Beruflich Dokumente
Kultur Dokumente
Todos os pontos de uma rede de computadores hospedeiros ou roteadores possuem um endereo fsico nico chamado MAC. Este endereo gravado pelo fabricante em uma memria permanente da placa de rede (inclusive as placas de rede sem fio). Imagine que voc deseja enviar uma carta a um amigo que mora em outra cidade. Naturalmente, voc escreve a carta e a coloca e um envelope m que contm o seu endereo e o endereo do seu amigo. Este envelope ento levado aos correios de sua cidade. A agncia de sua cidade encaminha o envelope para a agncia da cidade de seu amigo, que por sua vez entrega o envelope ao destino final. Neste exemplo, a carta seria os dados da mensagem, o envelope seria o protocolo utilizado, o nome do seu amigo seria o IP, os endereos seriam os MACs dos computadores e os correios seriam os roteadores da rede.
Como
um
computador
sabe
endereo
MAC
de
outro
computador?
O ARP um protocolo (envelope) para resoluo de endereos MAC. Utilizando -se do exemplo anterior, imagine que voc no saiba o endereo de seu amigo. Supondo que voc possua uma boa agenda telefnica, descobrir o endereo no seria grande dificuldade, pois a partir do nome de se u amigo voc obteria facilmente o endereo. A descoberta do endereo MAC funciona de maneira muito parecida. O computador que deseja enviar a mensagem possui uma tabela de endereos (agenda) chamada ARP cache. O ARP cache vincula o endereo IP (nome d o seu amigo) ao MAC correspondente (endereo).
Quando o computador que deseja enviar a mensagem procura um IP em sua tabela ARP e no o encontra, ele envia uma requisio d o endereo para todos os computadores da rede. O computador que possuir o IP solicitado responde a mensagem indicando que o IP seu e ento o adicionado Assim, um endereo na ataque de tabela ARP MAC ARP. Poisoning consiste A em este modificar Man a adicionado ato tabela damos ARP In de um na o nome se tabela de passando ARP. Poisoning. por outro. Middle. Quando uma falsa resposta dada, um endereo MAC associado a u m IP que na realidade no o seu correspondente e ento computador The
Utilizando-se desta tcnica, uma pessoa pode conseguir desviar mensagens que seriam destinadas a outro computador para o seu. Isto conhecido como O computador destinatrio no tem conhecimento do ataque, pois aps a mensagem ser desviada ela ento encaminhada para o verdadeiro destino, dando a falsa impresso na rede de que o fluxo de dados est correto.
4. Arpwatch
O Arpwatch um programa de monitorao da tabela ARP em uma rede. A partir de uma cpia da tabela que ele mantm armazenada, este software de vigilncia consegue detectar qualquer alterao no ARP cache. Ao detectar alguma mudana na tabela, o Arpwatch gera relatrios e pode enviar mensagens de aviso por e-mail.
4.1. Instao
Faa A biblioteca de
o funes libpcap
do funcionamento do
no encontr -la no
link: endereo:
ftp://ftp.ee.lbl.gov/arpwatch.tar.gz . http://sourceforge.net/project/downloading.php?group_id=53067&filename=libpcap-0.8.1.tar.gz&a=76838529.
4.2. Configurando
Tomando como base a distribuio Linux OpenSUSE 11.0 e aps a instalao correta do Arpwatch, voc deve criar um arquivo vazi o chamado arp.dat no diretrio /var/lib/arpwatch. Este arquivo ser usado como base de dados em que o software mantm a cpia da tabela ARP. Aps a criao do arquivo, inicie o utilitrio arpwatch com o comando:
# arpwatch i eth0
Onde,
-i
indica
que
arquivo
arp.dat
ser
sobrescrito
eth0
nome
da
rede.
-f:
Para
mudar
local
do
arquivo
de
base
de
dados.
Agora abra o arquivo arpwatch que se encontra no diretrio /etc/sysconfig. Na linha OPTIONS="-u pcap -e root -s 'root (Arpwatch)'" altere
para:
Onde pcap indica sobre qual usurio o Arpwatch rodar, usurio@dominio.com o endereo de e -mail que o programa enviar as mensagens Caso o de alerta arquivo no e Arpwatch possua uma indica linha o semelhante nome a do citada, remetente basta inserir do no e-mail. final.
Depois do arquivo ser configurado, inicie a aplicao no diretrio /etc/init.d com o comando:
# arpwatch start
# rcarpwatch start
Todas
as
mudanas
detectadas
pelo
Arpwatch
iro
aparecer
no
arquivo
messages
do
diretrio
/var/log.
Alguns exemplos de mensagens que podem ser encontradas neste arquivo so:
May
28
21:46:43
linux-bphc
arpwatch:
flip
flop
192.168.0.1
0:18
e:4b:80:71
(0:1b:11
3:8f:3b)
May 28 21:47:23 linux-bphc arpwatch: MAC mismatch (eth) 192.168.0.1 0:18 e:4b:80:71 (0:1b:11 3:8f:3b) May 28 21:48:18 linux-bphc arpwatch: flip flop 192.168.0.1 0:1b:11 3:8f:3b (0:18 e:4b:80:71)
pcap@localhost.localdomain from
Sat
May
13
22:10:16
2006 [127.0.0.1])
<pcap@localhost.localdomain> localhost.localdomain (8.13.1/8.13.1) Sat, (from by for localhost.localdomain root; Sat, 13 Sat, 13 May root@localhost.localdomain (8.13.1/8.13.1/Submit) May 2006 2006 id 22:10:16 with 13 (localhost.localdomain ESMTP May 2006 id 22:10:16 localhost.localdomain k4DDAGSL004139 +0900 pcap@localhost) k4DDAG4U004133 22:10:16 +0900 +0900 (Arpwatch) root@localhost.localdomain
<root@localhost.localdomain>;
<200605131310.k4DDAG4U004133@localhost.localdomain>
hostname: ip ethernet ethernet vendor: timestamp: Saturday, May 13, 2006 22:10:16 +0900 address: address: 3COM
5. Concluso
A ARP
monitorao Poisoning
de
redes
uma
tarefa
de
extrema de
importncia desvio do
para fluxo
garantia de
de dados,
uma
melhor o
segurana. MITM.
O ARP Poisoning uma tcnica simples de ser executada e a maioria dos sistemas operacionais vulnervel a este tipo de ataque. Com o podemos aplicar ataques como Ferramentas de vigilncia, como o Arpwatch, auxiliam de forma efetiva na monitorao do ARP cache. Desta forma a deteco de possveis ataques, de riscos e at mesmo de mudanas no comportamento da rede se torna mais fcil para o responsvel pela segurana do sistema. Outras ferramentas similares ao Arpwatch so: ArpON e o XArp.
6. Referncias
Redes
de
Computadores
Internet;
Ed.;
Kurose
J.
F.,
Ross
K.
W.
Webtutoriais:44C6BB5C