiI Inf5 WSS labE Jarosław Piersa ht...
Author: Mieczysław Ciesielski
0 downloads 3 Views

1 ARP oraz RARP UMK WMiI Inf5 WSS labE Jarosław Piersa http://www.mat.uni.torun.pl/~piersaj 2007 – 10 – 10

2 ARP – Address Resolution Protocol ARP jest protokołem sieciowym służącym do poszukiwania adresu sprzętowego pewnego urządzenia w sieci przy znajomości jego adresu internetowego RFC 826 - Ethernet Address Resolution Protocol http://www.faqs.org/rfcs/rfc826.html http://www.faqs.org/rfcs/rfc826.html

3 ARP w modelu OSI

4 Scenariusz komunikacji ● Komputer A chce wysłać wiadomość do komputera B. A zna adres IP B nie zna natomiast jego adresu sprzętowego (np. MAC). ● A broadcastuje po sieci zapytanie ARP o adres MAC komputera o zadanym adresie IP, podaje przy tym swój adres MAC i IP (żeby móc otrzymać odpowiedź). ● B odbiera zapytanie A, stwierdza, że to on jest adresatem, po czym przesyła do A komunikat ARP z załączonym adresem sprzętowym B (czyli swoim). ● Ponadto B w swojej tablisy ARP zapisuje adres IP A i odpowiadający mu adres MAC ● A otrzymuje wiadomość od B, zapisuje w swojej tablicy ARP adres IP B i jego adres MAC i może wysłać planowaną wiadomość.

5 Scenariusz komunikacji

6 Pakiet ARP

7 Wyświetlanie tablicy ARP (Windows) %>arp -a [adresIP] wyświetlanie wpisów w tablicy %>arp -d adresIP usuwanie wpisów z tablicy %>arp -s adresIP adresFiz statyczne dodawanie wpisów do tablicy %>arp (...) -N adresInterfejsu wybór interfejsu sieciowego

8 Wyświetlanie tablicy ARP (Unix) %>arp adresIP %>arp -a wyświetlanie wpisów w tablicy %>arp -d adresIP usuwanie wpisów z tablicy %>arp -f nazwaPliku dodawanie wpisów z pliku

9 Wyświetlanie tablicy ARP (Unix) %>arp -a Flagi m – wpis multicastowy p – wpis publiczny s – wpis statyczny u – wpis niekompletny

10 Wyświetlanie tablicy ARP (Unix) %>arp -s adresIP adresFiz [pub] [trail] [temp] statyczne dodawanie wpisów do tablicy pub – wpis publiczny temp – wpis tymczasowy trail – do tego hosta można wysyłać “trailer encapsulations” (RFC 893)

11 Inne narzędzia %>arping ręczne pytanie hostów protokołem ARP %>ndd /dev/ip ip_ire_arp_interval czas przetrzymywania wpisów w tablicy

12 Co można popsuć?

13

14

15

16 Ataki z wykorzystaniem ARP ● ARP Spoofing / ARP Poisoning ● DoS ● Man in the Middle ● MAC flooding

17 ARP Spoofing / Poisoning ARP Spoofing polega na błędnym odpowiadaniu na zapytania ARP. Podawany jest inny lub nie istniejący adres sprzętowy. %>arpspoof [ -i interface] [ -t target] host interface – interfejs sieciowy target – adres ofiar, którym zostaną podane błędne adresy sprzętowe host – adres ofiary, do którego komunikacja zostanie przechwycona

18 Denial of Service Za pomocą ARP Spoofingu można w całym segmencie sieci lokalnej przekierować komunikację do routera / bramy / serwera na nieistniejący adres.

19 Man in the Middle

20 MAC Flooding Zalewanie niektórych switchy zapytaniami ARP może spowodować, że nie będąc w stanie wszystkich obsłużyć, zaczną broacastować całą komunikację jak huby.

