Arp Poisoning: Definition, Techniques, Defense & Prevention

ARP poisoning (ook bekend als ARP spoofing) is een cyberaanval uitgevoerd door kwaadaardige ARP-berichten

een ARp-aanval is moeilijk te detecteren, en als het eenmaal op zijn plaats is, is de impact onmogelijk te negeren.

een hacker die met succes ARP spoofing of ARP poisoning implementeert, kan controle krijgen over elk document op uw netwerk. Je zou kunnen worden onderworpen aan spionage, of uw verkeer kan tot stilstand komen totdat u de hacker wat is gevraagd voor losgeld te geven.

we zullen u uitleggen hoe een ARp-aanval werkt, en we zullen u een paar oplossingen geven die u meteen kunt implementeren om uw server veilig te houden.

Arp vergiftiging / Spoofing

Wat Is een ARP?In 2001 introduceerden ontwikkelaars het address resolution protocol (ARP) aan Unix-ontwikkelaars. Op het moment, ze beschreven het als een “werkpaard” die IP-niveau verbindingen met nieuwe hosts kon vestigen.

het werk is van cruciaal belang, vooral als uw netwerk voortdurend groeit en u een manier nodig hebt om nieuwe functionaliteit toe te voegen zonder elke aanvraag zelf te autoriseren.

de basis van ARP is media access control (MAC). Zoals experts uitleggen, een MAC is een uniek, hardware-niveau adres van een ethernet network interface card (NIC). Deze nummers worden in de fabriek toegewezen, hoewel ze kunnen worden gewijzigd door software.

in theorie moet een ARP:

  • accepteer Verzoeken. Een nieuw apparaat vraagt om lid te worden van het local area network (LAN), met een IP-adres.
  • vertalen. Apparaten op het LAN communiceren niet via IP-adres. Het ARP vertaalt het IP-adres naar een MAC-adres.
  • verzoeken verzenden. Als het ARP niet weet welk MAC-adres gebruikt moet worden voor een IP-adres, stuurt het een ARP-pakketverzoek, dat andere machines in het netwerk opvraagt om te achterhalen wat er ontbreekt.

deze functionaliteit bespaart netwerkbeheerders veel tijd. Verzoeken worden achter de schermen behandeld, en het netwerk doet alle benodigde opruiming. Maar er bestaan gevaren.

Arp-aanvallen: Key Definitions

een kwaadwillende ontwikkelaar, die toegang hoopt te krijgen tot belangrijke gegevens, kan kwetsbaarheden blootleggen en naar binnen sluipen, en je weet misschien nooit dat het gebeurt.

er bestaan twee typen ARP-aanvallen.

  • ARP spoofing: een hacker stuurt valse ARP-pakketten die het MAC-adres van een aanvaller koppelen aan een IP-adres van een computer die al op het LAN staat.
  • ARP vergiftiging: na een succesvolle ARP spoofing verandert een hacker de ARP-tabel van het bedrijf, zodat het vervalste Mac-kaarten bevat. De besmetting verspreidt zich.

het doel is om de Mac van een hacker te koppelen aan het LAN. Het resultaat betekent dat alle verkeer verzonden naar de gecompromitteerde LAN zal het hoofd naar de aanvaller in plaats daarvan.

aan het einde van een succesvolle ARp-aanval kan een hacker:

  • kaping. Iemand kan alles bekijken wat naar het LAN gaat voordat hij het loslaat.
  • service weigeren. Iemand kan weigeren om iets vrij te geven van de geïnfecteerde LAN tenzij een soort van losgeld wordt betaald.
  • zit in het midden. Iemand die een man-in-the-middle-aanval uitvoert, kan bijna alles doen, inclusief het wijzigen van documenten voordat ze worden verzonden. Deze aanvallen bedreigen de vertrouwelijkheid en verminderen het vertrouwen van de gebruiker. Ze behoren tot de gevaarlijkste aanvallen die iemand kan plegen.

als een hacker een eindhost wil overnemen, moet het werk snel worden gedaan. ARP processen verlopen binnen ongeveer 60 seconden. Maar op een netwerk kunnen verzoeken tot 4 uur blijven hangen. Dat laat genoeg tijd voor een hacker om zowel te overwegen en een aanval uit te voeren.

bekende Arp-kwetsbaarheden

snelheid, functionaliteit en autonomie waren de doelen toen ARP werd ontwikkeld. Het protocol is niet gemaakt met veiligheid in het achterhoofd, en het is bewezen zeer gemakkelijk te spoofen en tweaken voor kwaadaardige doeleinden.

een hacker heeft slechts een paar tools nodig om dit te laten werken.

  • verbinding: de aanvaller heeft controle nodig over één LAN-verbonden machine. Beter nog, de hacker is direct verbonden met het LAN al.
  • coderingsvaardigheden: de hacker moet weten hoe hij ARP-pakketten moet schrijven die onmiddellijk worden geaccepteerd of opgeslagen op het systeem.
  • Outside tools: een hacker kan een spoofing tool gebruiken, zoals Arpspoof, om vervalste of anderszins onauthentieke ARP-reacties te versturen.
  • geduld. Sommige hackers bries in systemen snel. Maar anderen moeten tientallen of zelfs honderden verzoeken sturen voordat ze de LAN voor de gek houden.

