ARP-myrkytys: Definition, Techniques, Defense & Prevention

ARP-myrkytys (tunnetaan myös nimellä ARP spoofing) on verkkohyökkäys, joka tehdään haitallisten ARP-viestien kautta

ARP-hyökkäys on vaikea havaita, ja kun se on paikallaan, vaikutusta on mahdotonta sivuuttaa.

hakkeri, joka toteuttaa onnistuneesti joko ARP-huijauksen tai ARP-myrkytyksen, voi saada haltuunsa jokaisen dokumentin verkossasi. Saatat joutua vakoilusta, tai liikenne voisi jauhaa pysäyttää, kunnes annat hakkeri, mitä pyydetään lunnaita.

kerromme, miten ARP-hyökkäys toimii, ja annamme sinulle muutaman ratkaisun, jotka voit toteuttaa heti pitääksesi palvelimesi turvassa.

ARP myrkytys / huijaus

mikä on ARP?

vuonna 2001 Kehittäjät esittelivät Unix-kehittäjille osoiteresoluutioprotokollan (ARP). Tuolloin he kuvailivat sitä ”työjuhtana”, joka voisi luoda IP-tason yhteyksiä uusiin isäntiin.

työ on kriittistä, varsinkin jos verkko kasvaa jatkuvasti, ja tarvitset tavan lisätä uusia toimintoja valtuuttamatta jokaista pyyntöä itse.

ARP: n perustana on media access control (MAC). Kuten asiantuntijat selittävät, MAC on ainutlaatuinen, laitteisto-tason osoite ethernet network interface card (NIC). Nämä numerot annetaan tehtaalla, vaikka niitä voi muuttaa ohjelmistolla.

teoriassa ARP: n pitäisi:

  • hyväksy pyynnöt. Uusi laite pyytää liittymään lähiverkkoon (LAN), joka tarjoaa IP-osoitteen.
  • kääntää. Lähiverkon laitteet eivät kommunikoi IP-osoitteen kautta. ARP kääntää IP-osoitteen MAC-osoitteeksi.
  • lähetä pyyntöjä. Jos ARP ei tiedä IP-osoitteen MAC-osoitetta, se lähettää ARP-pakettipyynnön, joka tiedustelee verkon muita koneita saadakseen mitä puuttuu.

tämä toiminto säästää verkon ylläpitäjiltä paljon aikaa. Pyynnöt käsitellään kulissien takana, ja verkosto tekee kaiken tarvittavan siivouksen. Mutta vaaroja on olemassa.

ARPIHYÖKKÄYKSET: Keskeiset määritelmät

haitallinen kehittäjä, joka toivoo pääsevänsä käsiksi tärkeisiin tietoihin, voi paljastaa haavoittuvuuksia ja livahtaa sisään, etkä ehkä koskaan tiedä sen tapahtuvan.

ARP-hyökkäyksiä on kahdenlaisia.

  • ARP huijaus: hakkeri lähettää väärennettyjä ARP-paketteja, jotka yhdistävät hyökkääjän MAC-osoitteen jo lähiverkossa olevan tietokoneen IP: hen.
  • ARP-myrkytys: onnistuneen ARP-huijauksen jälkeen hakkeri vaihtaa yrityksen ARP-taulukon, joten se sisältää väärennettyjä MAC-karttoja. Tartunta leviää.

tavoitteena on yhdistää hakkerin MAC lähiverkon kanssa. Tulos tarkoittaa, että kaikki vaarantuneelle lähiverkolle lähetetty liikenne suuntautuu sen sijaan hyökkääjän luo.

onnistuneen ARP-hyökkäyksen päätteeksi hakkeri voi:

