12-tajriba ishi
Mavzu: ARP Poisoning tarmoq hujumi tahlili.
Ishdan maqsad. ARP zaharlanishi(poisoning) kabi tarmoq hujumlari turlari
va ulardan qanday himoyalanish to'g'risida ko’nikmalar hosil qilish.
Qisqacha nazariy ma'lumotlar
ARP-spoofing (ARP-poisoning) - bu asosan Ethernet tarmog’ida
ishlatiladigan, ARP protokoli yordamida boshqa tarmoqlarda ARP protokolining
kamchiliklaridan foydalangan holda bir xil domen va joylashgan tugunlar o'rtasida
trafikni ushlab turishga imkon beradigan tarmoq hujumi turi. Bu soxta hujumlar
soniga ishora qiladi.
ARP IP-manzillarni MAC-manzillarga aylantirish uchun mo'ljallangan.
Ko'pincha, biz Ethernet tarmog’i manzillarga qo’llaniladi deb ishlatamiz, ammo
ARP boshqa texnologiyali tarmoqlarida ham qo'llaniladi: Token Ring, FDDI va
boshqalar.
ARP algoritmi. Protokoldan quyidagi hollarda foydalanish mumkin (12.1-
rasm):
1. A xosti o'zi bilan bitta tarmoqda joylashgan B xostiga IP-paketini
yuborishni xohlaydi;
2. A xosti o'zi bilan turli xil tarmoqlarda joylashgan B xostiga IP-paketini
yuborishni xohlaydi va R yo'riqnoma xizmatlaridan foydalanadi.
12.1-rasm. ARP protokolidan foydalanish
Ikkala holatda ham A xosti ARP-dan foydalanadi, faqat birinchi holatda B
xostingning MAC-manzilini, ikkinchidan, R routerning MAC-manzilini aniqlash
uchun. Ikkinchi holatda, paket marshruzatorga uzatiladi keyingi uzatmalarni
amalga oshirish uchun.
Biz to'g'ridan-to'g'ri bir tarmoqda joylashgan tugunlar o'rtasida ma'lumot
almashinuvining birinchi holatini ko'rib chiqamiz. (Paket marshruzatorning
orqasida joylashgan xostga yo'naltirilganligi faqatgina marshruzatorning MAC-
manzili yoki qabul qiluvchining emas balki ARP konvertatsiyasi tugagandan so'ng
uzatiladigan paketlar qabul qiluvchining IP-manzilidan foydalanishi bilan farq
qiladi, (12.2-rasm))
12.2-rasm. Paket MAC manzilini konvertatsiya qilish
ARP muammolari. ARP protokoli umuman himoya qilinmagan. Unda
paketlarni ham, so'rovlar ham javoblarni ham tasdiqlashning biron bir usuli yo'q.
Avtomatik yuboriladigan ARP (spontan ARP) dan foydalanish mumkin bo'lganda
vaziyat yanada murakkablashadi.
Spontan ARP - bu ARP javobi yuborilganda, unga alohida ehtiyoj
sezilmaganda (qabul qiluvchi nuqtai nazaridan) ARPning xatti-harakati. Spontan
ARP-javob - bu so'rovsiz yuborilgan ARP javoblar to'plami. U tarmoqdagi IP-
manzil to'qnashuvlarini aniqlash uchun ishlatiladi: stantsiya DHCP orqali manzilni
qabul qilishi yoki manzil qo'lda tayinlanishi bilanoq, ARP ning spontan javobi
yuboriladi.
Spontan ARP quyidagi hollarda foydali bo'lishi mumkin:
• ARP jadvallarini yangilash, xususan, tizimlarni sinflashda;
• komutatorlarni o’rganishda;
• tarmoq interfeysini qo'shish to'g'risida xabarnoma olishda.
