M N X MITM aloqa Haqiqiy aloqa 12.2-rasm. ARP- spoofing hujumi jarayoni (Yashil ulanish - bu ARP-firibgarlik
qoʻllanilishidan oldin M va N orasidagi bogʻlanish. Qizil ulanish - bu ARP-
soxtalashtirish qoʻllanilgandan keyin M va N oʻrtasidagi bogʻliqlik (barcha
paketlar X orqali oʻtadi))
ARP firibgarligini aniqlash va oldini olish. Soxtalashtirishni
oldini olish uchun ARP anti-spoofingni yoqish mumkin. Agar
aldashga qarshi ARP yoqilgan boʻlsa, barcha ARP paketlari tekshirish
uchun protsessorga yuboriladi. ARP paketlari statik ARP jadvali, IP
manbai Guard statik majburiy jadvali yoki DHCP(snooping) kuzatuv
jadvalidagi yozuvlar yordamida tekshiriladi. Har qanday jadvaldagi
yozuvlarga mos keladigan barcha ARP paketlari uzatiladi. Har qanday
toʻliq boʻlmagan ARP paketlari yoki jadval yozuvlariga qisman mos
keladigan paketlar oʻchiriladi. Noma'lum ARP paketlari yoki jadval
yozuvlarining hech biriga mos kelmaydigan paketlar tushirib
yuborilishi yoki barcha portlarga yuborilishi uchun sozlanishi
mumkin. Odatda ARP-spoofing hujumi oʻchirilgan boʻladi.
IP-manzil yoki MAC-manzil va xostning ulangan portini
birlashtiradigan xost xavfsizlik funksiyasini sozlash mumkin. Ushbu
portdan yuborilgan ARP paketlari boshqa ulangan barcha portlar
tomonidan qabul qilinadi. Xuddi shu IP yoki MAC-manzilga ega
boʻlgan ARP paketlari boshqa biron bir portdan yuborilsa, tashlab
yuboriladi.
ARP paketidagi manba Ethernet MAC manzili jadvalda
saqlangan manba MAC manziliga mos kelishini tekshirish uchun
Source MAC Consistency Checkerni sozlash mumkin. Agar manba
MAC manzillari mos kelmasa, paket oʻchiriladi. Ushbu xususiyat
odatda oʻchirilgan boʻladi.
154
3 sath qurilmasi ma'lum LAN qurilmalari uchun shlyuz sifatida
sozlanishi mumkin. Hujumchi oʻzini toʻgʻri shlyuz deb tanib,
avtomatik ARP yuborib, bloklangan roʻyxatga 3 sath qurilmasini
qoʻshishga urinishi mumkin. Bunday hujumni oldini olish uchun
shlyuzning anti-spoofing funksiyasini sozlash mumkin. Ushbu
xususiyat odatda oʻchirilgan boʻladi.
Odatda hujumdan soʻng barcha portlar ishonchsiz hisoblanadi.
Ushbu muammoning oldini olish uchun monitoringni talab
qilmaydigan va ishonchli port sifatida ishlatiladigan ishonchli portni
sozlash mumkin.
ARP
firibgarligi
hujumi
tarmoqqa
ulangan
xostlar,
komutatorlarga
va
marshrutizatorlarga
ichki
tarmoqdagi
qurilmalarning protsessoriga paketlarni qoʻyish orqali qurilmaning
ishlashiga ta'sir qilishi mumkin. Qurilmadagi protsessorning haddan
tashqari toʻlib-toshishi ARPning toʻlib-toshishi hujumi sifatida
tanilgan.
ARP toshqini hujumini oldini olish uchun quyidagi sozlanmalar
mavjud.
• ARP toshqini hujumini oldini olish uchun toshqinga qarshi
hujumni yoqish kerak. ARP paketi protsessorga uzatiladi. Har bir
trafik oqimi paketning manba MAC-manzili asosida aniqlanadi.
• ARP oqimini kuzatish uchun tezlik chegarasini sozlash
mumkin. Agar tezlik chegarasi oshib ketgan boʻlsa, bu hujum deb
hisoblanadi. Tezlik chegarasini global yoki har bir interfeysga
moslashtirsa boʻladi.
• Hujum sodir boʻlganda, kompyuterning manba MAC-
manzilini qora tuynuk manzillari roʻyxatiga qoʻshish va barcha
paketlarni tashlab yuborish yoki xostdan faqat ARP paketlarini
tushirmaslikni sozlash mumkin.
• Xostlarni qora tuynuk manzillari roʻyxatidan olib tashlash
uchun tiklash vaqti oraligʻini belgilash yoki xostni qoʻlda tiklash
mumkin.
• Dinamik MAC-manzilni qora tuynuk manzillar roʻyxatidagi
xostning statik MAC-manziliga bogʻlash mumkin. Bu xostning har
qanday turdagi paketlarni uzatishiga yoʻl qoʻymaydi.
Agar lokal tarmoq bir nechta VLANga boʻlinadigan boʻlsa,
ARP spoofing
faqat VLANdagi kompyuterlarga qoʻllanilishi mumkin.
Xavfsizlik nuqtai nazaridan ideal vaziyat bir xil VLANda faqat bitta
155
kompyuter va marshrutizator interfeysiga ega boʻlishdir. Bunday
segment uchun ARP-spoofing
hujumlari mavjud emas.