SVEUČILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

Seminarski rad u okviru predmeta „Računalna forenzika“ 2016/2017

Analiza/opis/vizualizacija nekog mrežnog protokola- podaci bitni za forenziku

Ana Šarčević

Sadržaj

1. Uvod ................................................................................................................................................ 3

2. Mrežni protokoli .............................................................................................................................. 4

3. Protokol ARP .................................................................................................................................... 4

3.1. Povijest i definicija protokola ARP ........................................................................................... 4

3.2. Način rada ARP protokola ....................................................................................................... 5

3.3. Primjer rada ARP protokola ..................................................................................................... 5

3.4. Format ARP paketa .................................................................................................................. 7

3.5. Ranjivosti ARP protokola ......................................................................................................... 7

3.6. Metode ARP napada ................................................................................................................ 8

3.6.1. Izviđanje (engl. Reconnaissance) ......................................................................................... 8

3.6.2. Trovanje ARP spremnika (engl. ARP cache poisoning) ........................................................ 8

3.6.3. ARP zavaravanje (engl. ARP spoofing) ................................................................................. 9

3.6.4. MAC preplavljivanje (engl. MAC flooding) ........................................................................ 10

3.6.5. Krađa porta (engl. Port Stealing) ....................................................................................... 10

3.7. Otkrivanje i zaštita od ARP napada ....................................................................................... 11

4. Zaključak ........................................................................................................................................ 12

5. Literatura ....................................................................................................................................... 13

6. Prilozi ............................................................................................................................................. 13

1. Uvod

Mrežna forenzika je grana digitalne forenzike čiji je cilj uhvatiti, zabilježiti i analizirati mrežne događaje

kako bi se otkrili izvori napada, drugi incidenti te aktivnosti legitimnih korisnika. Pri tome je bitna

analiza protokola, koja se definira kao umijeće i znanost razumijevanja kako neki komunikacijski

protokol radi, za što se koristi, kako ga se identificira te kako ga secirati. Prema prof.dr.sc. Predragu

Pali, to nije uvijek jednostavno kako bi se moglo očekivati. U idealnom svijetu, svi protokoli bi bili

uredno katalogizirani, objavljeni i implementirani prema specifikaciji, no u stvarnosti ništa od

navedenog nije točno. Mnoge protokole njihovi autori namjerno drže tajnim, ili da se zaštiti

intelektualno vlasništvo, spriječi konkurencija ili za potrebe sigurnosti i tajnih komunikacija. Drugi, pak,

protokoli jednostavno nisu dokumentirani dovoljno dobro jer nitko nije uložio vremena da to napravi.

[1]

Dosta protokola je definirano u vrijeme kada sigurnost nije bila na listi prioriteta te je velik broj danas

popularnih protokola ranjiv. S obzirom da je ranjivost u protokolu, nema načina da se implementacijski

uklone manjkavosti.

U nastavku seminara dan je općenit opis mrežnih protokola, nakon kojeg slijedi detaljnija analiza

protokola ARP, a pažnja će se najviše obratiti na analizu istog protokola sa stajališta forenzike.

2. Mrežni protokoli

Mrežni protokol je skup pravila i konvencija za komunikaciju između mrežnih uređaja. Osim što

uključuje mehanizme mrežnih uređaja za međusobnu identifikaciju i konekciju, definira i pravila za

formatiranje podataka kao i slanje i primanje istih. Uz navedeno, neki protokoli podupiru i potvrdu

primitka (engl. acknowledgment) podataka kao i njihovu kompresiju s ciljem ostvarenja boljih

performansi i pouzdanije komunikacije. Danas postoje tisuće mrežnih protokola, a svaki je dizajniran

za specifičnu namjenu i okruženje. Bez postojanja mrežnih protokola, uređaji ne bi bili sposobni

razumjeti elektroničke signale poslane od jednog uređaja prema drugom preko mrežne konekcije.