  • kaappaus. Joku voi katsoa kaiken, mikä päätyy LAN: iin ennen sen julkaisemista.
  • Estä palvelu. Joku voi kieltäytyä luovuttamasta mitään tartunnan saaneesta lähiverkosta, ellei jonkinlaisia lunnaita makseta.
  • Sit in the middle. Mies keskellä-hyökkäystä suorittava voi tehdä melkein mitä tahansa, kuten muuttaa asiakirjoja ennen niiden lähettämistä. Nämä hyökkäykset sekä uhkaavat luottamuksellisuutta että vähentävät käyttäjien luottamusta. Ne ovat vaarallisimpia hyökkäyksiä, joita kukaan voi tehdä.

jos hakkeri haluaa vallata loppuisännän, työ on tehtävä nopeasti. ARP-prosessit vanhenevat noin 60 sekunnissa. Mutta verkossa pyynnöt voivat viipyä jopa 4 tuntia. Se jättää runsaasti aikaa hakkeri sekä harkita ja toteuttaa hyökkäys.

tunnetut ARP-haavoittuvuudet

nopeus, toiminnallisuus ja autonomia olivat ARP: tä kehitettäessä tavoitteita. Protokollaa ei tehty turvallisuus mielessä, ja se on osoittautunut erittäin helppo huijaus ja nipistää haitallisiin tarkoituksiin.

hakkeri tarvitsee vain muutaman työkalun saadakseen tämän toimimaan.

  • yhteys: hyökkääjä tarvitsee yhden LAN-kytketyn koneen hallinnan. Parempi vielä, hakkeri on suoraan yhteydessä LAN jo.
  • Koodaustaidot: hakkerin on osattava kirjoittaa ARP-paketteja, jotka hyväksytään tai tallennetaan järjestelmään välittömästi.
  • ulkopuoliset työkalut: hakkeri voisi käyttää huijaustyökalua, kuten Arpspoof, lähettääkseen väärennettyjä tai muuten epäautenttisia ARP-vastauksia.
  • kärsivällisyys. Jotkut hakkerit tulevat järjestelmiin nopeasti. Mutta muiden täytyy lähettää kymmeniä tai jopa satoja pyyntöjä ennen kuin he huijaavat LAN.

ARP on valtioton, ja verkostot pyrkivät kätkemään ARP-vastauksia. Mitä kauemmin he viipyvät, sitä vaarallisempia heistä tulee. Yhtä ylijäänyttä vastausta voitaisiin käyttää seuraavassa hyökkäyksessä, joka johtaa ARP-myrkytykseen.

perinteisessä ARP-järjestelmässä ei ole olemassa identiteettivarmistusmenetelmää. Isännät eivät pysty määrittelemään, ovatko paketit aitoja, eivätkä he edes tiedä, mistä ne ovat tulleet.

Arp-Myrkytyshyökkäyksen ehkäisy

hakkerit käyttävät ennustettavissa olevaa sarjaa vaiheita Lanin valtaamiseen. He lähettävät väärennetyn ARP-paketin, he lähettävät pyynnön, joka yhdistyy huijaukseen, ja he ottavat vallan. Pyyntö lähetetään kaikkiin lähiverkon tietokoneisiin, ja ohjaus on valmis.

verkon ylläpitäjät voivat käyttää kahta tekniikkaa ARP-huijauksen havaitsemiseen.

  1. passiivinen: seuraa ARP-liikennettä ja etsi kartoituksessa epäjohdonmukaisuuksia.
  2. Aktiivinen: Ruiskuta väärennettyjä ARP-paketteja verkkoon. Tällainen huijaushyökkäys auttaa tunnistamaan järjestelmän heikot kohdat. Korjaa ne nopeasti, niin voit pysäyttää käynnissä olevan hyökkäyksen.

jotkut kehittäjät yrittävät kirjoittaa omaa koodiaan havaitakseen huijauksen, mutta siihen liittyy riskejä. Jos protokolla on liian tiukka, liialliset väärät hälytykset hidastavat pääsyä. Jos protokolla on liian salliva, käynnissä olevat hyökkäykset jäävät huomiotta, koska sinulla on väärä turvallisuuden tunne.

salauksesta voi olla apua. Jos hakkeri kaivaa järjestelmään ja saa vain vääristeltyä tekstiä ilman purkuavainta, vahinko on vähäinen. Mutta sinun täytyy käyttää salausta johdonmukaisesti täyden suojan.

