السلام عليكم
بعد المقالة السابقة والتي كانت حول مختلف الهجمات التي قد تتعرض لها الشبكات حسب طبقات OSI Model .اليوم اخترت ان أكتب في موضوع تكميلي للمقالة السابقة وهو عن هجوم شائع يستهدف الشبكات وهو ARP Spoofing وهو يحدث على مستوى الطبقى الثانية Layer 2 من OSI Model. في هذه التدوينة ان شاء الله سنتحدت عليه وعن مدى خطورته و كيفية الوقاية منه.
فقبل أن يتواصل جهازين داخل شبكة فلابد علة كل واحد منهم أن يعرف عنوان الفزيائي للثاني أو الماك أدرس. لهذا السبب قم إيجاد بروتكول خاص لهذه الوظيفة وهو ARP Protocol, وظيفته أرسال طلبات ARP Request يسأل فيها عن الماك أدرس للجهازالذي يحمل الإيبي الفلاني . تأخد مثال لنفهم الأمور جهازA يريد ارسال ملف لجهازB, فيقول ل ARP Protocol أريد الماك أدرس للجهاز الذي يحمل الإيبي الفلاني. فيقوم ARP بإرسال ARP Request ب Broadcast لجميع الأجهزة المتصلة بالشبكة, فيرد عليه الجهاز صاحب الإيبي ب ARP Replay يرسل فيها الماك أدرس الخاصة به. وهكذا يتواصل الجهازين معاً.
ماهي فكرة هجوم ARP Spoofing ؟
بعد وصول الماك أدرس يتم حفظه في جدول إذا ما أراد الحهاز أن يراسله مرة اخرى هذا الجدول يسمى ب ARP Tabel .
فالمهاجم يقوم بأرسال ARP Replay للجهاز معلما أياه أن الأدرس ماك الخاصة بالإيبي الفلاني التي لديك قد تغبرت و أصبحت هكذا, في يعدل الحهاز في ARP Table يمحي الماك أدرس القديمة و يسجل الجديدة.
هكذا إذا أراد الجهازA أن يرسل أي شئ للجهاز B, فهو يرسله لجهاز المخترٍق الذي يحوله الى الجهاز B. وهكذا يتمكن المخترق من قرائة جميع الترافيك الدي يمر بين الجهازين .للقيام بهذا الهجوم يمكن أن نستعمل عدة أدوات من بينها WireShark, Etercape, Dsniff.
فالمهاجم يقوم بأرسال ARP Replay للجهاز معلما أياه أن الأدرس ماك الخاصة بالإيبي الفلاني التي لديك قد تغبرت و أصبحت هكذا, في يعدل الحهاز في ARP Table يمحي الماك أدرس القديمة و يسجل الجديدة.
هكذا إذا أراد الجهازA أن يرسل أي شئ للجهاز B, فهو يرسله لجهاز المخترٍق الذي يحوله الى الجهاز B. وهكذا يتمكن المخترق من قرائة جميع الترافيك الدي يمر بين الجهازين .للقيام بهذا الهجوم يمكن أن نستعمل عدة أدوات من بينها WireShark, Etercape, Dsniff.
للحماية من هذا الهجوم :
1-على مستوى المستخدم :
يمكن أن نقوم بما يسمى ب Static ARP كيف أقوم بذالك ؟
يمكن أن نقوم بما يسمى ب Static ARP كيف أقوم بذالك ؟
- على الويندوز : تذهب الى cmd وتكتب الأمر (arp -s ip_address mac_address) مثال :
arp -s 192.168.102.151 e0-11-fe-15-01-c6
- على الينكس : تذهب الى Terminal و تكتب arp -i eth0 -s ip_address mac_address
2- على مستوى الشبكة :
نقوم بتفعيل خاصية DHCP Snoopng و خاصية DAI على مستوى السويتش كيف أقوم بذالك ؟
بالنسبة ل DCHP Snooping نكتب هذه الأوامر:
Switch(config)#ip dhcp snoopingSwicth(config)#ip dhcp snooping vlan 10,12Switch(config-if)#ip dhcp snooping limit rate 3Switch(config-if)#interface fastethernet 1/24Switch(config-if)#ip dhcp snooping trust
الآن مع شرح الأوامر :
بالنسبة للأمر 2 (الأول واضح) نحدد في أي Vlan التي لا نريد أن نقوم بتفتيشها ( لأن عند تفعيل الخاصية تحول كل البورتات الى يورتات غير موتوقة). . الأمر 3 نحدد كم من محاولة طلب ARP ستقام في الثانية. في الأمر 4 أحدد البورت المتصل بسرفر DHCP على أنه موتوق.
بالنسبة لخاصية DAI :
تعتمد هذه الخاصية كما ذكرت على وجود خاصية الـ DHCP Snooping فعند تفعيل خاصية الـ DAI يلجأ هو بدوره إلى الجدول الخاص بي الـ DHCP Snooping لكي يتأكد ويصادق على الـ ARP Packet الواصلة إلى السويتش من خلال المنفذ المخصص له وبكلام آخر عندما يتم توزيع الأيبي على الأجهزة يقوم الـ DHCP Snooping بعمل جدول يوضح الأيبي الذي تم أرساله من سيرفر الـ DHCP ويربطه برقم المنفذ والماك أدريس الخاص فيه, والذي يستفيد منه الـ DAI لكي يتأكد من أن الـ ARP Packet مطابقة لهذه المعطيات .
الإعدادات :
على مستوى الـ VLAN :
Switch >en
Switch# Conf t
Switch# ip arp inspection vlan 10,12
على مستوى الـ Interface:
Switch >enSwitch# Conf tSwitch# interface fastethernet 0/0Switch# ip arp inspection trust
أتمنى أن تكونوا قد أستفدتم من هذه المقالة, والى مقالة مقبلة إن شاء الله أستودعكم الله و الى فرصة قادمة و لا تنسوني بصالح الدعاء .
1 commentaires:
ولا فهمت حاجة : )))))
أنا مشترك بشبكة عند واحد ,و واخد منة نت , و الانتي فيرس لاقيتة بيقولي "تم تعطيل " arp poisoning attacks" معني كدة أن الراجل إللي انا مشترك معاه عايز يخترق جهازي ؟ , ولا في حد عايز يخترق الشبكة بتعتة ؟ , المهم أنا دوست "أستمر بالحجب" , ومن يوميها الراجل بقي يقفل النت 12 ساعة ويفتحوا 12 ساعة , مش عارف لية ؟ ,
إرسال تعليق