- O que é endereço IP e Mac
- O que é envenenamento por protocolo de resolução de endereços (ARP)?
- Atividade de hack: configurar ARP estático no Windows
O que são endereços IP e MAC
Endereço IP é a sigla para endereço de protocolo da Internet. Um endereço de protocolo de Internet é usado para identificar exclusivamente um computador ou dispositivo, como impressoras, discos de armazenamento em uma rede de computadores. Atualmente, existem duas versões de endereços IP. O IPv4 usa números de 32 bits. Devido ao enorme crescimento da Internet, o IPv6 foi desenvolvido e usa números de 128 bits.
Os endereços IPv4 são formatados em quatro grupos de números separados por pontos. O número mínimo é 0 e o número máximo é 255. Um exemplo de endereço IPv4 é semelhante a este;
127.0.0.1
Os endereços IPv6 são formatados em grupos de seis números separados por dois pontos completos. Os números do grupo são escritos como 4 dígitos hexadecimais. Um exemplo de endereço IPv6 tem a seguinte aparência;
2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334
Para simplificar a representação dos endereços IP em formato de texto, zeros à esquerda são omitidos e o grupo de zeros é omitido por completo. O endereço acima em um formato simplificado é exibido como;
2001: db8: 85a3 ::: 8a2e: 370: 7334
Endereço MAC é a sigla para endereço de controle de acesso à mídia. Os endereços MAC são usados para identificar exclusivamente interfaces de rede para comunicação na camada física da rede. Os endereços MAC geralmente são incorporados à placa de rede.
Um endereço MAC é como um número de série de um telefone, enquanto o endereço IP é como um número de telefone.
Exercício
Assumiremos que você está usando janelas para este exercício. Abra o prompt de comando.
Digite o comando
ipconfig /all
Você obterá informações detalhadas sobre todas as conexões de rede disponíveis em seu computador. Os resultados mostrados abaixo são para um modem de banda larga mostrar o endereço MAC e o formato IPv4 e a rede sem fio para mostrar o formato IPv6.
O que é envenenamento por ARP?
ARP é a sigla para Address Resolution Protocol . É usado para converter o endereço IP em endereços físicos [endereço MAC] em um switch. O host envia uma transmissão ARP na rede e o computador destinatário responde com seu endereço físico [endereço MAC]. O endereço IP / MAC resolvido é então usado para se comunicar. O envenenamento de ARP está enviando endereços MAC falsos para o switch para que ele possa associar os endereços MAC falsos ao endereço IP de um computador genuíno em uma rede e sequestrar o tráfego .
Contramedidas de envenenamento ARP
Entradas ARP estáticas : podem ser definidas no cache ARP local e o switch configurado para ignorar todos os pacotes de resposta ARP automática. A desvantagem desse método é que ele é difícil de manter em redes grandes. O mapeamento de endereços IP / MAC deve ser distribuído a todos os computadores da rede.
Software de detecção de envenenamento ARP : esses sistemas podem ser usados para verificar a resolução do endereço IP / MAC e certificá-los se forem autenticados. As resoluções de endereço IP / MAC não certificadas podem então ser bloqueadas.
Segurança do sistema operacional : esta medida depende do sistema operacional utilizado. A seguir estão as técnicas básicas usadas por vários sistemas operacionais.
- Baseado em Linux : estes funcionam ignorando pacotes de resposta ARP não solicitados.
- Microsoft Windows : o comportamento do cache ARP pode ser configurado por meio do registro. A lista a seguir inclui alguns dos softwares que podem ser usados para proteger redes contra farejamento;
- AntiARP - fornece proteção contra farejamento passivo e ativo
- Agnitum Outpost Firewall - oferece proteção contra farejamento passivo
- XArp - fornece proteção contra sniffing passivo e ativo
- Mac OS : ArpGuard pode ser usado para fornecer proteção. Ele protege contra farejamento ativo e passivo.
Atividade de hacking: configurar entradas ARP no Windows
Estamos usando o Windows 7 para este exercício, mas os comandos devem ser capazes de funcionar em outras versões do Windows também.
Abra o prompt de comando e digite o seguinte comando
arp -a
AQUI,
- apr chama o programa de configuração ARP localizado no diretório Windows / System32
- -a é o parâmetro para exibir o conteúdo do cache ARP
Você obterá resultados semelhantes aos seguintes
Nota : as entradas dinâmicas são adicionadas e excluídas automaticamente ao usar sessões TCP / IP com computadores remotos.
As entradas estáticas são adicionadas manualmente e excluídas quando o computador é reiniciado e a placa de interface de rede reiniciada ou outras atividades que o afetam.
Adicionando entradas estáticas
Abra o prompt de comando e use o comando ipconfig / all para obter o endereço IP e MAC
O endereço MAC é representado usando o endereço físico e o endereço IP é IPv4Address
Digite o seguinte comando
arp -s 192.168.1.38 60-36-DD-A6-C5-43
Nota: Os endereços IP e MAC serão diferentes dos usados aqui. Isso ocorre porque eles são únicos.
Use o seguinte comando para visualizar o cache ARP
arp -a
Você obterá os seguintes resultados
Observe que o endereço IP foi resolvido para o endereço MAC que fornecemos e é do tipo estático.
Excluindo uma entrada de cache ARP
Use o seguinte comando para remover uma entrada
arp -d 192.168.1.38
O envenenamento PS ARP funciona enviando endereços MAC falsos para o switch