اجرای حمله ARP Spoofing با Ettercap

حمله ARP spoofing (جعل ARP) در شبکه Ethernet یا Wi-Fi کاربر دارد و بین روتر و کاربر اتفاق می افتد. در یک حمله ARP spoofing بسته هایی که باید به هدف ارسال شوند، بجای آن برای نفوذگر ارسال می شوند و به نفوذگر امکان شنود، dos یا حمله man in the middle را می دهد. یکی از محبوب ترین ابزارها برای انجام این حمله، ابزار Ettercap است که از قبل در لینوکس کالی نصب شده است.

در یک شبکه معمولی اترنت یا Wi-Fi بسته ها در روتر با ارتباط با مک آدرس و IP آدرس دستگاه‌ها شناسایی و مسیریابی می شوند. معمولاً این کار از طریق یک پیام پروتکل تفکیک آدرس (address resolution protocol یاهمان ARP) اتفاق می افتد که نشان می دهد مک آدرس کدام دستگاه با کدام IP آدرس مطابقت دارد. این پروتکل این امکان را به بقیه شبکه می دهد که از کجا ترافیک ارسال کنند، اما می توان به راحتی آن را جعل کرد و نحوه مسیر ترافیک را تغییر داد که درنتیجه به یکی از خطرناک ترین حملات هک وای فای تبدیل می‌شود.

حمله ARP spoofing چیست؟

جعل یا مسمومیت پروتکل ARP حمله ای است که شامل ارسال پیام های جعلی ARP از طریق یک شبکه محلی است تا ترافیک را از هاست هدف به یک نفوذگر هدایت کند. این حمله با عنوان های ARP spoofing و ARP cache poisoning شناخته می شود. در یک حمله ARP spoofing، با ابزاری مانند Ettercap می توانیم با ارسال پیام های جعلی، سعی در مرتبط کردن مک آدرس هکر با IP آدرس هدف کنیم. که در صورت موفقیت، آنها به طور موقت در یک تنظیمات پیکربندی در سایر دستگاه های شبکه ذخیره می شوند. بطورخلاصه این ابزار Arp قربانی و روتر را مسموم می کند که ممکن است چند دقیقه طول بکشد تا پروسه ARP انجام شود، اما پس از این کار شما (نفوذگر) بین قربانی شما و روتر قرار می‌گیرد و تمام اطلاعات ردو بدل شده را دریافت می‌کنید.

انواع حملات ARP spoofing

پس از موفقیت اولیه نفوذگر در مسموم کردن کش ARP در سایر هاست های شبکه، امکان پیاده سازی سه حمله وجود دارد:

شنود ترافیک: نفوذگر می تواند هر آنچه کاربر هدف در شبکه انجام می دهد را ببینند.

اجرای حمله man in the middle: نفوذگر می تواند رمز عبور وارد شده در وب سایت هایی که هدف بازدید می‌کند را مشاهده کند، درخواست های DNS را مسموم کند. در یک حمله man in the middle (مردی در میانه)، نفوذگر این فرصت را دارد که نه تنها ببیند چه اتفاقی در شبکه می افتد بلکه می تواند آن را دستکاری کند. برای مثال کاهش امنیت پرتوکل سایت برای گرفتن آسان تر رمز عبور، تغییر محتوای یک وب سایت، دسترسی از قربانی و غیره.

اجرای حمله DOS: این حمله برای توقف ارسال اطلاعات به هدف استفاده می شود. این حمله از نظر عملکردی همانند حمله Deauthentication به شبکه وای فای است. اگر نفوذگر ترجیح دهد بسته هایی را که اکنون به هدف ارسال می شوند را فوروارد نکند، هدف هرگز نمیتواند آنها را دریافت کند.

