Lucrarea 2: ARP (Address Resolution Protocol)

arp arping Elemente de baz Ethernet ce este un switch/hub ce este un ruter structura cadrului Ethernet Exerciiul 1: Capturai trafic existent pe conexiunea PC-ului. Folosind instrumentele din laboratorul precedent (tcpdump, traceroute), determinai adresele MAC i IP ale unui alt PC din laborator. Exerciiul 2: Determinai adresa MAC a primului ruter care ! conectea"! la internet. #e pot determina adresele MAC ale celorlalte interfee de pe acest ruter$ Dar ale altor rutere din upstream$ Exerciiul 3: %xaminai folosind &ires'ar( c)mpul *+,pe* al cadrelor %t'ernet ce transport! urm!toarele tipuri de pac'ete: IP, +CP, -DP, A.P re/uest, A.P repl,, Cisco disco er, protocol(CDP 0), #pannin1 +ree (#+P), IP 2 (IP2). Exerciiul 4: Cum arat! o adres! de broadcast (difu"are) la ni elul 0$ Exerciiul 5: Pornii utilitarul de captur!. Accesai pa1ina de &eb 'ttp:33&&&.electronica.pub.ro 4prii utilitarul de captur! i i"uali"ai pac'etele sc'imbate de bro&ser. 5a ce adres! 6n cadrul %t'ernet apare irul 78%+9 prin care se solicit! pa1ina de &eb$ Cum sunt transportate pa1inile de &eb (menionai toate protocoalele folosite)$ Exerciiul 6: Identificai r!spunsul site-ului de &eb. 5a ce adres! 6n cadrul %t'ernet apare r!spunsul 74:9 al ser erului de &eb$ Ce aloare 6n 'exa are c)mpul C.C din acest cadru$ Ce adres! de MAC are ser erul &&&.electronica.pub.ro$ Serviciul A ! Aspecte 1enerale: -"biectiv: furni"ea"a adresa fi"ica MAC ni elului IP; -se ba"ea"a pe principiul retelelor 5A<: transmisia #rin di$uzare a datel"r% -A.P utili"ea"a direct ser iciile ni elului le1atura de date ( e"i Anexa); Protocolul A.P are rolul de a translata adresele de ni el = 6n adrese de ni el 0. >n particular pentru %t'ernet i IP 1!sete adresa MAC corespun"!toare unui IP dat. A.P este un protocol neorientat pe stare, care se desfasoara printr-o tran"actie in doi pasi (t&o-&a,): de tip cerere ? raspuns ( e"i Fi1ure 2). In 1eneral, cererea A.P trebuie adresata tuturor entitatilor A.P din acelasi se1ment 5A<. Acest lucru este posibil pe ba"a principiului retelelor 5A< si a adresei de difu"are de ni el le1atura de date (e.1. in ca"ul et'ernet ff:ff:ff:ff:ff:ff).
S E1 A !re& wh"'has (!) E2 * ) E+ .eactuali"are conditionata a timerului ( e"i Fi1ure @A)

A !r#, (!) is'at -A.) .eactuali"are timer3adau1a inre1istrare in tabela cac'e

.eactuali"are timer3adau1a inre1istrare in tabela cac'e

/i0ure 6: s#eci$icarea $uncti"narii A !

!r"cesarea mesa1ului A !re& de catre entitatile rece#t"are

)A

Am 2ardware address t,#e 3 +6

)A $la0 * $alse

Am !r"t"c"l address t,#e 3

+6

)A

Am de1a Sender addr4 in tabela 3

+6

Actualizeaza -A.'ul% $la0 * true

)A

Adresa destinatie este a mea 3

+6

$la0 ** $alse )A Salveaza #erechea (!' -A. in tabela cache

+6

5#c"de ** re& )A as#unde la cerere

+6

Elimina #achet

/i0ure 7: "r0ani0rama de #r"cesare A !re& 8 /.926:

;abela A ! <mem"rie cache= Pentru a creste eficienta ser iciului A.P (prin reducerea traficului in 5A< si a latentei de con ersie) se utili"ea"a local pe fiecare 1a"da o memorie cac'e or1ani"ata sub forma unei tabele. +abela A.P contine mai multe inre1istrari sub forma unor perec'i (adresa IP - adresa MAC). Fiecare inre1istrare din tabela este asociata la cate o interfata de retea. +abela este modificata conform or1ani1ramei din Fi1ure @A. +5;A: implicit, durata de iata a unei inre1istrari este de @ minut pe 5inux, @B minute pe Cindo&s, D minute pe rutere Cisco. !r"bleme de securitate: falsificarea adresei MAC (a.(.a A.P spoofin1) sau coruperea tabelei A.P (a.(.a. A.P poisonin1) stau la ba"a atacurilor asupra ser iciului pentru controlul accesului de tip AC5 sau respecti a atacului ManIn-+'e-Middle(MI+M); #olutii: exista implementari securi"ate (insa, au raspandire redusa), de"acti area ser iciului A.P Comanda s'ell pentru administrarea ser iciului A.P: >i$c"n$i0 ?i$@nameA 8"#tiuni: 5#eratia Ei"uali"area starii ser iciului si a adresei MAC De"acti area ser iciului A.P Acti area ser iciului 5#tiuni ."mentariu #pecificator stare: A.P (acti ), <4A.P(inacti );

