ARP คืออะไร
ARP (Address Resolution Protocol) เป็นโปรโตคอลสำหรับการจับคู่ (map) ระหว่าง Internet Protocol address (IP address) กับตำแหน่งของอุปกรณ์ในระบบเครือข่าย เช่น IP เวอร์ชัน 4 ใช้การระบุตำแหน่งขนาด 32 บิต ใน Ethernet ของระบบใช้การระบุ ตำแหน่ง 48 บิต (การระบุตำแหน่งของอุปกรณ์รู้จักในชื่อของ Media Access Control หรือ MAC address) ตาราง ARP ซึ่งมักจะเป็น cache จะรักษาการจับคู่ ระหว่าง MAC address กับ IP address โดย ARP ใช้กฎของโปรโตคอล สำหรับการสร้างการจับคู่และแปลงตำแหน่งทั้งสองฝ่าย
การทำงานของ ARP
เมื่อแพ็คเกตนำเข้าที่ระบุเครื่อง host ในระบบเครือข่ายมาถึง Gateway เครื่องที่ Gateway จะเรียกโปรแกรม ARP ให้หาเครื่อง host หรือ MAC address ที่ตรงกับ IP address โปรแกรม ARP จะหาใน ARP cache เมื่อพบแล้วจะแปลงแพ็คเกต เป็นแพ็คเกตที่มีความ ยาวและรูปแบบที่ถูกต้องเพื่อส่งไปยังเครื่องที่ระบุไว้ แต่ถ้าไม่พบ ARP จะกระจายแพ็คเกตในรูปแบบพิเศษ ไปยังเครื่องทุกเครื่องในระบบและถ้าเครื่องใดเครื่องหนึ่งทราบว่ามี IP address ตรงกันก็จะตอบกลับมาที่ ARP โปรแกรม ARP จะปรับปรุง ARP cache และส่งแพ็คเกตไปยัง MAC address หรือเครื่องที่ตอบมา
เนื่องจากแต่ละโปรโตคอลมีรายละเอียดที่แตกต่างกันตามประเภทของ LAN ดังนั้นจึงมี การแยก ARP Request for Comments ตามประเภทของโปรโตคอลสำหรับ Ethernet, asynchronous transfer mode, Fiber Distributed-Data Interface, HIPPI และโปรโตคอลอื่น
ส่วน Reverse ARP สำหรับเครื่อง host ที่ไม่รู้จัก IP address นั้น RARP สามารถให้เครื่องเหล่านี้ขอ IP address จาก ARP cache ของ Gateway
การทำงานของ ARP
เมื่อแพ็คเกตนำเข้าที่ระบุเครื่อง host ในระบบเครือข่ายมาถึง Gateway เครื่องที่ Gateway จะเรียกโปรแกรม ARP ให้หาเครื่อง host หรือ MAC address ที่ตรงกับ IP address โปรแกรม ARP จะหาใน ARP cache เมื่อพบแล้วจะแปลงแพ็คเกต เป็นแพ็คเกตที่มีความ ยาวและรูปแบบที่ถูกต้องเพื่อส่งไปยังเครื่องที่ระบุไว้ แต่ถ้าไม่พบ ARP จะกระจายแพ็คเกตในรูปแบบพิเศษ ไปยังเครื่องทุกเครื่องในระบบและถ้าเครื่องใดเครื่องหนึ่งทราบว่ามี IP address ตรงกันก็จะตอบกลับมาที่ ARP โปรแกรม ARP จะปรับปรุง ARP cache และส่งแพ็คเกตไปยัง MAC address หรือเครื่องที่ตอบมา
เนื่องจากแต่ละโปรโตคอลมีรายละเอียดที่แตกต่างกันตามประเภทของ LAN ดังนั้นจึงมี การแยก ARP Request for Comments ตามประเภทของโปรโตคอลสำหรับ Ethernet, asynchronous transfer mode, Fiber Distributed-Data Interface, HIPPI และโปรโตคอลอื่น
ส่วน Reverse ARP สำหรับเครื่อง host ที่ไม่รู้จัก IP address นั้น RARP สามารถให้เครื่องเหล่านี้ขอ IP address จาก ARP cache ของ Gateway
ก่อนอื่น เราต้องรู้เกี่ยวกับ ARP Spoofing คร่าวๆก่อนครับ ว่ามันคืออะไร ทำไมถึงใช้วิธีนี้ดัก Packet เราได้ ?
ปกติแล้ว การที่เครื่องเซิฟเวอร์เราสื่อสารกับใคร จะต้องมีการรับส่งข้อมูลผ่านเครื่อง Gateway
[SERVER] <----> [GATEWAY] <----> [เครื่อง PC ของคุณ]
ซึ่ง Gateway ของ ISP จะปลอดภัยอยู่แล้ว คงไม่มีเจ้าหน้าที่ใน ISP คนไหนมานั่งดักข้อมูลกันหรอกครับ
แต่ถ้าอย่างระดับธนาคารเขาจะใช้ SSL (https://) ในการช่วยเข้ารหัส Packet ถึงดักไปก็จะได้ข้อมูลที่อ่านไม่รู้เรื่อง
แล้วถ้าอย่างเราๆบ้านๆ ไปซื้อ https:// หมด คงไม่ได้แน่ เพราะต้นทุนสูง ต้องใช้ Dedicated IP ด้วยอีก
เราตัดปัญหาที่เจ้าหน้าที่ ISP จะมาดักข้อมูลเราได้เลย เราไม่ได้มีข้อมูลอะไรสำคัญขนาดธนาคาร
เรามามองที่เรื่องของ ผู้ใช้ ใกล้ๆเรานี่สิครับ ที่จะมาดักข้อมูลเรา
แล้วคนใกล้ๆเรา จะดักข้อมูลเราได้อย่างไร ?
เราใช้วิธี ARP Spoofing ครับ โดยจะส่ง Packet บางอย่างมาหลอกเครื่องของเราว่า เครื่องเขาคือ Gateway
เช่น ปกติแล้ว IP ของ Gateway คือ 203.146.1.126
เขาก็จะส่ง Packet บางอย่างมาบอกว่า เครื่องของเขาคือ IP 203.146.1.126 นะต่อไปให้ติดต่อเครื่องของเขา การติดต่อสื่อสารก็จะเปลี่ยนเป็นลักษณะนี้
[SERVER] <----> [เครื่องของผู้ไม่หวังดี]<----> [GATEWAY] <----> [เครื่อง PC ของคุณ]
ทำให้เขาสามารถรับรู้ Packet ต่างๆที่วิ่งไหลผ่านเครื่องของคุณได้เลย ไม่ว่าจะเป็น
Username / Password ต่างๆ รวมไปถึงรหัสบัตรcredit card
การป้องกันเบื้องต้น จะใช้วิธี Fix ค่า ARP ในเครื่องของเรา ให้เป็น MAC Address ที่ถูกต้องของ Gateway จริงๆ ตลอดเวลาครับ
ทีมงานขอขอบคุณเครดิตจาก : คุณTMPAY,com5dow.com
นอกจากนัั้นแล้วขอแนะนำให้เพื่อนๆติดตั้งโปรแกรม Panda Cloud ทีมี่ระบบ firewall ประสิทธิภาพสูงในการป้องกันการโจมตีแบบ arp spoof ที่เป็นแบบ smart arp ซึ่งมีเฉพาะยี่ห้อ panda เท่านั้นที่มีระบบนี้
ปกติแล้ว การที่เครื่องเซิฟเวอร์เราสื่อสารกับใคร จะต้องมีการรับส่งข้อมูลผ่านเครื่อง Gateway
[SERVER] <----> [GATEWAY] <----> [เครื่อง PC ของคุณ]
ซึ่ง Gateway ของ ISP จะปลอดภัยอยู่แล้ว คงไม่มีเจ้าหน้าที่ใน ISP คนไหนมานั่งดักข้อมูลกันหรอกครับ
แต่ถ้าอย่างระดับธนาคารเขาจะใช้ SSL (https://) ในการช่วยเข้ารหัส Packet ถึงดักไปก็จะได้ข้อมูลที่อ่านไม่รู้เรื่อง
แล้วถ้าอย่างเราๆบ้านๆ ไปซื้อ https:// หมด คงไม่ได้แน่ เพราะต้นทุนสูง ต้องใช้ Dedicated IP ด้วยอีก
เราตัดปัญหาที่เจ้าหน้าที่ ISP จะมาดักข้อมูลเราได้เลย เราไม่ได้มีข้อมูลอะไรสำคัญขนาดธนาคาร
เรามามองที่เรื่องของ ผู้ใช้ ใกล้ๆเรานี่สิครับ ที่จะมาดักข้อมูลเรา
แล้วคนใกล้ๆเรา จะดักข้อมูลเราได้อย่างไร ?
เราใช้วิธี ARP Spoofing ครับ โดยจะส่ง Packet บางอย่างมาหลอกเครื่องของเราว่า เครื่องเขาคือ Gateway
เช่น ปกติแล้ว IP ของ Gateway คือ 203.146.1.126
เขาก็จะส่ง Packet บางอย่างมาบอกว่า เครื่องของเขาคือ IP 203.146.1.126 นะต่อไปให้ติดต่อเครื่องของเขา การติดต่อสื่อสารก็จะเปลี่ยนเป็นลักษณะนี้
[SERVER] <----> [เครื่องของผู้ไม่หวังดี]<----> [GATEWAY] <----> [เครื่อง PC ของคุณ]
ทำให้เขาสามารถรับรู้ Packet ต่างๆที่วิ่งไหลผ่านเครื่องของคุณได้เลย ไม่ว่าจะเป็น
Username / Password ต่างๆ รวมไปถึงรหัสบัตรcredit card
การป้องกันเบื้องต้น จะใช้วิธี Fix ค่า ARP ในเครื่องของเรา ให้เป็น MAC Address ที่ถูกต้องของ Gateway จริงๆ ตลอดเวลาครับ
ทีมงานขอขอบคุณเครดิตจาก : คุณTMPAY,com5dow.com
นอกจากนัั้นแล้วขอแนะนำให้เพื่อนๆติดตั้งโปรแกรม Panda Cloud ทีมี่ระบบ firewall ประสิทธิภาพสูงในการป้องกันการโจมตีแบบ arp spoof ที่เป็นแบบ smart arp ซึ่งมีเฉพาะยี่ห้อ panda เท่านั้นที่มีระบบนี้
เพื่อนๆสามารถทดลองใช้ Panda Cloud เพื่อกำจัดไวรัสในเครื่องและป้องกันhackerโจมตีรูปแบบต่างๆได้โดย Download เวอร์ชันทดลองใช้ 1 เดือนได้ที่ http://www.panda-thailand.com/newpanda/trial/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น