ARP-Forgiftning: Definisjon, Teknikker, Forsvar og Forebygging

ARP-forgiftning (også kjent som ARP-spoofing) er et cyberangrep utført gjennom ondsinnede ARP-meldinger

Et ARP-angrep er vanskelig å oppdage, og når DET er på plass, er virkningen umulig å ignorere.

en hacker som implementerer ENTEN ARP spoofing eller arp forgiftning kunne få kontroll over alle dokumenter på nettverket. Du kan være gjenstand for spionasje, eller trafikken kan stoppe opp før du gir hacker hva som er bedt om løsepenger.

Vi går gjennom hvordan ET arp-angrep fungerer, og vi gir deg noen løsninger du kan implementere med en gang for å holde serveren din trygg.

Arp Forgiftning / Spoofing

Hva er EN ARP?

i 2001 introduserte utviklere address resolution protocol (ARP) Til unix-utviklere. På den tiden beskrev de det som en «arbeidshest» som kunne etablere ip-nivåforbindelser til nye verter.

arbeidet er kritisk, spesielt hvis nettverket ditt stadig vokser, og du trenger en måte å legge til ny funksjonalitet uten å godkjenne hver forespørsel selv.

grunnlaget FOR ARP er media access control (MAC). Som eksperter forklarer, ER EN MAC en unik adresse på maskinvarenivå for et ethernet-nettverkskort (nic). Disse tallene er tildelt på fabrikken, selv om de kan endres av programvare.

i teorien bør EN ARP:

  • Godta forespørsler. En ny enhet ber om å bli med i lokalnettverket (LAN), og gir EN IP-adresse.
  • Oversett. Enheter på LAN kommuniserer ikke VIA IP-adresse. ARP oversetter IP-adressen til EN MAC-adresse.
  • Send forespørsler. HVIS ARP ikke vet MAC-adressen som skal brukes TIL EN IP-adresse, sender DEN EN ARP-pakkeforespørsel, som spør andre maskiner på nettverket for å få det som mangler.

denne funksjonaliteten sparer nettverksadministratorer mye tid. Forespørsler håndteres bak kulissene, og nettverket gjør all opprydding som kreves. Men farer eksisterer.

Arp Angrep: Nøkkeldefinisjoner

en ondsinnet utvikler, som håper å få tilgang til viktige data, kan avsløre sårbarheter og snike seg inn, og du kan aldri vite at det skjer.

Det finnes To TYPER arp-angrep.

  • arp-spoofing: en hacker sender falske arp-pakker som kobler en angriperens MAC-adresse med EN IP på en datamaskin som allerede er på LAN.
  • arp-forgiftning: ETTER en vellykket arp-spoofing endrer en hacker selskapets ARP-bord, så det inneholder forfalskede MAC-kart. Smitten sprer seg.

målet er å knytte en hacker MAC MED LAN. Resultatet betyr at all trafikk som sendes til det kompromitterte LAN, vil gå til angriperen i stedet.

på slutten AV et vellykket arp-angrep kan en hacker:

  • Kapre. Noen kan se over alt som leder TIL LAN før du slipper det.
  • Nekte tjeneste. Noen kan nekte å frigjøre noe fra det infiserte LAN med mindre noen form for løsepenger er betalt.
  • Sitt i midten. Noen som utfører et man-in-the-middle-angrep kan gjøre nesten alt, inkludert å endre dokumenter før de sendes ut. Disse angrepene truer både konfidensialitet og reduserer brukerens tillit. De er blant de farligste angrepene noen kan begå.

hvis en hacker ønsker å overta en sluttverten, må arbeidet gjøres raskt. ARP prosesser utløper innen ca 60 sekunder. Men på et nettverk kan forespørsler ligge i opptil 4 timer. Det gir god tid for en hacker å både tenke på og utføre et angrep.

Kjente Arp-Sårbarheter

Hastighet, funksjonalitet og autonomi var målene da ARP ble utviklet. Protokollen ble ikke laget med sikkerhet i tankene, og det er bevist veldig enkelt å forfalske og finpusse for ondsinnede ender.

en hacker trenger bare noen få verktøy for å gjøre dette arbeidet.

  • Tilkobling: angriperen trenger kontroll over EN LAN-tilkoblet maskin. Bedre ennå, hackeren er direkte koblet til LAN allerede.
  • Koding ferdigheter: hackeren må vite hvordan man skriver OPP ARP-pakker som umiddelbart aksepteres eller lagres på systemet.
  • Eksterne verktøy: en hacker kan bruke et spoofingverktøy, For Eksempel Arpspoof, til å sende ut forfalskede ELLER på annen måte ikke-autentiske ARP-svar.
  • Tålmodighet. Noen hackere bris inn i systemer raskt. Men andre må sende dusinvis eller hundrevis av forespørsler før DE lure LAN.

