ก่อนอื่นเรามาทำความรู้จักกับโปรโตคอล ARP กันก่อนนะครับ
ARP ย่อมาจาก Address Resolution Protocol การทำงานง่ายๆ ของ ARP มี 2 ขั้นตอน คือ
- เครื่องที่ต้องการสอบถาม MAC Address โดยการส่ง ARP Request ซึ่งประกอบด้วย MAC Address และ IP Address ของตนเอง และ IP Address ของเครื่องที่ต้องการทราบ MAC Address ส่วน MAC Address ปลายทางนั้น จะถูกกำหนดเป็น FF:FF:FF:FF:FF:FF ซึ่งเป็น Broardcast Address เพื่อให้ ARP Request ถูกส่งไปยังเครื่องทุกเครื่องที่อยู่ในเครือข่ายเดียวกัน
- เครื่องที่มี IP Address ตรงกับที่ระบุใน ARP Request จะตอบกลับมาด้วย ARP Reply ซึ่งประกอบด้วย MAC Address และ IP Address ของตนเองเป็นผู้ส่ง และใส่ MAC Address และ IP Address ของเครื่องที่ส่งมาเป็นผู้รับ ARP Reply
สำหรับการโจมตีนั้น เครื่องที่โจมตีจะส่ง ARP Request โดยระบุ MAC Address ของ Gateway ที่ผิดๆ ไป ทำให้เครื่องที่ถูกโจมตีรับ MAC Address ไปอัพเดต ARP Table และยังส่ง MAC Address ปลอมไปยัง Gateway ด้วย ทำให้ Gateway อัพเดต ARP Table ที่ผิดเช่นกัน ส่งผลให้การ Broadcast ไปยังเครื่องต่างๆ ไม่ถูกต้อง ทำให้เครื่อง Client นั้นๆ ไม่สามารถใช้งานระบบเครือข่ายได้ในที่สุด โดยการโจมตีนั้นเครื่องที่โจมตีจะส่ง ARP Reqest เป็นจำนวนมาก
วิธีแก้ไข
วิธีแก้ไขเบื้องต้น ก็คือ กำหนด Static MAC Address ของ Gateway ครับ โดยเราจะต้องทราบ MAC Address ของ Gateway ก่อน จากนั้น เปิด command prompt แล้วพิมพ์ว่า
arp -s [IP Address] [MAC Address]
เช่น
arp -s 192.168.1.1 00-AA-00-62-C6-09
แต่จากการทดลองของผมนะครับ มันไม่สามารถใช้ได้จริง เพราะว่า Static MAC Address นั้น จะตั้งได้เฉพาะเครื่องของเรา แต่เนื่องจาก ARP Spoofing จะโจมตี Gateway ด้วย จึงทำให้ Gateway ได้รับ MAC Address ปลอม และส่งข้อมูลไปยัง MAC Address ปลอมแทนครับ
มาตรา 10 ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำการของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือ รบกวนจนไม่สามารถทำงานตามปกติได้ต้องระวางโทษจำคุก ไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือ ทั้งจำทั้งปรับ
credit : http://www.walanchai.info/2008/arp-spoofing-arp-poisoning/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น