Upravo mrežni protokoli osiguravaju ispravno adresiranje primatelja podataka, fizički prijenos istih s

izvorišta ka odredištu uz sigurnosne mehanizme po potrebi, kao i samo prihvaćanje podataka i slanje

odgovarajućih odgovora. Najuobičajenija skupina mrežnih protokola u javnoj uporabi su protokoli IP

familije. Sam IP je osnovni protokol koji omogućuje međusobnu komunikaciju lokalnih mreža na

Internetu. IP podržava prijenos poruka iz jedne mreže u drugu, međutim ne podržava sam koncept

konverzacije kao ostvarenje konekcije preko koje tok podataka „putuje“ u jednom ili oba smjera.

Navedeno podržava protokol TCP, a budući da je osnovni tip konekcije na Internetu upravo izravna

konekcija uređaja (engl. Point-to-point), spomenuta dva protokola su često „spojena“ i poznata kao

TCP/IP. Oba spomenuta protokola rade na srednjim slojevima stoga mrežnih protokola. Popularne

Internetske aplikacije implementiraju vlastite protokole na vrhu spomenutog stoga, tako je HTTP

protokol korišten od strane Web preglednika i servisa diljem svijeta. Od ostalih mrežnih protokola

familije IP ističu se još ARP, ICMP i FTP. [2]

3. Protokol ARP

3.1. Povijest i definicija protokola ARP

Protokol ARP (engl. Address Resolution Protocol) razvijen je ranih 1980ih kao adresno-translacijski

protokol opće namjene za IP mreže. Osim za Ethernet i Wi-Fi, isti je implementiran i za ATM, Token

Ring i ostale vrste fizičkih mreža. ARP omogućuje mreži upravljanje vezama neovisno o konkretnom

fizičkom uređaju privrženoj nekoj od njih. Upravo to rasteretilo je Internet Protokol od upravljanja

adresama različitih sklopovskih uređaja i samih vrsta fizičkih mreža i time povećao samu efikasnost

istog. [3]

ARP protokol je mrežno-specifični protokol za dobivanje fizičke adrese na lokalnoj mreži iz poznate

mrežne adrese. Njegova najraširenija primjena danas je na Ethenretu gdje se IP adrese povezuju s MAC

adresama. Drugim riječima, ARP protokol je skup definiranih pravila za održavanje ispravne korelacije

između navedenih adresa i njihove konverzije u oba smjera. Prilikom procesa pretvorbe adresa,

korišten ja ARP spremnik (engl. ARP cache), koji održava korelacije između MAC adrese i odgovarajuće

IP adrese.

3.2. Način rada ARP protokola

ARP radi na drugom sloju (engl. Layer 2) ISO modela. Podrška za protokol je implementiran u

upravljačke programe mrežnih uređaja, a Internet RFC 826 dokumentira tehničke detalje protokola

uključujući format paketa kao i djelovanje ARP zahtjeva i ARP odgovora. Svaki mrežni uređaj kao i

mrežna kartica u računalu sadrži MAC adresu. Proizvođači istih brinu se da te 48-bitne adrese budu

jedinstvene, budući da se IP oslanja na iste identifikatore prilikom dostave paketa. Kada bilo koji uređaj

želi poslati podatke nekom drugom uređaju, potrebno je saznati MAC adresu odredišnog računala kako

bi se paketi uspjeli poslati. Upravo se na temelju IP adrese odredišnog uređaja, a uz pomoć ARP

protokola, odnosno ARP spremnika održavanog na svakom uređaju to uspješno ostvaruje. Međutim,

potrebno je ispravno održavati ARP spremnik na svakom uređaju kako bi se spriječilo stalno slanje

višeodredišnih ARP zahtjeva. Dakle, ukoliko zapis za određenu IP adresu ne postoji u ARP spremniku

inicirajućeg uređaja, isti se mora obnoviti. Postupak je slijedeći – inicirajući uređaj šalje višeodredišni

ARP zahtjev u lokalnu podmrežu. Uređaj sa odgovarajućom IP adresom odgovara na poslani

višeodredišni upit, a računala obnavljaju svoje ARP spremnike ispravnim preslikavanjem IP i MAC

adrese. Isti zapis u ARP spremniku zadržava se 20 minuta. [3]

Primjer sadržaja ARP spremnika prikazan je na slici (slika 1).