ابزار Ettercap

یکی از جذاب ترین برنامه هایی که به طور پیش فرض در کالی لینوکس نصب شده، Ettercap است. برخلاف بسیاری از برنامه هایی که فقط خط فرمان هستند، Ettercap از یک رابط گرافیکی برای مبتدیان نیز برخوردار است. ابزار Ettercap ابزاری عالی برای تازه کارها است زیرا می توان حملات شبکه مانند ARP spoofing را بصورت خودکار انجام داد. اگر Ettercap را ندارید می توانید با دستور زیر آن را نصب کنید.

apt install ettercap-graphical

ابزارهای دیگری مانند Bettercap نیز هستند که کارهایی را که Ettercap انجام می دهد را به طور موثرتری انجام می دهند. با این حال Ettercap به اندازه کافی برای اجرای حملات ما مفید است. برای اجرای حمله ARP spoofing ابتدا باید به شبکه ای که می خواهید به آن حمله کنید، متصل شوید. سپس هاست های شبکه را پیدا کنید و در آخر به هدف مورد نظر حمله کنید.

1- اتصال به شبکه هدف

اولین مرحله ARP spoofing اتصال به شبکه ای است که می خواهید به آن حمله کنید. اگر به یک شبکه وایرلس WEP ،WPA یا WPA2 حمله می کنید، باید پسورد آن را بدانید. اما اگر شبکه هدف اترنت است، باید با استفاده از کابل به آن متصل شوید.

سپس دستور زیر را برای فعال کردن IP forwarding اجرا کنید. این دستور برای حفظ اتصال دستگاه قربانی در حمله ARP spoofing اجباری است. اما این دستور دائمی نخواهد بود و هر بار که کالی را مجدداً راه اندازی می کنید و بخواهید حمله MITM دیگری انجام دهید، باید آن را وارد کنید.

echo 1 > /proc/sys/net/ipv4/ip_forward

2- اجرای Ettercap

برای اجرای Ettercap در حالت گرافیکی دستور زیر را در ترمینال اجرا کنید:

ettercap -G

3- انتخاب اینترفیس شبکه برای شنود

در بخش “Setup” و در قسمت “Primary Interface” باید اینترفیس شبکه ای را که می خواهید شنود کنید را انتخاب کنید و در آخر روی تیک “✓” کلیک کنید تا پروسه شنود یکپارچه (Unified sniffing) آغار شود. شما باید اینترفیس شبکه ای را انتخاب کنید که در حال حاضر با آن به شبکه هدف متصل هستید. اگر از اتصال کابلی (اترنت) استفاده می کنید، احتمالاً رابط شما eth0 خواهد بود، اما اگر از وایرلس استفاده می کنید احتمالاً اینترفیس شما wlan0 است. برای پیدا کردن اینکه با کدام اینترفیس متصل هستید می‌توانید دستور ifconfig را اجرا کنید.

4- شناسایی هاست ها در شبکه

برای پیدا کردن دستگاه هدف، می‌توانیم از منو با کلیک بر روی “Hosts”، سپس “Scan for hosts” یک اسکن ساده برای جستجوی هاست ها انجام دهیم. پس از پایان اسکن، می توانیم با کلیک بر روی “Hosts” و سپس “Hosts list”،هاست هایی که Ettercap در شبکه شناسایی کرده است را مشاهده کنیم.

اکنون می توانیم لیستی از اهداف پیدا شده در شبکه را مشاهده کنیم. برای مشاهده اتصالات دستگاه ها، روی “View” و سپس “Connections” کلیک کنید. ما می توانیم کانکشن ها را بر اساس IP آدرس، نوع کانکشن (بسته بودن، فعال بودن یا قطع شدن اتصال) فیلتر کنیم. این کار به ما قدرت جستجوی زیادی می دهد و همچنین با کلیک روی “View” و سپس “Resolve IP addresses” می توانیم IP آدرس دیگر دستگاه های در حال اتصال به شبکه را ببینیم.

اگر بخواهیم یک هدف فعال (active) را در شبکه شناسایی کنیم و بفهمیم که از چه وبسایتهایی بازدید می کند، می توانیم به IP آدرس توجه کنیم. همچنین می‌توانیم مک آدرس آن را در سایت macvendors توجه کنیم و اگر دستگاه برای ما جذاب بود آن را هدف قرار دهیم.

