Would you like to inspect the original subtitles? These are the user uploaded subtitles that are being translated: 1 00:00:01,850 --> 00:00:02,090 Richtig. 2 00:00:02,110 --> 00:00:06,260 Sprechen wir also darüber, wie wir IRP-Vergiftungsangriffe erkennen können. 3 00:00:07,580 --> 00:00:11,030 Lassen Sie mich zunächst die AARP-Tabellen zeigen. 4 00:00:11,030 --> 00:00:15,380 Also in unserem Windows-Gerät, das ist das Gerät, das wir immer angreifen. 5 00:00:15,710 --> 00:00:16,780 Ich werde einen Befehl ausführen. 6 00:00:18,200 --> 00:00:22,550 DARPA, um alle Einträge in der AARP-Tabelle aufzulisten. 7 00:00:22,960 --> 00:00:25,220 Jeder Computer verfügt also über eine AARP-Tabelle. 8 00:00:26,340 --> 00:00:33,990 Und diese Tabelle ordnet IP-Adressen Mac-Adressen zu, sodass wir die IP-Adresse des Writers sehen 9 00:00:33,990 --> 00:00:43,340 können, die 10 2014 ist. Eine ist der Mac-Adresse zugeordnet, fünfzig bis vierundfünfzig, und sie endet bei 35 null 10 00:00:43,390 --> 00:00:44,030 null. 11 00:00:44,370 --> 00:00:47,520 Dies ist also die Mac-Adresse für die IP, für den Router. 12 00:00:48,330 --> 00:00:53,910 Die Art und Weise, wie sie IP-Vergiftungen sind, funktioniert, wie wir zuvor besprochen haben, wie 13 00:00:54,270 --> 00:01:00,570 zuvor, da jede Anfrage vertrauenswürdig ist und Clients Antworten akzeptieren, auch wenn sie die Anfrage nicht gesendet haben. 14 00:01:01,170 --> 00:01:07,290 Der Hacker sendet also eine Antwort an den Kunden, in der er ihm mitteilt, dass er danach da ist. 15 00:01:07,570 --> 00:01:12,060 Der Client akzeptiert also, dass er vertrauenswürdig war, und akzeptiert die Antwort, obwohl er die Anforderung 16 00:01:12,060 --> 00:01:12,840 gesendet hat. 17 00:01:13,560 --> 00:01:17,520 Dann senden wir eine weitere Antwort an den Autor und teilen ihm mit, dass wir der Kunde sind. 18 00:01:18,630 --> 00:01:20,130 Also, was wird das tun? 19 00:01:20,150 --> 00:01:23,160 Es wird die Einträge in den AARP-Tabellen und in beiden ändern. 20 00:01:23,200 --> 00:01:29,070 Und sie sind da draußen und im Client und für den Client wird es die Hacker-Mac-Adresse enthalten 21 00:01:29,250 --> 00:01:32,460 und diese mit der IP-Adresse des Routers verknüpfen. 22 00:01:33,210 --> 00:01:39,030 Was also im Grunde passieren wird, ist, dass hier die Mac-Adresse geändert wird und diese in 23 00:01:39,030 --> 00:01:44,070 die Mac-Adresse des Angreifers anstelle der tatsächlichen Mac-Adresse des Autors geändert wird. 24 00:01:44,640 --> 00:01:50,790 Sobald dies geschehen ist, befindet sich der Hacker mitten in der Verbindung und kann die 25 00:01:50,790 --> 00:01:56,010 Pakete lesen, analysieren und ändern, da sie durch das Hacker-Gerät fließen. 26 00:01:57,490 --> 00:02:02,040 Lassen Sie uns also die AARP-Vergiftung ausführen, einen anormalen AARP-Vergiftungsangriff, wie wir es immer tun. 27 00:02:04,620 --> 00:02:07,490 Und wenn ich hierher zurückkehre, werde ich den gleichen Befehl ausführen. 28 00:02:07,560 --> 00:02:12,930 Ich werde wieder einen RPA machen und feststellen, wie sich die Mac-Adresse ändern wird. 29 00:02:13,170 --> 00:02:16,470 Die Mac-Adresse für den Router war also diese. 30 00:02:17,310 --> 00:02:21,510 Und als wir den Befehl ausgeführt haben, hat sich die Mac-Adresse in diese geändert. 31 00:02:22,410 --> 00:02:28,260 Und diese Mac-Adresse hier ist die Mac-Adresse der Netzwerkkarte, die die Angreifer verwendet haben. 32 00:02:28,920 --> 00:02:31,560 Also, wenn ich hierher komme und einfach eine F-Konfiguration mache. 