CC BY
23УДК 004.056
РАЗРАБОТКА МЕТОДА ОБНАРУЖЕНИЯ АТАК ТИПА ARP-SPOOFING
Алиев Р.М., студент, направление подготовки 10.03.01 Информационная безопасность, Оренбургский государственный университет, Оренбург e-mail: raslkrut5@mail.ru
Научный руководитель: Галимов Р.Р., кандидат технических наук, доцент кафедры вычислительной техники и защиты информации, Оренбургский государственный университет, Оренбург e-mail: rin-galimov@yandex.ru
Аннотация. В современном мире одним из важнейших требований в инфраструктуре предприятия является обеспечение ее безопасности. На сегодняшний день особо актуальна тема сетевых атак, в частности, атака типа ARP-spoofing. В связи со сложностью выявления атак данного типа и простотой её реализации из-за избыточной функциональности современных систем, этот вид неправомерных действий входит в число наиболее опасных атак. В данной работе представлено описание реализации атаки ARP-spoofing и обнаружение данного типа атаки для научных исследований и обучения специалистов с использованием реального оборудования.
Ключевые слова: ARP-spoofing, сетевой трафик, ARP-таблица, Mac-адрес, обнаружение.
THE DEVELOPMENT OF AN ARP-SPOOFING ATTACK DETECTION METHOD
Aliev R.M., student, training direction 10.03.01 Information security, Orenburg State University, Orenburg e-mail.ru: raslkrut5@mail.ru
Scientific adviser: Galimov R.R., Candidate of Technical Sciences, Associate Professor, Department of computer engineering and information protection, Orenburg State University, Orenburg e-mail.ru: rin-galimov@yandex.ru
Abstract. In the modern world, one of the most important requirements in the infrastructure of an enterprise is to ensure its security. Today, the topic of network attacks is particularly relevant, in particular the attack of the ARP-spoofing type. Due to the difficulty of identifying this type of attack and the simplicity of its implementation due to the excessive functionality of modern systems, this type of illegal actions is among the most dangerous attacks. This work presents a description of the implementation of the ARP-spoofing attack and the detection of this type of attack for scientific research and training of specialists using real equipment. Keywords: ARP-spoofing, network traffic, ARP-table, Mac-address, detection.
Сетевые атаки на сегодняшний день становятся одной из важнейших проблем современного общества, способные нанести значительный ущерб. По данным международной компании «Positive Technologies» в 2018 году существенно возросло количество сетевых атак, в частности, атаки типа ARP-spoofing [1]. Суть атаки ARP-spoofing заключается в отправке ARP-ответа c ложным MAC-ад-ресом для перенаправления сетевого трафика через собственную сетевую карту. Реализация данной атаки позволяет злоумышленнику прослушивать весь сетевой трафик без подозрения пользователей. Именно поэтому разработка метода обнаружения атак типа ARP-spoofing для научных исследований и обучения специалистов с использованием реального оборудования является приоритетной задачей.
Следует отметить, что наряду с большим количеством публикаций по данной тематике вопросы разработки программного комплекса, учитываю-
щие специфику конкретных условий изучения, освещены недостаточно. Так, например, в статье А.О. Русакова «Методы защиты от атаки человек по середине в WI-FI сетях» [2] описывается модель обнаружения атаки типа ARP-spoofing, однако отсутствуют результаты экспериментов и пример реализации атаки на реальном оборудовании.
Цель разработки метода обнаружения атак типа ARP-spoofing - повышение уровня защищенности информационных процессов в компьютерных системах за счет своевременного обнаружения атак данного типа.
Особенностью рассматриваемой атаки является наличие уязвимости ARP протокола, а именно отправка самопроизвольного ARP-ответа без проверки подлинности. Несмотря на эффективность самопроизвольного ARP, он является особенно небезопасным, поскольку с его помощью можно убедить удалённый узел в том, что MAC-адрес какой-либо
ШАГ В НАУКУ
2, 2019
системы, находящейся с ней в одной сети, изменился, и указать, какой адрес будет использоваться в дальнейшем.
