حمله مسموم‌سازی ARP چیست و چگونه از آن جلوگیری کنیم؟

حملات مسموم‌سازی ARP (که زیرمجموعه حملات مرد میانی هستند) به هکرها امکان جاسوسی و شنود ارتباطات را می‌دهند. در این مطلب از فراست ابتدا درباره پروتکل ARP و شیوه عملکرد آن صحبت نموده، سپس نحوه اجرای حملات مسموم‌سازی ARP را توضیح می‌دهیم.

 

ARP چیست؟

ARP مخفف عبارت Address Resolution Protocol و به معنای پروتکل تفکیک آدرس است. این پروتکل، امکان برقراری ارتباط با دستگاه‌های مختلف را در شبکه فراهم می‌کند. از ARP برای ترجمه آدرس آی‌پی و تبدیل آن به مک آدرس سیستم‌ها[1] استفاده می‌شود. معمولاً دستگاه‌ها از ARP برای برقراری ارتباط با مسیریابی [2] استفاده می‌کنند که امکان دسترسی به اینترنت را به آنها می‌دهد.

شیوه عملکرد این پروتکل به این صورت است که میزبان، یک کش (Cache) ARP داشته و از آن برای برقراری ارتباط با سایت‌ها و سایر مقاصد در شبکه استفاده می‌کند. اگر مک آدرس، یک عدد آی‌پی منحصر به فرد نداشته باشد می‌تواند با ارسال بسته درخواست ARP از سایر سیستم‌های شبکه درخواست کند که مک آدرس مربوط به آدرس آی‌پی مورد نظر را برای او ارسال کنند.

از آنجا که طول آدرس‌های آی‌پی نسخه 4، 32 بیت و طول مک آدرس 48 بیت است بنابراین این آدرس‌ها دارای طول‌های متفاوتی بوده و برای شناسایی هر سیستم در شبکه، ترجمه آنها ضروری می‌باشد. از این رو ایجاد نگاشتی اصولی بین مک آدرس و آدرس آی‌پی از اهمیت زیادی برخوردار است و ARP باید بتواند این آدرس‌ها را به یکدیگر تبدیل کند.

در حال حاضر نسخه چهارم آدرس‌های آی‌پی (IPv4) پرکاربردترین نسخه آدرس‌های آی‌پی است. نسخه‌ای جدید از آدرس‌های آی‌پی تحت عنوان نسخه 6 (IPv6) در راه است. به دلیل آنکه پروتکل ARP از امنیت چندانی برخوردار نیست، در آدرس‌های آی‌پی نسخه شش از پروتکل جدیدتری با عنوان پروتکل شناسایی همسایه (NDP[3]) استفاده شده که امنیت بسیار زیادی دارد و در آن برای بررسی هویت میزبان‌ها در شبکه از کلیدهای رمزنگاری استفاده می‌شود.

 

مسموم‌سازی (جعل) ARP چیست؟

مسموم‌سازی ARP یک نوع حمله مرد میانی است که مهاجمان با اجرای آن امکان جاسوسی و شنود ارتباطات صورت گرفته در شبکه محلی (LAN[4]) را خواهند داشت. همانطور که گفتیم، پروتکل ARP با هدف ارتقای بهره‌وری طراحی شده است. طراحان این پروتکل توجه چندانی به امنیت آن نداشته و سیستم احراز هویت را برای اعتبارسنجی پیام‌های ARP در آن پیاده‌سازی نکرده بودند. از این رو هر دستگاهی در شبکه می‌تواند به یک درخواست ARP پاسخ دهد؛ حتی اگر پیام اصلی برای آن دستگاه ارسال نشده باشد.

مسموم‌سازی (جعل) ARP چیست؟

مراحل اجرای این حمله توسط هکرها به ترتیب زیر است:

  1. در گام اول، هکرها باید امکان دسترسی به شبکه را پیدا کنند تا با تجزیه و تحلیل آن بتوانند آدرس آی‌پی دستگاه‌های متصل به شبکه را به دست آورند.
  2. مرحله بعد، شامل انتخاب یک هدف مثل یکی از نقاط انتهایی یا وسیله‌ای در شبکه مثل یک مسیریاب است.
  3. مهاجمان از ابزارهای جعل مثل Arpspoof یا Driftnet برای اجرای حمله مسموم‌سازی ARP استفاده نموده و پس از انجام تنظیمات لازم، اجرای حمله را برای جاسوسی ارتباط بین دو تا از دستگاه‌های موجود در شبکه آغاز می‌کنند.
  4. پس از اجرای این حمله، دستگاه‌ها باور می‌کنند که مک آدرس ارایه شده توسط مهاجم صحیح است.
  5. این دستگاه‌ها ورودی‌های کش ARP خودشان را به روزرسانی می‌کنند. از این مرحله به بعد، این دو دستگاه به جای برقراری ارتباط مستقیم با یکدیگر، با مهاجم ارتباط برقرار می‌کنند. مهاجم هم برای هر کدام از دستگاه‌ها چنان وانمود می‌کند که دستگاه مقابل است. به همین دلیل این دو سیستم به هیچ وجه در جریان نخواهند بود که در حال برقراری ارتباط با مهاجم هستند.
  6. اکنون مهاجم می‌تواند بدون اطلاع سیستم‌ها هر کاری را که می‌خواهد انجام دهد.

مهاجمان می‌توانند با اجرای این حمله به راحتی اطلاعات محرمانه را سرقت کرده، از کاربران جاسوسی نموده یا داده‌ها را تخریب کنند.

 

چگونه حمله مسموم‌سازی کش ARP را شناسایی کنیم؟

استفاده از خط فرمان، راحت‌ترین روش برای شناسایی مسموم شدن کش ARP یک دستگاه است. شما ابتدا باید ترمینال دستگاه را باز نموده و فرمان زیر را تایپ کنید. سپس جدول ARP برای شما نمایش داده می‌شود. این فرمان هم در سیستم عامل ویندوز و هم لینوکس کار می‌کند.

arp -a

تصویر زیر، خروجی این فرمان را نشان می‌دهد:

اگر جدول ARP دو آدرس آی‌پی متفاوت را که به یک مک آدرس یکسان نگاشت شده‌اند، نمایش دهد این موضوع بیانگر آن است که مورد هدف حمله مسموم‌سازی ARP قرار گرفته‌اید.

برای تشخیص حمله مسموم‌سازی ARP در شبکه‌های بزرگتر و کسب اطلاعات درباره نوع ارتباطاتی که مهاجم در حال اجرای آنها است می‌توانید از یک نرم‌افزار متن باز به نام “Wireshark” استفاده کنید.

ترافیک شبکه با استفاده از Wireshark

 

چگونه از مسموم‌سازی ARP جلوگیری کنیم؟

برای جلوگیری از مسموم‌سازی ARP در شبکه می توانید از روش‌های زیر استفاده کنید:

 

[1] مک آدرس، آدرس مک یا آدرس فیزیکی یک نشانی عددی است که به صورت سخت‌افزاری در کارت واسط شبکه در کارخانه حک شده است.

[2] دستگاهی که بسته‌های داده را در یک شبکه برای رسیدن به مقصدشان هدایت می‌کند.

[3] Neighbor Discovery Protocol

[4] Local Area Network

[5] Virtual Private Network

خروج از نسخه موبایل