ARP Attack

1. ARP Attack F74952265 黃煜仁 F74969034 李崇瑋

2. Outline • 何謂 ARP? • ARP攻擊? • 面對ARP攻擊的修復與預防?

3. What’s ARP(1/4) • ARP ( Address Resolution Protocol) • 建立IP位址與MAC(網路卡號)的對應關係 • 透過查詢的方式更新ARP table

4. What’s ARP(2/4) PCa is sending data to PCb…..in LAN PCa , IPa: 192.168.0.10 MACa: 00-E0-18-0E-B2-21 Where’s 192.168.0.11? Switch ARPtablePCa 00-1b-11-69-fb-69 192.168.0.11 response PCc, IPc : 192.168.0.13 MACc : 00-0b-fd-d5-7f-7f ARPtablePCb ARPtablePCc PCb, IPb: 192.168.0.11 MACb: 00-1b-11-69-fb-69 00-E0-18-0E-B2-21 192.168.0.10

5. What’s ARP(3/4)

6. What’s ARP(4/4) • 查詢目前ARP table $arp –a • 靜態設置 $arp –s IP MAC

7. ARP Spoofing(1/2) • 發送一個假的ARP封包竄改ARP Table使得資 料無法正確傳輸到目的地，造成網路無法 連結，便稱作ARPSpoofing。

8. ARP Spoofing(2/2) 崩潰

9. 中間人攻擊(Man-in-the-middle)

10. 正常arp運作

11. ARP Spoofing

12. 為何難以防禦 • 駭客在進行竊聽時，一般網路活動仍能正常運作不會斷線，故鮮少有人會主動發現。 • 使用者電腦上不會被安裝木馬或惡意軟體，也難以被防毒軟體發現。 • 駭客在欺騙網路協定時，雖然可能會留下一些蛛絲馬跡，但基於效能與磁碟空間考量，網路裝置一般而言都不會保留太多紀錄檔，造成事後追蹤極為困難。 • 絕大多數的網路協定，仍然是基於「我相信其他人傳過來的訊息」的假設在運作的，這導致駭客有太多漏洞可以鑽，藉以欺騙網路設備、偽裝成中間人。

13. 如何解決Arp MITM • ARP欺騙攻擊是屬於區域網路內部的攻擊手法由二層交換器來偵測及阻擋防禦最為恰當 • Ex: NBAD switch

14. Net Cut • 假造ARP封包造成目標主機ARP table記錄錯誤來達成斷線目的 • ARP請求封包發送端只管接收回應訊息，卻無法分辨訊息的真偽 • 由於MAC address不正確，所以封包就再也無法傳送到目的主機上

15. Net Cut 症狀 • 網路時好時壞(5-10分鐘斷一次) • "修復連線"後正常 • arp -a指令查到的閘道位址與事實不符

16. 1 / 5

17. 2 / 5

18. 3 / 5

19. 4 / 5

20. 5 / 5

21. 如何防止Net Cut • 就是netcut自己，勾選【Protect My Computer】 。 • Anti Netcut程式，啟動後按下【開始防護】即可。 • AntiArpSinffer程式，啟動後按下【自動防護】即可。另還有【追博攻擊者】功能，可協助找追害你的人的IP喔。 • 加裝VLAN switch

22. Reference • Trend Micro網站 • 資安論壇 • WIKI