Assalamualaikom w.b.t
NetCut adalah sebuah program yang berupaya memutuskan sambungan komputer lain yang bersubnet sama di dalam rangkaian ethernet/LAN. Program NetCut boleh di muat turun
disini.
Secara teknikal bagaimana NetCut berfungsi:
|
Rajah 1: Lapisan-lapisan OSI |
NetCut menggunakan satu teknik mudah yang dipanggil "ARP poisoning" atau sesetengahnya memanggil "ARP spoofing". Kaedah ini adalah bertujuan mengganggu protokol biasa yang terlibat dalam urusan komunikasi dalaman rangkaian. Teknik ini jugalah yang biasa digunakan untuk menjadi Serangan Orang Tengah atau dalam bahasa inggerisnya "Man In The Middle attack".
Sebelum saya menerangkan mengenai meracun ARP (ARP poisoning) apa kata kita belajar sedikit asas gerak kerja ARP ini.
ARP adalah singkatan kepada perkataan Address Resolution Protocol. ARP adalah protokol digunakan untuk menyelesaikan alamat di lapisan Network kepada alamat di lapisan Data Link dalam sesebuah rangkaian. Pendek kata ARP membantu memetakan alamat IP dengan alamat MAC nya.
Mari kita merujuk senario berikut:
|
Rajah 2: Contoh rangkaian di dalam LAN |
Sekarang Ali ingin menghantar paket kepada Abu. Untuk itu Ali perlulah mengetahui alamat MAC bagi IP 192.168.0.4. Ali pada mulanya akan menyemak jadual arkib rekod ARP yang tersimpan. Sekiranya tidak wujud maka Ali akan menghebah satu ARP meminta alamat MAC untuk IP 192.168.0.4. Apabila Abu mendengar hebahan tersebut ia akan membalas alamat MAC nya kepada Ali.
Rajah di bawah menerangkan secara ringkas konsep tersebut:
|
Rajah 3: Contoh Ringkas Aliran Komunikasi ARP biasa |
Setelah memahami serba sedikit mengenai ARP tibalah masanya untuk memahami serangan meracun ARP (ARP poisoning attack). Andaikan senario berikut berlaku di dalam rangkaian tersebut. Apa yang berlaku sekiranya ada satu pihak lain (MITM) membalas terlebih dahulu hebohan Ali? Dalam hal ini pastinya Ali akan menyangka alamat MAC pihak tersebut 00:00:00:00:00:03 (MITM) sebagai alamat MAC untuk IP 192.168.0.4. Justeru Ali akan mula berhubung dan menghantar paket kepada MITM. Rajah di bawah menunjukkan proses serangan tersebut:
|
Rajah 4: Contoh serangan meracun gerak kerja ARP di rangkaian |
Bagaimana pula sekiranya MITM membalas ARP dengan memberikan alamat MAC yang tidak wujud? Ini akan menyebabkan keadaan ALI seumpama mesin DoS. Cara seperti inilah yang diguna pakai oleh NetCut untuk melucutkan sambungan komputer lain di dalam rangkaian yang sama.
Cara Menghalang serangan meracun ARP:
Cara yang terbaik untuk menangani serangan ARP spoofing adalah menggunakan ARP statik berbanding dinamik. Di dalam pengoperasian Linux atau Windows, terdapat arahan yang dipanggil
arp yang digunakan untuk memantau jadual arkib dan menukar dari dinamik ke statik.
Cara yang lain adalah dengan memasang aplikasi pemantau seperti arpwatch untuk UNIX dan Xarp-v2 untuk Windows bagi melindungi serangan jenis ini.
Wahuallam...
Rujukan:
Arp Spoofing Wiki
No comments:
Post a Comment