ARPスプーフィング – ウィキペディア

ARPスプーフィング （Englから。 スプーフィングに – DT。 欺く 、 トリックする ）または ARPリクエスト中毒 （ドイツ語について リクエストの伐採 ）偽のARPパッケージの送信を示します。
これは、コンピューターネットワーク内の2つ（またはそれ以上）のシステム間でデータトラフィックを聞くか、操作できるようにネットワーク内のARPテーブルを変更するために使用されます。これは、ローカルネットワークで中間の攻撃を実行する方法です。

このような攻撃の目的は、電話を聞くためのIPテレフォニーでもあります。

攻撃の認識と年齢にもかかわらず、一般的なオペレーティングシステムは保護を提供しません ARPスプーフィング で。これは通常、改造する必要があります。

イーサネットフレーム。偽造されたフレームには、たとえば、間違ったソースMACアドレスを含めることができます

ホストAとホストBの間のデータトラフィックを聞くために、攻撃者は操作されたARPメッセージを送信して、特定のIPアドレスをホストAに割り当てます。このメッセージには、ホストBのアドレスの代わりに独自のMACアドレスが含まれているため、ホストAは将来攻撃者にパッケージを送信します。ホストBでも同じことが起こるため、このパッケージは現在、Aの代わりに攻撃者に意図せずに送信しています。攻撃者は、AとBから取得したパッケージを実際の受信者に転送する必要があり、キャンセル可能な接続が発生するようにする必要があります。これが起こると、攻撃者はプロキシとして気付かれずに動作します。中間の攻撃について話します。もちろん、攻撃者は、特定のホスト間の通信を不可能にしたり、データトラフィックを変更したりするために、ネットワークトラフィックを破棄することもできます。

スニファーの助けを借りてネットワークトラフィックを純粋に聴くことは、未使用のネットワークでのみ機能しますが、この攻撃はコンテンツの観点からも成功しています。このプロキシ関数を実装するソフトウェアは、すべての一般的なオペレーティングシステムに対してインターネット上で無料で取得され、比較的使いやすいです（Etttercap、Wiresharkを参照）。

このようにして、攻撃者は、電子メールを送信したり、Webサイトを表示するときに使用されるような保護されていない接続をほぼ自由に読み、操作しています。暗号化および認証された接続は安全である傾向があります。多くの場合、安全な暗号化アルゴリズムとデジタル証明書を使用して、カウンターを認証します。

たとえば、攻撃者がHTTPS接続に固執してホームバンキングを操作する場合、ユーザーは、無効な証明書を介してブラウザからの警告メッセージからこれを認識します。ただし、実際のシナリオでは、攻撃者はユーザーがTLS接続の構築を防ぎ、要求されたHTTPS化合物をHTTPを介してそれを置き換えることができます。したがって、そうでなければ暗号化されたデータを傍受することが可能です。

変更された指紋が接続構造の終了につながる場合、SSH接続は安全（SSHバージョン1）として分類されます（SSHバージョン1）。指紋を表示した後、ユーザーは接続構造を続行したいかどうかを決定するように求められます。

ARPスプーフィングを認識または防止するのは簡単ではありません。これにはいくつかの可能性があります。そのうちの1つは、ARPを外に残し、静的テーブルを使用してIPアドレスをハードウェアアドレスに実装することです。 ARPテーブルを絶えず更新する必要があるため、このオプションはあまり効率的ではありません。基本的な問題を設定することをお勧めします。すべてのARPの回答は、要求されているかどうかに関係なく、有用であろうとなかろうと、ほぼすべてのオペレーティングシステムに受け入れられます。ここでは、ARPの回答の処理をより大きなインテリジェンスで提供するのに役立ちます。これらのモニターは、いつ、どの情報が回答を含む情報を送信しますか。明らかに偽のARPパッケージを認識して拒否することができます。侵入検知システムに接続することにより、システムマネージャーに対応する警告を発行できます。

