GNU/Linux >> Belajar Linux >  >> Linux

Serangan TCP/IP – Penjelasan Dasar-dasar Keracunan Cache ARP

Misalkan 'A' dan 'B' adalah teman yang sangat baik dan 'A' berbagi semua rahasianya dengan 'B'.

Sekarang jika seorang pria 'C' masuk dan berpura-pura seolah-olah dia adalah 'B'. Bisakah Anda bayangkan apa yang bisa terjadi? Ya, 'A' bisa menceritakan semua rahasianya ke 'C' dan 'C' bisa menyalahgunakannya.

Dalam bahasa awam, inilah yang kami maksud dengan keracunan cache ARP.

Keracunan ARP dapat menyebabkan banyak masalah jaringan yang serius dan administrator jaringan harus mengetahui cara kerja serangan ini.

Protokol ARP

Sebelum Melompat ke deskripsi pengaturan cache ARP, mari kita segarkan terlebih dahulu cara kerja protokol ARP. Protokol ARP terdiri dari 4 pesan dasar berikut:

  1. Permintaan ARP :Komputer 'A' bertanya di jaringan, “siapa yang memiliki IP ini?”
  2. ARP reply :Semua komputer lain mengabaikan permintaan kecuali komputer yang memiliki IP yang diminta. Komputer ini, katakanlah 'B', saya memiliki alamat IP yang diminta dan ini alamat MAC saya.
  3. Permintaan RARP:Ini kurang lebih sama dengan permintaan ARP, perbedaannya adalah bahwa dalam pesan ini alamat MAC disebarkan di jaringan.
  4. Balasan RARP :Konsepnya sama. Komputer 'B' memberi tahu bahwa MAC yang diminta adalah milik saya dan ini adalah alamat IP saya.

Semua perangkat yang terhubung ke jaringan memiliki cache ARP. Cache ini berisi pemetaan semua MAC dan alamat IP untuk perangkat jaringan yang telah berkomunikasi dengan host ini.

Konsep Keracunan Cache ARP

Protokol ARP dirancang untuk menjadi sederhana dan efisien tetapi kelemahan utama dalam protokol adalah kurangnya otentikasi. Tidak ada otentikasi yang ditambahkan ke implementasinya dan sebagai hasilnya, tidak ada cara untuk mengotentikasi pemetaan alamat IP ke MAC dalam balasan ARP. Lebih lanjut, tuan rumah bahkan tidak memeriksa apakah itu mengirim permintaan ARP yang menerima pesan balasan ARP.

Dalam bahasa awam, jika komputer 'A' telah mengirim dan meminta ARP dan mendapat balasan ARP, maka protokol ARP sama sekali tidak dapat memeriksa apakah informasi atau pemetaan IP ke MAC dalam balasan ARP itu benar atau tidak. Juga, bahkan jika sebuah host tidak mengirim permintaan ARP dan mendapat balasan ARP, maka ia juga mempercayai informasi dalam balasan dan memperbarui cache ARP-nya. Ini dikenal sebagai keracunan cache ARP.

Jadi Anda dapat melihat bahwa mudah untuk mengeksploitasi kelemahan protokol ARP ini. Peretas jahat dapat membuat balasan ARP yang valid di mana setiap IP dipetakan ke alamat MAC mana pun dari pilihan peretas dan dapat mengirim pesan ini ke jaringan lengkap. Semua perangkat di jaringan akan menerima pesan ini dan akan memperbarui tabel ARP mereka dengan Informasi baru dan dengan cara ini peretas dapat mengontrol komunikasi bolak-balik dari host mana pun di jaringan.

Konsekuensi Keracunan Cache ARP

Setelah peretas melihat kemungkinan keracunan cache ARP, penyerang dapat menggunakan berbagai teknik serangan untuk membahayakan atau menguasai mesin korban. Mari kita bahas beberapa di antaranya di sini :

1) Penolakan layanan

Seorang peretas dapat mengirim balasan ARP yang memetakan alamat IP di jaringan dengan alamat MAC yang salah atau tidak ada. Misalnya, balasan ARP palsu yang memetakan IP router jaringan dengan MAC yang tidak ada akan menurunkan konektivitas seluruh jaringan dengan dunia luar karena sekarang paket apa pun yang dikirim ke IP router akan dikirim ke mesin dengan alamat MAC yang tidak ada.

2) Pria di Tengah

Seperti namanya, peretas dapat membuat mesinnya berada tepat di antara komunikasi antara sistem Anda dan sistem lain di jaringan. Dengan cara ini, peretas dapat mengendus semua lalu lintas ke dan dari kedua mesin tersebut.

