ARP Spoofing คืออะไร

ARP (Address Resolution Protocol)‎

ARP Spoofing คืออะไร

ARP Spoofing หรือ ARP cache poisoning คือการโจมตีโดยใช้ช่องโหว่ของโปรโตคอล ARP  เพื่อหลอกให้เหยื่อหลงกล โดยมีจุดประสงค์หลักคือ การจู่โจมแบบ DoS ( Denial of Service )  เป็นการทำให้เครื่องเหยื่อไม่สามารถสื่อสารกับปลายทาง (เช่น Gateway) ได้อย่างถูกต้องเป็นผล ทำให้ไม่สามารถใช้งานอินเตอร์เน็ตได้ และ MITM ( Man In The Middle ) เป็นการจู่โจมเพื่อดักจับ ข้อมูล ( sniff ) ของเหยื่อ หลักการทำงานของ ARP Spoofing          เนื่องจากการทำงานของ ARP จะมีการส่ง ARP Request ออกไป แล้วรอให้มี ARP Reply ตอบ กลับมา ถ้าหากระหว่างที่กำลังรออยู่นั้น มีผู้ไม่หวังดีตอบ ARP Reply ปลอมๆ กลับมา ผู้ที่ได้รับ ก็จะไม่สามารถทราบได้ว่า ARP Reply นั้นเป็นของจริงหรือปลอม และจะบันทึกข้อมูล MAC Address  ที่ไม่ถูกต้องนั้นไว้ใน ARP Table ตัวอย่างของ ARP Spoofing         จากรูป A ให้เครื่องเหยื่อคือ VICTIM เวลาทำงานจะมี ARP Table เป็น MAC Address ของ Gateway วิธีคือพิมพ์คำสั่งใน Command คือ arp –a จะได้ดังภาพ ซึ่งจะพบว่า IP กับ MAC Address ของ Gateway ขณะยังไม่ถูกโจมตีคือ 00-10-db-b8-01-08          หลังจากนั้นเครื่อง EJEEPSS ซึ่งเป็นเครื่อง Client เครื่องข้างๆ ที่อยู่ใน Network เดียวกัน ต้องการโจมตีโดยใช้เทคนิค ARP Spoof โดยการโจมตีแบบนี้ คือการหลอกให้เครื่องเหยื่อ ( VICTIM ) เปลี่ยน MAC Address ของ Gateway ไปเป็น MAC Address ของเครื่อง EJEEPSS เพื่อให้เครื่องเหยื่อ หลงเชื่อว่าเป็น Gateway และส่งข้อมูลต่างๆ มายังเครื่อง EJEEPSS โดยโปรแกรมที่จะใช้ในการเปลี่ยน MAC Address ของเครื่องเหยื่อนั้นเราจะใช้ โปรแกรม SwitchSniffer         โดยเลือก IP เครื่องเหยื่อ ( VICTIM ) คือ 192.168.100.19 แล้วกด Start แล้วดูผลลัพธ์ ที่เกิดขึ้นโดยการพิมพ์คำสั่ง arp –a ใน Command          ให้สังเกตบรรทัดแรกว่า IP ของ Gateway ถูกเปลี่ยน MAC Address ไปเป็น 00-0A-E4-2D-AB-CE ซึ่งก็คือ MAC Address ของเครื่อง EJEEPSS เพียงเท่านี้ไม่ว่าเครื่องเหยื่อ ( VICTIM ) จะทำอะไร Packet จะถูกส่งไปยังเครื่อง EJEEPSS ทั้งหมด แต่เครื่องเหยื่อก็ยังคงสามารถใช้งานอินเตอร์เน็ตได้ตามปกติ