كيف يستغل الهاكرز المحيطين بك بروتوكول ARP

3

بروتوكول ARP (إيجاد العناوين) (Address Resolution Protocol)  هو أحد بروتوكولات حزمة الإنترنت TCP/IP ويوجد في الطبقة الثانية طبقة الإنترنت العاملة بِ: التحكم بالرسائل، فتح أقصر مسار أولا، بروتوكول إدارة مجموعة الإنترنت، وبروتوكول أمن وسرية البيانات.

يستخدم بروتوكول ARP بشكل أساسي في الشبكة المحلية LAN Network ووظيفته في الشبكة المحلية هو  معرفة العنوان الفيزيائي  MAC Address للأجهزة المشبوكة على الشبكة المحلية بإستخدام العنوان المنطقي  IP Address.

آلية عمل بروتوكول ARP

إذا بروتوكول ARP  يسهل عملية إيجاد الجهاز المستقبل للبيانات عندما يطلب جهاز مرسل آخر إرسال هذه البيانات. ولذلك يقوم بروتوكول ARP بالبحث عن العنوان الفيزيائي MAC Address للجهاز المستقبل.

لذلك قبل أن تتم عملية الإتصال ثم التخاطب بين أي جهازين موجودين على نفس الشبكة يبجب أن يكونا الجهازين يعلمان العنوان الفيزيائي الخاص بكل واحد منهم، وفي جهاز المرسل يقوم بروتوكول ARP  بإرسال طلب ARP Request إلى الشبكة على شكل Broadcast يسأل فيها الجهاز المرسل عن العنوان الفيزيائي الخاص في جهاز معين.

arpreq

 أي أن ال Broadcast  رسالة من جهاز المرسل إلى مجموعة أجهزة حيث أن كل جهاز يقوم بإسقبال الرسالة والتعامل معها على حدى، وعندما تصل رسالة ال Broadcast إلى الجهاز المستقبل المقصود يقوم بالرد بالعناون الفيزيائي الخاص به ARP Replay على شكل Unicast أي رسالة من جهاز إلى جهاز .

بعد وصول الرد من الجهاز يتم حفظ العنوان الفيزيائي الخاص به في جدول ARP Table وذلك إذا  احتاج الجهاز الإتصال معه مرة أخرى يتم الرجوع للجدول لمعرفة العنوان الفيزيائي الخاص به والجدير بالذكر أن جدول ARP Table يخزن في ذاكرة بطاقة الشبكة ARP Cashe وهي عادة ذاكرة مؤقتة تزول بمجرد إغلاق جهاز الحاسوب.

imgf000070_0001

دور الهاكرز باستغلال بروتوكول ARP

لقد استعرضت في الفقرات السابقة عمل بروتوكول ARP، لكن ها هنا يستغل الهاكرز طريقة عمل بروتوكول ARP للتجسس على الجهاز الضحية عن طريق إرسال  ARP Replay مزيف لأحد الأجهزة المتصلة على الشبكة. فمن خلالها يقوم  الجهاز ببناء جدوله بنفسه ARP Table  عن طريق  ARP response.

بإمكانك عرض الجدول الخاص بك سواء كنت على نظام لينكس أو ويندوز وذلك من خلال استخدام الأمر  arp -a في سطر الأوامر.

لذا يمكن إرسال حزمة استجابة ARP response مزيفة إلى الأجهزة لكي يقوموا بتحديث جداولهم ARP Table ومن خلال ذلك يمكن للمهاجم بإرسال رسالة ARP Replay والذي يقوم بدوره الجهاز الضحية بالتعديل والتحديث على الجدول الخاص به  ARP Table.

Untitled-1

يقوم الجهاز الضحية بالتعديل على جدوله  وتغيير العنوان الفيزيائي لأحد ال IP المدخلة في جدوله والتي تكون عادة Gateway الخاصة بالشبكة نفسها سواء راوتر أو سويتش، ولذلك من الطبيعي والبديهي أن يرسل الجهاز الضحية بيناته إلى الجهاز المُختَرِق وكأن هذا الجهاز أصبح الراوتر أو السويتش.

وكذلك يرسل الجهاز المُختَرِق رسالة  unicast للراوتر أو السويتش معلما إياه بالتغيرات وبتحديث الجدول الخاص به وبتغير العنوان الفيزيائي للجهاز الضحية.

بينما الجهاز الضحية يبعث بيناته وطلباته إلى الجهاز المُختَرِق فيقوم الأخير بالإطلاع عليها وتمريرها للراوتر  أو الوسويتش. أي أن الجهاز المُختَرِق أصبح عبارة عن نقطة عبور وتمرير وهذا ما يدعى بإختراق الرجل في المنتصف MITM)  Man In The Middle)

arp2

الحماية

إن خطر إستغلال بروتوكول ARP يتمثل بالإطلاع على البيانات المارة في الشبكة من بيانات، كلمات مرور، المواقع التي تتصفحها، والمواد التي تتطلع عليها أثناء تواجدك على الإنترنت،  وربما إمكانية تعديل هذه البيانات. لذلك كان لا بد الحماية من خطر إستغلال بروتوكول ARP وذلك من خلال استخدام برنامج XArp  والذي يعمل على بيئة لينكس وكذلك بيئة الويندوز.

المراجع :

Cisco Proxy ARP

3

شاركنا رأيك حول "كيف يستغل الهاكرز المحيطين بك بروتوكول ARP"

أضف تعليقًا