En ההודעה האחרונה שלי על ArpSpoofing חלקם היו פרנואידים, חלקם אף שינו את הסיסמה ל- Wi-Fi ולדוא"ל.
אבל יש לי פיתרון טוב יותר עבורך. זהו יישום המאפשר לך לחסום התקפה מסוג זה על שולחן ה- ARP,
אני מציג בפניכם את ArpON.
תוכנית זו מאפשרת לך להפריע להתקפות מהסוג MTIM ידי ARPpoofing. אם אתה רוצה להוריד אותו:
להתקין אותו ב- דביאן עליך להשתמש רק ב:
apt-get install arpon
יישם את האלגוריתמים הבאים:
- SARPI - בדיקת ARP סטטית: רשתות ללא DHCP. הוא משתמש ברשימה ערכים סטטית ואינו מאפשר שינויים.
DARPI - בדיקת ARP דינמית: רשתות עם DHCP. הוא שולט בבקשות ARP נכנסות ויוצאות, שומר במטמון את היוצאות וקובע פסק זמן לתגובה הנכנסת.
HARPI - בדיקת ARP היברידית: רשתות עם DHCP או בלעדיו. השתמש בשתי רשימות בו זמנית.
לאחר התקנתו, התצורה באמת פשוטה מאוד.
אנו עורכים את הקובץ ( / etc / default / arpon )
nano /etc/default/arpon
שם אנו עורכים את הדברים הבאים:
האפשרות ששמה (RUN = »לא») אנחנו שמים (RUN = »כן»)
ואז תבטל את השורה שאומרת (DAEMON_OPTS = »- q -f /var/log/arpon/arpon.log -g -s» )
נשאר משהו כמו:
# Defaults for arpon initscript
sourced by /etc/init.d/arpon
installed at /etc/default/arpon by the maintainer scripts
You must choose between static ARP inspection (SARPI) and
dynamic ARP inspection (DARPI)
#
For SARPI uncomment the following line (please edit also /etc/arpon.sarpi)
DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -s"
For DARPI uncomment the following line
DAEMON_OPTS="-q -f /var/log/arpon/arpon.log -g -d"
Modify to RUN="yes" when you are ready
RUN="yes"
ואתה מפעיל מחדש את השירות:
sudo /etc/init.d/arpon restart
מעניין, אבל אשמח אם תרחיב מעט להזכיר כיצד התוכנית עובדת, כיצד היא מונעת התקפות. תודה על השיתוף. ברכות מוונצואלה.
אני תומך בהצעה.
אני משני את התמיכה »
אני תומך בתמיכה.
חחח, אני תומך בך !!!
אני מקווה שאף אחד אחר לא יבוא !!
XD
טוב מאוד
אם הרשת שלי היא DHCP, האם עלי לבטל את ההערה על קו DARPI?
הדבר האחר הוא שאם המחשב האישי שלי איטי, האם הוא מאט אם אני משתמש בתוכנית זו?
תודה
כן ולא. אני משתמש בחיבור Wi-Fi, שום דבר לא משפיע עלי.
תודה, אז אל תשתמש במשאבים נוספים.
טוב מאוד, אם לומר את האמת.
מְעוּלֶה. ההסבר כיצד הדברים פועלים מורכב מאוד לערך יחיד ... יש לי ערך בסיסי בהמתנה ל- ettercap, בוא נראה אם אני קופץ פנימה
שאלה, יש לי את נתב ה- Wi-Fi שלי עם סיסמת wps, האם זה ייקח כל כך הרבה בעיות?
סיסמת Wps? wps אינו מרתק, זו פשוט שיטת כניסה קלה ללא סיסמאות. למעשה זה די פגיע.
אני ממליץ להשבית את ה- wps של הנתב שלך.
האם הפקודה arp -s ip mac של הנתב אינה קלה יותר?
כן כמובן ואם אתה משתמש ב- "arp -a" ובדוק את ה- MAC כשאתה נכנס להתחברות ...
מה שמפתיע הוא שהוא התחבר לג'ימייל בהדרכת Spoofing עם פרוטוקול http ... ברוך הבא לעולם הבטוח, SSL הומצא בפרוטוקול דף האינטרנט!
