ARP Poisoning: compreenda os princípios e defenda-se

Este é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre duas ou mais máquinas.

[ Hits: 126.520 ]

Por: Luiz Vieira em 03/03/2009 | Blog: http://hackproofing.blogspot.com/


Defesa contra ARP-Poisoning e sua Detecção



A melhor defesa contra o ARP-Poisoning é habilitar o MAC binding no switch.

Esta é uma característica encontrada em switchs de qualidade que não permite que os endereços MAC associados com uma porta sejam alterados depois de configurados. Mudanças legítimas de MAC podem ser realizadas pelo administrador da rede.

Outra defesa é o uso de caminhos estáticos. O cache ARP pode ter entradas estáticas (não alteráveis), assim respostas ARP falsas seriam ignoradas. Essa abordagem não é prática a não ser em pequenas redes caseiras, consequentemente onde não há muitos riscos do ARP Poisoning ocorrer. É importante também saber como se comporta o roteamento estático no Windows. Alguns testes descobriram que o Windows ainda aceita respostas ARP falsas e usa o roteamento dinâmico ao invés do estático, tornando nulo qualquer efeito da utilização do roteamento estático no Windows.

Além desses dois métodos, a única outra defesa disponível é a detecção. Arpwatch é uma das formas de detecção. Arpwatch é uma ferramenta para detectar ataques ARP. Esta ferramenta monitora atividade ethernet e mantém uma base de dados dos pareamentos Ethernet/IP. Ela também reporta certas alterações via e-mail. Arpwatch utiliza a libcap, uma interface independente que utiliza um método de captura de pacotes no nível de usuário para detecção de ataques ARP. O Arpwatch mantém o administrador informado quando uma nova máquina adquire um endereço da rede. Ele envia por e-mail o endereço IP e o MAC da nova máquina na rede. Ele também informa se o endereço MAC mudou de IP. Além de informar se alguém está bagunçando com a configuração da rede e alterando seu seu IP para o de um gateway ou servidor.

A clonagem de MAC pode ser detectada utilizando o RARP (Reverse ARP). O RARP solicita o endereço IP de um endereço MAC conhecido. Enviando uma solicitação RARP para todos os endereços MAC existentes em uma rede, pode determinar se algum computador esta realizando clonagem, e se múltiplas respostas são recebidas por um único endereço MAC.

Muitos métodos existem para detectar máquinas em modo promíscuo. É importante lembrar que sistemas operacionais possuem suas próprias pilhas de TCP/IP e placas ethernet possuem seus próprios drivers, cada um com seus próprios subterfúgios. Mesmo diferentes versões de um mesmo sistema operacional tem variações de comportamento. O Solaris, por exemplo, é único em sua forma de tratar pacotes ARP.

Solaris aceita apenas alterações de ARP após um determinado período de expiração. Para envenenar o cache de um sistema Solaris, um atacante precisaria utilizar um ataque DoS contra uma segunda máquina alvo para evitar uma race condition [6] após o período de expiração. Este DoS pode ser detectado se a rede possuir um Sistema de Detecção de Intrusão (IDS) rodando. A rede pode também estar protegida contra Spoofing/Poisoning e Sniffing através de configurações de firewall e criptografia de dados ao longo da rede., mas estes dois métodos não são empregados.

Página anterior     Próxima página

Páginas do artigo
   1. ARP Poisoning
   2. Conceitos básicos sobre ARP (Address Resolution Protocol)
   3. Definição de ARP-Poisoning
   4. Ataques ARP
   5. Ferramentas e utilitários ARP
   6. Defesa contra ARP-Poisoning e sua Detecção
   7. Referências & Terminologia
Outros artigos deste autor

Cheops: uma ótima ferramenta de rede

Linux no Pendrive

Race Condition

SELinux - Security Enhanced Linux

Uma pequena introdução ao Assembly para Linux

Leitura recomendada

Snort + BarnYard2 + Snorby no Slackware 14.1

Nmap - Comandos úteis para um administrador de sistemas Linux

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)

Configurando o OpenVPN no SuSE Linux Enterprise Server (SLES)

Nessus Portscanner

  
Comentários
[1] Comentário enviado por pbrito81 em 03/03/2009 - 17:40h

Só um adendo: o envenenamento ARP não necessariamente é feito como resposta à uma solicitação. Um atacante pode enviar respostas ARP a qualquer momento - mesmo que o computador atacado não tenha as pedido - que o computador atacado as aceitará e atualizará sua tabela ARP.

[2] Comentário enviado por luizvieira em 04/03/2009 - 07:59h

Olá pbrito, seu adendo está correto: não precisa haver uma requisição inicial. Valeu!

[3] Comentário enviado por pogo em 05/03/2009 - 11:20h

excelente texto! parabéns!

[4] Comentário enviado por psychokill3r em 14/04/2009 - 21:25h

Obrigado Prof.

mais 100 pontos (este autor tem 5 artigos simplesmente essenciais(ate agora)) todos no favoritos com certeza.
vi no seu perfil que voce "trabalha como psicoterapeuta com especialização em Hipnose, PNL, Regressão, EFT, Sedona Method, Coaching. "
poderia nos dar um perecer sobre esse programa de mensagens subliminares que foi postado aqui no vol.
http://www.vivaolinux.com.br/artigo/Mentis-Reprogramese/
se tiver tempo ok.
valeuw desde já pelas aulas e espero mais .

[5] Comentário enviado por luizvieira em 14/04/2009 - 22:11h

Valeu pelo comentário elogioso psychokill3r (e pelos 100 pts tbm...rs)!

Quanto ao prograna, não conheço esse, mas conheço outros que já usei no Windoze há anos atrás. No entanto, pelo que pude ver, a utilização e o modus operandis são os mesmos. O lance da msg subliminar é que ela pode ocorrer atrvés de vários canais: o visual e o auditivo são os mais comuns. Para que o programa funcione vc precisa ser uma pessoa do tipo visual. Para quem é auditivo o ideal é gravar msgs subliminares junto com músicas e ouvi-las enquanto estuda, trabalha ou faz alguma atividade onde sua mente não está concentrada na música diretamente.

Para descobrir qual seu canal principal de representatividade (visual, auditivo, cinestésico), faça o teste que há nesse link:
http://www.pnl.med.br/site/artigos/12.htm

Em breve postarei um artigo sobre PNL para Hacking aqui no VOL (se a moderação liberar, é claro).
[ ]'s



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts