Напади у Ethernet мрежама
Ethernet мреже почеле су да користе 1980. године и доживеле стандардизацију 1983. године у виду IEEE 802.3 стандарда. Да би приказали откривене сигурносне пропусте и нападе у вези Етернета који су се десили током претходних 40 година не би била довољна једна школска година, а камоли неколико школских часова. Због тога представићемо само неке од најчешћих напада на Етернет рачунарке мреже.
Тровање ARP кеша
Подсетимо се градива из предмета Рачунарске мреже – Шта је ARP? ARP (енгл. Address Resolution Protocol) је протокол другог слоја OSI референтног модела, који дефинише методе налажења физичке (MAC) адресе хоста на основу познате логичке (IP) адресе. У Microsoft оперативним системима ARP кеш (односно табелу са везама између логичких и физичких адреса) можемо видети уносом команде ARP -a. На пример:
Microsoft Windows [Version 10.0.19044.1415]
(c) Microsoft Corporation. All rights reserved.
C:\Users\velim>arp -a
Interface: 192.168.0.2 --- 0x8
Internet Address Physical Address Type
192.168.0.1 5c-ea-1d-28-28-66 dynamic
192.168.0.3 74-da-38-00-1f-35 dynamic
192.168.0.4 10-c3-7b-50-f1-5a dynamic
192.168.0.5 00-04-30-21-aa-71 dynamic
192.168.0.6 34-8a-7b-00-0e-a5 dynamic
192.168.0.255 ff-ff-ff-ff-ff-ff static
255.255.255.255 ff-ff-ff-ff-ff-ff static
Шта слогови у ARP табели изнад значе? Ако хост са IP адресом 192.168.0.2 жели да комуницира са хостом 192.168.0.5, у Етернет оквир као одредиште уписаће се физичка адреса 00-04-30-21-АА-71…
Тровање ARP кеша (енгл. ARP Cache Poisoning, ARP Spoofing или ARP Poison Routing) има за циљ да преусмери ток комуникације у Етернет мрежи уношењем погрешних вредности у ARP табеле. Циљ овог напада обично је уметање у комуникацију између хостова у мрежи ради увида у податке које размењују.
На слици изнад, рачунар у мрежи жели да комуницира са рачунаром чија је адреса 192.168.1.5. Да би сазнао која је физичка адреса (MAC) тог рачунара, он шаље ARP упит, па анализира податке у ARP табели. Међутим, и рачунар са адресом 192.168.1.5 и рачунар нападача предстаљају се као рачунари са адресом 192.168.1.5 (каже се да је нападач спуфовао IP адресу). Ако рачунар нападача успе да се први упише у ARP табелу, онда ће он примати поруке од рачунара који је желео да започне комуникацију. Како не би било ништа “сумњиво”, рачунар нападача може прослеђивати поруке на право одредиште, након што је остварио увид у њих.
Заштита од тровања ARP кеша може бити имплементирана на рачунарима корисника (нпр. Snort за Windows/Linux) или на мрежним уређајима (нпр. Dynamic ARP Inspection, DAI на свичевима компаније Cisco).