एआरपी स्पूफ़िंग
संगणक संजाल िंग में, एआरपी स्पूफिंग, एआरपी कैश पॉइज़निंग, या एआरपी पॉइज़न रूटिंग, एक ऐसी तकनीक है जिसके द्वारा एक हमलावर स्थानीय क्षेत्र नेटवर्क पर संकल्प आदर्श पत्र पता (एआरपी) संदेश भेजता है। आम तौर पर, उद्देश्य हमलावर के मैक पते को किसी अन्य होस्ट (नेटवर्क) के आईपी पता, जैसे कि डिफ़ॉल्ट गेटवे, के साथ जोड़ना होता है, जिससे उस आईपी पते के लिए कोई भी ट्रैफ़िक हमलावर को भेजा जा सके।
एआरपी स्पूफ़िंग हमला हमलावर को नेटवर्क पर डेटा ढांचा को इंटरसेप्ट करने, ट्रैफ़िक को संशोधित करने या सभी ट्रैफ़िक को रोकने की अनुमति दे सकता है। अक्सर हमले का उपयोग अन्य हमलों के लिए उद्घाटन के रूप में किया जाता है, जैसे सेवा से इनकार, मैन-इन-द-मिडिल हमला, या सत्र अपहरण हमले।[1]
हमले का उपयोग केवल उन नेटवर्कों पर किया जा सकता है जो एआरपी का उपयोग करते हैं, और हमला करने के लिए हमलावर को स्थानीय नेटवर्क खंड तक सीधी पहुंच की आवश्यकता होती है।[2]
एआरपी कमजोरियां
एड्रेस रेजोल्यूशन प्रोटोकॉल (एआरपी) इंटरनेट परत एड्रेस सूचना श्रंखला तल एड्रेस में हल करने के लिए व्यापक रूप से उपयोग किया जाने वाला संचार प्रोटोकॉल है।
जब एक इंटरनेट प्रोटोकॉल (आईपी) आंकड़ारेख एक स्थानीय क्षेत्र नेटवर्क में एक होस्ट से दूसरे होस्ट पर भेजा जाता है, तो गंतव्य आईपी पते को डेटा लिंक परत के माध्यम से ट्रांसमिशन के लिए एक मैक पते पर हल किया जाना चाहिए। जब किसी अन्य होस्ट का आईपी पता ज्ञात होता है, और उसके मैक पते की आवश्यकता होती है, तो स्थानीय नेटवर्क पर प्रसारण पैकेट भेजा जाता है। इस पैकेट को ARP अनुरोध के रूप में जाना जाता है। एआरपी अनुरोध में आईपी के साथ गंतव्य मशीन फिर एक एआरपी उत्तर के साथ प्रतिक्रिया करती है जिसमें उस आईपी के लिए मैक पता होता है।[2]
एआरपी एक स्टेटलेस प्रोटोकॉल है। नेटवर्क होस्ट स्वचालित रूप से प्राप्त होने वाले किसी भी एआरपी उत्तर को कैश (कंप्यूटिंग) कर देगा, भले ही नेटवर्क होस्ट ने उनसे अनुरोध किया हो। यहां तक कि जो एआरपी प्रविष्टियां अभी समाप्त नहीं हुई हैं, उन्हें नया एआरपी उत्तर पैकेट प्राप्त होने पर अधिलेखित कर दिया जाएगा। एआरपी प्रोटोकॉल में ऐसी कोई विधि नहीं है जिसके द्वारा होस्ट उस सहकर्मी को प्रमाणित कर सके जिससे पैकेट उत्पन्न हुआ है। यह व्यवहार वह भेद्यता है जो ARP स्पूफिंग होने की अनुमति देता है।[1][2][3]
अटैक एनाटॉमी
एआरपी स्पूफिंग के पीछे मूल सिद्धांत लैन पर स्पूफिंग अटैक एआरपी संदेश भेजकर एआरपी प्रोटोकॉल में प्रमाणीकरण की कमी का फायदा उठाना है। एआरपी स्पूफिंग हमलों को LAN पर एक समझौता किए गए होस्ट से, या एक हमलावर की मशीन से चलाया जा सकता है जो सीधे लक्ष्य LAN से जुड़ा होता है।
एआरपी स्पूफिंग का उपयोग करने वाला एक हमलावर उपयोगकर्ताओं के बीच नेटवर्क पर डेटा के प्रसारण के लिए मेजबान के रूप में प्रच्छन्न होगा।[4] तब उपयोगकर्ताओं को पता नहीं चलेगा कि हमलावर नेटवर्क पर वास्तविक होस्ट नहीं है।[4]
आम तौर पर, हमले का लक्ष्य हमलावर के होस्ट मैक पते को लक्ष्य होस्ट (नेटवर्क) के आईपी पते के साथ जोड़ना है, ताकि लक्ष्य होस्ट के लिए कोई भी ट्रैफ़िक हमलावर के होस्ट को भेजा जा सके। हमलावर खोज से बचने के लिए ट्रैफ़िक को वास्तविक डिफ़ॉल्ट गंतव्य पर अग्रेषित करते समय पैकेटों का निरीक्षण (जासूसी) करना चुन सकता है, अग्रेषित करने से पहले डेटा को संशोधित कर सकता है (मैन-इन-द-मिडिल हमला), या सेवा से इनकार शुरू कर सकता है नेटवर्क पर कुछ या सभी पैकेट गिराकर हमला।
रक्षा
स्टेटिक एआरपी प्रविष्टियाँ
प्रमाणीकरण का सबसे सरल रूप किसी होस्ट के एआरपी कैश में महत्वपूर्ण सेवाओं के लिए स्थिर, केवल पढ़ने योग्य प्रविष्टियों का उपयोग है। स्थानीय एआरपी कैश में आईपी एड्रेस-टू-मैक एड्रेस मैपिंग को स्थिर रूप से दर्ज किया जा सकता है। जहां ऐसी प्रविष्टियां मौजूद हैं, वहां होस्ट को एआरपी अनुरोध प्रसारित करने की आवश्यकता नहीं है।[5] जबकि स्थैतिक प्रविष्टियाँ स्पूफिंग के विरुद्ध कुछ सुरक्षा प्रदान करती हैं, उनके परिणामस्वरूप रखरखाव के प्रयास होते हैं क्योंकि नेटवर्क में सभी प्रणालियों के लिए एड्रेस मैपिंग उत्पन्न और वितरित की जानी चाहिए। यह बड़े नेटवर्क पर स्केल नहीं करता है क्योंकि मैपिंग को मशीनों की प्रत्येक जोड़ी के लिए सेट करना पड़ता है जिसके परिणामस्वरूप n होता है2-n ARP प्रविष्टियाँ जिन्हें n मशीनें मौजूद होने पर कॉन्फ़िगर किया जाना है; प्रत्येक मशीन पर नेटवर्क पर प्रत्येक अन्य मशीन के लिए एक ARP प्रविष्टि होनी चाहिए; प्रत्येक n मशीन पर n-1 ARP प्रविष्टियाँ।
पहचान और रोकथाम सॉफ्टवेयर
सॉफ़्टवेयर जो ARP स्पूफिंग का पता लगाता है, आम तौर पर किसी प्रकार के प्रमाणीकरण या ARP प्रतिक्रियाओं की क्रॉस-चेकिंग पर निर्भर करता है। अप्रमाणित ARP प्रतिक्रियाएँ तब अवरुद्ध कर दी जाती हैं। इन तकनीकों को डीएचसीपी सर्वर के साथ एकीकृत किया जा सकता है ताकि डायनेमिक आईपी और स्थैतिक आईपी पते दोनों प्रमाणित हों। इस क्षमता को अलग-अलग होस्ट में लागू किया जा सकता है या ईथरनेट स्विच या अन्य नेटवर्क उपकरण में एकीकृत किया जा सकता है। एक एकल मैक पते से जुड़े कई आईपी पते का अस्तित्व एआरपी स्पूफ हमले का संकेत दे सकता है, हालांकि इस तरह के कॉन्फ़िगरेशन के वैध उपयोग हैं। अधिक निष्क्रिय दृष्टिकोण में डिवाइस नेटवर्क पर एआरपी उत्तरों को सुनता है, और जब एआरपी प्रविष्टि बदलती है तो ईमेल के माध्यम से एक अधिसूचना भेजता है।[6]
एंटीएआरपी[7] कर्नेल स्तर पर विंडोज़-आधारित स्पूफिंग रोकथाम भी प्रदान करता है। ArpStar कर्नेल 2.6 और Linksys राउटर के लिए एक लिनक्स मॉड्यूल है जो मैपिंग का उल्लंघन करने वाले अमान्य पैकेट को हटा देता है, और इसमें रिपोइज़न या हील करने का विकल्प होता है।
कुछ वर्चुअलाइज्ड वातावरण जैसे कि कर्नेल-आधारित वर्चुअल मशीन एक ही होस्ट पर चल रहे मेहमानों के बीच मैक स्पूफिंग को रोकने के लिए सुरक्षा तंत्र भी प्रदान करते हैं।[8]
इसके अतिरिक्त कुछ ईथरनेट एडेप्टर मैक और वीएलएएन एंटी-स्पूफिंग सुविधाएँ प्रदान करते हैं।[9]
ओपनबीएसडी स्थानीय होस्ट का प्रतिरूपण करने वाले मेजबानों पर निष्क्रिय रूप से नजर रखता है और स्थायी प्रविष्टि को अधिलेखित करने के किसी भी प्रयास के मामले में सूचित करता है।[10]
ओएस सुरक्षा