33 00:02:33,570 --> 00:02:40,200 Sie werden sehen, dass dies die Mac-Adresse ist, dieselbe Mac-Adresse, die hier angezeigt wird. 34 00:02:41,440 --> 00:02:46,140 Dies ist also der einfachste und einfachste Weg, einen Arpey-Vergiftungsangriff zu entdecken. 35 00:02:46,780 --> 00:02:51,880 Dies ist jedoch nicht der einfachste Weg, da Sie diesen Befehl weiterhin ausführen und die 36 00:02:51,880 --> 00:02:53,080 Einträge vergleichen müssen. 37 00:02:53,320 --> 00:02:56,100 Wenn Sie wirklich überprüfen wollten, ob Sie IRP-vergiftet sind. 38 00:02:56,740 --> 00:03:01,960 Es gibt also ein Tool namens X R, das dies automatisch für Sie erledigt. 39 00:03:02,200 --> 00:03:04,180 Und es ist für Linux und Windows verfügbar. 40 00:03:05,050 --> 00:03:08,590 Also habe ich bereits heruntergeladen, Sie können nur Google X AAFP und Sie können es herunterladen. 41 00:03:08,620 --> 00:03:10,900 Sehr einfach herunterzuladen und zu installieren. 42 00:03:11,200 --> 00:03:12,130 Und ich werde es einfach laufen lassen. 43 00:03:13,240 --> 00:03:15,040 Ich werde den Angriff tatsächlich zuerst stoppen. 44 00:03:16,100 --> 00:03:17,270 Und dann renne ich zu. 45 00:03:18,380 --> 00:03:23,720 Beachten Sie nun, wenn Sie den Angriff stoppen, wird die IP-Adresse wieder so sein, wie sie war. 46 00:03:24,760 --> 00:03:30,850 Sie können also sehen, dass die Mac-Adresse des Routers wieder den richtigen Standardwert des Routers aufweist. Daher werde ich 47 00:03:31,960 --> 00:03:33,490 jetzt nur X ausführen. 48 00:03:35,150 --> 00:03:36,660 Und Sie können sehen, dass alles gut ist. 49 00:03:37,970 --> 00:03:41,870 Und Sie können sehen, dass die Einträge denen sehr ähnlich sind, die wir bei einem RPA gemacht haben. 50 00:03:41,930 --> 00:03:47,840 Wir haben also die IP-Adressen und die damit verbundenen Mac-Adressen, was das Tool im Grunde tut. 51 00:03:47,860 --> 00:03:49,900 Es wird dies nur automatisch überwachen. 52 00:03:50,240 --> 00:03:55,040 Und wenn sich etwas ändert, wird es wissen, dass etwas nicht stimmt, da 53 00:03:55,040 --> 00:03:57,920 jede IP-Adresse eine eindeutige Mac-Adresse haben sollte. 54 00:03:58,130 --> 00:04:00,080 Es sollten keine Duplikate im Netzwerk vorhanden sein. 55 00:04:00,950 --> 00:04:05,900 Also werde ich genau wie zuvor einen weiteren IRP-Vergiftungsangriff durchführen. 56 00:04:07,470 --> 00:04:14,190 Und wenn wir hierher kommen, werden Sie sehen, dass X AAP uns benachrichtigt und uns mitteilt, dass etwas 57 00:04:14,190 --> 00:04:14,580 passiert. 58 00:04:15,360 --> 00:04:21,900 Es sagt uns, dass sich die Mac-Adresse für den Router, der 2014 eine IP-Adresse ist, von dieser zu 59 00:04:21,900 --> 00:04:23,340 dieser geändert hat. 60 00:04:25,370 --> 00:04:31,190 Und wenn wir hier schauen, werde ich schnippen, OK, und wenn wir hier schauen, können wir sehen, dass 61 00:04:31,190 --> 00:04:34,970 die betroffenen Maschinen der Schreiber sind, meine eigene Maschine im Moment. 62 00:04:35,270 --> 00:04:36,170 Und der Angreifer. 63 00:04:36,980 --> 00:04:38,300 Entschuldigung, das bin ich. 64 00:04:38,600 --> 00:04:39,620 Und das ist der Angreifer. 65 00:04:40,160 --> 00:04:47,420 Grundsätzlich wissen wir also, dass die Maschine 2014, zwei oder drei, versucht, einen IRP-Vergiftungsangriff durchzuführen, da dies die 66 00:04:47,750 --> 00:04:52,360 Adresse ist, auf die sich die Mac-Adresse des Direktors geändert hat. 67 00:04:52,850 --> 00:04:55,400 Daher wissen wir, dass dies die Angreifer-Maschine ist. 68 00:04:56,090 --> 00:04:59,990 Dieses Tool ist also sehr praktisch, da es die Überwachung automatisch für uns durchführt. 69 00:05:00,260 --> 00:05:04,190 Und es wird uns sagen, wann immer jemand versucht, das Netzwerk durch IRP zu vergiften. 7515