az ARP mérgezés (más néven ARP spoofing) rosszindulatú ARP üzeneteken keresztül végrehajtott kibertámadás
az ARP támadást nehéz felismerni, és ha a helyén van, a hatást lehetetlen figyelmen kívül hagyni.
egy hacker, aki sikeresen végrehajtja az ARP-hamisítást vagy az ARP-mérgezést, átveheti az irányítást a hálózat minden dokumentuma felett. Lehet, hogy kémkedésnek van kitéve, vagy a forgalom leállhat, amíg meg nem adja a hackernek a váltságdíjat.
bemutatjuk, hogyan működik az ARP támadás, és adunk néhány megoldást, amelyet azonnal megvalósíthat a szerver biztonsága érdekében.
mi az ARP?
2001-ben a fejlesztők bevezették a címfelbontási protokollt (arp) a Unix fejlesztők számára. Abban az időben úgy írták le, mint egy “munkalovat”, amely IP-szintű kapcsolatokat hozhat létre az új gazdagépekkel.
a munka kritikus fontosságú, különösen akkor, ha a hálózat folyamatosan növekszik, és új funkciókat kell hozzáadnia anélkül, hogy minden kérést saját maga engedélyezne.
az ARP alapja a media access control (MAC). Ahogy a szakértők elmagyarázzák, a MAC az ethernet hálózati interfész kártya (NIC) egyedi, hardverszintű címe. Ezeket a számokat a gyárban rendelik hozzá, bár szoftverrel megváltoztathatók.
elméletileg egy ARP-nek:
- fogadja el a kéréseket. Egy új eszköz kéri, hogy csatlakozzon a helyi hálózathoz (LAN), IP-címet adva.
- fordítás. A LAN-on lévő eszközök nem IP-címen keresztül kommunikálnak. Az ARP lefordítja az IP-címet MAC-címre.
- kérések küldése. Ha az ARP nem ismeri az IP-címhez használandó MAC-címet, küld egy ARP csomagkérést, amely lekérdezi a hálózat többi gépét, hogy megkapja, ami hiányzik.
ez a funkció sok időt takarít meg a hálózati rendszergazdáknak. A kéréseket a színfalak mögött kezelik, és a hálózat elvégzi a szükséges tisztítást. De vannak veszélyek.
ARP támadások: Kulcsdefiníciók
egy rosszindulatú Fejlesztő, abban a reményben, hogy fontos adatokhoz fér hozzá, felfedheti a sebezhetőségeket és belopózhat, és soha nem tudhatja meg, hogy ez történik.
kétféle ARP támadás létezik.
- ARP spoofing: a hacker hamis ARP csomagokat küld, amelyek összekapcsolják a támadó MAC-címét egy már LAN-on lévő számítógép IP-címével.
- ARP mérgezés: egy sikeres ARP hamisítás után egy hacker megváltoztatja a vállalat ARP tábláját, így hamisított MAC térképeket tartalmaz. A fertőzés terjed.
a cél egy hacker MAC összekapcsolása a LAN-nal. Az eredmény azt jelenti, hogy a veszélyeztetett LAN-ra küldött forgalom a támadó felé irányul.
egy sikeres ARP támadás végén egy hacker:
- eltérítés. Valaki átnézhet mindent, ami a LAN felé vezet, mielőtt elengedné.
- szolgáltatás megtagadása. Valaki megtagadhatja, hogy kiadja semmit a fertőzött LAN, kivéve, ha valamilyen váltságdíjat fizetnek.
- ülj középen. Valaki, aki egy ember-In-The-middle támadást hajt végre, szinte bármit megtehet, beleértve a dokumentumok megváltoztatását, mielőtt elküldené őket. Ezek a támadások veszélyeztetik a titoktartást és csökkentik a felhasználói bizalmat. Ezek a legveszélyesebb támadások közé tartoznak, amelyeket bárki elkövethet.
ha egy hacker át akar venni egy végső gazdagépet, akkor a munkát gyorsan el kell végezni. Az ARP folyamatok körülbelül 60 másodpercen belül lejárnak. De egy hálózaton a kérések akár 4 órán át is elhúzódhatnak. Ez rengeteg időt hagy a hacker számára, hogy mind a támadást megfontolja, mind végrehajtsa.
ismert Arp sebezhetőségek
sebesség, funkcionalitás és autonómia voltak a célok az ARP kifejlesztésekor. A protokoll nem a biztonságot szem előtt tartva készült, és nagyon könnyű hamisítani és csípni a rosszindulatú célokat.
egy hackernek csak néhány eszközre van szüksége ahhoz, hogy ez működjön.
- kapcsolat: a támadónak egy LAN-ra csatlakoztatott gép vezérlésére van szüksége. Még jobb, ha a hacker már közvetlenül csatlakozik a LAN-hoz.
- kódolási készségek: a hackernek tudnia kell, hogyan kell ARP csomagokat írni, amelyeket azonnal elfogadnak vagy tárolnak a rendszeren.
- külső eszközök: a hackerek használhatnak egy hamisító eszközt, például az Arpspoof-ot, hogy hamisított vagy más módon nem hiteles ARP válaszokat küldjenek.
