ARPとARPスプーフィング③

セキュリティ
2018.08.08

今回は実際にARPスプーフィングを行い通信の盗聴がどのようにして行われるかを見ていきます。

こういった方法で実際に盗聴される可能性もあるということをご認識いただければと思います。

なお実際に皆様が管理下以外の環境で行った場合は犯罪になります。

私自身も自分の管理下のマシンや環境に対してのみ実施していますので、あらかじめご認識をお願いします。

環境の説明

我が家の私が管理しているWiFi環境で実施します。

通信を覗かれてしまうマシンは私の携帯です。実際にARPスプーフィングを行うマシンはwindowsで行います。以下に簡単に図を作成しました。(MACアドレスは伏せて説明します。)

ARPスプーフィングの実施

まずはAPRスプーフィングを行う前の通信環境を確認しましょう。

前回インストールした「Wireshark」を立ち上げます。

そしてフィルタの個所に以下のように「ip.addr == 192.168.11.6」と入力します。これはipアドレス「192.168.11.6」の通信のみ表示させるようにフィルタをかけました。

この時はまだARPスプーフィングを行っていないため、攻撃用PCに被害携帯の通信は流れていないため「Wireshark」には何も表示はされていません。

では「Wireshark」はそのままにして次に「nighthawk」を起動させます。

起動したら、「Interface selection」をWiFi環境に合わせ、「Scan network」ボタンを押します。

すると「Target(s) 1」、「Target(s) 2」に同じネットワーク内のIPアドレスとMACアドレスが以下のように表示されます。

なお、MACアドレスは伏せています。ここまで来たら準備はOKです。

今回のターゲットである被害携帯「192.168.11.6」を「Target(s) 1」に、WiFi「192.168.11.1」を「Target(s) 2」にそれぞれ選択し、「Start ARP spoofing」を押します。

するとボタンの赤色の縦線が緑色になります。

この状態で既にARPスプーフィングが行われています。(簡単ですね!)

では「Wireshark」を見てみましょう!すると物凄い勢いで被害携帯「192.168.11.6」からのTCPの通信が拾えているのがわかります。

本当に盗聴できるか分かり易くするため、私が携帯でよく見るまとめサイトである「oryouri.2chblog.jp」にアクセスし、その通信が攻撃用PCで拾えているか見てみましょう。

「oryouri.2chblog.jp」のIPは「125.6.146.14」となっていますので、そのIPでフィルタします。

すると以下のようにばっちり被害携帯「192.168.11.6」から「oryouri.2chblog.jp(125.6.146.14)」へのTCP通信のやり取りを拾うことができます。

また、よく通信を見てみるとHTTPの通信も行っていることがわかります。(そりゃまとめサイトにアクセスしてるんだし

HTTPは通信は暗号化されていないので以下の通り、リクエスト内容も見ることが可能です。
※HTTPSで通信している場合は中身を見ることはできません。

ARPスプーフィングまとめ

勉強会では実際のデモはお見せできず、概要とまとめだけの説明でしたので実際に攻撃の挙動がどのようになるかご理解いただけましたでしょうか?

もちろん勉強会に参加していない方でもご理解いただけるように記事にしたつもりですので、もし不明点があれば気軽にご連絡いただければと思います。(私自身でも見直して、修正や追記を行います。)

APRスプーフィングについては、知っていれば簡単に行うことができる攻撃手法です。

ツールも他にもあります。Kali Linuxにも標準で搭載されています。

対策ももちろんあり、APRテーブルの紐づけを静的にすることで対応することが可能です。

なので社内NW内であれば、少なくともゲートウェイのIPアドレスとMACアドレスの紐づけを固定にすることで外に出ていく通信に対しては対応可能ですね。

しかし、現在はノマドワーカー等も増えているのでカフェで仕事をしている人をよく見かけます。

私自身もスタバ等で作業(ブログの更新位ですが)することがありますが、このような攻撃手法もある事を知っていますので対策は行っています。
※必ずHTTPS通信を使用する、仕事や個人情報のやりとりが発生するものはそういった場所で作業せず、自宅でやる等

果たしてフリーWiFiを使用している人たちの中で何人が通信を覗き見られる可能性があるでしょうか?

もちろん至る所に悪意のある攻撃者がいるわけではありませんが、常に気を付ける必要はあると考えています。

フリーWiFi環境での盗聴の怖さもあることを認識いただければ幸いです。

なお、通信遅くなるから気付けるんじゃないかと思っている方は実際に家の環境で同じようにやってみるといいと思います。

ちゃんと計測したわけではないですが、体感速度はあまり変わらなかったです。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

今夜わかるTCP/IP /翔泳社/上野宣

posted with カエレバ
楽天市場
Amazon
7net
スポンサーリンク

コメント