بعد ان تعرفنا في المقالة السابقة عن ARP ، الان نتحدث عن انتحاله
انتحال
ARP او تسمم
ARP ، هو هجوم (MitM) يسمح للمهاجمين
باعتراض الاتصال بين أجهزة الشبكة.
ولعمل الهجوم يجب أن يكون للمهاجم حق الوصول إلى
الشبكة،فيعمل التالي:
· يقوم المهاجم بفحص الشبكة لتحديد
عناوين IP لجهازين على الأقل.
· حيث يستخدم المهاجم أداة انتحال ، مثل Arp spoof أو Driftnet ، لإرسال استجابات ARP مزورة.
· تعلن الاستجابات المزيفة أن عنوان MAC الصحيح لكل من عناوين IP بحيث يتم انتحال عنوان MAC ويتم
وضع عنوان المهاجم، وهذا الاجهزة للاتصال بجهاز المهاجم بدل من الاتصال ببعضهما البعض.
· يقوم الجهازان بتحديث إدخالات ذاكرة
التخزين المؤقت ARP الخاصة بهما الى العنوان المحدث، ومن بعدها يتظاهر مهاجم انتحال ARP بأنه يمثل كلا جانبي قناة اتصال
الشبكة
بمجرد نجاح المهاجم في هجوم انتحال ARP ،يمكن فعل بعض الامور مثل :
· توجيه الاتصالات وسرقة البيانات.
· إذا حصل المهاجم على معرف جلسة،
فيمكنه الوصول إلى الحسابات التي قام المستخدم بتسجيل الدخول إليها حاليًا.
· تغيير الاتصال مثال: دفع ملف أو موقع ويب ضار إلى جهاز في
الشبكة.
كيفية الكشف عن هجوم تسمم ذاكرة التخزين المؤقت ARP
فيما يلي طريقة بسيطة لاكتشاف تعرض ذاكرة التخزين
المؤقت لـ ARP لجهاز معين للتلف باستخدام سطر الأوامر.
ولابد ان يتم فتح سطر الاوامركمسؤول، ثم استخدم
الأمر التالي لعرض جدول ARP على كل من Windows or Linux\Unix
arp -a
The output will look something like this:
Internet Address Physical Address
192.168.5.1 00-14-22-01-23-45
192.168.5.201 40-d4-48-cr-55-b8
192.168.5.202 00-14-22-01-23-45
إذا كان الجدول يحتوي على عنواني IP مختلفين لهما نفس عنوان MAC ، فهذا يشير إلى حدوث هجوم ARP. نظرًا لأنه يمكن
التعرف على عنوان IP 192.168.5.1 على أنه جهاز التوجيه ، فمن المحتمل أن يكون عنوان IP الخاص بالمهاجم هو 192.168.5.202.
اما في حالة شبكة كبيرة، لاكتشاف انتحال ARP والحصول على مزيد من
المعلومات حول نوع الاتصال الذي ينفذه المهاجم يستخدم برنامجWireshark وهو برنامج مفتوح المصدر.
 يسمح للمهاجمين باعتر…){kind=link}
تعليقات
إرسال تعليق