ARP otrava (také známá jako ARP spoofing) je kybernetický útok prováděný prostřednictvím škodlivých zpráv ARP
útok ARP je obtížné odhalit a jakmile je na místě, dopad nelze ignorovat.
hacker, který úspěšně implementuje ARP spoofing nebo ARP otravu, by mohl získat kontrolu nad každým dokumentem ve vaší síti. Mohli byste být vystaveni špionáži, nebo by se Váš provoz mohl zastavit, dokud neposkytnete hackerovi to, co je požadováno za výkupné.
provedeme vás, jak útok ARP funguje, a poskytneme vám několik řešení, která můžete okamžitě implementovat, aby byl váš server v bezpečí.
co je ARP?
v roce 2001 vývojáři představili unixovým vývojářům protokol ARP (address resolution protocol). V době, kdy, popsali to jako „pracovní kůň“, který by mohl navázat připojení na úrovni IP k novým hostitelům.
práce je kritická, zejména pokud vaše síť neustále roste a potřebujete způsob, jak přidat nové funkce, aniž byste sami autorizovali každou žádost.
základem ARP je media access control (MAC). Jak odborníci vysvětlují, MAC je jedinečná hardwarová adresa karty síťového rozhraní ethernet (NIC). Tato čísla jsou přiřazena v továrně, i když je lze změnit softwarem.
teoreticky by ARP měl:
- přijímat žádosti. Nové zařízení požádá o připojení k místní síti (LAN) a poskytne IP adresu.
- přeložit. Zařízení v síti LAN nekomunikují přes IP adresu. ARP převádí IP adresu na MAC adresu.
- odeslat požadavky. Pokud ARP nezná MAC adresu, kterou má použít pro IP adresu, odešle požadavek na paket ARP, který dotazuje ostatní počítače v síti, aby získal to, co chybí.
Tato funkce šetří správcům sítě spoustu času. Žádosti jsou zpracovávány v zákulisí a síť provádí veškeré požadované vyčištění. Ale nebezpečí existují.
ARP útoky: Klíčové definice
škodlivý vývojář, který doufá, že získá přístup k důležitým datům, by mohl odhalit zranitelnosti a vplížit se dovnitř a možná nikdy nevíte, že se to děje.
existují dva typy útoků ARP.
- ARP spoofing: hacker odešle falešné ARP pakety, které propojují MAC adresu útočníka s IP počítače již v síti LAN.
- otrava ARP: po úspěšném spoofingu ARP hacker změní tabulku ARP společnosti, takže obsahuje padělané mapy MAC. Nákaza se šíří.
cílem je propojit Mac hackera s LAN. Výsledkem je, že veškerý provoz odeslaný do napadené sítě LAN místo toho zamíří k útočníkovi.
na konci úspěšného útoku ARP může hacker:
- únos. Někdo se může podívat na vše, co míří do LAN, než ho uvolní.
- odepřít službu. Někdo může odmítnout uvolnit cokoli z infikované sítě LAN, pokud nebude zaplaceno nějaké výkupné.
- sedět uprostřed. Někdo, kdo provádí útok man-in-the-middle, může udělat téměř cokoli, včetně změny dokumentů před jejich odesláním. Tyto útoky ohrožují důvěrnost a snižují důvěru uživatelů. Patří k nejnebezpečnějším útokům, které může kdokoli spáchat.
pokud chce hacker převzít koncového hostitele, musí být práce provedena rychle. ARP procesy vyprší během asi 60 sekund. Ale v síti mohou požadavky přetrvávat až 4 hodiny. To ponechává hackerovi spoustu času na rozjímání a provedení útoku.
známé chyby zabezpečení ARP
rychlost, funkčnost a autonomie byly cíle při vývoji ARP. Protokol nebyl vytvořen s ohledem na bezpečnost a ukázalo se, že je velmi snadné spoof a vyladit škodlivé konce.
hacker potřebuje jen několik nástrojů, aby to fungovalo.
- připojení: útočník potřebuje kontrolu nad jedním strojem připojeným k síti LAN. Ještě lepší je, že hacker je již přímo připojen k síti LAN.
- kódovací dovednosti: hacker musí vědět, jak zapsat pakety ARP, které jsou okamžitě přijaty nebo uloženy v systému.
- vnější nástroje: hacker by mohl použít spoofingový nástroj, jako je Arpspoof, k rozesílání padělaných nebo jinak neautentických ARP odpovědí.
- trpělivost. Někteří hackeři vánek do systémů rychle. Ale jiní musí poslat desítky nebo dokonce stovky žádostí, než oklamou LAN.