Spontan ARP samaradorligiga qaramay, bu juda xavfli, chunki u masofaviy
xostni bir xil tarmoqdagi tizimning MAC-manzili o'zgarganligiga ishonch hosil
qilish va hozirda qaysi manzil ishlatilayotganligini ko'rsatish uchun ishlatilishi
mumkin.
ARP-spoofing. ARP soxtalashtirish hujumlari sodir bo'ladi, chunki ARP
hech qanday ARP so'rovi olinmagan bo'lsa ham, xostdan javob berishga imkon
beradi. Hujumdan so'ng, hujum qilingan qurilmadagi barcha trafik tajovuzkorning
kompyuteridan, so'ngra marshruzatorga, komutatorga yoki xostga o'tadi.
ARP spoofing hujumi tarmoqqa ulangan xostlarga, komutatorlarga va
marshruzatorlarga ichki tarmoqqa ulangan qurilmalarning ARP keshlariga yolg'on
ma'lumot yuborish orqali ta'sir qilishi mumkin. ARP keshiga yolg'on ma'lumot
yuborish ARP keshidan zaharlanish deb ataladi. Yolg'on hujumlar, shuningdek,
kichik tarmoqdagi boshqa xostlar uchun mo'ljallangan trafikni to'xtatishi mumkin.
A, B va C xostlar qurilmaga bitta subnetda joylashgan A, B va C
interfeyslari orqali ulangan. Ularning IP va MAC manzillari qavs ichida
ko'rsatilgan; masalan, xost A IA IP va MA MAC dan foydalanadi (12.3-rasm). A
xosti B xostiga IP ma'lumotlarini yuborishi kerak bo'lsa, u IBning IP-manzili bilan
bog'liq bo'lgan MAC manzili uchun ARP so'rovini tarqatadi. Qurilma va B xosti
ARP so'rovini olganda, ular o'zlarining ARP keshlarini IAP va MA MAC bilan
xost uchun majburiy ARP bilan to'ldiradilar; masalan, IA ning IP manzili MA ning
MAC manziliga bog'langan. B xosti javob berganida, qurilma va A xosti
o'zlarining ARP keshlarini xost uchun majburiy ravishda IB IP va MB MAC bilan
to'ldiradi.
12.3-rasm. ARP firibgarligi
C xosti ikkita soxta ARP javoblarini efirga uzatish orqali qurilmaning, Host
A va Host B-ning ARP keshlarini zaharlashi mumkin: biri IA IP va MC MAC-ga
ega bo'lgan kompyuterga, ikkinchisi IB manzili va MC MAC manzilli IP-ga ega
bo'lgan kompyuterga.. B xosti va qurilma keyinchalik MC-ning MAC-manzilini IA
ga mo'ljallangan trafik uchun mo'ljallangan MAC-manzil sifatida ishlatadi, ya'ni C
xosti ushbu trafikni ushlab turadi. Xuddi shu tarzda, Host A va qurilma MC uchun
MAC manzilini IB uchun mo'ljallangan trafik uchun mo'ljallangan MAC manzil
sifatida ishlatishadi.
C xosti IA va IB bilan bog'langan haqiqiy MAC-manzillarni bilganligi
sababli, ushlangan trafikni to'g'ri manzil sifatida to'g'ri MAC-manzil yordamida
ushbu xostlarga uzatishi mumkin. Ushbu topologiyada C mezbon o'zini A
xostidan B xostigacha bo'lgan transport oqimiga qo'shgan, tajovuzkor o'rtada
turgan odam hujumiga misol bo'la oladi.