Slika 1 : Sadržaj ARP spremnika

3.3. Primjer rada ARP protokola

Slika (slika 2) sadrži skicu načina rada ARP-a u lokalnoj mreži Ethernet.

Računalo A šalje datagram računalu D spojenom u istoj lokalnoj mreži. IP-adresa računala D je

151.13.15.151. Računalo A u svojem ARP-spremniku provjerava ima li već od prije pohranjenu MAC

adresu odredišnog računala. Ako ima, ta adresa može se primijeniti. U suprotnom, računalo A razašilje

opći upit u lokalnoj mreži, koristeći ARP-zahtjev (engl. ARP request) na koji se odaziva računalo D s

podatkom o svojoj MAC adresi. Računalo A zatim koristi dobivenu MAC adresu za adresiranje okvira

sloja pristupa mediju i sprema je u spremnik za eventualnu buduću uporabu unutar propisanog

vremena u kojem se adresa mora osvježiti. [4]

Slika 2: Primjena ARP-a

Važno je napomenuti da se i ARP odgovor (engl. ARP reply) razašilje na mrežu da bi i ostali čvorovi u

mreži „naučili“ MAC adresu iz odgovora. Isto je vidljivo i na prethodnoj slici, ali je preglednije prikazano

na sljedećoj (slika 3).

Slika 3: razašiljanje ARP zahtjeva i odgovora

3.4. Format ARP paketa

Na slici (slika 4) je prikazan format poruke ARP. Uz specifikaciju vrste fizičkih mreža, tipa protokola višeg

sloja, duljine adresa i koda operacije (zahtjev ili odgovor) bitno je izdvojiti sama polja za adrese. Ovisno

o tipu poruke, određena polja su prazna. Radi se o odredišnoj MAC adresi koja je u ARP zahtjevu prazna

i ignorira se. Ista u ARP odgovoru označava MAC adresu uređaja „izazvanog“ ARP upitom.

Slika 4: Struktura ARP zaglavlja

3.5. Ranjivosti ARP protokola

U nastavku su opisane ranjivosti protokola ARP kao i iskorištavanje istih s ciljem nanošenja štete.

Ističu se tri ranjivosti protokola ARP:

Budući da nema autentifikacije zahtjeva i odgovora, isti mogu biti krivotvoreni

ARP je protokol bez pamćenja stanja (engl. stateless) – odgovore je moguće slati bez

prethodnog zahtjeva

Po specifikaciji ARP protokola, svaki čvor koji primi ARP paket (neovisno o tome je li se radi o

upitu ili odgovoru), mora obnoviti svoju lokalnu ARP tablicu sa informacijama iz izvorišnog polja

(engl. source fields), unatoč postojanju zapisa za odgovarajuću IP adresu. [5]

Poznavanjem ranjivosti protokola ARP moguće je zlouporabiti isti te krivotvoriti ARP zahtjeve i

odgovore kako bi se obnovila ARP tablica udaljenih sustava krivotvorenim unosima. Radi se o tzv.

trovanju ARP tablica (engl. ARP Poisoning). Isto se iskorištava za preusmjeravanje prometa na druge

uređaje. Dakle moguće je poslati ARP odgovor prije pravog računala te vratiti lažno preslikavanje

adresa (IP/HW). Osim toga, mogu se koristiti i lažni ARP upiti za spremanje krivih ARP preslikavanja na

računalu kome su upućeni. U oba slučaja dolazi do preusmjeravanja prometa, a ARP poruke se mogu

slati kontinuirano kako bi se lažni podaci zadržali u ARP spremniku. Također, može se koristiti i za

preusmjeravanje prometa koji bi trebao ići na usmjeritelj te ga se može u potpunosti filtrirati, a može

ga se koristiti za lažno preslikavanje gatewaya na nepostojeću MAC adresu – DoS (engl. Denial of

Service) napad. [6]

Detaljnije o svemu navedenom slijedi u nastavku.