-arp arp ;able 5: ar0umente ale c"menzii i$c"n$i0

Comen"i s'ell pentru administrarea tabelei A.P: >ar# 8"#tiuni:

5#eratia Ei"uali"area tabelei #ter1erea unei inre1istrari Adau1area unei inre1istrari

5#tiuni/Ar0umente -a Fn G ?i Het'BI ?d H'ostI

."mentariu

?i Het'BI -s H'ostI are caracter HMM:MM:AA:AA:CC:CCI permanent ;able 6: ar0umente ale c"menzii ar#

Modificarea timpului de iata al inre1istrarilor din tabela A.P se face in mod diferit, cu aJutorul comen"ii de mai Jos: K ech" secunde I 3proc3s,s3net3ip L3nei1'3et'B31cMstaleMtime ."nstruirea #lat$"rmei de lucru #e a utili"a aceasi confi1uratie ca si in ca"ul exercitiilor din lucrarea anterioara, dedicata aplicatiei tcpdump. Exercitiul 1: studiati sti a de protocoale +CP3IP ( e"i fi1ura din Anexa) si preci"ati daca pac'etele A.P pot fi diriJate spre alte retele. Exercitiul 2: presupunand ca un se1ment de retea contine un s&itc' et'ernet si un 'ub. Cate porturi ale s&itc'-ului sunt implicate in transmiterea unei cereri A.P. Aceasi intrebare in ca"ul 'ub-ului $ Exercitiul 3: ce adresa MAC trebuie sa aiba cadrele et'ernet pentru a putea fi procesate de toate statiile unui se1ment, la ni el trei si mai sus $ Ce adresa IP trebuie sa aiba pac'etele IP pentru a putea fi procesate de toate statiile unei retele, la ni el patru si mai sus $ Exercitiul 4: este i"ibila adresa sursa MAC a mesaJelor 7A.P-.%N-%#+9 la ni elul A.P ( e"i fi1ura din Anexa) $ Exerciiul 5: Folosind comanda man, studiai optiunile comen"ii arp: -s, -d, -n, -i, -a. 8olii tabela arp i urm!rii ac'i"iia de noi intr!ri odat! cu traficul local sau c!tre di erse destinaii din internet. Exercitiul 6: Dup! 1olirea tabelei arp, reali"ati o tran"actie A.P intre entitatea locala si entitatea PCA@, determinati continutul mesaJelor A.P. (ndicatie: folositi aplicaiile pin1 i &ires'ar(. @.Care sunt dimensiunile cadrelor A.P re/uest i A.P repl,$ 0.Care este opcod-ul asociat mesaJului .e/uest$ =.Care este opcod-ul asociat mesaJului .epl,$ L.5a ce adres! 6n cadrul .e/uest apare adresa IP a emi!torului$ D.5a ce adres! 6n .e/uest apare adresa MAC pentru staia intero1at!$ 2.Ce adrese IP i MAC apar 6n A.P repl,$ Exerciiul 7: 8olii tabela A.P i recoltai toate pac'etele A.P pentru o durat! de @-0 minute. >n acest inter al contactai un sin1ur PC (pentru a declana o con ersaie A.P). 4prii captura i examinai trace-ul... @.De ce exist! 6ntero1!ri A.P care nu au r!spuns$ 0.%xaminai tabela A.P local!. Cum este populat! aceasta$ Exercitiul 9: se a urmari ac'i"itionarea adreselor MAC in tabela A.P. Pentru aceasta se or executa teste de conecti itate cu utilitarul pin1 catre mai multe adrese IP din reteaua directa conectata (ex. @L@.OD.L=.@B, @L@.OD.L=.@). Apoi, entitatea PCA@ (sin1ura) a efectua tran"actii A.P pentru adresa @L@.OD.L=.@0@, folosind arpin1. Pe celelalte entitati incercati sa puneti in e identa cererile A.P corespun"atoare; inspectati tabelele A.P de pe toate entitatile si preci"ati daca continutul acestora s-a modificat. Exercitiul B: in conditiile in care ser iciul A.P este de"acti at, reali"ati confi1urarile necesare pentru a reface conecti itatea pentru una dintre urmatoarele perec'i de entitati de retea: PCA@ - PCA0, PCA= - PCA2, PCAL - PCAD, PCAA ? PCAO. +5;A: la final reacti ati ser iciul A.P P Exerciiul 1C: Capturai pac'ete de tipul stp i i"uali"ai 6n &ires'ar(. Putei specula utilitatea acestora, examin)nd c)mpurile i alorile lor$ )etectarea c"liziunil"r de adrese in reteaua DA+: ar#in0 Atenie: se folosete aplicaia arping, disponibil sub debian/ubuntu n pachetul ' arping' (autor Thomas Habets). achetul 'iputils!arping' (autor Ale"e# $u%netso& ) instalea% o &ersiune care are opiuni diferite. Ca si aplicatia pin1, ar#in0 poate fi utili"ata pentru testarea disponibilitatii unei entitati de retea si a conecti itatii cu determinarea parametrilor de performanta asociati (.++ si loss), in ambele moduri de operare ( e"i mai Jos). In plus, arpin1 ofera un miJloc pentru detectarea coli"iunilor de adrese de ni el 4#I 50 si 5=, care pot apare intr-o retea de tip 5A<. Aceasta aplicatie poate utili"a ser iciul A.P sau ICMP-%CQ4 pentru a reali"a un dialo1 7A.P .%N-%#+-.%P5R9, respecti 7ICMP-%CQ4 .%N-%#+?.%P5R9 cu o anumita destinatie sau cu mai multe destinatii. De re1ula, toate sistemele de comunicatie +CP3IP implementea"a aceste doua ser icii.