ऑपरेटिंग सिस्टम अलग तरह से प्रतिक्रिया करते हैं। लिनक्स अनचाहे उत्तरों को नजरअंदाज कर देता है, लेकिन दूसरी ओर, अपने कैश को अपडेट करने के लिए अन्य मशीनों के अनुरोधों के जवाबों का उपयोग करता है। सोलारिस समय समाप्ति के बाद ही प्रविष्टियों पर अपडेट स्वीकार करता है। Microsoft Windows में, ARP कैश के व्यवहार को HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount के अंतर्गत कई रजिस्ट्री प्रविष्टियों के माध्यम से कॉन्फ़िगर किया जा सकता है।[11]
वैध उपयोग
एआरपी स्पूफिंग में जिन तकनीकों का उपयोग किया जाता है उनका उपयोग नेटवर्क सेवाओं की अतिरेक को लागू करने के लिए भी किया जा सकता है। उदाहरण के लिए, कुछ सॉफ़्टवेयर एक बैकअप सर्वर को दोषपूर्ण सर्वर का कार्यभार संभालने और पारदर्शी रूप से अतिरेक की पेशकश करने के लिए एड्रेस रिज़ॉल्यूशन प्रोटोकॉल #ARP घोषणाएँ जारी करने की अनुमति देता है।[12][13] घेरा[14] और CUJO ऐसी दो कंपनियाँ हैं जिनके पास इस रणनीति पर केंद्रित उत्पादों का व्यावसायीकरण है।
एआरपी स्पूफिंग का उपयोग अक्सर डेवलपर्स द्वारा स्विच के उपयोग में होने पर दो होस्टों के बीच आईपी ट्रैफिक को डीबग करने के लिए किया जाता है: यदि होस्ट ए और होस्ट बी ईथरनेट स्विच के माध्यम से संचार कर रहे हैं, तो उनका ट्रैफिक आमतौर पर तीसरे मॉनिटरिंग होस्ट एम के लिए अदृश्य होगा। डेवलपर कॉन्फ़िगर करता है A के पास B के लिए M का MAC पता होना चाहिए, और B के लिए A के लिए M का MAC पता होना चाहिए; और M को पैकेट अग्रेषित करने के लिए भी कॉन्फ़िगर करता है। एम अब ट्रैफ़िक की निगरानी कर सकता है, ठीक वैसे ही जैसे मध्य-मध्यस्थ हमले में होता है।
उपकरण
रक्षा
Name | OS | GUI | Free | Protection | Per interface | Active/passive | Notes |
---|---|---|---|---|---|---|---|
Agnitum Outpost Firewall | Windows | Yes | No | Yes | No | passive | |
AntiARP | Windows | Yes | No | Yes | No | active+passive | |
Antidote[15] | Linux | No | Yes | No | ? | passive | Linux daemon, monitors mappings, unusually large number of ARP packets. |
Arp_Antidote[16] | Linux | No | Yes | No | ? | passive | Linux Kernel Patch for 2.4.18 – 2.4.20, watches mappings, can define action to take when. |
Arpalert | Linux | No | Yes | No | Yes | passive | Predefined list of allowed MAC addresses, alert if MAC that is not in list. |
ArpON | Linux | No | Yes | Yes | Yes | active+passive | Portable handler daemon for securing ARP against spoofing, cache poisoning or poison routing attacks in static, dynamic and hybrid networks. |
ArpGuard | Mac | Yes | No | Yes | Yes | active+passive | |
ArpStar | Linux | No | Yes | Yes | ? | passive | |
Arpwatch | Linux | No | Yes | No | Yes | passive | Keep mappings of IP-MAC pairs, report changes via Syslog, Email. |
ArpwatchNG | Linux | No | Yes | No | No | passive | Keep mappings of IP-MAC pairs, report changes via Syslog, Email. |
Colasoft Capsa | Windows | Yes | No | No | Yes | no detection, only analysis with manual inspection | |
cSploit[17] | Android (rooted only) | Yes | Yes | No | Yes | passive | |