Soxtalashtirishni oldini olish uchun siz ARP anti-spoofing-ni yoqishingiz
mumkin. Agar aldashga qarshi ARP yoqilgan bo'lsa, barcha ARP paketlari
tekshirish uchun protsessorga yuboriladi. ARP paketlari statik ARP jadvali, IP
manbai Guard statik majburiy jadvali yoki DHCP kuzatuv jadvalidagi yozuvlar
yordamida tekshiriladi. Har qanday jadvaldagi yozuvlarga mos keladigan barcha
ARP paketlari uzatiladi. Har qanday to'liq bo'lmagan ARP paketlari yoki jadval
yozuvlariga qisman mos keladigan paketlar o'chiriladi. Noma'lum ARP paketlari
yoki jadval yozuvlarining hech biriga mos kelmaydigan paketlar tushirish yoki
barcha portlarga yuborish uchun tuzilishi mumkin. Odatda ARP firibgarlik hujumi
o'chirilgan holatda bo’ladi.
Xostning xavfsizlik funksiyasini sozlash uchun ulangan portini IP-manzili
yoki MAC-manzilini bo’yicha birlashtirish kerak. Ushbu portdan yuborilgan ARP
paketlari boshqa ulangan barcha portlar tomonidan qabul qilinadi. Xuddi shu IP
yoki MAC-manzilga ega bo'lgan ARP paketlari, agar ular boshqa biron bir portdan
yuborilsa, tashlab yuboriladi.
ARP paketidagi manbani MAC manzili jadvalda saqlangan manba MAC
manziliga mos kelishini tekshirish uchun manba mac manzilini sozlashingiz
mumkin. Agar manba MAC manzillari mos kelmasa, paket o'chiriladi. Ushbu
funksiya odatda o'chirilgan bo’ladi.
3 - qatlam qurilmasi ma'lum LAN qurilmalari uchun shlyuz sifatida
sozlanishi mumkin. Hujumchi o'zini to'g'ri shlyuz deb tanib, bepul ARP yuborib,
bloklangan ro'yxatga 3 – qatlam qurilmasini qo'shishga urinishi mumkin. Ushbu
turdagi hujumni oldini olish uchun shlyuzning anti-spoofing funksiyasini sozlash
mumkin. Ushbu xususiyat odatda o'chirilgan bo’ladi
Odatda, hujumdan so'ng barcha portlar ishonchsiz hisoblanadi. Ishonchli
port sifatida monitoringni talab qilmaydigan ishonchli portni sozlashingiz mumkin.
ARP poisoning hujumi tarmoqqa ulangan xostlarga, komutatorlarga va
marshruzatorlarga ichki tarmoqqa ulangan qurilmalarning protsessoriga paketlarni
quyish orqali ta'sir qilishi va shu bilan qurilmaning ishlashiga ta'sir qilishi mumkin.
Qurilmadagi protsessorning haddan tashqari ko'payishi ARP-ning hujumi sifatida
tanilgan.
ARP flooding hujumini oldini olish uchun quyidagi konfiguratsiyalar
mavjud.
• ARP flooding hujumini oldini olish uchun toshqinga qarshi hujumni yoqish
kerak. ARP paketi protsessorga uzatiladi. Har bir trafik oqimi paketning manba
MAC-manzili asosida aniqlanadi.
• ARP oqimini kuzatish uchun stavka chegarasini sozlash mumkin. Agar
tezlik chegarasi oshib ketgan bo'lsa, bu hujum deb hisoblanadi. Tezlik chegarasini
global yoki har bir interfeysga moslashtirish kerak.
• Hujum sodir bo'lganda, kompyuterning manba MAC-manzilini qora
tuynuk manzillari ro'yxatiga qo'shish va barcha paketlarni tashlab yuborish yoki
xostdan faqat ARP paketlarini qabul qilmaslikni sozlash mumkin.
• Qora tuynuk manzillari ro'yxatidan xostlarni olib tashlash uchun siz tiklash
vaqti oralig'ini belgilashingiz yoki xostni qo'lda tiklash mumkin.
• Dinamik MAC-manzilni qora tuynuk manzillar ro'yxatidagi xostning statik
MAC-manziliga bog'lashmumkin. Bu xostning har qanday turdagi paketlarni
uzatishiga yo'l qo'ymaydi.
Amaliy qism.
ARP spoofingdan himoya tizimini yoqish.
Device> enable
Device# configure terminal
Device(config)# arp anti-spoofing
Device(config)# arp anti-spoofing unknown discard
Xost xavfsizligini sozlash
Portdagi xost xavfsizligini sozlash portga noma'lum ARP paketlarini
tashlashga imkon beradi. Qurilmani noma'lum ARP paketlarini tushirish uchun
sozlashda IP portni bog'lashni sozlang. Bu ushbu IP-manzilning ARP paketiga
boshqa portlarga faqat ushbu tuzilgan port orqali manevr qilish imkoniyatini
beradi. Agar ushbu IP-manzilning ARP to'plami boshqa portga kirsa, u o'chiriladi.
Device> enable
Device# configure terminal
Device# host bind ip 192.168.5.13 ethernet 1/2
Manba MAC manzilini tekshirishni sozlash.
MAC-manzilning izchilligini tekshirishni sozlash uchun ushbu protsedurani
bajarish kerak.
Device> enable
Device# configure terminal
Device# arp anti-spoofing valid-check
Antispofing shlyuzini sozlash.
Shlyuzni soxtalashtirishni sozlash uchun ushbu protsedurani bajarish kerak.
Device> enable
Device# configure terminal
Device# arp anti-spoofing deny-disguiser
Ishonch portini sozlash.
Ishonch portini sozlash uchun ushbu protsedurani bajarish kerak.
Device> enable
Device# configure terminal
Device# interface fastEthernet (interfeys portining raqamini ko'rsating)
Device# arp anti trust
Ishonchli port sozlamalarini o'chirish uchun quyidagi buyruqni kiriting:
Device# no arp anti trust
Anti-Flood Attackni sozlash.
Toshqinlarga qarshi hujumni tashkil qilish uchun ushbu protsedurani
bajarish kerak.
Device> enable
Device# configure terminal
Device(config)# arp anti-flood
Device(config)# arp anti-flood threshold (odatda sekundiga 16 paket)
Device(config)# arp anti-flood action deny-arp {deny-all|deny-arp} {deny-
all | deny-arp}
(Yiqiladigan paketlar turini belgilaydi.deny-all: Xostni manzilning qora
ro'yxatiga qo'shadi va barcha packets.deny- arp: Faqat ARP paketlarini tashlaydi)
Device(config)# arp anti-flood recover-time 100
Device(config)# arp anti-flood recover 00:00:00:00:32:33
Device# interface fastEthernet (interfeys portining raqamini ko'rsating)
Device(config)# arp anti-flood threshold
ARP snooping va Flood Attack hujumini kuzatish.
ARP Snooping va Flood Attack-ni kuzatish uchun quyidagi jadvaldagi
buyruqlardan foydalanish mumkin.
Jadval 12.1. ARP Snooping va Flood Attack buyruqlari
Buyruqlar
Maqsad
show arp anti-snooping
ARP maxfiy kuzatuv konfiguratsiyasini
aks ettiradi.
show arp anti-flood
Toshqinga qarshi ARP konfiguratsiyasi
va bosqinchilar ro'yxatini aks ettiradi
show arp anti interface
Interfeys holatini aks ettiradi
Topshiriq
1. Uchta xost bilan tarmoq yarating va asosiy sozlamalarni sozlang.
2. ARP protokoli qanday ishlashini bilib oling.
3. ARP Snooping jarayonini ko'rib chiqing.
4. ARP Snoopingga qarshi himoyani sozlang.
5. Skrinshotlar bilan hisobot yarating.
Nazorat savollari
1. ARP protokolining vazifasini aytib bering.
2. ARP qanday ishlaydi?
3. ARP protokoliga qarshi qanday hujumlar bo'lishi mumkin?
4. ARP Snooping-dan qanday himoya qilishin mumkin? Bir nechta usullarni
sanab o'ting.
5. Himoyalashning qanday usuli samarali?
| 