ARP is stateloos, en netwerken hebben de neiging om ARP-antwoorden in de cache te plaatsen. Hoe langer ze blijven hangen, hoe gevaarlijker ze worden. Een overgebleven antwoord kan worden gebruikt in de volgende aanval, die leidt tot ARP vergiftiging.

in een traditioneel ARP-systeem bestaat geen methode voor identiteitscontrole. Hosts kunnen niet bepalen of pakketten authentiek zijn, en ze kunnen niet eens bepalen waar ze vandaan komen.

preventie van vergiftiging door ARP

Hackers gebruiken een voorspelbare reeks stappen om een LAN over te nemen. Ze sturen een vervalst ARP-pakket, ze sturen een verzoek dat verbonden is met de spoof, en ze nemen het over. Het verzoek wordt uitgezonden naar alle computers op het LAN, en de controle is voltooid.

netwerkbeheerders kunnen twee technieken gebruiken om ARP spoofing te detecteren.

  1. passief: Monitor ARP-verkeer en zoek naar inconsistenties in mapping.
  2. actief: Injecteer vervalste ARP-pakketten in het netwerk. Een spoofing aanval als deze helpt u zwakke punten in uw systeem te identificeren. Repareer ze snel en je kunt een aanval stoppen.

sommige ontwikkelaars proberen hun eigen code te schrijven om een spoof te detecteren, maar dat brengt risico ‘ s met zich mee. Als het protocol te streng is, vertragen buitensporige valse alarmen de toegang. Als het protocol te tolerant is, worden aanvallen in uitvoering genegeerd, omdat je een vals gevoel van veiligheid hebt.

versleuteling kan nuttig zijn. Als een hacker graaft in uw systeem en krijgt alleen verminkte tekst zonder decodeersleutel, de schade is beperkt. Maar je moet encryptie consequent toepassen voor volledige bescherming.

het gebruik van een VPN kan een uitzonderlijke bron van bescherming zijn. Apparaten verbinden zich via een gecodeerde tunnel en alle communicatie wordt onmiddellijk gecodeerd.

Protection Tools to Consider

tal van bedrijven bieden monitoringprogramma ‘ s die u kunt gebruiken om zowel uw netwerk te overzien als ARP-problemen op te sporen.

dit zijn veel voorkomende oplossingen:

  • Arpwatch: Monitor ethernet-activiteit, inclusief het wijzigen van IP-en MAC-adressen, via deze Linux-tool. Kijk elke dag in het logboek, en krijg toegang tot tijdstempels om te begrijpen wanneer de aanval plaatsvond.
  • ARP-GUARD: maak gebruik van een grafisch overzicht van uw bestaande netwerk, inclusief illustraties van switches en routers. Laat het programma om een begrip van welke apparaten zijn op uw netwerk te ontwikkelen en regels op te bouwen om toekomstige verbindingen te controleren.
  • XArp: gebruik dit hulpprogramma om aanvallen onder uw firewall te detecteren. Krijg een melding zodra een aanval begint, en gebruik de tool om te bepalen wat te doen.
  • Wireshark: Gebruik deze tool om een grafisch begrip te ontwikkelen van alle apparaten op uw netwerk. Deze tool is krachtig, maar je kan geavanceerde vaardigheden nodig hebben om het goed uit te voeren.
  • pakketfiltering: Gebruik deze firewalltechniek om netwerktoegang te beheren door inkomende en uitgaande IP-pakketten te bewaken. Pakketten zijn toegestaan of gestopt op basis van bron-en doelip-adressen, poorten en protocollen.
  • statisch ARP: Deze ARPs worden aan de cache toegevoegd en permanent bewaard. Deze zullen dienen als permanente toewijzingen tussen MAC-adressen en IP-adressen.

werk met Okta

We weten dat u verplicht bent om uw systemen veilig en beveiligd te houden. We weten ook dat je misschien niet zeker weet waar je moet beginnen en welke stappen je nu moet nemen. We kunnen helpen. Ontdek hoe Okta kan helpen voorkomen ARP vergiftiging aanvallen.

Arp netwerk trucs. (Oktober 2001). Computerwereld.

domein 4: communicatie en netwerkbeveiliging (ontwerpen en beschermen van netwerkbeveiliging). (2016). CISSP studie gids (derde editie).

factsheet: man-in-the-Middle aanvallen. (Maart 2020). Internet Society.

on Investigating ARP Spoofing Security Solutions. (April 2010). International Journal of Internet Protocol Technology.

traditioneel ARP. (Januari 2017). Praktische Netwerken.

Address Resolution Protocol Spoofing Attacks and Security Approaches: A Survey. (December 2018). Veiligheid en Privacy.

beperkingen voor de detectie van ARP-aanvallen. Beveiliging van de Infosec tas.

Arpwatch Tool Voor het monitoren van Ethernet activiteit in Linux. (April 2013). Tecmint.

ARP-GUARD Datasheet. ARP-BEWAKER.

Home. XArp.

Home. Wireshark.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.