ARP je bez státní příslušnosti a sítě mají tendenci ukládat ARP odpovědi do mezipaměti. Čím déle se zdržují, tím nebezpečnější se stávají. Jedna zbylá odpověď by mohla být použita při dalším útoku, což vede k otravě ARP.
v tradičním systému ARP neexistuje žádná metoda kontroly identity. Hostitelé nemohou určit, zda jsou pakety autentické, a nemohou ani určit, odkud pocházejí.
ARP prevence otravy útoku
hackeři používají předvídatelnou řadu kroků k převzetí sítě LAN. Pošlou falešný ARP paket, pošlou požadavek, který se připojí k spoof, a převezmou to. Požadavek je vysílán do všech počítačů v síti LAN a ovládání je dokončeno.
správci sítě mohou k detekci ARP spoofingu použít dvě techniky.
- pasivní: monitorujte provoz ARP a hledejte nekonzistence mapování.
- aktivní: Vložte do sítě padělané pakety ARP. Takový útok spoofingu vám pomůže identifikovat slabá místa ve vašem systému. Rychle je napravte a můžete zastavit probíhající útok.
někteří vývojáři se pokoušejí napsat svůj vlastní kód, aby detekovali spoof, ale to přichází s riziky. Pokud je protokol příliš přísný, nadměrné falešné poplachy zpomalují přístup. Pokud je protokol příliš tolerantní, probíhající útoky jsou ignorovány, protože máte falešný pocit bezpečí.
šifrování může být užitečné. Pokud se hacker dostane do vašeho systému a dostane pouze zkomolený text bez dekódovacího klíče, poškození je omezené. Ale musíte použít šifrování důsledně pro plnou ochranu.
použití VPN může být výjimečným zdrojem ochrany. Zařízení se připojují prostřednictvím šifrovaného tunelu a veškerá komunikace je okamžitě šifrována.
ochranné nástroje, které je třeba zvážit
spousta společností poskytuje monitorovací programy, které můžete použít jak k dohledu nad vaší sítí, tak k odhalení problémů s ARP.
toto jsou běžná řešení:
- Arpwatch: Monitorujte aktivitu Ethernetu, včetně změny IP a MAC adres, pomocí tohoto nástroje pro Linux. Podívejte se každý den na protokol a získejte přístup k časovým razítkům, abyste pochopili, kdy k útoku došlo.
- ARP-GUARD: klepněte na grafický přehled vaší stávající sítě, včetně ilustrací přepínačů a směrovačů. Umožněte programu pochopit, jaká zařízení jsou ve vaší síti, a vytvořte pravidla pro řízení budoucích připojení.
- XArp: pomocí tohoto nástroje můžete detekovat útoky pod bránou firewall. Získejte oznámení, jakmile začne útok, a pomocí nástroje určete, co dělat dál.
- Wireshark: pomocí tohoto nástroje vytvořte grafické porozumění všem zařízením ve vaší síti. Tento nástroj je výkonný, ale možná budete potřebovat pokročilé dovednosti, abyste jej mohli správně implementovat.
- filtrování paketů: pomocí této techniky brány firewall spravujte přístup k síti sledováním příchozích a odchozích IP paketů. Pakety jsou povoleny nebo zastaveny na základě zdrojových a cílových IP adres, portů a protokolů.
- Static ARP: Tyto Arp jsou přidány do mezipaměti a trvale uchovávány. Ty budou sloužit jako trvalé mapování mezi MAC adresami a IP adresami.
práce s Okta
víme, že jste povinni udržovat vaše systémy v bezpečí. Víme také, že si možná nejste jisti, kde začít a jaké kroky podniknout právě teď. Můžeme pomoct. Zjistěte, jak Okta může pomoci zabránit útokům otravy ARP.
Arp síťové triky. (Říjen 2001). Počítačový svět.
doména 4: komunikace a zabezpečení sítě (navrhování a ochrana zabezpečení sítě). (2016). CISSP Studijní příručka (třetí vydání).
Fact Sheet: Man-in-the-Middle Attacks. (Březen 2020). Internetová Společnost.
o vyšetřování bezpečnostních řešení spoofingu ARP. (Duben 2010). International Journal of Internet Protocol Technology.
tradiční ARP. (Leden 2017). Praktické Vytváření Sítí.
útoky spoofingu protokolu řešení adres a bezpečnostní přístupy: průzkum. (Prosinec 2018). Bezpečnost a soukromí.
Arp omezení detekce útoku. Zabezpečte tašku Infosec.
Arpwatch Nástroj pro sledování ethernetové aktivity v Linuxu. (Duben 2013). TecMint.
Arp-GUARD Datasheet. ARP-GUARD.
domů. Xarpe.
domů. Wireshark.