You are here:--誰かがあなたのインターネットの使用を盗み見ている?ARP Spoofing

誰かがあなたのインターネットの使用を盗み見ている?ARP Spoofing

誰かがあなたのインターネットの使用を盗み見ている?ARP Spoofing

ARP スプーフィングは簡単ですが、被害は、致命的な攻撃です。それでは一体ARPスプーフィングが何でしょう?

2016年3月26日蛍ソフトホームページがARPスプーフィング攻撃を受けて、この期間中に蛍ソフトホームページを通じてクルビュをダウンロードしたユーザーにクルビュインストールファイルの代わりに悪性コードがダウンロードされている問題が発生しました。

2016年4月に、特定のホスト社ARPスプーフィング攻撃を当該ショッピングモール、P2P、天気バナー、コミュニティなどのホスティングサービスを受ける多数のウェブサイトでファーの悪性コードが流布された。ホスティング会社を狙ったARPスプーフィング攻撃は、特定のパケットを変調して不正なURLやスクリプトを追加することにより、ダウンロードのリンクを変調させる攻撃方法でした。

2015年3月、国内のセキュリティ業界最大のイベントである行政自治部の主催で開催される「電子政府ソリューションフェア」と「世界のセキュリティエキスポ」のホームページがARPスプーフィング攻撃に当該イベントの前の夜同時に麻痺ました。ハッキングの事実を確認したイベントの組織委員会側は、悪意のあるコードが広がっていくことを懸念して、サーバーの接続を中断しました。

ARPスプーフィングを学ぶ前に、ARPが何であるかを見てみましょう。

◆ ARP (Address Resolution Protocol)
ARPは、ネットワーク上でIPアドレスを物理アドレス(MACアドレス)に対応させてくれるのプロトコルです。
ネットワーク上で特定のIPアドレスを持っているホストが誰であるか聞いてみると(Request)は、IPアドレスを持つホストが応答(Reply)するRequestとReply構造で動作します。

 

ARP動作過程

ⅰ. 送信者が受信者にデータを送信するときに、最初にARP tableをを確認します。
ARP tableの受信者に関する情報がない場合は、送信者は、ARP Requestメッセージを生成して、ネットワーク上にブロードキャストします。

ⅱ. ネットワーク上のすべてのホストはARP Requestパケットを受信し、そのipのホストが、自分の物理アドレスを含むARP Replyメッセージを生成して送信者にユニキャストで送信します。

ⅲ. 送信者は、ARP Replyパケットを受信先ipと物理アドレスをARP tableに記録します。
ARP tableに情報が保存されると、次からこのプロセスなしでARP tableを参照して、すぐにデータを渡して、効率的に通信を行うことができます。

 

◆ ARP spoofing ?

次に、ARP Spoofingと何でしょう?
ARP Spoofingはvictimに間違ったMACアドレスが含まれたARP Replyを送信victimのARPキャッシュを操作して、victimから情報を抜き出すハッキング手法です。
ARPのReplyパケットに受信したMACアドレスが本物かどうかを検証する認証システムがない脆弱性を利用した攻撃です。

 

動作過程

i. 攻撃者がvictimにgatewayのipアドレスと、攻撃者のMacアドレスが入ったパケットを連続して送信します。

ⅱ. その後、victimはARP tableにその内容をそのまま保存します。

#Target’s ARP table

Gateway’s IP Attacker’s mac address

 

ⅲ. victimは、攻撃者がgatewayに考えて、攻撃者のmacアドレスにデータを転送します。
*攻撃者は、受信したデータを転送ヘジュオヤます。(フォワーディングくれないとTargetは、通常の通信を行うことができない攻撃を疑うことができます)

 

攻撃Tools

  • Ettercap
  • arpspoof
  • Cain & Abel
  • fake


ARP Spoofingで可能な攻撃

  • マルウェアの拡散
  • セッションハイジャック
  • DNS Spoofing
  • VoIP盗聴
  • ログイン情報(ユーザ名/パスワード)を収集

 

対応方法
– パケット検出プログラムを使用してARP信号を送信するパケットを確認
– ARPテーブルを静的に管理
– ARPスプーフィングの検出ソフトウェアを使用
– ネットワーク機器の異なるipに同じmacアドレスがマッピングされているか確認

 

攻撃テスト

 

 

シナリオ1>
:targetのarp tableにgatewayのipとattackerのmacアドレスが保存されるようにしてtargetが送受信パケットを盗聴することができます。

 

<攻撃前target’s arp table>

<攻撃後target’s arp table>

targetがログイン時にアカウント情報スニッフィング

 

シナリオ2>
:switchのarp tableにgatewayのipとattackerのmacアドレスが保存されるようにして、スイッチに接続されたすべてのホストが送受信パケットをattackerが盗聴することができます。

<攻撃前switchのarp table>

<攻撃後switchのarp table>

 

シナリオ3>
:ルータにgatewayのipとattackerのmacアドレスをARP Replyパケットに送信ルータから別のipに同じmacアドレスがマッピングされたことを確認して、ログを生成します。

Router# show logging*Feb 28 15:19:48.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9
*Feb 28 15:20:18.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9
*Feb 28 15:20:48.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9
*Feb 28 15:21:18.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9
*Feb 28 15:21:48.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9
*Feb 28 15:22:18.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9
*Feb 28 15:22:48.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9
*Feb 28 15:23:18.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9
*Feb 28 15:23:48.203: %IP-4-DUPADDR: Duplicate address 192.168.10.1 on FastEthernet0/0, sourced by 0800.27ef.e2a9

 

By |2018-07-03T10:25:00+00:00August 18th, 2017|Categories: カラム|0 Comments

About the Author: