Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi



Yüklə 7,38 Mb.
Pdf görüntüsü
səhifə57/93
tarix02.12.2023
ölçüsü7,38 Mb.
#137380
1   ...   53   54   55   56   57   58   59   60   ...   93
Тармоқ хавфсизлиги 16 шрифт

M
N
X
MITM
aloqa
Haqiqiy aloqa
 
12.2-rasm. ARP- spoofing hujumi jarayoni (Yashil ulanish - bu ARP-firibgarlik 
qoʻllanilishidan oldin M va N orasidagi bogʻlanish. Qizil ulanish - bu ARP-
soxtalashtirish qoʻllanilgandan keyin M va N oʻrtasidagi bogʻliqlik (barcha 
paketlar X orqali oʻtadi)) 
ARP firibgarligini aniqlash va oldini olish.
Soxtalashtirishni 
oldini olish uchun ARP anti-spoofingni yoqish mumkin. Agar 
aldashga qarshi ARP yoqilgan boʻlsa, barcha ARP paketlari tekshirish 
uchun protsessorga yuboriladi. ARP paketlari statik ARP jadvali, IP 
manbai Guard statik majburiy jadvali yoki DHCP(snooping) kuzatuv 
jadvalidagi yozuvlar yordamida tekshiriladi. Har qanday jadvaldagi 
yozuvlarga mos keladigan barcha ARP paketlari uzatiladi. Har qanday 
toʻliq boʻlmagan ARP paketlari yoki jadval yozuvlariga qisman mos 
keladigan paketlar oʻchiriladi. Noma'lum ARP paketlari yoki jadval 
yozuvlarining hech biriga mos kelmaydigan paketlar tushirib 
yuborilishi yoki barcha portlarga yuborilishi uchun sozlanishi 
mumkin. Odatda ARP-spoofing hujumi oʻchirilgan boʻladi. 
IP-manzil yoki MAC-manzil va xostning ulangan portini 
birlashtiradigan xost xavfsizlik funksiyasini sozlash mumkin. Ushbu 
portdan yuborilgan ARP paketlari boshqa ulangan barcha portlar 
tomonidan qabul qilinadi. Xuddi shu IP yoki MAC-manzilga ega 
boʻlgan ARP paketlari boshqa biron bir portdan yuborilsa, tashlab 
yuboriladi. 
ARP paketidagi manba Ethernet MAC manzili jadvalda 
saqlangan manba MAC manziliga mos kelishini tekshirish uchun 
Source MAC Consistency Checkerni sozlash mumkin. Agar manba 
MAC manzillari mos kelmasa, paket oʻchiriladi. Ushbu xususiyat 
odatda oʻchirilgan boʻladi. 


154 
3 sath qurilmasi ma'lum LAN qurilmalari uchun shlyuz sifatida 
sozlanishi mumkin. Hujumchi oʻzini toʻgʻri shlyuz deb tanib, 
avtomatik ARP yuborib, bloklangan roʻyxatga 3 sath qurilmasini 
qoʻshishga urinishi mumkin. Bunday hujumni oldini olish uchun 
shlyuzning anti-spoofing funksiyasini sozlash mumkin. Ushbu 
xususiyat odatda oʻchirilgan boʻladi. 
Odatda hujumdan soʻng barcha portlar ishonchsiz hisoblanadi. 
Ushbu muammoning oldini olish uchun monitoringni talab 
qilmaydigan va ishonchli port sifatida ishlatiladigan ishonchli portni 
sozlash mumkin. 
ARP 
firibgarligi 
hujumi 
tarmoqqa 
ulangan 
xostlar, 
komutatorlarga 
va 
marshrutizatorlarga 
ichki 
tarmoqdagi 
qurilmalarning protsessoriga paketlarni qoʻyish orqali qurilmaning 
ishlashiga ta'sir qilishi mumkin. Qurilmadagi protsessorning haddan 
tashqari toʻlib-toshishi ARPning toʻlib-toshishi hujumi sifatida 
tanilgan. 
ARP toshqini hujumini oldini olish uchun quyidagi sozlanmalar 
mavjud. 
• ARP toshqini hujumini oldini olish uchun toshqinga qarshi 
hujumni yoqish kerak. ARP paketi protsessorga uzatiladi. Har bir 
trafik oqimi paketning manba MAC-manzili asosida aniqlanadi. 
• ARP oqimini kuzatish uchun tezlik chegarasini sozlash 
mumkin. Agar tezlik chegarasi oshib ketgan boʻlsa, bu hujum deb 
hisoblanadi. Tezlik chegarasini global yoki har bir interfeysga 
moslashtirsa boʻladi. 
• Hujum sodir boʻlganda, kompyuterning manba MAC-
manzilini qora tuynuk manzillari roʻyxatiga qoʻshish va barcha 
paketlarni tashlab yuborish yoki xostdan faqat ARP paketlarini 
tushirmaslikni sozlash mumkin. 
• Xostlarni qora tuynuk manzillari roʻyxatidan olib tashlash 
uchun tiklash vaqti oraligʻini belgilash yoki xostni qoʻlda tiklash 
mumkin. 
• Dinamik MAC-manzilni qora tuynuk manzillar roʻyxatidagi 
xostning statik MAC-manziliga bogʻlash mumkin. Bu xostning har 
qanday turdagi paketlarni uzatishiga yoʻl qoʻymaydi. 
Agar lokal tarmoq bir nechta VLANga boʻlinadigan boʻlsa, 
ARP spoofing
faqat VLANdagi kompyuterlarga qoʻllanilishi mumkin. 
Xavfsizlik nuqtai nazaridan ideal vaziyat bir xil VLANda faqat bitta 


155 
kompyuter va marshrutizator interfeysiga ega boʻlishdir. Bunday 
segment uchun ARP-spoofing
hujumlari mavjud emas. 

Yüklə 7,38 Mb.

Dostları ilə paylaş:
1   ...   53   54   55   56   57   58   59   60   ...   93




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin