ARP Spoofing คืออะไร

ARP Spoofing คืออะไร

ARP Spoofing หรือ ARP cache poisoning คือการโจมตีโดยใช้ช่องโหว่ของโปรโตคอล ARP เพื่อหลอกให้เหยื่อหลงกล โดยมีจุดประสงค์หลักคือ การจู่โจมแบบ DoS ( Denial of Service ) เป็นการทำให้เครื่องเหยื่อไม่สามารถสื่อสารกับปลายทาง (เช่น Gateway) ได้อย่างถูกต้องเป็นผลทำให้ไม่สามารถใช้งานอินเตอร์เน็ตได้ และ MITM ( Man In The Middle ) เป็นการจู่โจมเพื่อดักจับข้อมูล ( sniff ) ของเหยื่อ หลักการทำงานของ ARP Spoofing          เนื่อง จากการทำงานของ ARP จะมีการส่ง ARP Request ออกไป แล้วรอให้มี ARP Reply ตอบกลับมา ถ้าหากระหว่างที่กำลังรออยู่นั้น มีผู้ไม่หวังดีตอบ ARP Reply ปลอมๆ กลับมา ผู้ที่ได้รับก็จะไม่สามารถทราบได้ว่า ARP Reply นั้นเป็นของจริงหรือปลอม และจะบันทึกข้อมูล MAC Address ที่ไม่ถูกต้องนั้นไว้ใน ARP Table ตัวอย่างของ ARP Spoofing         จาก รูป A ให้เครื่องเหยื่อคือ VICTIM เวลาทำงานจะมี ARP Table เป็น MAC Address ของ Gateway วิธีคือพิมพ์คำสั่งใน Command คือ arp –a จะได้ดังภาพ ซึ่งจะพบว่า IP กับ MAC Address ของ Gateway ขณะยังไม่ถูกโจมตีคือ 00-10-db-b8-01-08          หลัง จากนั้นเครื่อง EJEEPSS ซึ่งเป็นเครื่อง Client เครื่องข้างๆ ที่อยู่ใน Network เดียวกัน ต้องการโจมตีโดยใช้เทคนิค ARP Spoof โดยการโจมตีแบบนี้ คือการหลอกให้เครื่องเหยื่อ ( VICTIM ) เปลี่ยน MAC Address ของ Gateway ไปเป็น MAC Address ของเครื่อง EJEEPSS เพื่อให้เครื่องเหยื่อ หลงเชื่อว่าเป็น Gateway และส่งข้อมูลต่างๆ มายังเครื่อง EJEEPSS โดยโปรแกรมที่จะใช้ในการเปลี่ยน MAC Address ของเครื่องเหยื่อนั้นเราจะใช้ โปรแกรม SwitchSniffer         โดย เลือก IP เครื่องเหยื่อ ( VICTIM ) คือ 192.168.100.19 แล้วกด Start แล้วดูผลลัพธ์ ที่เกิดขึ้นโดยการพิมพ์คำสั่ง arp –a ใน Command         ให้ สังเกตบรรทัดแรกว่า IP ของ Gateway ถูกเปลี่ยน MAC Address ไปเป็น 00-0A-E4-2D-AB-CE ซึ่งก็คือ MAC Address ของเครื่อง EJEEPSS เพียงเท่านี้ไม่ว่าเครื่องเหยื่อ ( VICTIM ) จะทำอะไร Packet จะถูกส่งไปยังเครื่อง EJEEPSS ทั้งหมด แต่เครื่องเหยื่อก็ยังคงสามารถใช้งานอินเตอร์เน็ตได้ตามปกติ