Aplicatia arpin1 poate opera in doua moduri: 14 -"dul de "#erare A !: consta in utili"area ser iciului A.P pentru 1enerarea mesaJelor de test 7A.P .%N-%#+.%P5R9. Acest mod este utili"at, in special, pentru a determina adresa MAC a unei entitatii D preci"ata prin adresa IP sau pentru a determina daca exista un conflict de adrese IP. Pentru ca scopul principal al ser iciului A.P este determinarea adresei MAC, efectuarea unei tran"actii A.P in scopul determinarii coli"iunilor de adrese MAC se mai numeste: A ! 0ratuit (tran"actii A.P 1ratuit pot fi obser ate in retea pe durata de (re)bootare a unei entitati pentru a detecta daca adresa(le) IP locale sunt in coli"iune; daca o coli"iune este detectata utili"atorul a fi notificat imediat ce entitatea de ine functionabila). Pentru fiecare cerere 7A.P .%N-%#+9, entitatea D care are asociata adresa IPD a raspunde cu un mesaJ 7A.P .%P5R9 (protocolul A.P):
w ES E) A ! wh"'has (!) tell (!S

A ! re#l, (!) is'at -A.)

/i0ure 9: dia0rama -S. #entru m"dul A ! 24 -"dul de "#erare (.-!: consta in utili"area ser iciului ICMP-%CQ4 pentru 1enerarea mesaJelor de test 7ICMP%CQ4 .%N-%#+-.%P5R9. Acest mod poate fi utili"at pentru a determina adresa IP a unei entitati specificata printr-o adresa MAC, dar si pentru a determina daca exista o coli"iune de adrese MAC in reteaua 5A<. Functionarea in acest mod este analoa1a aplicatiei pin1 ( e"i Fi1ure S), insa alorile parametrilor mesaJelor de test sunt determinate in mod diferit. Pentru fiecare cerere 7ICMP-%CQ4 .%N-%#+9, entitatea D care are asociata adresa MAC D cunoscuta, a raspunde cu un mesaJ 7ICMP-%CQ4 .%P5R9 (protocolul ICMP). In fi1ura de mai Jos este pre"entata functionarea acestei aplicatii:
ES E)

-A.)E (!)*255425542554255E (.-!'E.25 EF6ES;

-A.S E(!SE (.-!'E.25 E!DG

/i0ure B: dia0rama -S. #entru m"dul (.-! Comanda pentru executarea aplicatiei pin1 are urmatoarea sintaxa 1enerala: ar#in0 8"#tiuni: ?adresa@(!A H ?adresa@-A.A In +able A, sunt listate cele mai frec ente optiuni intrebuintate pentru confi1urarea modului de operare a aplicatiei: ."n$i0uratia 5#tiuni 5bs4 Setarea adresei 's ?aa:bb:cc:dd:ee:$$A In 1eneral, implica -A. sursa utili"area modului de operare promiscuos. Setarea adresei 't ?aa:bb:cc:dd:ee:$$A -A. destinatie Setarea adresei (! 'S ?adresa@(!A In 1eneral, implica sursa utili"area modului de operare promiscuos. Setarea adresei (! '; ?adresa@(!A destinatie Activarea m"dului '# Altfel spus, de"acti area #r"miscu"s functiei de filtrare a pac'etelor dupa adresa de ni el 50. )etectarea 'd

ras#unsuril"r du#licate ."n$i0urarea intervalului de tim# intre d"ua teste c"nsecutive