5- انتخاب هاست هدف برای حمله ARP Spoofing

اکنون که IP آدرس هدف خود را شناسایی کردیم، وقت آن است که آنها را به target list اضافه کنیم تا آن را به عنوان هدف تعیین کنیم. به این ترتیب بسته هایی که قرار بود به هدف ارسال شوند را از روتر دریافت می کنیم. به صفحه “Hosts” بروید و Host list را انتخاب کنید.

کاری که می خواهیم انجام دهیم اضافه کردن gateway شبکه به عنوان Target 1 و دستگاه قربانی به عنوان Target 2 است. اما ابتدا باید IP آدرس آنها را بدانیم. برای اینکه IP آدرس gateway (روتر) را پیدا کنید، می توانید ترمینال را باز کرده و دستور route -n را اجرا کنید تا IP آدرس gateway شبکه را ببینید، همچنین می توانید با دستور ifconfig و توجه به قسمت broadcast آن را تشخیص دهید. سپس از قسمت host list روی IP gateway خود کلیک و Add to Target 1 را انتخاب کنید.

برای دانستن IP آدرس قربانی، ابتدا باید بدانیم که به چه کسی حمله می کنیم، ما می توانیم با استفاده از nmap اطلاعات بیشتری (مانند سیستم عامل، پورت های باز و غیره) را از دستگاه مورد نظر پیدا کنیم. هنگامی که مطمئن شدیم قربانی ما کیست، IP آدرس او را از قسمت host list انتخاب و روی Add to Target 2 کلیک می‌کنیم.

برای مشاهده دستگاه هایی را که برای جعل ARP هدف قرار گرفته اند، از منو “Targets” روی “Current targets” کلیک کنید.

اکنون می توانیم به منوی “Mitm” برویم تا حمله خود را به این هدف آغاز کنیم.

6- حمله به اهداف را شروع کنید

روی منوی “Mitm” کلیک کرده و “ARP poisoning” را انتخاب کنید. در پنجره باز شده گزینه “Sniff remote connections” را برای حمله شنود انتخاب کنید.

بعد از اجرای این حمله، اگر کاربری که هدف قرار داده اید در حال لاگین به یک وبسایت HTTP باشد به راحتی می توانید رمز ورود وارد شده توسط قربانی را دریافت کنید. همچنین می توانید روی “Plugins” و سپس “manage plugins” کلیک کنید تا منوی پلاگین نشان داده شود. برای مثال اگر روی پلاگین DOS attack دوبار کلیک کنید فعال می‌شود و شروع به ارسال بسته هایی به هدف و قطع دسترسی او از اینترنت می شوید. برای غیرفعال کردن پلاگین مجددا روی آن دوبار کلیک کنید.

7- گرفتن پسورد کاربر

بیایید یک پسورد را دریافت کنیم. برای تست در دستگاه هدف، به وب سایت testphp.vulnweb.com/login.php بروید که از پروتکل HTTP استفاده می‌کند. در صفحه لاگین یک نام کاربری و پسورد جعلی وارد کنید و روی “login” کلیک کنید. اکنون در Ettercap می توانید اطلاعاتی که تایپ کرده اید را ببینید.

خب دیدیم که Ettercap با موفقیت حمله ARP Poisoning را اجرا کرده و درخواست ورود HTTP را که هدف به وب سایت ارسال کرده است را دریافت کردیم. اما در وبسایت های HTTPS و HTST باید از روش پیشرفته تری استفاده کنیم.

در آخر برای متوقف کردن حمله MITM، از منو MITM روی Stop mitm attack کلید کنید.

محدودیت های حمله ARP spoofing

عمده ترین محدودیت حمله ARP spoofing این است که فقط در صورت اتصال به شبکه های معمولی کار می کند. این بدان معناست که در برابر شبکه هایی که نظارت پیچیده تری دارند یا فایروال هایی که ممکن است این نوع رفتار را تشخیص دهند، به خوبی کار نمی کند. این حملات مثالی دیگر از دلایل انتخاب پسوردهای قوی برای شبکه های وایرلس است و همچنین دقت به این که با چه کسانی اینترنت شبکه خود را به اشتراک می گذارید.