VPN: n käyttö voi olla poikkeuksellinen suojauslähde. Laitteet kytkeytyvät toisiinsa salatun tunnelin kautta, ja kaikki viestintä salataan välittömästi.

suojaustyökalut

monet yritykset tarjoavat seurantaohjelmia, joilla voit sekä valvoa verkkoasi että havaita ARP-ongelmia.

nämä ovat yleisiä ratkaisuja:

  • Arpwatch: Valvo Ethernetin toimintaa, mukaan lukien IP-ja MAC-osoitteiden muuttaminen, tämän Linux-työkalun kautta. Katso loki joka päivä, ja käyttää aikaleimat ymmärtää juuri kun hyökkäys tapahtui.
  • ARP-GUARD: napauta graafista yleiskuvaa olemassa olevasta verkostasi, mukaan lukien kuvat kytkimistä ja reitittimistä. Anna ohjelman kehittää ymmärrystä siitä, mitä laitteita verkossa on, ja luo sääntöjä tulevien yhteyksien hallitsemiseksi.
  • XArp: käytä tätä työkalua havaitaksesi hyökkäykset palomuurisi alapuolella. Saat ilmoituksen heti, kun hyökkäys alkaa, ja käyttää työkalua päättää, mitä tehdä seuraavaksi.
  • Wireshark: käytä tätä työkalua kehittääksesi graafisen käsityksen kaikista verkon laitteista. Tämä työkalu on tehokas, mutta saatat tarvita kehittyneitä taitoja toteuttaa se oikein.
  • Pakettisuodatus: käytä tätä palomuuritekniikkaa verkkoyhteyden hallintaan seuraamalla saapuvia ja lähteviä IP-paketteja. Paketit sallitaan tai pysäytetään lähteen ja kohteen IP-osoitteiden, porttien ja protokollien perusteella.
  • Staattinen ARP: Nämä ARPs lisätään välimuistiin ja säilytetään pysyvästi. Nämä toimivat pysyvinä yhdistelyinä MAC-ja IP-osoitteiden välillä.

työskentele Okta

tiedämme, että sinun on pidettävä järjestelmäsi turvassa. Tiedämme myös, että saatat olla epävarma siitä, mistä aloittaa ja mihin toimiin ryhtyä juuri nyt. Voimme auttaa. Selvitä, miten Okta voi auttaa estämään ARP myrkytys hyökkäyksiä.

ARP-Verkostotemppuja. Lokakuuta 2001. Computerworld.

Domain 4: viestintä ja verkkoturvallisuus (verkkoturvallisuuden suunnittelu ja suojaaminen). (2016). CISSP opinto-opas (kolmas painos).

Fact Sheet: Man-in-the-Middle Attacks. Maaliskuuta 2020). Internet Society.

on Investigating ARP Spoofing Security Solutions. Huhtikuuta 2010). International Journal of Internet Protocol Technology.

perinteinen ARP. Tammikuuta 2017). Käytännön Verkostoituminen.

Address Resolution Protocol Spoofing Attacks and Security Approaches: a Survey. Joulukuuta 2018). Turvallisuus ja yksityisyys.

ARP-hyökkäyksen Havaitsemisrajoitukset. Vartioi Infosec-laukkua.

Arpwatch-työkalu Ethernet-aktiivisuuden seuraamiseen Linuxissa. Huhtikuuta 2013). TecMint.

ARP-vartijan datalehti. ARP-VARTIJA.

kotiin. XArp.

kotiin. Wireshark.

Vastaa

Sähköpostiosoitettasi ei julkaista.