arp poisoning(別名ARPスプーフィング)は、悪意のあるARPメッセージを介して行われるサイバー攻撃です。
ARP攻撃は検出が困難であり、一度実行されると、その影響を無視することは不可能です。
ARPスプーフィングまたはARPポイズニングのいずれかを正常に実装したハッカーは、ネットワーク上のすべての文書を制御できる可能性があります。 あなたはスパイの対象となる可能性があります、またはあなたがハッカーに身代金のために要求されたものを与えるまで、あなたのトラフィッ
ARP攻撃の仕組みを説明し、サーバーを安全に保つためにすぐに実装できるいくつかの解決策を提供します。
ARPとは何ですか?
2001年、開発者はアドレス解決プロトコル(ARP)をUnix開発者に導入しました。 当時、彼らはそれを新しいホストへのIPレベルの接続を確立することができる「主力」と説明しました。
特にネットワークが絶えず成長しており、各リクエストを自分で承認せずに新しい機能を追加する方法が必要な場合は、作業は重要です。 <1769><9850>ARPの基本はメディアアクセス制御(MAC)です。 専門家が説明するように、MACはイーサネットネットワークインターフェイスカード(NIC)の固有のハードウェアレベルのアドレスです。 これらの番号は工場で割り当てられますが、ソフトウェアによって変更することができます。
理論的には、ARPはすべきです:
- 要求を受け入れます。 新しいデバイスは、ローカルエリアネットワーク(LAN)への参加を要求し、IPアドレスを提供します。
- LAN上のデバイスはIPアドレスを介して通信しません。 ARPはIPアドレスをMACアドレスに変換します。
- リクエストを送信します。 ARPがIPアドレスに使用するMACアドレスを知らない場合は、ARPパケット要求を送信し、ネットワーク上の他のマシンに照会して不足しているものを取得
この機能により、ネットワーク管理者の時間が大幅に節約されます。 要求は舞台裏で処理され、ネットワークは必要なすべてのクリーンアップを行います。 しかし、危険性が存在します。
: キー定義
悪意のある開発者は、重要なデータへのアクセスを望んで、脆弱性を公開し、内部に潜入する可能性があり、それが起こっていることを知らない
ARP攻撃には2つのタイプが存在します。
- ARPスプーフィング:ハッカーは、攻撃者のMACアドレスとLAN上のコンピュータのIPをリンクする偽のARPパケットを送信します。
- ARP中毒:ARPなりすましが成功した後、ハッカーが会社のARPテーブルを変更し、偽造されたMACマップが含まれています。 伝染が広がる。
目標はハッカーのMACをLANとリンクすることです。 その結果、侵害されたLANに送信されたトラフィックは、代わりに攻撃者に向かうことになります。
ARP攻撃が成功すると、ハッカーは次のことが可能になります。:
- ハイジャック 誰かがそれを解放する前にLANに向かうすべてのものを見るかもしれません。
- 何らかの身代金が支払われない限り、誰かが感染したLANから何かを解放することを拒否するかもしれません。
- Man-in-the-middle攻撃を行っている人は、それらを送信する前に文書を変更するなど、ほとんど何でも行うことができます。 これらの攻撃は、機密性を脅かし、ユーザーの信頼を低下させます。 彼らは誰もが犯すことができる最も危険な攻撃の一つです。
ハッカーがエンドホストを引き継ぎたい場合、作業は迅速に行わなければなりません。 ARPプロセスの有効期限は約60秒です。 しかし、ネットワーク上では、要求は最大4時間残ることができます。 これは、ハッカーが攻撃を熟考して実行するための多くの時間を残します。
既知のARP脆弱性
速度、機能、および自律性がARPの開発時の目標でした。 プロトコルはセキュリティを念頭に置いて作られたものではなく、悪意のある目的のために偽装して微調整するのは非常に簡単であることが証明
ハッカーはこの作業を行うためにいくつかのツールを必要とします。
- 接続:攻撃者はLANに接続されたマシンを1台制御する必要があります。 いっそのこと、ハッカーはすでにLANに直接接続されています。
- コーディングスキル:ハッカーは、システムにすぐに受け入れられるか、または保存されるARPパケットを書き込む方法を知っている必要があります。
- 外部ツール:ハッカーは、Arpspoofなどのなりすましツールを使用して、改ざんされた、またはその他の不正なARP応答を送信する可能性があります。
- いくつかのハッカーはすぐにシステムにそよ風。 しかし、他の人は、LANをだます前に数十または数百の要求を送信する必要があります。