ARPのスプーフィングは、通常、ARPテーブルを見るとよく見られます。次の例では、MACアドレスC5：CB：DF：56：B5：F2 ARPスプーフィングを備えたコンピューターでは、ネットワーク内のすべてのホストに言うARPスプーフィング、彼は他のすべての人です。ただし、他のすべてのホストの攻撃が実際に気付かれるように、トラフィックを透過的に継続しています（もちろん、すべてのトラフィックも拒否される可能性があるため、トラフィックの完全な封鎖が発生します）。 ARPテーブルは、ネットワーク内の被害者の1人に表示されます。攻撃者が誰であるかは認識できません。このため、管理者はすべてのMacアドレスを検索する必要があります。ただし、これはMACスプーフィングによって防止される可能性があります。

アドレスhwtype hwaddressフラグマスクIface
192.168.1.6 Ether C5：CB：DF：56：B5：F2 C ETH0
192.168.1.8 Ether C5：CB：DF：56：B5：F2 C ETH0 Der Angreifer！
192.168.1.1 Ether C5：CB：DF：56：B5：F2 C ETH0
192.168.1.9 Ether C5：CB：DF：56：B5：F2 C ETH0 

次の例では、攻撃者はより質素です。彼はインターネットからの交通のみを開始します（192.168.1.1はゲートウェイです）。

アドレスhwtype hwaddressフラグマスクIface
192.168.1.6 Ether 00：15：AF：43：90：de C Eth0
192.168.1.8 Ether C5：CB：DF：56：B5：F2 C ETH0攻撃者！
192.168.1.1 Ether C5：CB：DF：56：B5：F2 C ETH0は実際にルーターですが、偽のMACアドレスによって攻撃者に導かれます
192.168.1.9 Ether A8：7B：39：DC：78：A3 C ETH0 

192.168.1.1は、ネットワークのゲートウェイです。攻撃者（.8）は、インターネット上のトラフィックも読み取ります。

最初の例の犠牲ホストでは、隣接するコンピューターへのトレーサールートが次のようになります。

192.168.1.9（192.168.1.9）へのTraceroute、30ホップ最大、60バイトパケット
 1 192.168.1.8（192.168.1.8）2,629 MS 2,615 MS 2,604 MSすべてのパッケージを転送する攻撃者！
 2 192.168.1.9（192.168.1.9）77,776 MS 78,261 MS 79.246 MSターゲット計算機 

ARPのスプーフィングがなければ、出力は次のように見える必要があります。

192.168.1.9（192.168.1.9）へのTraceroute、30ホップ最大、60バイトパケット
 1 192.168.1.9（192.168.1.9）134.356 MS 134.824 MS 135.314 MS 

攻撃の開始時に、攻撃者のパッケージトラフィックは次のようになります（TCPDUMPで録音）：

13：17：27.376957 ARP、REPLY 192.168.1.9 IS-AT C5：CB：DF：56：B5：F2（OUI不明）、長さ28
13：17：27.387128 ARP、REPLY 192.168.1.8 IS-AT C5：CB：DF：56：B5：F2（OUI不明）、長さ28
13：17：27.387432 ARP、REPLY 192.168.1.7 IS-AT C5：CB：DF：56：B5：F2（OUI不明）、長さ28
13：17：27.388654 ARP、REPLY 192.168.1.6 IS-AT C5：CB：DF：56：B5：F2（OUI不明）、長さ28
13：17：27.388995 ARP、REPLY 192.168.1.5 IS-AT C5：CB：DF：56：B5：F2（OUI不明）、長さ28 

攻撃者がトラフィックを転送せず、拒否され、ネットワークトラフィック全体が防止された場合、トレーサーアウトメソッドはもちろん役に立たない。 ARPテーブルをチェックする方法は、通常、いくつかのIPアドレスがMACアドレスを共有することは実際には発生しないため、より役立ちます。

LinuxおよびBSDベースの高可用性クラスターの領域では、ARPパッケージのターゲット操作が使用され、プライマリサーバーが失敗した場合にデータパッケージを失い、クラスターの新しい「連絡先」にリダイレクトされます。次に、セカンダリサーバーは、クラスターの共同IPアドレスを引き継ぐ必要があります。