elmoCut[18] | Windows | Yes | Yes | No | ? | passive | EyeCandy ARP spoofer for Windows |
Prelude IDS | ? | ? | ? | ? | ? | ? | ArpSpoof plugin, basic checks on addresses. |
Panda Security | Windows | ? | ? | Yes | ? | Active | Performs basic checks on addresses |
remarp | Linux | No | Yes | No | No | passive | |
Snort | Windows/Linux | No | Yes | No | Yes | passive | Snort preprocessor Arpspoof, performs basic checks on addresses |
Winarpwatch | Windows | No | Yes | No | No | passive | Keep mappings of IP-MAC pairs, report changes via Syslog, Email. |
XArp[19] | Windows, Linux | Yes | Yes (+pro version) | Yes (Linux, pro) | Yes | active + passive | Advanced ARP spoofing detection, active probing and passive checks. Two user interfaces: normal view with predefined security levels, pro view with per-interface configuration of detection modules and active validation. Windows and Linux, GUI-based. |
Seconfig XP | Windows 2000/XP/2003 only | Yes | Yes | Yes | No | only activates protection built-in some versions of Windows | |
zANTI | Android (rooted only) | Yes | Yes | No | ? | passive | |
NetSec Framework | Linux | No | Yes | No | No | active | |
anti-arpspoof[20] | Windows | Yes | Yes | ? | ? | ? | |
DefendARP:[21] | ? | ? | ? | ? | ? | ? | A host-based ARP table monitoring and defense tool designed for use when connecting to public wifi. DefendARP detects ARP poisoning attacks, corrects the poisoned entry, and identifies the MAC and IP address of the attacker. |
NetCutDefender:[22] | Windows | ? | ? | ? | ? | ? | GUI for Windows that can protect from ARP attacks |
स्पूफ़िंग
कुछ उपकरण जिनका उपयोग एआरपी स्पूफिंग हमलों को अंजाम देने के लिए किया जा सकता है:
- अर्प्सपूफ़ (उपकरणों के DSniff सुइट का हिस्सा)
- अर्पोइज़न
- छल[23]
- ईथरकैप (कंप्यूटिंग)
- एक साथ[24]
- आप-फिलुप -व0.1[25]
- arp-sk -v0.0.15[25]*ARPOc -v1.13[25]*अर्पलर्ट -v0.3.2[25]*चालीस एफ. 04[25]*arpmitm -v0.2[25]*अर्पोइज़न -v0.5[25]*ArpspyX -b1.1[25]*ArpToXin -v 1.0[25]*कैन और एबेल (सॉफ्टवेयर)|कैन और एबेल -v 4.3
- cSploit -v 1.6.2[17]
- स्विचस्निफर[25]*एपीई - एआरपी पॉइज़निंग इंजन[26]
- सिमसंग[27]
- ज़ांटे एफ
- विस्तारित[18]
- नेटसेक फ्रेमवर्क -v1
- मिनरी[28]
- इंटरनेट संबंध विच्छेद हो गया[29] (एक रक्षा सुविधा भी है)
- एआरपीशीयर[30]
यह भी देखें
संदर्भ
- ↑ 1.0 1.1 Ramachandran, Vivek & Nandi, Sukumar (2005). "Detecting ARP Spoofing: An Active Technique". In Jajodia, Suchil & Mazumdar, Chandan (eds.). Information systems security: first international conference, ICISS 2005, Kolkata, India, December 19–21, 2005 : proceedings. Birkhauser. p. 239. ISBN 978-3-540-30706-8.
- ↑ 2.0 2.1 2.2 Lockhart, Andrew (2007). नेटवर्क सुरक्षा हैक. O'Reilly. p. 184. ISBN 978-0-596-52763-1.
- ↑ Steve Gibson (2005-12-11). "एआरपी कैश विषाक्तता". GRC.