.. ואז יש דפים כמו Tuenti שכשאתה מתחבר הם שולחים לך את המידע דרך http גם אם אתה ניגש דרך https, אבל הם מיוחדים ... xD
תקן אותי אם אני טועה אבל אני לא חושב שיש צורך להתקין תוכנה מיוחדת כדי למנוע התקפה מסוג זה. מספיק לבדוק את האישור הדיגיטלי של השרת אליו אנו מתכוונים להתחבר.
עם התקפה זו למחשב ה- MIM (איש באמצע) שמתחזה לשרת המקורי אין יכולת להתחזות גם לתעודה הדיגיטלית שלו ומה שהוא עושה זה להמיר חיבור מאובטח (https) לא בטוח (http). או שתל אייקון שמנסה לדמות חזותית את מה שהדפדפן שלנו יראה לנו בחיבור מאובטח.
אמרתי: תקן אותי אם אני טועה, אבל אם המשתמש ישים מעט את האישור, הוא יכול לזהות סוג כזה של התקפה.
http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Understanding-Man-in-the-Middle-Attacks-ARP-Part4.html
נכון לעכשיו אני עושה את זה ברמת iptables, זה אחד הכללים שיש לי בחומת האש שלי.
כאשר $ RED_EXT, הוא הממשק שבו המחשב מחובר לאינטרנט אה $ IP_EXTER, זוהי כתובת ה- IP שיש לציוד להגנה.
# אנטי זיוף (זיוף מקור ה- ip)
iptables -A INPUT -i $ RED_EXT -s $ IP_EXTER -m תגובה - תגובה "Anti-MIM" -j DROP
iptables -A INPUT -i $ RED_EXT -s 10.0.0.0/24 -m תגובה - תגובה "Anti-MIM" -j DROP
iptables -A INPUT -i $ RED_EXT -s 172.16.0.0/12 -m תגובה - תגובה "Anti-MIM" -j DROP
iptables -A INPUT -i $ RED_EXT -s 192.168.0.0/24 -m תגובה - תגובה "Anti-MIM" -j DROP
iptables -A INPUT -i $ RED_EXT -s 224.0.0.0/8 -j DROP
iptables -A INPUT -i $ RED_EXT -d 127.0.0.0/8 -j DROP
iptables -A INPUT -i $ RED_EXT -d 255.255.255.255 -j DROP
לגבי
http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Understanding-Man-in-the-Middle-Attacks-ARP-Part4.html
אופס מישהו למחוק את ההערה הזו שנשלחה שגוי xD
תרומה נהדרת יקרה, אבל יש לי שאלה אחרונה בתקווה שתוכל לענות:
אני מנהל שרת ipcop 2, לכן הייתי אוהב להיות בעל שליטה על טבלאות ה- arp המפורסמות אך לשרת אין את השליטה הזו (כמו שעושה למשל mikrotik), בכמה מילים הייתי רוצה לדעת אם אוכל להתקין הידיעה מרוויחה חסרונות ללא כל כך מכיוון שאני רק נכנס לינוקס ויתרונותיה ... אני מקווה שתוכל לענות לי, תודה וברכה ...
האמת היא שמעולם לא ניסיתי את ipcop2. אבל בהיותי מבוסס לינוקס, אני מניח שאצליח לנהל iptables בצורה כלשהי כדי לא לאפשר התקפה מסוג זה.
אם כי אתה יכול גם להוסיף IDS כמו Snort כדי להתריע בפניך על התקפות אלה.
(שלחתי את התשובה שלוש פעמים כי אני לא רואה מה מופיע בדף, אם טעיתי אני מתנצל כי אני לא יודע)
הדרכה נחמדה, אבל אני מקבל את זה:
sudo /etc/init.d/arpon הפעלה מחדש
[....] הפעלה מחדש של arpon (דרך systemctl): arpon.serviceJob עבור arpon.service נכשל מכיוון שתהליך הבקרה יצא עם קוד שגיאה. ראה "statusctl status arpon.service" ו- "journalctl -xe" לפרטים.
נִכשָׁל!