21 Jak się bronić? ● Tworzyć wpisy statyczne. ● Tworzyć małe segmenty sieci. ● Monitorowanie sieci (zwielokrotnione adresy MAC). ● DHCP Snooping

22 Monitorowanie ARP %>arpwatch ● sprawdza zgodność par adresów sprzętowego i internetowego ● powiadamia roota o podejrzanych sytuacjach ● loguje stan sieci

23 Monitorowanie ARP Etherealhttp://ethereal.com/http://ethereal.com/ Wiresharkhttp://www.wireshark.org/http://www.wireshark.org/ Narzędzia służące do przechwytywania i analizowania pakietów w sieci. ether proto \arp filtr przechwytujący tylko pakiety arp

24 Monitorowanie ARP

25 Proxy ARP Proxy ARP służy do obsługi zapytań ARP o urządzenia znajdujące się w innej sieci. Router odpowiada w imieniu urządzenia podając swój adres sprzętowy. Powoduje to połączenie dwóch rozdzielonych routerem sieci w jedną.

26 Proxy ARP

27 Reverse ARP RARP jest protokołem sieciowym służącym do poszukiwania adresu internetowego (np. IP) mając dany tylko adres sprzętowy (np. MAC) RFC 903 http://tools.ietf.org/html/rfc903 http://tools.ietf.org/html/rfc903

28 Reverse ARP ● stał się zbędny wraz z pojawieniem się BOOTP i DHCP ● wymaga działania serwera z poprawną konfiguracją par MAC – IP ● korzysta z identycznego formatu pakietu jak ARP (rarp req = 3; rarp rep = 4) ● nie należy mylić z Inverse ARP

29 RARP Scenariusz Komunikacji

30 libpcap http://www.tcpdump.org/ http://www.tcpdump.org/pcap.htm Biblioteka pcap pozwala na przechwytywanie i odczytywanie pakietów. #include %>gcc -l pcap program.c

31 libpcap Lista funkcji do wykorzystania: ● pcap_lookupdev() ● pcap_lookupnet() ● pcap_open_live() ● pcap_compile() ● pcap_setfilter() ● pcap_next() ● pcap_close()

32 libpcap int pcap_loop( pcap_t *p, int cnt, pcap_handlercallback, u_char *user) void got_packet( u_char *args, const structpcap_pkthdr *header, const u_char *packet)

33 Ramka ethernetowa + pakiet ARP

34 Źródła ● http://en.wikipedia.orghttp://en.wikipedia.org ● manual arp, arping, arpwatch, arpspoof ● Wykłady z WSS oraz PSI ● http://www.ietf.org/rfc.html RFC 826 (ARP) RFC 903 (RARP)http://www.ietf.org/rfc.html ● http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.htmlhttp://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html ● http://www.burghardt.pl/wiki/articles/arphttp://www.burghardt.pl/wiki/articles/arp ● http://www.netrino.com/Connecting/2000-07/index.phphttp://www.netrino.com/Connecting/2000-07/index.php ● http://www.watchguard.com/infocenter/editorial/135324.asphttp://www.watchguard.com/infocenter/editorial/135324.asp ● http://ethereal.com/http://ethereal.com/ ● http://www.wireshark.org/http://www.wireshark.org/ ● http://www.tcpdump.org/http://www.tcpdump.org/ ● http://www.geocities.com/SiliconValley/Vista/8672/network/arp.html http://www.geocities.com/SiliconValley/Vista/8672/network/arp.html ● http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pl/library/ServerHelp/ 7b77bb1b-5c57-408f-907f-8b474203a533.mspx?mfr=true http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pl/library/ServerHelp/ 7b77bb1b-5c57-408f-907f-8b474203a533.mspx?mfr=true ● http://www.3mfuture.com/network_security/arp-guard-arp-spoofing.htm http://www.3mfuture.com/network_security/arp-guard-arp-spoofing.htm ● http://www.tcpipguide.com/free/t_ReverseAddressResolutionandtheTCPIPReverseAddre ssR.htm http://www.tcpipguide.com/free/t_ReverseAddressResolutionandtheTCPIPReverseAddre ssR.htm