223.1.2.1 - PPt4WEB.ru

реклама
Протокол ARP
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Назначение протокола ARP
Узел А
Узлы обращаются друг к другу по
IP-адресам
193.233.70.197
Узел B
193.233.70.199
Сетевые адаптеры
00С026С06543
00С026С06578
00С026С06578
00С026С06543
Тип=0800
Данные …
Контрольная сумма
По сети передаются пакеты, содержащие адреса
сетевых адаптеров
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Инкапсуляция IP-пакетов в кадры Ethernet
IP-пакет
IP-адрес
IP-адрес
получателя получателя Данные
223.1.2.1
223.1.2.1
Сетевой уровень
Канальный уровень
MAC-адрес
получателя
MAC-адрес
отправителя
IP- пакет
08:00:28:00:38:A9 08:00:39:00:2F:C3
Кадр Ethernet
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Назначение протокола ARP
Протокол ARP (Address Resolution Protocol - протокол
разрешения адресов) используется для определения
соответствия IP-адресов и Ethernet-адресов хостов
Узел IP-сети (хост)
Прикладные службы
ARP-таблица
TCP
IP-адрес
Ethernet (MAC) – адрес
223.1.2.1
223.1.2.3
223.1.2.4
08:00:39:00:2F:C3
08:00:5A:21:A7:22
08:00:10:99:AC:54
ARP
UDP
IP
Ethernet
IP-адрес
223.1.2.1
MAC-адрес
08:00:39:00:2F:C3
Кабель Ethernet
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Определение МАС-адреса искомого хоста
Telnet 223.1.2.2
223.1.2.1
08:00:39:00:2F:C3
223.1.2.3
08:00:5A:21:A7:22
Ethernet-адрес ?
223.1.2.4
08:00:10:99:AC:54
Сеть 223.1.2.0
ARP-таблица
IP-адрес
Ethernet – адрес
223.1.2.1
223.1.2.3
223.1.2.4
223.1.2.2
08:00:39:00:2F:C3
08:00:5A:21:A7:22
08:00:10:99:AC:54
?
223.1.2.2
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Определение МАС-адреса искомого хоста
223.1.2.1
08:00:39:00:2F:C3
223.1.2.3
08:00:5A:21:A7:22
223.1.2.4
08:00:10:99:AC:54
Сеть 223.1.2.0
Широковещательный ARP- запрос
IP–адрес отправителя
Ethernet–адрес отправителя
Необходимый IP–адрес
Искомый Ethernet–адрес
223.1.2.1
08:00:39:00:2F:C3
08:00:28:00:38:A9
223.1.2.2
223.1.2.2
<пусто>
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Определение МАС-адреса искомого хоста
223.1.2.1
08:00:39:00:2F:C3
223.1.2.3
08:00:5A:21:A7:22
223.1.2.4
08:00:10:99:AC:54
Сеть 223.1.2.0
ARP- ответ
IP–адрес отправителя
Ethernet–адрес отправителя
Необходимый IP–адрес
Искомый Ethernet–адрес
223.1.2.2
08:00:28:00:38:A9
08:00:28:00:38:A9
223.1.2.2
223.1.2.1
08:00:39:00:2F:C3
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Определение МАС-адреса искомого хоста
Telnet 223.1.2.2
223.1.2.1
08:00:39:00:2F:C3
223.1.2.3
08:00:5A:21:A7:22
223.1.2.4
08:00:10:99:AC:54
Сеть 223.1.2.0
Модифицированная ARP-таблица
IP-адрес
Ethernet – адрес
223.1.2.1
223.1.2.2
223.1.2.3
223.1.2.4
08:00:39:00:2F:C3
08:00:28:00:38:A9
08:00:5A:21:A7:22
08:00:10:99:AC:54
08:00:28:00:38:A9
223.1.2.2
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Порядок определения МАСадреса необходимого хоста
Просмотр ARP - таблицы
Нет
ARP-запрос
Есть запись?
Да
Получение
ответа
Обновление
ARP-таблицы
Отправка
пакета
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Формат ARP - пакета
16
0
31
MAC - адрес получателя
MAC - адрес получателя
MAC - адрес отправителя
MAC - адрес отправителя
Тип рабочего протокола
Тип исслед. протокола
Тип действия
Тип сети
LHA
LPA
МАС и IP
адреса отправителя и получателя
Контрольная сумма
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Атаки с использованием ARP
1. ARP-spoofing с целью прослушивания трафика
между определенными узлами сегмента IP-сети.
2. Вызов в Windows 95/98/NT сообщений,
требующих нажатия кнопки «ОК».
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
ARP-spoofing или создание ложного
IP-посредника
Сервер
(маршрутизатор)
223.1.2.2
223.1.2.1
Конфиденциальная
информация
Конфиденциальная
информация
Switch
223.1.2.8
“Нарушитель“
Трафик не
прослушивается
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
ARP-spoofing или создание ложного
IP-посредника
(подготовка к внедрению)
Сервер
(маршрутизатор)
223.1.2.2
223.1.2.1
Switch
ARP ответ
223.1.2.1
ARP запрос
к 223.1.2.2
223.1.2.8
“Нарушитель“
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
ARP-spoofing или создание ложного
IP-посредника
(ожидание ARP-запроса и генерация ложного ARP-ответа)
223.1.2.1
Сервер
(маршрутизатор)
223.1.2.2
ARP запрос
к 223.1.2.2
Switch
Ложный
ARP ответ
223.1.2.1
223.1.2.8
“Нарушитель“
Ожидание ARP-запроса
от 223.1.2.1
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
ARP-spoofing или
создание ложного IP-посредника
(перехват трафика)
Сервер
(маршрутизатор)
223.1.2.2
223.1.2.1
Пакет с данными
Switch
Досылка
223.1.2.8
посредник
“Нарушитель“
Анализ пакета
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
ARP проблемы в Windows 95/98/NT
0
223.1.2.1
“messagebox“
OK
Windows 95/98/NT
8
16
Тип сети
для Ethernet = 0x0001
LHA
Eth.= 6
LPA
IP = 4
24
31
Тип протокола
для IP = 0x0800
Тип действия
для ARP-запроса = 1
МАС-адрес отправителя (байты 0-3)
XXXXXXXX
(байты 4-5)
XXXX
IP отправителя (2-3)
0201 (2.1)
IP отправителя (0-1)
DF 01 (223.1)
МАС (байты 0-1)
XXXX
МАС-адрес получателя (байты 2-5)
XXXXXXXX
Нарушитель
IP-адрес получателя
DF 01 02 01(233.1.2.1)
УЧЕБНЫЙ ЦЕНТР
ИНФОРМЗАЩИТА
Скачать