5 sposobów ochrony komputera przed atakiem NetPut ARP Spoofing

2017-08-28 19:18:30
Główny·Oprogramowanie·5 sposobów ochrony komputera przed atakiem NetPut ARP Spoofing

NetCut to narzędzie typu odmowa usługi, które działa w systemie Windows i jest w stanie odciąć połączenie z Internetem, gdy oba są podłączone do tej samej sieci lokalnej. Zasadniczo protokół ARP służy do tłumaczenia adresów IP na adresy MAC, a NetCut wykorzystuje słabość bezpaństwowego protokołu ARP z powodu braku uwierzytelnienia.

NetCut jest bardzo łatwy w obsłudze i może być używany przez każdego. Wystarczy uruchomić narzędzie, aby wykryć wszystkie podłączone urządzenia w tej samej sieci lokalnej. Następnie możesz wybrać dowolny cel z listy, a następnie kliknąć przycisk „Odetnij”, a po kilku sekundach cel straci połączenie z Internetem. Dotknięty cel nie będzie miał pojęcia, co się stało, nawet jeśli ma zainstalowany program zapory ogniowej.

Ze względu na sposób działania NetCut żadna zapora ogniowa nie jest w stanie zapobiec ani nawet wykryć ataku. W rzeczywistości konfiguracja statycznych wpisów ARP, jak większość sugerowanych stron internetowych, nie ochroni cię przed atakami NetCut, ponieważ NetCut bezpośrednio atakuje bramę, a nie użytkownika. Oto dochodzenie na temat działania NetCut, a także metody ochrony przed atakiem DoS. Jak wspomnieliśmy wcześniej, żadne oprogramowanie zapory ogniowej, takie jak ZoneAlarm, Comodo, Outpost, GlassWire, SpyShelter, Privatefirewall itp. Nie jest w stanie wykryć ataku NetCut. Możesz jednak użyć XArp, który jest darmowym narzędziem wykrywającym fałszowanie ARP. Po zainstalowaniu i uruchomieniu XArp otrzymasz natychmiastowe powiadomienie, gdy wykryje on atak fałszowania ARP, w tym atak NetCut. Poniższy zrzut ekranu pokazuje działający XArp bez ataków. Zwróć uwagę na adres MAC 00-21-5d-41-16-5a zakreślony na czerwono, który jest powiązany z IP 192.168.2.8.

Kiedy NetCut zaczyna atakować IP 192.168.2.8, próbując odciąć połączenie z Internetem, XArp natychmiast je wykrywa i wyświetla wyskakujące powiadomienie z kilkoma różnymi komunikatami. Najważniejszym komunikatem byłby ten, który informuje, że adres MAC dla adresu IP 192.168.2.8 został zmieniony z 00-21-5d-41-16-5a na 03-27-75-49-18-73.

Jeśli uruchomisz program XArp z ikony na pasku powiadomień, zobaczysz, że adres MAC dla adresu IP 192.168.2.8 został zmieniony na 03-27-75-49-18-73, co jest oczywiście błędne.

Oznacza to, że NetCut wysyła sfałszowany pakiet, aby poinformować bramę, że IP 192.168.2.8 jest powiązany z niepoprawnym adresem MAC. Ponieważ adres IP 192.168.2.8 nie jest mapowany na prawidłowy adres MAC, połączenie internetowe również ulega zerwaniu. Nawet sniffer pakietów, taki jak Wireshark, potwierdza, że ​​sfałszowane pakiety są wysyłane do bramy z niewłaściwym adresem MAC zamapowanym na IP 192.168.2.8.

Gdy NetCut aktywnie atakuje cel w sieci, w sposób ciągły wysyła sfałszowane pakiety do bramy, dzięki czemu nie ma szans na uzyskanie poprawnej dynamicznej tabeli ARP. Tutaj mamy 5 możliwych sposobów ochrony przed atakami NetCut.

1. Statyczna tablica ARP w routerze

Ponieważ NetCut wysyła sfałszowane pakiety do routera, aby zadzierać z dynamiczną tabelą ARP, możesz rozwiązać ten problem, ustawiając statyczną tabelę ARP w routerze. Wdrożenie statycznego routingu ARP ochroni każdego, kto jest podłączony do sieci. Jednak nie jest to naprawdę rozwiązanie dla wszystkich, ponieważ wiele podstawowych domowych routerów nie obsługuje statycznej tabeli ARP i nie ma sensu implementować tego w publicznej sieci Wi-Fi. Robienie tego w dużej sieci korporacyjnej wymaga również dużej siły roboczej w utrzymywaniu mapowań adresów IP na MAC.


2. NetCut

Jak na ironię, program NetCut, który służy do odcinania połączenia internetowego danej osoby, ma opcję ochrony przed atakiem. Po prostu upewnij się, że pole wyboru „Chroń mój komputer” jest zaznaczone, a to zapewni mapowanie twojego adresu IP na prawidłowy adres MAC.

Zasadniczo NetCut chroni przed własnym atakiem, stale wysyłając pakiety do bramy, informując router o prawidłowym odwzorowaniu adresu IP na adres MAC. Router zostanie łatwo zalany pakietami, gdy NetCut jest używany do ataku i ochrony.

Pobierz NetCut


3. NetCut Defender

Jeśli ze względów prawnych nie masz ochoty na zainstalowanie i uruchomienie na komputerze programu atakującego, takiego jak NetCut, autor NetCut stworzył również program ochronny o nazwie NetCut Defender. Zasadniczo robi to samo, co opcja „Chroń mój komputer” w NetCut, z wyjątkiem tego, że nie ma możliwości przerwania połączenia z osobą.

Nigdzie na oficjalnej stronie NetCut Defender nie wspomniano, że kosztuje 9, 99 USD. Zaczniesz dostawać dokuczliwe wyskakujące okienka do zakupu programu po kilku godzinach użytkowania. Nie możemy potwierdzić próbnego użycia NetCut Defender, ponieważ nie przetestowaliśmy go dokładnie, ale możemy potwierdzić, że na pewno zapewni ci bezpieczeństwo przed atakami NetCut.

Pobierz NetCut Defender


4. Outpost Firewall Pro

Po uruchomieniu NetCut automatycznie przeprowadzi przegląd ARP w celu wykrycia wszystkich podłączonych urządzeń w sieci. Na przykład, jeśli komputer z uruchomionym programem NetCut jest podłączony do bramy sieci 192.168.2.1, przeprowadzi przegląd ARP od 192.168.2.1 do 192.168.2.255. W przeciwieństwie do pingów ICMP, które można łatwo zablokować, żądania ARP są zwykle odbierane i nie są blokowane. Gdy urządzenie odpowiada na żądanie ARP złożone przez NetCut, jest ono dodawane do listy, którą można zaatakować. Outpost Firewall Pro ma opcję blokowania skanowania ARP.

Przejdź do Ustawienia> Ustawienia zaawansowane> Wykrywanie ataku> kliknij przycisk Dostosuj> wybierz „ Blokuj hosta, gdy wylicza on inne komputery w sieci LAN ” i kliknij OK, aby zamknąć okno Wykrywanie ataku, a następnie kliknij OK, aby zapisać ustawienia.

Włączenie tej opcji zapobiega wyświetlaniu twojego komputera w NetCut. Osoba atakująca najprawdopodobniej zaatakuje inny komputer zamiast twojego. Outpost Firewall Pro to oprogramowanie shareware, które kosztuje 29, 95 USD za roczną subskrypcję na jedną licencję.

Pobierz Outpost Firewall Pro


5. ESET Smart Security

ESET Smart Security to jedna z niewielu aplikacji do zabezpieczania Internetu, które można skonfigurować tak, aby nie zezwalały na odpowiedzi na żądanie ARP. W ten sposób NetCut nie będzie w stanie znaleźć twojego komputera podczas przeszukiwania ARP po uruchomieniu programu lub po kliknięciu przycisku „Odśwież sieć”. Aby skonfigurować ESET Smart Security do blokowania skanowania ARP, otwórz program, przejdź do Instalatora i kliknij Sieć . Kliknij opcję Zaawansowana konfiguracja zapory osobistej, która znajduje się na dole.

Rozwiń Sieć > Personal firewall i wybierz IDS i opcje zaawansowane . Odznacz „ Zezwól na odpowiedzi na żądania ARP spoza strefy zaufanej ” i kliknij OK.

Aby to ustawienie zadziałało, musisz wybrać „Sieć publiczną” jako żądany tryb ochrony komputera w sieci. Zwykle ta opcja pojawia się po podłączeniu do nowej sieci. Aby sprawdzić ustawienia, w ustawieniach Ochrony sieci kliknij „ Zmień tryb ochrony komputera w sieci ”.

Wybierz opcję Sieć publiczna i kliknij OK.

Program NetCut nie będzie w stanie znaleźć twojego komputera w sieci, dzięki czemu będziesz bezpieczny przed atakiem.

Pobierz ESET Smart Security

Wybór Redakcji