otrăvirea ARP (cunoscută și sub numele de spoofing ARP) este un atac cibernetic efectuat prin mesaje ARP rău intenționate
un atac ARP este dificil de detectat și, odată ce este în vigoare, impactul este imposibil de ignorat.
un hacker care implementează cu succes fie spoofing-ul ARP, fie otrăvirea ARP ar putea obține controlul asupra fiecărui document din rețeaua dvs. Ai putea fi supus spionajului sau traficul tău ar putea să se oprească până când îi dai hackerului ceea ce este solicitat pentru răscumpărare.
vă vom prezenta cum funcționează un atac ARP și vă vom oferi câteva soluții pe care le puteți implementa imediat pentru a vă menține serverul în siguranță.
ce este un ARP?
în 2001, dezvoltatorii au introdus address resolution protocol (ARP) dezvoltatorilor Unix. La acea vreme, l-au descris ca pe un „cal de lucru” care ar putea stabili conexiuni la nivel IP cu noi gazde.
lucrarea este critică, mai ales dacă rețeaua dvs. este în continuă creștere și aveți nevoie de o modalitate de a adăuga noi funcționalități fără a autoriza fiecare solicitare.
baza ARP este controlul accesului media (MAC). După cum explică experții, un MAC este o adresă unică, la nivel hardware, a unui card de interfață de rețea ethernet (NIC). Aceste numere sunt atribuite din fabrică, deși pot fi modificate prin software.
în teorie, un ARP ar trebui:
- acceptați cererile. Un dispozitiv nou solicită să se alăture rețelei locale (LAN), furnizând o adresă IP.
- traduce. Dispozitivele din LAN nu comunică prin adresa IP. ARP traduce adresa IP la o adresă MAC.
- trimite cereri. Dacă ARP nu cunoaște adresa MAC de utilizat pentru o adresă IP, trimite o solicitare de pachete ARP, care interoghează alte mașini din rețea pentru a obține ceea ce lipsește.
această funcționalitate economisește administratorilor de rețea o mulțime de timp. Cererile sunt tratate în spatele scenei, iar rețeaua face toate curățarea necesară. Dar pericolele există.
atacuri ARP: Definiții cheie
un dezvoltator rău intenționat, care speră să obțină acces la date importante, ar putea expune vulnerabilități și se poate strecura în interior și este posibil să nu știți niciodată că se întâmplă.
există două tipuri de atacuri ARP.
- spoofing ARP: un hacker trimite pachete ARP false care leagă adresa MAC a unui atacator cu un IP al unui computer deja pe LAN.
- otrăvire ARP: după o spoofing ARP de succes, un hacker schimbă tabelul ARP al companiei, deci conține hărți Mac falsificate. Contagiunea se răspândește.
scopul este de a lega MAC-ul unui hacker de LAN. Rezultatul înseamnă că orice trafic trimis către rețeaua LAN compromisă se va îndrepta către atacator.
la sfârșitul unui atac ARP de succes, un hacker poate:
- deturnare. Cineva poate privi peste tot ce se îndreaptă spre LAN înainte de a-l elibera.
- Deny serviciu. Cineva poate refuza să elibereze ceva din LAN-ul infectat, cu excepția cazului în care se plătește un fel de răscumpărare.
- stați în mijloc. Cineva care conduce un atac om-în-mijloc poate face aproape orice, inclusiv modificarea documentelor înainte de a le trimite. Aceste atacuri amenință confidențialitatea și reduc încrederea utilizatorilor. Sunt printre cele mai periculoase atacuri pe care le poate comite cineva.
dacă un hacker dorește să preia o gazdă finală, munca trebuie făcută rapid. Procesele ARP expiră în aproximativ 60 de secunde. Dar într-o rețea, cererile pot persista până la 4 ore. Asta lasă mult timp pentru ca un hacker să contemple și să execute un atac.
vulnerabilități Arp cunoscute
viteza, funcționalitatea și autonomia au fost obiectivele la dezvoltarea ARP. Protocolul nu a fost făcut având în vedere securitatea și s-a dovedit foarte ușor de falsificat și modificat pentru scopuri rău intenționate.
un hacker are nevoie doar de câteva instrumente pentru a face acest lucru.
- conexiune: atacatorul are nevoie de controlul unei mașini conectate la LAN. Mai bine, hackerul este conectat direct la LAN deja.
- abilități de codare: hackerul trebuie să știe cum să scrie pachete ARP care sunt imediat acceptate sau stocate în sistem.
- instrumente externe: un hacker ar putea folosi un instrument de falsificare, cum ar fi arpspoof, pentru a trimite răspunsuri ARP falsificate sau neautentice.
- răbdare. Unii hackeri briza în sisteme rapid. Dar alții trebuie să trimită zeci sau chiar sute de cereri înainte de a păcăli LAN.
