ওয়্যারশার্কে এআরপি স্পুফিং অ্যাটাক বিশ্লেষণ

ARP স্পুফিং আক্রমণে ব্যবহার করার জন্য সরঞ্জাম

Arpspoof, Cain & Abel, Arpoison, এবং Ettercap এর মত অনেক টুল আছে যা ARP স্পুফিং শুরু করার জন্য উপলব্ধ।

উল্লেখিত সরঞ্জামগুলি কীভাবে বিতর্কিতভাবে ARP অনুরোধ পাঠাতে পারে তা দেখানোর জন্য এখানে স্ক্রিনশট রয়েছে:

বিস্তারিতভাবে এআরপি স্পুফিং আক্রমণ

আসুন কিছু স্ক্রিনশট দেখি এবং ARP স্পুফিং ধাপে ধাপে বুঝতে পারি:

ধাপ 1 :

আক্রমণকারীর প্রত্যাশা হল ARP উত্তর পাওয়া যাতে এটি শিকারের MAC ঠিকানা জানতে পারে। এখন, যদি আমরা প্রদত্ত স্ক্রিনশটটিতে আরও যাই, আমরা দেখতে পাব যে 192.168.56.100 এবং 192.168.56.101 আইপি ঠিকানা থেকে 2টি ARP উত্তর রয়েছে। এর পরে, শিকার [192.168.56.100 এবং 192.168.56.101] তার ARP ক্যাশে আপডেট করে কিন্তু ফিরে জিজ্ঞাসা করেনি। সুতরাং, ARP ক্যাশে এন্ট্রি কখনই সংশোধন করা হয় না।

ARP অনুরোধ প্যাকেট নম্বর হল 137 এবং 138৷ ARP প্রতিক্রিয়া প্যাকেট নম্বর হল 140 এবং 143৷

এইভাবে, আক্রমণকারী ARP স্পুফিং করে দুর্বলতা খুঁজে পায়। এটিকে 'আক্রমণের প্রবেশ' বলা হয়।

ধাপ ২:
প্যাকেট নম্বর হল 141, 142 এবং 144, 146।

পূর্ববর্তী কার্যকলাপ থেকে, আক্রমণকারীর এখন 192.168.56.100 এবং 192.168.56.101 এর বৈধ MAC ঠিকানা রয়েছে। আক্রমণকারীর জন্য পরবর্তী ধাপ হল ICMP প্যাকেটটি শিকারের আইপি ঠিকানায় পাঠানো। এবং আমরা প্রদত্ত স্ক্রিনশট থেকে দেখতে পাচ্ছি যে আক্রমণকারী একটি ICMP প্যাকেট পাঠিয়েছে এবং 192.168.56.100 এবং 192.168.56.101 থেকে একটি ICMP উত্তর পেয়েছে৷ এর মানে হল যে উভয় আইপি ঠিকানা [192.168.56.100 এবং 192.168.56.101] পৌঁছানো যায়।

ধাপ 3:

আমরা দেখতে পাচ্ছি যে হোস্ট সক্রিয় আছে কিনা নিশ্চিত করতে 192.168.56.101 আইপি ঠিকানার জন্য শেষ ARP অনুরোধ রয়েছে এবং এটির 08:00:27:dd:84:45 এর একই MAC ঠিকানা রয়েছে।

প্রদত্ত প্যাকেট নম্বর হল 3358।

ধাপ 4:

192.168.56.101 আইপি ঠিকানা সহ আরও একটি ICMP অনুরোধ এবং প্রতিক্রিয়া রয়েছে৷ প্যাকেট নম্বরগুলি হল 3367 এবং 3368৷

আমরা এখান থেকে ভাবতে পারি যে আক্রমণকারী শিকারকে টার্গেট করছে যার আইপি ঠিকানা হল 192.168.56.101।

এখন, 192.168.56.100 বা 192.168.56.101 এর IP ঠিকানা থেকে IP 192.168.56.1 থেকে আসা যে কোনো তথ্য ম্যাক অ্যাড্রেস আক্রমণকারীর কাছে পৌঁছায় যার IP ঠিকানা হল 192.168.56.1৷