Untuk mencapai ini anggaplah mesin Anda adalah host 'A' dan router jaringan Anda adalah host 'B'. 'A' memiliki IP-A dan MAC-A, sedangkan 'B' masing-masing memiliki IP-B dan MAC-B sebagai alamat IP dan alamat MAC. Sekarang, peretas mengirimkan balasan ARP ke router yang memetakan IP Anda (IP-A) dengan alamat MAC mesinnya dan balasan ARP lain ke mesin Anda yang memetakan IP router dengan alamat MAC mesinnya. Sekarang pesan apa pun yang dikirim oleh mesin Anda ke router atau dari router ke mesin Anda akan mencapai mesin peretas. Peretas sekarang dapat mengaktifkan fitur 'Penerusan IP' di mesinnya yang memungkinkan mesin peretas meneruskan semua lalu lintas ke sana kemari ke mesin dan router Anda. Dengan cara ini mesin peretas berada tepat di tengah dan dapat mengendus atau memblokir lalu lintas.

3) MAC Banjir

Untuk switch di jaringan, MAC flooding adalah teknik penempatan cache ARP yang digunakan. Banyak switch jaringan saat kelebihan beban dapat mulai bertindak seperti hub dan mulai menyiarkan semua lalu lintas jaringan ke semua host yang terhubung ke jaringan. Jadi peretas dapat membanjiri sakelar dengan balasan ARP palsu dan dapat membuat sakelar mulai berperilaku seperti hub. Dalam peran ini, sakelar tidak mengaktifkan fitur 'keamanan port' karena itu menyiarkan semua lalu lintas jaringan dan mengambil keuntungan dari ini, peretas dapat mengendus paket jaringan.

Teknik Mitigasi Keracunan Cache ARP

Meracuni cache ARP dari jarak jauh agak sulit karena memerlukan akses fisik ke jaringan atau kontrol salah satu mesin di jaringan. Karena tidak selalu mudah maka serangan ARP tidak sering terdengar. Bagaimanapun, mengambil tindakan pencegahan lebih baik daripada minum obat. Administrator jaringan harus berhati-hati agar jenis serangan ini tidak terjadi. Berikut adalah beberapa poin mitigasi :

  • Untuk jaringan kecil, entri ARP statis dapat dipertahankan. Statis berarti tidak berubah, jadi seperti namanya, entri ini tidak dapat diubah dan oleh karena itu upaya peretas untuk mengubah pemetaan gagal. Ini bagus untuk jaringan kecil tetapi tidak untuk jaringan besar karena pemetaan untuk setiap perangkat baru yang ditambahkan ke jaringan perlu dilakukan secara manual.
  • Untuk jaringan yang besar, fitur keamanan port switch jaringan dapat dieksplorasi. Beberapa fitur saat dihidupkan memaksa sakelar untuk mengizinkan hanya satu alamat MAC untuk setiap port fisik sakelar. Fitur ini memastikan bahwa mesin tidak dapat mengubah alamat MAC mereka dan tidak dapat memetakan lebih dari satu MAC ke mesin mereka sehingga mencegah serangan seperti 'man in middle'.
  • Secara umum, Beberapa alat pemantauan seperti ARPwatch dapat digunakan untuk mendapatkan peringatan saat beberapa aktivitas ARP berbahaya terjadi di jaringan Anda.

Sebagai kesimpulan, dalam artikel ini, kami mempelajari dasar-dasar protokol ARP, celahnya, bagaimana celah ini dapat dieksploitasi dan bagaimana mereka dapat dikurangi.

Artikel berikutnya dalam seri ini adalah:Prediksi Nomor Urutan TCP dan Serangan Reset TCP.


Linux

  1. Menambahkan entri statis ke dalam cache ARP sistem (CentOS/RHEL)

  2. Menggunakan komunikasi TCP/IP localhost dalam suatu program - selalu aman?

  3. Bagaimana saya bisa mendaftar semua IP di jaringan yang terhubung, lebih disukai melalui Terminal?

  1. Batas waktu cache arp default

  2. Kapan entri arp STALE menjadi GAGAL saat tidak pernah digunakan?

  3. Port jaringan terbuka, tetapi tidak ada proses yang terpasang?

  1. Penjelasan 15 Port Jaringan yang Umum Digunakan

  2. Bertahan Terhadap Serangan Jaringan Nirkabel Paling Umum

  3. Soket Unix vs host TCP/IP:port