ARP este apatrid, iar rețelele tind să memoreze în cache răspunsurile arp. Cu cât rămân mai mult, cu atât devin mai periculoși. Un răspuns rămas ar putea fi folosit în următorul atac, ceea ce duce la otrăvirea ARP.
nu există nicio metodă de verificare a identității într-un sistem ARP tradițional. Gazdele nu pot determina dacă pachetele sunt autentice și nici măcar nu pot determina de unde provin.
Prevenirea atacurilor de otrăvire ARP
hackerii folosesc o serie previzibilă de pași pentru a prelua o rețea LAN. Ei trimit un pachet ARP falsificat, trimit o cerere care se conectează la spoof și preiau. Cererea este transmisă tuturor computerelor din LAN, iar controlul este complet.
administratorii de rețea pot utiliza două tehnici pentru a detecta falsificarea ARP.
- pasiv: monitorizați traficul ARP și căutați neconcordanțe de cartografiere.
- activ: Injectați pachete ARP falsificate în rețea. Un atac de spoofing ca acesta vă ajută să identificați punctele slabe din sistemul dvs. Remediați-le rapid și puteți opri un atac în desfășurare.
unii dezvoltatori încearcă să-și scrie propriul cod pentru a detecta o spoof, dar asta vine cu riscuri. Dacă protocolul este prea strict, alarmele false excesive încetinesc accesul. Dacă protocolul este prea permisiv, atacurile în curs sunt ignorate, deoarece aveți un fals sentiment de securitate.
criptarea poate fi de ajutor. Dacă un hacker sapă în sistemul dvs. și primește doar text deformat fără cheie de decodare, daunele sunt limitate. Dar trebuie să aplicați criptarea în mod constant pentru o protecție completă.
utilizarea unui VPN ar putea fi o sursă excepțională de protecție. Dispozitivele se conectează printr-un tunel criptat și toate comunicațiile sunt criptate imediat.
instrumente de protecție pentru a lua în considerare
o mulțime de companii oferă programe de monitorizare pe care le puteți utiliza atât pentru a vă supraveghea rețeaua, cât și pentru a detecta problemele ARP.
acestea sunt soluții comune:
- Arpwatch: Monitorizați activitatea ethernet, inclusiv schimbarea adreselor IP și MAC, prin intermediul acestui instrument Linux. Uită-te peste jurnal în fiecare zi și accesează marcajele de timp pentru a înțelege exact când s-a întâmplat atacul.
- ARP-GUARD: atingeți o imagine de ansamblu grafică a rețelei dvs. existente, inclusiv ilustrații ale comutatoarelor și routerelor. Permiteți programului să dezvolte o înțelegere a dispozitivelor din rețeaua dvs. și să construiască reguli pentru a controla conexiunile viitoare.
- XArp: utilizați acest instrument pentru a detecta atacurile care au loc sub paravanul de protecție. Ia notificat de îndată ce începe un atac, și de a folosi instrumentul pentru a determina ce să facă în continuare.
- Wireshark: utilizați acest instrument pentru a dezvolta o înțelegere grafică a tuturor dispozitivelor din rețea. Acest instrument este puternic, dar este posibil să aveți nevoie de abilități avansate pentru a-l implementa corect.
- filtrare pachete: utilizați această tehnică firewall pentru a gestiona accesul la rețea prin monitorizarea pachetelor IP de intrare și de ieșire. Pachetele sunt permise sau oprite pe baza adreselor IP sursă și destinație, porturi și protocoale.
- Arp Static: Aceste Arp-uri sunt adăugate în memoria cache și păstrate permanent. Acestea vor servi ca mapări permanente între adresele MAC și adresele IP.
lucrați cu Okta
știm că trebuie să vă păstrați sistemele în siguranță. De asemenea, știm că este posibil să nu fiți sigur de unde să începeți și ce măsuri să faceți chiar acum. Te putem ajuta. Descoperiți cum Okta poate ajuta la prevenirea atacurilor de otrăvire ARP.
trucuri de rețea ARP. (Octombrie 2001). Computerworld.
domeniul 4: comunicarea și securitatea rețelei (proiectarea și protejarea securității rețelei). (2016). Ghid de studiu CISSP (ediția a treia).
Fișă informativă: atacurile omului în mijloc. (Martie 2020). Societatea De Internet.
privind investigarea soluțiilor de securitate ARP Spoofing. (Aprilie 2010). Jurnalul Internațional de tehnologie de Protocol Internet.
Arp tradiționale. (Ianuarie 2017). Rețele Practice.
atacuri de falsificare a Protocolului de rezoluție a adreselor și abordări de securitate: un sondaj. (Decembrie 2018). Securitate și confidențialitate.
limitări de detectare a atacului Arp. Securizați geanta Infosec.
instrument Arpwatch pentru monitorizarea activității Ethernet în Linux. (Aprilie 2013). TecMint.
fișa tehnică ARP-GUARD. ARP-GUARD.
acasă. XArp.
acasă. Wireshark.