ARP er statsløs, og nettverk har en tendens TIL å cache ARP-svar. Jo lenger de sover, desto farligere blir de. Ett gjenværende svar kan brukes i neste angrep, noe som fører TIL arp-forgiftning.

det finnes ingen metode for identitetssikring i et tradisjonelt ARP-system. Verter kan ikke avgjøre om pakker er autentiske, og de kan ikke engang bestemme hvor de kom fra.

Arp Forgiftning Angrep Forebygging

Hackere bruker en forutsigbar rekke tiltak for å ta OVER ET LAN. De sender en spoofed ARP-pakke, de sender en forespørsel som kobles til spoof, og de tar over. Forespørselen sendes til alle datamaskiner PÅ LAN, og kontrollen er fullført.

Nettverksadministratorer kan bruke to teknikker for å oppdage arp-spoofing.

  1. Passiv: Overvåk ARP-trafikk og se etter mapping-inkonsekvenser.
  2. Aktiv: Injiser forfalskede ARP-pakker inn i nettverket. Et spoofing-angrep som dette hjelper deg med å identifisere svake punkter i systemet ditt. Avhjelpe dem raskt, og du kan stoppe et angrep pågår.

noen utviklere forsøker å skrive sin egen kode for å oppdage en falsk, men det kommer med risiko. Hvis protokollen er for streng, reduserer overdreven falske alarmer tilgangen. Hvis protokollen er for permissiv, blir angrep som pågår ignorert, da du har en falsk følelse av sikkerhet.

Kryptering kan være nyttig. Hvis en hacker graver inn i systemet ditt og får bare forvrengt tekst uten dekodingsnøkkel, er skaden begrenset. Men du må bruke kryptering konsekvent for full beskyttelse.

BRUK AV EN VPN kan være en eksepsjonell kilde til beskyttelse. Enheter kobles til via en kryptert tunnel, og all kommunikasjon er umiddelbart kryptert.

Beskyttelsesverktøy For Å Vurdere

Mange selskaper tilbyr overvåkingsprogrammer du kan bruke til både å overvåke nettverket og oppdage ARP-problemer.

dette er vanlige løsninger:

  • Arpwatch: Overvåk ethernet-aktivitet, inkludert endring AV IP-og MAC-adresser, via Dette Linux-verktøyet. Se over loggen hver dag, og få tilgang til tidsstempler for a forsta akkurat nar angrepet skjedde.
  • ARP-GUARD: Få en grafisk oversikt over ditt eksisterende nettverk, inkludert illustrasjoner av svitsjer og rutere. La programmet utvikle en forståelse av hvilke enheter som er på nettverket ditt, og bygg regler for å kontrollere fremtidige tilkoblinger.
  • XArp: Bruk dette verktøyet til å oppdage angrep som skjer under brannmuren. Bli varslet så snart et angrep begynner, og bruk verktøyet til å finne ut hva du skal gjøre videre.
  • Wireshark: Bruk dette verktøyet til å utvikle en grafisk forståelse av alle enhetene på nettverket. Dette verktøyet er kraftig, men du kan trenge avanserte ferdigheter for å implementere det riktig.
  • Pakkefiltrering: Bruk denne brannmurteknikken til å administrere nettverkstilgang ved å overvåke innkommende OG utgående IP-pakker. Pakker tillates eller stoppes basert PÅ kilde-OG destinasjons-IP-adresser, porter og protokoller.
  • Statisk ARP: Disse ARPs legges til cache og beholdes på permanent basis. Disse vil fungere som permanente tilordninger mellom MAC-adresser og IP-adresser.

Arbeid Med Okta

Vi vet at du er pålagt å holde systemene dine trygge og sikre. Vi vet også at du kan være usikker på hvor du skal begynne og hvilke skritt å ta akkurat nå. Vi kan hjelpe. Oppdag hvordan Okta kan bidra til å forhindre ARP-forgiftningsangrep.

ARP Nettverk Triks. (Oktober 2001). Computerworld.

Domene 4: Kommunikasjon Og Nettverkssikkerhet(Utforming Og Beskyttelse Av Nettverkssikkerhet). (2016). CISSP Study Guide (Tredje Utgave).

Faktaark: Man-i-Midten-Angrep. (Mars 2020). Internet Society (Engelsk).

På Å Undersøke ARP Spoofing Sikkerhetsløsninger. (April 2010). Tidsskrift For Den norske Legeforening.

Tradisjonell ARP. (Januar 2017). Praktisk Nettverk.

Spoofing Angrep Og Sikkerhet Tilnærminger: En Undersøkelse. (Desember 2018). Sikkerhet og Personvern.

ARP Angrep Deteksjon Begrensninger. Sikkerhet Infosec Bag.

Arpwatch Verktøy For Å Overvåke Ethernet Aktivitet I Linux. (April 2013). TecMint.

Arp-GUARD Datablad. ARP-VAKT.

Hjem. XArp.

Hjem. Wireshark.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.