ধাপ 5:

আক্রমণকারীর অ্যাক্সেস হয়ে গেলে, এটি একটি প্রকৃত সংযোগ স্থাপন করার চেষ্টা করে। প্রদত্ত স্ক্রিনশট থেকে, আমরা দেখতে পাচ্ছি যে আক্রমণকারীর কাছ থেকে HTTP সংযোগ স্থাপনের চেষ্টা করা হচ্ছে। HTTP এর ভিতরে একটি TCP সংযোগ রয়েছে যার অর্থ হল একটি 3-ওয়ে হ্যান্ডশেক হওয়া উচিত। এইগুলি হল TCP-এর জন্য প্যাকেট এক্সচেঞ্জ:

SYN -> SYN+ACK -> ACK।

প্রদত্ত স্ক্রিনশট থেকে, আমরা দেখতে পাচ্ছি যে আক্রমণকারী বিভিন্ন পোর্টে একাধিকবার SYN প্যাকেট পুনরায় চেষ্টা করছে। ফ্রেম নম্বর 3460 থেকে 3469৷ প্যাকেট নম্বর 3469 SYN হল পোর্ট 80 এর জন্য যা HTTP৷

ধাপ 6:

প্রথম সফল TCP হ্যান্ডশেক প্রদত্ত স্ক্রিনশট থেকে নিম্নলিখিত প্যাকেট নম্বরগুলিতে দেখানো হয়েছে:

4488: আক্রমণকারী থেকে SYN ফ্রেম
4489: 192.168.56.101 থেকে SYN+ACK ফ্রেম
4490: আক্রমণকারী থেকে ACK ফ্রেম

ধাপ 7:

একবার TCP সংযোগ সফল হলে, আক্রমণকারী HTTP সংযোগ স্থাপন করতে সক্ষম হয় [ফ্রেম নম্বর 4491 থেকে 4495] এর পরে SSH সংযোগ [ফ্রেম নম্বর 4500 থেকে 4503]।

এখন, আক্রমণের যথেষ্ট নিয়ন্ত্রণ রয়েছে যাতে এটি নিম্নলিখিতগুলি করতে পারে:

• সেশন হাইজ্যাকিং হামলা
• মধ্যম আক্রমণে ম্যান [এমআইটিএম]
• পরিষেবা অস্বীকার (DoS) আক্রমণ

কীভাবে এআরপি স্পুফিং আক্রমণ প্রতিরোধ করবেন

এখানে কিছু সুরক্ষা রয়েছে যা ARP স্পুফিং আক্রমণ প্রতিরোধ করতে নেওয়া যেতে পারে:

1. 'স্ট্যাটিক এআরপি' এন্ট্রির ব্যবহার
2. ARP স্পুফিং সনাক্তকরণ এবং প্রতিরোধ সফ্টওয়্যার
3. প্যাকেট ফিল্টারিং
4. ভিপিএন, ইত্যাদি

এছাড়াও, আমরা যদি HTTP-এর পরিবর্তে HTTPS ব্যবহার করি এবং SSL (সিকিউর সকেট লেয়ার) ট্রান্সপোর্ট লেয়ার সিকিউরিটি ব্যবহার করি তাহলে আমরা এটিকে আবার ঘটতে বাধা দিতে পারি। এটি যাতে সমস্ত যোগাযোগ এনক্রিপ্ট করা হয়।

উপসংহার

এই নিবন্ধটি থেকে, আমরা এআরপি স্পুফিং আক্রমণ এবং এটি কীভাবে কোনও সিস্টেমের সংস্থান অ্যাক্সেস করতে পারে সে সম্পর্কে কিছু প্রাথমিক ধারণা পেয়েছি। এছাড়াও, আমরা এখন জানি কিভাবে এই ধরনের আক্রমণ বন্ধ করা যায়। এই তথ্য নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর বা যেকোনো সিস্টেম ব্যবহারকারীকে ARP স্পুফিং আক্রমণ থেকে রক্ষা করতে সাহায্য করে।