3.6. Metode ARP napada

Postoje tri osnovne kategorije iskorištavanja ARP ranjivosti. Radi se o skupljaju informacija čime je

povrijeđen sigurnosni zahtjev tajnosti podataka, posrednik (engl. man-in-the-middle) čime je također

povrijeđen sigurnosni zahtjev tajnosti podataka, ali i cjelovitost istih. Zadnja kategorija je uskraćivanje

usluge (engl. denail-of-service), a narušen je jedan od osnovnih sigurnosnih zahtjeva, raspoloživost.

Svaka navedena kategorija ima nekoliko metoda napada. Unatoč postojanju velikog broja napada

temeljenih na iskorištavanju ranjivosti protokola ARP, u nastavku dokumenta bit će opisana nekolicina

najpopularnijih.

3.6.1. Izviđanje (engl. Reconnaissance)

Uobičajena taktika prije stvarnog napada je prikupiti relevantne informacije s obzirom na ciljanu

mrežu. Postoji mnogo tehnika, a ističe se skeniranje portova kako bi se locirali uređaji u mreži, odredili

operacijski sustavi korišteni na uređajima u mreži (engl. OS fingerprinting) i otkrile usluge pokrenute

na istim uređajima. Poznati alat za izvođenje navedenog je Nmap. Osim toga, poznat je i alat Ettercap,

a koristi se za obavljanje mnogih drugih aktivnih napada iskorištavanjem ranjivosti u ARP-u. Ako se

koristi u izviđanju mreže, Ettercap šalje ARP zahtjev za svaku IP adresu u lokalnoj mreži kako bi kreirao

listu parova IP/MAC adresa aktivnih uređaja u mreži. [7]

3.6.2. Trovanje ARP spremnika (engl. ARP cache poisoning)

Kao što samo ime govori, trovanje ARP spremnika napada ARP spremnik žrtve. Spomenuto je da je,

ARP protokol bez pamćenja stanja i nema autentikacijskih mehanizama za verifikaciju dolazećih ARP

poruka. Trovanje ARP spremnika upravo iskorištava navedene ranjivosti slanjem lažnih ARP odgovora

žrtvi. Žrtva spremi lažne informacije u svoj spremnik i koristi tako spremljenu lažnu MAC adresu

prilikom slijedećeg slanja paketa.

Slika 5: Trovanje ARP spreminka

Slikom je prikazano trovanje ARP spremnika, a sam postupak je detaljnije objašnjen u nastavku.

1. Napadaš a IP adresom 10.25.0.3 i MAC adresom 00:CC (pojednostavljena MAC adresa za

potrebe ilustracije) odluči izvesti man-in-the-middle napad između računala s IP adresom

10.25.0.1 i računala s IP adresom 10.25.0.4 koristeći trovanje ARP spremnika.

2. Napadač šalje lažni ARP odgovor računalu IP adrese 10.25.0.4, govoreći da je MAC adresa

računala s IP adresom 10.25.0.1, 00:CC.

3. Zbog nedostatka autentifikacijskih mehanizama, računalo 10.25.0.4 u svoj ARP spremnik

mapira IP adresu 10.25.0.1 na MAC adresu 00:CC, odnosno fizičku adresu napadača.

4. Svi podaci koji se šalju između računala s IP adresom 10.25.0.4 i računala 10.25.0.1, prvo se

šalju napadaču. Napadač nad primljenim podacima, izvodi što god zaželi, a isti dalje proslijedi

računalu 10.25.0.1.