- türelem. Néhány hackerek szellő rendszerek gyorsan. De másoknak tucatnyi vagy akár több száz kérést kell küldeniük, mielőtt becsapják a LAN-t.
az ARP hontalan, és a hálózatok általában gyorsítótárazzák az ARP válaszokat. Minél tovább maradnak, annál veszélyesebbé válnak. Egy maradék válasz felhasználható a következő támadásban, ami ARP mérgezéshez vezet.
a hagyományos ARP rendszerben nem létezik személyazonosság-ellenőrző módszer. A gazdagépek nem tudják megállapítani, hogy a csomagok hitelesek-e, és még azt sem tudják meghatározni, honnan származnak.
ARP mérgezés támadás megelőzése
a hackerek kiszámítható lépések sorozatát használják a LAN átvételére. Küldenek egy hamisított ARP csomagot, küldenek egy kérést, ami csatlakozik a hamisításhoz, és átveszik az irányítást. A kérést a LAN minden számítógépére továbbítják, és a vezérlés befejeződött.
a hálózati rendszergazdák két technikát használhatnak az ARP-hamisítás észlelésére.
- passzív: Arp forgalom figyelése és inkonzisztenciák leképezése.
- aktív: Adja be a hamisított ARP csomagokat a hálózatba. Egy ilyen hamisító támadás segít azonosítani a rendszer gyenge pontjait. Gyorsan orvosolja őket, és megállíthat egy folyamatban lévő támadást.
néhány fejlesztő megpróbálja megírni a saját kódját a hamisítás észlelésére, de ez kockázatokkal jár. Ha a protokoll túl szigorú, a túlzott hamis riasztások lelassítják a hozzáférést. Ha a protokoll túl megengedő, a folyamatban lévő támadásokat figyelmen kívül hagyják, mivel hamis biztonságérzeted van.
a Titkosítás hasznos lehet. Ha egy hacker beleássa magát a rendszeredbe, és csak elrontott szöveget kap dekódoló kulcs nélkül, a kár korlátozott. De a teljes védelem érdekében következetesen alkalmaznia kell a titkosítást.
a VPN használata kivételes védelmi forrás lehet. Az eszközök egy titkosított alagúton keresztül csatlakoznak, és minden kommunikáció azonnal titkosítva van.
megfontolandó védelmi eszközök
rengeteg vállalat biztosít felügyeleti programokat, amelyek segítségével felügyelheti a hálózatot és észlelheti az ARP problémákat.
ezek a közös megoldások:
- Arpwatch: Figyelemmel kíséri az ethernet tevékenységet, beleértve az IP és MAC címek megváltoztatását ezen a Linux eszközön keresztül. Nézze át a naplót minden nap, és hozzáférjen az időbélyegekhez, hogy megértse, mikor történt a támadás.
- ARP-GUARD: érintse meg a meglévő hálózat grafikus áttekintését, beleértve a kapcsolók és útválasztók illusztrációit. Hagyja, hogy a program megértse, hogy milyen eszközök vannak a hálózaton, és szabályokat készítsen a jövőbeli kapcsolatok vezérlésére.
- XArp: ezzel az eszközzel észlelheti a tűzfal alatt zajló támadásokat. Értesítést kap, amint támadás kezdődik, és az eszköz segítségével határozza meg, hogy mi a következő lépés.
- Wireshark: használja ezt az eszközt a hálózat összes eszközének grafikus megértéséhez. Ez az eszköz hatékony, de szükség lehet fejlett készségekre a megfelelő megvalósításához.
- Csomagszűrés: használja ezt a tűzfal technikát a hálózati hozzáférés kezelésére a bejövő és kimenő IP-csomagok figyelésével. A csomagokat a forrás és cél IP-címek, portok és protokollok alapján engedélyezik vagy leállítják.
- statikus ARP: Ezek az ARP – k hozzáadódnak a gyorsítótárhoz, és állandó jelleggel megmaradnak. Ezek állandó leképezésként szolgálnak a MAC-címek és az IP-címek között.
munka az Okta-val
tudjuk, hogy rendszereit biztonságban kell tartania. Azt is tudjuk, hogy nem biztos abban, hogy hol kezdje, és milyen lépéseket tegyen most. Segíthetünk. Fedezze fel, hogyan segíthet az Okta megelőzni az ARP mérgezési rohamokat.
ARP hálózati trükkök. (2001. október). Computerworld.
4.tartomány: kommunikációs és hálózati biztonság (hálózati biztonság tervezése és védelme). (2016). CISSP tanulmányi útmutató (harmadik kiadás).
adatlap: Man-in-the-Middle támadások. (2020. március). Internetes Társadalom.
az ARP Spoofing biztonsági megoldások vizsgálatáról. (2010. április). Az Internet Protocol Technology nemzetközi lapja.
hagyományos ARP. (2017. január). Gyakorlati Hálózatépítés.
Address Resolution Protocol Spoofing Attacks and Security Approaches: a Survey. (2018.December). Biztonság és magánélet.
ARP támadás észlelési korlátozások. Biztonság az Infosec táska.
Arpwatch eszköz az Ethernet tevékenység monitorozására Linuxban. (2013. április). TecMint.
ARP-GUARD adatlap. ARP-ŐR.
itthon. XArp.
itthon. Wireshark.