ARPはステートレスであり、ネットワークはARP応答をキャッシュする傾向があります。 彼らが長く残るほど、彼らはより危険になります。 残りの返信が次の攻撃で使用される可能性があり、ARP中毒につながります。
従来のARPシステムにはidプルーフの方法は存在しません。 ホストは、パケットが本物であるかどうかを判断することはできませんし、どこから来たのかを判断することさえできません。
ARP中毒攻撃防止
ハッカーはLANを引き継ぐために予測可能な一連のステップを使用します。 彼らはスプーフィングされたARPパケットを送信し、スプーフィングに接続する要求を送信し、引き継ぎます。 要求はLAN上のすべてのコンピュータにブロードキャストされ、制御は完了です。
ネットワーク管理者は2つの手法を使用してARPスプーフィングを検出できます。
- Passive:ARPトラフィックを監視し、マッピングの不整合を探します。
- アクティブ: 改ざんされたARPパケットをネットワークに注入します。 このようななりすまし攻撃は、システムの弱点を特定するのに役立ちます。 それらを迅速に修復すると、進行中の攻撃を停止することができます。
一部の開発者はなりすましを検出するために独自のコードを作成しようとしますが、それにはリスクが伴います。 プロトコルが厳密すぎると、過度の誤警報がアクセスを遅くします。 プロトコルがあまりにも寛容である場合、進行中の攻撃は無視され、誤ったセキュリティ感があります。
暗号化が役に立つかもしれません。 ハッカーがあなたのシステムを掘り起こし、デコードキーのない文字化けしたテキストだけを取得すると、被害は制限されます。 ただし、完全な保護のためには、一貫して暗号化を適用する必要があります。
VPNの使用は例外的な保護の源である可能性があります。 デバイスは暗号化されたトンネルを介して接続され、すべての通信はすぐに暗号化されます。
考慮すべき保護ツール
多くの企業は、ネットワークを監視し、ARPの問題を発見するために使用できる監視プログラムを提供しています。
これらは一般的な解決策です:
- Arpwatch: このLinuxツールを使用して、IPアドレスとMACアドレスの変更を含むイーサネットアクティビティを監視します。 毎日ログを見て、攻撃が起こったときだけ理解するためにタイムスタンプにアクセスします。
- ARP-GUARD:スイッチやルータのイラストを含む、既存のネットワークのグラフィック概要を活用します。 プログラムは、ネットワーク上にあるデバイスの理解を開発し、将来の接続を制御するためのルールを構築することができます。
- XArp:ファイアウォールの下で起こっている攻撃を検出するために、このツールを使用します。 攻撃が始まるとすぐに通知を受け取り、次に何をすべきかを決定するためにツールを使用します。
- Wireshark:このツールを使用して、ネットワーク上のすべてのデバイスをグラフィックで理解します。 このツールは強力ですが、適切に実装するには高度なスキルが必要な場合があります。
- パケットフィルタリング:このファイアウォール技術を使用して、送受信IPパケットを監視してネットワークアクセスを管理します。 パケットは、送信元と宛先のIPアドレス、ポート、およびプロトコルに基づいて許可または停止されます。
- 静的ARP: これらのArpはキャッシュに追加され、永続的に保持されます。 これらは、MACアドレスとIPアドレス間の永続的なマッピングとして機能します。
Oktaとの連携
システムの安全性と安全性を維持する必要があることを知っています。 私たちはまた、あなたがどこから始めるべきか、そして今どのようなステップを取るべきかがわからないかもしれないことを知っています。 私たちは助けることができます。 OktaがARP中毒攻撃を防ぐのにどのように役立つかを発見してください。
(2001年10月)。 コンピュータワールド。
ドメイン4:通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)。 (2016). CISSP研究ガイド(第三版)。
ファクトシート:Man-in-The-Middle Attacks. (2020年3月)。 インターネット社会。
ARPなりすましセキュリティソリューションの調査について。 (2010年)。 インターネットプロトコル技術の国際ジャーナル。
(2017年1月)。 実用的なネットワーキング。
アドレス解決プロトコルなりすまし攻撃とセキュリティアプローチ:調査。 (2018年12月)。 セキュリティとプライバシー。
ARP攻撃の検出制限。 セキュリティインフォセックバッグ。
Linuxでイーサネットアクティビティを監視するArpwatchツール。 (2013年)。 テックミント
ARP-GUARDデータシート。 ARP-ガード。
XArp。
Wireshark。