5. Koraci 2,3 i 4 ponavljaju se ovaj puta prema računalu 10.25.0.1 trujući njegov ARP spremnik

lažnim podacima o MAC adresi računala 10.25.0.4 (IP adresa računala 10.25.0.4 mapira se na

MAC adresu 00:CC).

6. Nakon završenog napada, napadač šalje ispravne ARP odgovore, vračajući ispravna mapiranja

IP/MAC adresa u ARP spremnike žrtava, i omogućuje normalnu komunikaciju računala žrtvi.

[7]

3.6.3. ARP zavaravanje (engl. ARP spoofing)

U ovom napadu, napadač osluškuje višeodredišni ARP zahtjev u lokalnoj mreži. Kad se isti pošalje,

napadač šalje lažni ARP odgovor sa svojom MAC adresom.

Navedeni napad je jako sličan prethodno opisanom napadu trovanja ARP spremnika budući da nastoji

ažurirati podatke žrtvinog spremnika krivotvorenim informacija. Međutim poteškoća je u tome što je

originalni ARP zahtjev poslan svima u lokalnoj mreži. Isti je na taj način primio i legitimni uređaj (uređaj

kojem je taj zahtjev i namijenjen), a to za posljedicu ima da napadač mora osvojiti „utrku“ prilikom

slanja odgovora. Međutim, utrka je beznačajna, jer većina operacijskih sustava najčešće koriste

najnoviji ARP odgovor kako bi ažurirao ARP spremnik. [7]

3.6.4. MAC preplavljivanje (engl. MAC flooding)

Slijedeći napad usmjeren ja na komutatore. Komutatori održavaju tablicu s MAC adresama/portovima.

Radi se o tzv. CAM tablici (engl. Content-Addresable Memory). Na temelju iste, komutator inteligentno

prosljeđuje paket namijenjen ciljanom uređaju, fizičkom portu na koji je isti spojen. Međutim,

spomenute tablice komutatora imaju ograničenu memoriju. Preopterećivanjem komutatora krivim

MAC adresama prepuni mu se tablica te komutator tada prelazi u hub način rada, a paketi se tada

prosljeđuju svim računalima u lokalnoj mreži pa tako i samom napadaču koji tada prisluškuje sav

promet. [6]

Ponašanje komutatora preplavljenog lažnim MAC adresama, ovisi o proizvođaču i verziji operacijskog

sustava. U nekim slučajevima, napadnuti komutator jednostavno prestane raditi izazivajući

uskraćivanje usluge u lokalnoj mreži (engl. deniel-o-service). [7]

3.6.5. Krađa porta (engl. Port Stealing)

U slijedećem napadu, napadač obrće ARP odgovor, postavljajući žrtvinu MAC adresu kao izvorišnu

adresu, a svoju kao odredišnu. Na taj način, kada komutator primi paket, povezuje žrtvinu MAC adresu

na napadačev port. Sav promet poslan žrtvi prosljeđuje se sada na napadačev port. Kako bi omogućio

žrtvi da ponovno prihvaća svoje podatke, napadač neposredno nakon „otimanja“ šalje ARP zahtjev za

žrtvinom MAC adresom. Žrtva na isti šalje ARP odgovor sa svojom MAC adresom, te obnavlja tablicu

komutatora, vraćajući ga u originalno stanje. Isti proces napadač može kontinuirano ponavljati. Napad

se mora izvršiti jako brzo kako bi se minimiziralo kašnjenje, a nije neuobičajeno da se neki paketi gube.