Разрабатываемый программный комплекс предназначен для обнаружения атак типа ЛЛР^роо:й^. Данный комплекс включает в себя два отдельных компонента: модуль обнаружения и сбора данных.
Модуль сбора данных выполняет захват и парсинг сетевого трафика, после чего отправляет данные на модуль обнаружения, на котором реализуется проверка на наличие возможной атаки типа ЛЛР-spoofing на основании разрабатываемого метода. На рисунке 1 представлена структурная схема программного комплекса.
Рисунок 1 - Структурная схема программного комплекса
Для обнаружения атаки типа ЛЛР^роо:й^ на рисунке 2 представлена алгоритмическая модель, которая позволяет выявить во множестве этих событий производимую атаку. На вход системе поступает сетевой трафик S, который включает в себя пакеты канального и сетевого уровня, из которого выбираются только ЛЛР-пакеты. На основании
полученной выборки выполняется поиск ЛЛР-от-вета, в случае обнаружения данного типа события, модуль обнаружения проверяет ЛЛР-таблицу узла, на котором обнаружена попытка реализации атаки ARP-spoofing. Если в ARP-таблице найдены изменения, то система оповещает о наличии возможной атаки типа ARP-spoofing.
Рисунок 2 - Алгоритмическая модель обнаружения атаки АЛР^роо:й^
Тестирование работоспособности разрабатываемого программного комплекса реализовано с помощью инструмента «Ettercap» в операционной системе «Parrot Security». Для проведения атаки
ARP-spoofing выполнена команда «ейегсар -Т -М агр -о» с соответствующими параметрами, на рисунке 3 представлен результат обнаружения атаки на основе разработанного метода.
о^ Модуль обнаружения Настройки Инструменты 1Р устройства: 192.1650.104
Журнал событий
21:04:2019 23:20:21 Обнаружена атака типа АРР-зроЫпд на ПК: 192 155.0 107
Рисунок 3 - Результат обнаружения атаки типа ARP-spoofing
На основании проведенного эксперимента можно сказать, что разработанный метод эффективно справляется с обнаружением атак типа ЛЛР-spoofing и имеет ряд достоинств: низкая требовательность, простота настройки, высокая достоверность обнаружения атаки за счет учета двух факторов и возможность дальнейшего развития.
Таким образом, разработанный метод позволяет выявить атаки типа ЛЛР^роо:й^ с использованием реального сетевого оборудования. Данное решение предназначено как для проведения научных исследований, так и для проведения практических учебных занятий.
Литература
1. Статистка атак типа ARP-spoofing в 2018 г. по данным международной компании «Positive Technologies» [Электронный ресурс]. - Режим доступа: https://www.ptsecurity.com/ru-ru/research/analytics/ cybersecurity-threatscape-2018/ (дата обращения: 20.04.2019).
2. Русакова А. О., Чалый Р. А Методы защиты от атаки человек по середине в WI-FI сетях [Электронный ресурс]. - Режим доступа: https://elibrary.ru/item.asp?id=27031932 (дата обращения: 22.04.2019).
3. Крылов А. Ю., Шитов Н. А., Применение объектного подхода при создании распределённой системы выявления и предотвращения атаки типа ARP-spoofing [Электронный ресурс]. - Режим доступа: https:// cyberleninka.ru/article/v/primenenie-obektnogo-podhoda-pri-sozdanii-raspredelennoy-sistemy-vyyavleniya-i-predotvrascheniya-ataki-tipa-arp-spoofing (дата обращения: 22.04.2019).
4. Боршевников А. Е. Сетевые атаки. Виды. Способы борьбы // Современные тенденции технических наук: материалы Междунар. науч. конф. (г. Уфа, октябрь 2011 г.). - Уфа: Лето, 2011. - С. 8-13.
5. Гаврилов Е. А. Исследование методов обнаружения сетевых атак [Электронный ресурс]. - Режим доступа: https://cyberleninka.ru/article/v/issledovanie-metodov-obnaruzheniya-setevyh-atak (дата обращения: 21.04.2019).