- ↑ 4.0 4.1 Moon, Daesung; Lee, Jae Dong; Jeong, Young-Sik; Park, Jong Hyuk (2014-12-19). "RTNSS: a routing trace-based network security system for preventing ARP spoofing attacks". The Journal of Supercomputing. 72 (5): 1740–1756. doi:10.1007/s11227-014-1353-0. ISSN 0920-8542. S2CID 18861134. Archived from the original on 2021-01-23. Retrieved 2021-01-23.
- ↑ Lockhart, Andrew (2007). नेटवर्क सुरक्षा हैक. O'Reilly. p. 186. ISBN 978-0-596-52763-1.
- ↑ "एआरपी विषाक्तता और रक्षात्मक उपकरणों को रोकने के लिए एक सुरक्षा दृष्टिकोण". ResearchGate (in English). Archived from the original on 2019-05-03. Retrieved 2019-03-22.
- ↑ AntiARP Archived June 6, 2011, at the Wayback Machine
- ↑ "Daniel P. Berrangé » Blog Archive » Guest MAC spoofing denial of service and preventing it with libvirt and KVM". Archived from the original on 2019-08-09. Retrieved 2019-08-09.
- ↑ "संग्रहीत प्रति". Archived from the original on 2019-09-03. Retrieved 2019-08-09.
- ↑ "Arp(4) - OpenBSD manual pages". Archived from the original on 2019-08-09. Retrieved 2019-08-09.
- ↑ "Address Resolution Protocol". 18 July 2012. Archived from the original on 2021-01-23. Retrieved 2017-08-26.
- ↑ "OpenBSD manpage for CARP (4)". Archived from the original on 2018-02-05. Retrieved 2018-02-04., retrieved 2018-02-04
- ↑ Simon Horman. "Ultra Monkey: IP Address Takeover". Archived from the original on 2012-11-18. Retrieved 2013-01-04., retrieved 2013-01-04
- ↑ Barrett, Brian. "डिज़्नी वाला सर्कल दूर से बच्चों के उपकरणों को लॉक कर देता है". Wired. Archived from the original on 2016-10-12. Retrieved 2016-10-12., retrieved 2016-10-12
- ↑ "Antidote". Archived from the original on 2012-03-13. Retrieved 2014-04-07.
- ↑ "Arp_Antidote". Archived from the original on 2012-01-14. Retrieved 2011-08-02.
- ↑ 17.0 17.1 "सीस्प्लोइट". tux_mind. Archived from the original on 2019-03-12. Retrieved 2015-10-17.
- ↑ 18.0 18.1 "elmoCut: EyeCandy ARP Spoofer (GitHub Home Page)". GitHub.
{{cite web}}
: CS1 maint: url-status (link) - ↑ "XArp". Archived from the original on 2020-06-16. Retrieved 2021-01-23.
- ↑ anti-arpspoof Archived August 31, 2008, at the Wayback Machine
- ↑ "Defense Scripts | ARP Poisoning". Archived from the original on 2013-01-22. Retrieved 2013-06-08.
- ↑ "Netcut defender | Arcai.com". Archived from the original on 2019-04-08. Retrieved 2018-02-07.
- ↑ "छल-कपट परियोजना". Archived from the original on 2016-04-27. Retrieved 2013-11-18.
- ↑ "Seringe – Statically Compiled ARP Poisoning Tool". Archived from the original on 2016-09-16. Retrieved 2011-05-03.
- ↑ 25.0 25.1 25.2 25.3 25.4 25.5 25.6 25.7 25.8 25.9 "ARP Vulnerabilities: The Complete Documentation". l0T3K. Archived from the original on 2011-03-05. Retrieved 2011-05-03.
- ↑ "विंडोज़ के लिए एआरपी कैश पॉइज़निंग टूल". Archived from the original on July 9, 2012. Retrieved 2012-07-13.
- ↑ "सिमसंग". Archived from the original on 2016-03-04. Retrieved 2013-08-25.
- ↑ "मीनारी". Archived from the original on 2019-04-08. Retrieved 2018-01-10.
- ↑ "इंटरनेट संबंध विच्छेद हो गया". Archived from the original on 2020-11-12. Retrieved 2021-01-23.
- ↑ "ARPpySHEAR: An ARP cache poisoning tool to be used in MITM attacks". GitHub. Archived from the original on 2020-10-13. Retrieved 2019-11-11.
बाहरी संबंध
- Stephanie Reigns (2014-10-07). "Clearing your ARP cache on Linux". Coders Eye. Archived from the original on 2019-04-08. Retrieved 2018-03-05.