وائر شارک میں اے آر پی سپوفنگ حملے کا تجزیہ

ARP سپوفنگ اٹیک میں استعمال کرنے کے لیے ٹولز

بہت سے ٹولز ہیں جیسے Arpspoof، Cain & Abel، Arpoison، اور Ettercap جو ARP سپوفنگ شروع کرنے کے لیے دستیاب ہیں۔

یہ دکھانے کے لیے اسکرین شاٹ یہ ہے کہ مذکورہ ٹولز کس طرح ARP کی درخواست کو متنازعہ طور پر بھیج سکتے ہیں:

تفصیلات میں اے آر پی سپوفنگ حملہ

آئیے کچھ اسکرین شاٹس دیکھیں اور ARP سپوفنگ کو مرحلہ وار سمجھیں:

مرحلہ نمبر 1 :

حملہ آور کی توقع ہے کہ وہ ARP کا جواب حاصل کرے تاکہ وہ شکار کا MAC پتہ سیکھ سکے۔ اب، اگر ہم دیے گئے اسکرین شاٹ میں مزید جائیں، تو ہم دیکھ سکتے ہیں کہ 192.168.56.100 اور 192.168.56.101 IP پتوں سے 2 ARP جوابات ہیں۔ اس کے بعد، شکار [192.168.56.100 اور 192.168.56.101] اپنے ARP کیشے کو اپ ڈیٹ کرتا ہے لیکن اس نے واپس سوال نہیں کیا۔ لہذا، اے آر پی کیشے میں اندراج کبھی درست نہیں ہوتا ہے۔

اے آر پی کی درخواست کے پیکٹ کے نمبر 137 اور 138 ہیں۔ اے آر پی جوابی پیکٹ کے نمبر 140 اور 143 ہیں۔

اس طرح، حملہ آور ARP سپوفنگ کر کے خطرے کا پتہ لگاتا ہے۔ اسے 'حملے کا داخلہ' کہا جاتا ہے۔

مرحلہ 2:
پیکٹ کے نمبر 141، 142 اور 144، 146 ہیں۔

پچھلی سرگرمی سے، حملہ آور کے پاس اب 192.168.56.100 اور 192.168.56.101 کے درست MAC ایڈریس ہیں۔ حملہ آور کے لیے اگلا مرحلہ ICMP پیکٹ کو متاثرہ کے آئی پی ایڈریس پر بھیجنا ہے۔ اور ہم دیے گئے اسکرین شاٹ سے دیکھ سکتے ہیں کہ حملہ آور نے ایک ICMP پیکٹ بھیجا اور 192.168.56.100 اور 192.168.56.101 سے ICMP جواب ملا۔ اس کا مطلب ہے کہ دونوں IP پتے [192.168.56.100 اور 192.168.56.101] قابل رسائی ہیں۔

مرحلہ 3:

ہم دیکھ سکتے ہیں کہ 192.168.56.101 آئی پی ایڈریس کے لیے آخری ARP درخواست ہے اس بات کی تصدیق کرنے کے لیے کہ میزبان فعال ہے اور اس کا وہی MAC ایڈریس ہے جو 08:00:27:dd:84:45 ہے۔

دیئے گئے پیکٹ کا نمبر 3358 ہے۔

مرحلہ 4:

192.168.56.101 IP ایڈریس کے ساتھ ایک اور ICMP درخواست اور جواب ہے۔ پیکٹ کے نمبر 3367 اور 3368 ہیں۔

ہم یہاں سے سوچ سکتے ہیں کہ حملہ آور شکار کو نشانہ بنا رہا ہے جس کا IP ایڈریس 192.168.56.101 ہے۔

اب، کوئی بھی معلومات جو 192.168.56.100 یا 192.168.56.101 کے IP ایڈریس سے IP 192.168.56.1 تک آتی ہے وہ MAC ایڈریس حملہ آور تک پہنچتی ہے جس کا IP پتہ 192.168.56.1 ہے۔

مرحلہ 5:

حملہ آور تک رسائی حاصل کرنے کے بعد، یہ ایک حقیقی تعلق قائم کرنے کی کوشش کرتا ہے۔ دیئے گئے اسکرین شاٹ سے، ہم دیکھ سکتے ہیں کہ حملہ آور سے HTTP کنکشن اسٹیبلشمنٹ کی کوشش کی جا رہی ہے۔ HTTP کے اندر ایک TCP کنکشن ہے جس کا مطلب ہے کہ 3-WAY مصافحہ ہونا چاہیے۔ یہ TCP کے لیے پیکٹ ایکسچینج ہیں:

SYN -> SYN+ACK -> ACK۔

دیئے گئے اسکرین شاٹ سے، ہم دیکھ سکتے ہیں کہ حملہ آور SYN پیکٹ کو مختلف پورٹس پر متعدد بار دوبارہ آزما رہا ہے۔ فریم نمبر 3460 سے 3469۔ پیکٹ نمبر 3469 SYN پورٹ 80 کے لیے ہے جو کہ HTTP ہے۔

مرحلہ 6:

پہلا کامیاب TCP ہینڈ شیک دیئے گئے اسکرین شاٹ سے درج ذیل پیکٹ نمبروں پر دکھایا گیا ہے۔

4488: حملہ آور سے SYN فریم
4489: 192.168.56.101 سے SYN+ACK فریم
4490: حملہ آور سے ACK فریم

مرحلہ 7:

TCP کنکشن کے کامیاب ہونے کے بعد، حملہ آور HTTP کنکشن [فریم نمبر 4491 سے 4495] اور اس کے بعد SSH کنکشن [فریم نمبر 4500 سے 4503] قائم کرنے کے قابل ہو جاتا ہے۔

اب، حملے پر کافی کنٹرول ہے تاکہ وہ درج ذیل کام کر سکے۔

• سیشن ہائی جیکنگ حملہ
• درمیانی حملے میں آدمی [MITM]
• سروس سے انکار (DoS) حملہ

اے آر پی سپوفنگ اٹیک کو کیسے روکا جائے۔

یہاں کچھ تحفظات ہیں جو ARP سپوفنگ حملے کو روکنے کے لیے لیے جا سکتے ہیں:

1. 'جامد ARP' اندراجات کا استعمال
2. اے آر پی سپوفنگ کا پتہ لگانے اور روک تھام کا سافٹ ویئر
3. پیکٹ فلٹرنگ
4. VPNs وغیرہ

نیز، ہم اسے دوبارہ ہونے سے روک سکتے ہیں اگر ہم HTTP کے بجائے HTTPS استعمال کریں اور SSL (Secure Socket layer) ٹرانسپورٹ لیئر سیکیورٹی کا استعمال کریں۔ یہ اس لیے ہے کہ تمام مواصلات کو انکرپٹ کیا گیا ہے۔

نتیجہ

اس مضمون سے، ہمیں ARP سپوفنگ اٹیک کے بارے میں کچھ بنیادی خیال ملا اور یہ کسی بھی سسٹم کے وسائل تک کیسے رسائی حاصل کر سکتا ہے۔ اس کے علاوہ، اب ہم جانتے ہیں کہ اس قسم کے حملے کو کیسے روکا جائے۔ یہ معلومات نیٹ ورک ایڈمنسٹریٹر یا سسٹم کے کسی بھی صارف کو اے آر پی سپوفنگ حملے سے بچانے میں مدد کرتی ہے۔