Slikom (slika 6) prikazan je opisani napad. [7]

Slika 6: Krađa porta

3.7. Otkrivanje i zaštita od ARP napada

Ako je preuzimanje bilo uspješno, malo je vjerojatno da će korisnici napadnutog računala išta

primijetiti, međutim u slučaju DoS napada, lagano je ustanoviti da nešto nije u redu. Najjednostavniji

način otkrivanja ARP napada je ispis ARP spremnika – ako se MAC adresa od određene IP adrese

promijenila napadačevo računalo se identificira s pomoću te MAC adrese te se po mogućnosti fizički

odspaja s mreže. Također se može detektirati s nekog trećeg računala, na kojem se njuška mreža i traže

lažni ARP odzivi. Osim toga, moguće je i korištenje sklopovlja koji će učiniti takve napade nemogućima

ili više vidljivima. Primjer je korištenje komutatora, switch s mogućnošću “zaključavanja” priključaka

(engl. port security). Uz navedeno, moguće je i onemogućavanje samog ARP-a i njegova ručna

konfiguracija. [6]

4. Zaključak

Ranjivost je slabost u izvedbi sustava koju je moguće iskoristiti kako bi se izazvala šteta. Poznavanjem

ranjivosti, napadač iskorištava iste s ciljem nanošenja štete, odnosno narušavanja nekih od osnovnih

sigurnosnih zahtjeve. To su povjerljivosti, cjelovitosti i dostupnosti podataka.

Kod protokola APR ističe se nekoliko ranjivosti. Radi se o nedostatku autentifikacijskih mehanizama,

mogućnosti slanja odgovora, unatoč nepostojanju prethodnog upita, kao i obaveza svakog uređaja da

obnavlja zapise svog ARP spremnika, iako isti podaci već postoje u spremniku.

Tri su osnovne kategorije iskorištavanja ARP ranjivosti. Radi se o skupljaju informacija čime je

povrijeđen sigurnosni zahtjev tajnosti podataka, posrednik (engl. man-in-the-middle) čime je osim

povjerljivosti podataka narušena i cjelovitost istih. Zadnja kategorija je uskraćivanje usluge (engl.

denail-of-service), a narušen je također jedan od osnovnih sigurnosnih zahtjeva, raspoloživost. U svakoj

navedenoj kategoriji ističe se nekoliko metoda napada, a nekolicina ih je objašnjena u ovom

dokumentu.

5. Literatura

[1] Skračić K., Pale P.; Mrežna forenzika: https://www.fer.unizg.hr/_download/repository/RacFor-

Network-Handouts-v6-pp.pdf

[2] Mrežna stranica Lifewire. Posjećena 03.01.2017.: https://www.lifewire.com/definition-of-

protocol-network-817949

[3] Mrežna stranica Lifewire. Posjećena 03.01.2017.: https://www.lifewire.com/address-resolution-

protocol-817941

[4] Lovrek I., Matijašević M., Ježić G., Jevtić D.; Komunikacijske mreže; 2014./2015.

[5] Adres Resolution Protocol (ARP): http://www.cs.virginia.edu/~cs458/slides/module06-arpV2.pdf

[6] Sigurnost u Internetu: Ranjivosti internetskih protokola i aplikacija:

https://www.fer.unizg.hr/_download/repository/SuI-5-IP_TCP_UDP%5B2%5D.pdf

[7] Global Information Assurance Certification Paper:

https://www.giac.org/paper/gsna/186/address-resolution-protocol-risks-countermeasures/106870

6. Prilozi

Slika 1: Adres Resolution Protocol (ARP): http://www.cs.virginia.edu/~cs458/slides/module06-

arpV2.pdf

Slika 2: Lovrek I., Matijašević M., Ježić G., Jevtić D.; Komunikacijske mreže; 2014./2015.

Slika 3: Mujarić E., Računalne mreže: http://mreze.layer-x.com/s020303-0.html

Slika 4: Sigurnost u Internetu: Ranjivosti internetskih protokola i aplikacija:

https://www.fer.unizg.hr/_download/repository/SuI-5-IP_TCP_UDP%5B2%5D.pdf

Slika 5: Global Information Assurance Certification Paper:

https://www.giac.org/paper/gsna/186/address-resolution-protocol-risks-countermeasures/106870

Slika 6: Global Information Assurance Certification Paper:

https://www.giac.org/paper/gsna/186/address-resolution-protocol-risks-countermeasures/106870