'w ?usecA

;able 7: c"n$i0urarea m"dului de "#erare ."nstruirea #lat$"rmei de lucru #e a utili"a aceasi confi1uratie ca si in ca"ul exercitiilor din sectiunea, dedicata aplicatiei tcpdump. Exercitiul 1: sa se determine adresa MAC a unei entitati D, pentru care se cunoaste adresa IP D T @L@.OD.L=.@A@. Care este adresa destinatie a mesaJelor de test 7A.P .%N-%#+9 $ Uustificati. Determinati care este aloarea campului MAC destinatie aflat in mesaJele 7A.P .%N-%#+9 $ Exercitiul 2: sa se determine adresa IP a unei entitati D pentru care se cunoaste adresa MAC DT MACPCMsecret (furni"ata de catre 6ndrum!torul de laborator ? se a folosi echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts dac! PCMsecret rulea"! 5inux). #a se determine adresa IP D a mesaJelor de intero1are 7ICMP-%CQ4 .%N-%#+9. Uustificati aloarea acesteia. Exerciiul 3: Determinai adresa MAC a &&&.upb.ro. %xplicai cum obine arpin1 aceast! adres!. Folosii modul arpin13ICMP pentru a erifica dac! adresa MAC obinut! aparine &&&.upb.ro. Exercitiul 4: specificati care sunt ar1umentele pe care le utili"ati pentru a determina daca adresa @L@.OD.L=.@A@ se 1aseste in coli"iune. Cum puneti in e identa o coli"iune de adrese IP $ (ndicatie: pentru a putea erifica solutia propusa de d s. solicitati indrumatorului de laborator sa cree"e conditiile necesare pentru ca adresa @L@.OD.L=.@A@ sa fie in coli"iune. Atentie: dupa efectuarea erificarii solicitati eliminarea conditiilor de coli"iune. Exercitiul 5: specificati care sunt ar1umentele pe care le utili"ati pentru a determina daca adresa MAC PCA@ se 1aseste in coli"iune. Cum puneti in e identa o coli"iune de adrese MAC $ (ndicaie: pentru a putea erifica solutia propusa de d s. solicitati indrumatorului de laborator sa cree"e conditiile necesare pentru ca adresa d s. sa fie in coli"iune. Atentie: dupa efectuarea erificarii solicitati eliminarea conditiilor de coli"iune. Exerciiul 6: A ! S#""$in0 arpin1 poate crea cereri A.P cu adrese IP false. Pentru a permite acest lucru 6n (ernel, executai: echo 1 > /proc/sys/net/ipv4/ip_nonlocal_bind Eei lucra 6n ec'ipe de 0 PC-uri: PC0 este ictim!, PC@ este intrus, iar 1ate (@L@.OD.L=.@) este ruterul de acces la internet. #copul este de a deturna traficul PC0 V 1ate prin PC@ (dac! sunt conflicte 6ntre experimente se poate folosi un IP inexistent
pentru a rula doar p)n! la punctul D).

A)pe PC0( ictim!), 1olii tabela arp W)pe PC@(intrus) rulai arping -S

<gate> -p <IP_PC2> Kaceast! comand! trimite un arp re/uest c!tre PC0 ca i cum ar eni de la 1ate. Pe PC0 apare o intrare fals! 6n tabela A.P C)%xaminai intr!rile A.P create pe PC0. D)Pe PC0 rulai ping <gate>. %xaminai pe PC@ traficul capturat i e aluai implicaiile de securitate. %) (facultati ) Pentru a completa atacul rulai urm!toarele comen"i pe PC@ (6ntr-un alt terminal):

@. 0.

echo 1 > /proc/sys/net/ipv4/ip_forward

# PC1 devine ruter -e

echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects #PC1 devine mai silenios

F)>n acest moment, toate pac'etele PC0 V 1ate trec prin PC@, erificai cu tcpdump

pe PC@

Exerciiul 6a (facultati ): completai exerciiul precedent astfel 6nc)t r!spunsurile de la 1ate s! treac! deasemenea prin PC@. >n acest moment ai reali"at un atac 7man in t'e middle9: PC0 monitori"ea"! tot traficul dintre PC@ i 1ateP Exerciiul 7: 1!sii exemple de folosire A.P spoofin1 6n scopuri le1itime. Exerciiul 9: Protecie la A.P spoofin1: Pe PC0 folosii opiunea -s a comen"ii arp. Ce obser a i atunci c)nd lista i tabela arp$ .epetai exerciiul 2 6n aceste condiii. 8olii tabelele arp la sf)ritul exerciiului.