223.1.2.1 - PPt4WEB.ru
advertisement
Протокол ARP УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Назначение протокола ARP Узел А Узлы обращаются друг к другу по IP-адресам 193.233.70.197 Узел B 193.233.70.199 Сетевые адаптеры 00С026С06543 00С026С06578 00С026С06578 00С026С06543 Тип=0800 Данные … Контрольная сумма По сети передаются пакеты, содержащие адреса сетевых адаптеров УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Инкапсуляция IP-пакетов в кадры Ethernet IP-пакет IP-адрес IP-адрес получателя получателя Данные 223.1.2.1 223.1.2.1 Сетевой уровень Канальный уровень MAC-адрес получателя MAC-адрес отправителя IP- пакет 08:00:28:00:38:A9 08:00:39:00:2F:C3 Кадр Ethernet УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Назначение протокола ARP Протокол ARP (Address Resolution Protocol - протокол разрешения адресов) используется для определения соответствия IP-адресов и Ethernet-адресов хостов Узел IP-сети (хост) Прикладные службы ARP-таблица TCP IP-адрес Ethernet (MAC) – адрес 223.1.2.1 223.1.2.3 223.1.2.4 08:00:39:00:2F:C3 08:00:5A:21:A7:22 08:00:10:99:AC:54 ARP UDP IP Ethernet IP-адрес 223.1.2.1 MAC-адрес 08:00:39:00:2F:C3 Кабель Ethernet УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Определение МАС-адреса искомого хоста Telnet 223.1.2.2 223.1.2.1 08:00:39:00:2F:C3 223.1.2.3 08:00:5A:21:A7:22 Ethernet-адрес ? 223.1.2.4 08:00:10:99:AC:54 Сеть 223.1.2.0 ARP-таблица IP-адрес Ethernet – адрес 223.1.2.1 223.1.2.3 223.1.2.4 223.1.2.2 08:00:39:00:2F:C3 08:00:5A:21:A7:22 08:00:10:99:AC:54 ? 223.1.2.2 УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Определение МАС-адреса искомого хоста 223.1.2.1 08:00:39:00:2F:C3 223.1.2.3 08:00:5A:21:A7:22 223.1.2.4 08:00:10:99:AC:54 Сеть 223.1.2.0 Широковещательный ARP- запрос IP–адрес отправителя Ethernet–адрес отправителя Необходимый IP–адрес Искомый Ethernet–адрес 223.1.2.1 08:00:39:00:2F:C3 08:00:28:00:38:A9 223.1.2.2 223.1.2.2 <пусто> УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Определение МАС-адреса искомого хоста 223.1.2.1 08:00:39:00:2F:C3 223.1.2.3 08:00:5A:21:A7:22 223.1.2.4 08:00:10:99:AC:54 Сеть 223.1.2.0 ARP- ответ IP–адрес отправителя Ethernet–адрес отправителя Необходимый IP–адрес Искомый Ethernet–адрес 223.1.2.2 08:00:28:00:38:A9 08:00:28:00:38:A9 223.1.2.2 223.1.2.1 08:00:39:00:2F:C3 УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Определение МАС-адреса искомого хоста Telnet 223.1.2.2 223.1.2.1 08:00:39:00:2F:C3 223.1.2.3 08:00:5A:21:A7:22 223.1.2.4 08:00:10:99:AC:54 Сеть 223.1.2.0 Модифицированная ARP-таблица IP-адрес Ethernet – адрес 223.1.2.1 223.1.2.2 223.1.2.3 223.1.2.4 08:00:39:00:2F:C3 08:00:28:00:38:A9 08:00:5A:21:A7:22 08:00:10:99:AC:54 08:00:28:00:38:A9 223.1.2.2 УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Порядок определения МАСадреса необходимого хоста Просмотр ARP - таблицы Нет ARP-запрос Есть запись? Да Получение ответа Обновление ARP-таблицы Отправка пакета УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Формат ARP - пакета 16 0 31 MAC - адрес получателя MAC - адрес получателя MAC - адрес отправителя MAC - адрес отправителя Тип рабочего протокола Тип исслед. протокола Тип действия Тип сети LHA LPA МАС и IP адреса отправителя и получателя Контрольная сумма УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА Атаки с использованием ARP 1. ARP-spoofing с целью прослушивания трафика между определенными узлами сегмента IP-сети. 2. Вызов в Windows 95/98/NT сообщений, требующих нажатия кнопки «ОК». УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА ARP-spoofing или создание ложного IP-посредника Сервер (маршрутизатор) 223.1.2.2 223.1.2.1 Конфиденциальная информация Конфиденциальная информация Switch 223.1.2.8 “Нарушитель“ Трафик не прослушивается УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА ARP-spoofing или создание ложного IP-посредника (подготовка к внедрению) Сервер (маршрутизатор) 223.1.2.2 223.1.2.1 Switch ARP ответ 223.1.2.1 ARP запрос к 223.1.2.2 223.1.2.8 “Нарушитель“ УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА ARP-spoofing или создание ложного IP-посредника (ожидание ARP-запроса и генерация ложного ARP-ответа) 223.1.2.1 Сервер (маршрутизатор) 223.1.2.2 ARP запрос к 223.1.2.2 Switch Ложный ARP ответ 223.1.2.1 223.1.2.8 “Нарушитель“ Ожидание ARP-запроса от 223.1.2.1 УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА ARP-spoofing или создание ложного IP-посредника (перехват трафика) Сервер (маршрутизатор) 223.1.2.2 223.1.2.1 Пакет с данными Switch Досылка 223.1.2.8 посредник “Нарушитель“ Анализ пакета УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА ARP проблемы в Windows 95/98/NT 0 223.1.2.1 “messagebox“ OK Windows 95/98/NT 8 16 Тип сети для Ethernet = 0x0001 LHA Eth.= 6 LPA IP = 4 24 31 Тип протокола для IP = 0x0800 Тип действия для ARP-запроса = 1 МАС-адрес отправителя (байты 0-3) XXXXXXXX (байты 4-5) XXXX IP отправителя (2-3) 0201 (2.1) IP отправителя (0-1) DF 01 (223.1) МАС (байты 0-1) XXXX МАС-адрес получателя (байты 2-5) XXXXXXXX Нарушитель IP-адрес получателя DF 01 02 01(233.1.2.1) УЧЕБНЫЙ ЦЕНТР ИНФОРМЗАЩИТА
