شرح كيفية عمل arp spoofing, poisoning and sniffing من
الأخطار التى تهدد المستخدم العادى كثيرا هي ال arp poisoning , هي
العملية التى يقوم بها البرامج أمثال netcut و switch sniffer و غيرها
سنقوم بإذن الله شرح العملية كاملا مع الحلول المقترحة لمواجهة هذه العمليات
لابد
أولا أن نفهم آلية العمل و التفاهيم بين الأجهزة و الراوتر داخل شبكة
واحدة , يتم فى البداية توزيع أرقام مميزة IP لكل جهاز لتعريفه داخليا و
لكن الأهم هنا هو رقم آخر يسمى MAC Address وهو رقم فريد لكل كارت network
و يقوم الراوتر بالتعرف على كل جهاز من خلال رقم ال mac address الخاص به
ويتم تسجيل عناوين ال mac فى جدول يسمى arp table و هذا الجدول ينشأ أوتوماتيك وضع تحت هذه الكلمة ألف خط لأننا سنعود إليها لا حقا
الآن
سنستعرض كيفية التخاطب بين الأجهزة و بين الراوتر فى الوضع العادى , فى
الوضع العادى يرسل الجهاز طلبا arp request إلى الراوتر ويرد عليه الراوتر
ب arp reply به ال mac address الخاص بالراوتر طبعا هذا من أجل تكوين ال
arp table
و تتم عميلة بناء ال arp cache على عدة مراحل
1- أن يفحص وجود هذا ال request من قبل فى ال arp table
2- أن يرسل الجهاز طلبا لمعرفة الماك الخاص بالجهاز صاحب الأى بى
3- إذا وجد تغيير يقوم بعمل تحديث لل cache
4- يقوم بالتعامل مع الجهاز بال mac address الجديد
[center]
هذا هو الوضع الطبيعي و لكن … يستغل المخترقين هذه التقنية و يقومون بعمل الآتى
1-
يضع كارت الإنترنت لديه فى وضع promiscuous الوضع الطبيعي يجعل كارت
النيتورك لا يلتقط إلا الباكتس الخاصة بعنوان الماك الخاص به أما وضع
promiscuous يجعل النيتورك يلتقط جميع الباكتس المارة بها
ثانيا يقوم بالرد على arp request ب arp reply به عنوان الماك الخاص بالراوتر
فيقوم جهاز الضحية بعمل تحديث لل arp cache بالعنوان الجديد الخاص بالمهاجم وهذه العملية تسمى بال spoofing
وهنا يستطيع المهاجم إلتقاط sniffing جميع البيانات المارة من جهاز الضحية و إلى الراوتر الأصلى
وهذا الهجوم أيضا يسمى هجوم man in the middle attack
نأتى إلى آخر نقطة و هى تسميم الحزم arp poisoning
حيث
يتم فى هذه المرحلة تسميم الباكتس المارة أو بمعنى أصح عدم تحويل الباكتس
الصحيحة للجهاز الضحية و بالتالى جهاز الضحية يرسل الطلب و لا يجد رد لهذا
الطلب و بالتالى ينقطع النت
الحلول المقترحة :-
1- إستخدام إحدى البرامج التى تمنع هذه العملية , عن تجربة أقوى البرامج التى رأيتها antiarp و arpwatch
2- إدخال قيمة ال mac address ثابتة فى جدول ال arp كالتالى
بالأمر التالى:-
arp -s routerip routermac و هذا يمنع عملية ال spoof