- PVSM.RU - https://www.pvsm.ru -

Сравнительный тест программ, предотвращающих атаку на ARP-таблицу

Не так давно большой интерес (1 [1], 2 [2]) вызвала программа DroidSheep [3], перехватывающая аккаунты пользователей он-лайн сервисов, которые пользуются ими через общедоступный Wi-Fi. На исконно русский вопрос: «что делать?» кто-то предложит воспользоваться программами для защиты от подобного рода атак, написанными под Андроид. Вот их я и решил протестировать.

А тестировал я её давно (ещё в 2008 году) написанной мною программкой ARPBuilder [4], которая создавалась для проверки уязвимости различных подробнее [5]):

image

Собственно, мне удалось разыскать всего 2-х кандидатов на тесты: DroidSheepGuard [6] и shARPWatcher [7] (обе программы для полноценной работы требуют наличие root-доступа).

Об удачности атаки я судил по показаниям ARP-таблицы моего подопытного Android-устройства. Показания снимал через программку Net Status [8]:
image

В тестах проводилось 2 типа атак:
1. ARP-ответы (наиболее распространённый тип атак).
2. ARP-запросы (более редкий тип атак, но чаще всего успешно проходящий в случае использования различных МСЭ с функцией защиты от ARP-spoofing)

Первым прошёл испытание DroidSheepGuard.

image

Поначалу я всё никак не мог понять: работает ли программа хоть как-то? Потому что ARP-таблицу я успешно отравлял, а программка там мне ничего и не сказала об этом.Однако, обратив внимание на верхний ползунок, я уменьшил интервал (как оказалось, это интервал проверки изменений ARP-таблицы) до 1 мин и меня ждало долгожданное окошко с дисконнектом от Wi-Fi.

image

Т.к. программа мониторит любое изменение уже имеющихся записей в ARP-таблице, то совершенно неважно каким из 2-х типов атак подвергается ваше Android-устройство.

shARPWatcher

image

Я так и не понял по какому принципу работает это ПО. Все мои атаки удачно проходили и никакой реакции за долгое время от ПО так и не поступило. Хотя запускал её как и сообщалось на сайте программки, сначала её, потом уже коннект к Wi-Fi сети.

В общем, вердикт прост: используйте DroidSheepGuard с минимальным интервалом проверки. А лучше вообще не заходите в свои аккаунты из публичных сетей.

Автор: shanker

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/arp-spoofing/3343

Ссылки в тексте:

[1] 1: http://habrahabr.ru/blogs/android/127566/

[2] 2: http://habrahabr.ru/blogs/android/139176/

[3] DroidSheep: http://droidsheep.de

[4] ARPBuilder: http://www.securitylab.ru/software/313490.php

[5] подробнее: http://www.securitylab.ru/contest/313500.php

[6] DroidSheepGuard: https://play.google.com/store/apps/details?id=de.trier.infsec.koch.droidsheep.guard.free

[7] shARPWatcher: https://play.google.com/store/apps/details?id=sizeone.sharpwatcher

[8] Net Status: https://play.google.com/store/apps/details?id=net.stat.app&feature=search_result#?t=W251bGwsMSwxLDEsIm5ldC5zdGF0LmFwcCJd