zatrucie ARP (znane również jako ARP spoofing) jest cyberatakiem przeprowadzanym za pomocą złośliwych komunikatów ARP
atak ARP jest trudny do wykrycia, a gdy już jest na miejscu, nie można go zignorować.
haker, który z powodzeniem implementuje spoofing ARP lub zatrucie ARP, może uzyskać kontrolę nad każdym dokumentem w Twojej sieci. Możesz być narażony na szpiegostwo lub twój ruch może się zatrzymać, dopóki nie dasz hakerowi tego, co żądasz okupu.
opowiemy Ci, jak działa atak ARP, i damy Ci kilka rozwiązań, które możesz wdrożyć od razu, aby zapewnić bezpieczeństwo serwera.
Co to jest ARP?
w 2001 programiści wprowadzili protokół ARP (address resolution protocol) dla programistów uniksowych. W tym czasie opisali go jako „konia roboczego”, który mógłby ustanowić połączenia na poziomie IP z nowymi hostami.
praca jest krytyczna, zwłaszcza jeśli sieć stale się rozwija i potrzebujesz sposobu na dodanie nowej funkcjonalności bez autoryzowania każdego żądania samodzielnie.
podstawą ARP jest media access control (MAC). Jak wyjaśniają eksperci, MAC to unikalny, sprzętowy adres karty interfejsu sieciowego ethernet (NIC). Numery te są przypisywane w fabryce, chociaż mogą być zmieniane przez oprogramowanie.
teoretycznie ARP powinien:
- przyjmuj prośby. Nowe urządzenie prosi o dołączenie do sieci lokalnej (LAN), podając adres IP.
- Tłumacz. Urządzenia w sieci LAN nie komunikują się za pośrednictwem adresu IP. ARP tłumaczy adres IP na adres MAC.
- Wyślij zapytanie. Jeśli ARP nie zna adresu MAC używanego jako adres IP, wysyła żądanie pakietu ARP, które pyta inne maszyny W Sieci, aby uzyskać brakujące informacje.
ta funkcja oszczędza administratorom sieci dużo czasu. Żądania są obsługiwane za kulisami, a sieć wykonuje wszystkie wymagane sprzątanie. Ale istnieją niebezpieczeństwa.
ataki ARP: Kluczowe definicje
złośliwy programista, chcąc uzyskać dostęp do ważnych danych, może ujawnić luki w zabezpieczeniach i wkraść się do środka, a Ty możesz nigdy nie wiedzieć, że to się dzieje.
istnieją dwa rodzaje ataków ARP.
- fałszowanie ARP: haker wysyła fałszywe pakiety ARP, które łączą adres MAC atakującego z IP komputera już w sieci LAN.
- zatrucie ARP: po udanym spoofingu ARP haker zmienia firmową tabelę ARP, więc zawiera sfałszowane mapy MAC. Zaraza się rozprzestrzenia.
celem jest połączenie Maca hakera z siecią LAN. Oznacza to, że każdy ruch wysyłany do zagrożonej sieci LAN będzie kierowany do atakującego.
pod koniec udanego ataku ARP haker może:
- porwanie. Ktoś może przejrzeć wszystko, co kieruje się do SIECI LAN, zanim ją zwolni.
- Ktoś może odmówić uwolnienia czegokolwiek z zainfekowanej sieci LAN, chyba że zostanie zapłacony okup.
- siedź pośrodku. Ktoś przeprowadzający atak typu man-in-the-middle może zrobić prawie wszystko, w tym zmienić dokumenty przed ich wysłaniem. Ataki te zagrażają zarówno poufności, jak i zmniejszają zaufanie użytkowników. Są to jedne z najniebezpieczniejszych ataków, jakich można dokonać.
jeśli haker chce przejąć hosta końcowego, praca musi zostać wykonana szybko. Procesy ARP wygasają w ciągu około 60 sekund. Ale w sieci żądania mogą pozostawać do 4 godzin. To pozostawia hakerowi mnóstwo czasu na kontemplację i wykonanie ataku.
znane luki w zabezpieczeniach ARP
szybkość, funkcjonalność i autonomia były celami przy opracowywaniu ARP. Protokół nie został stworzony z myślą o bezpieczeństwie i udowodniono, że bardzo łatwo można go sfałszować i dostosować do złośliwych celów.
haker potrzebuje tylko kilku narzędzi, aby to zadziałało.
- połączenie: atakujący potrzebuje kontroli nad jedną maszyną podłączoną do SIECI LAN. Co więcej, haker jest już bezpośrednio połączony z siecią LAN.
- umiejętności kodowania: haker musi wiedzieć, jak pisać pakiety ARP, które są natychmiast akceptowane lub przechowywane w systemie.
- narzędzia zewnętrzne: haker może użyć narzędzia do fałszowania, takiego jak Arpspoof, aby wysłać sfałszowane lub w inny sposób nieautentyczne odpowiedzi ARP.
- cierpliwości. Niektórzy hakerzy szybko wchodzą do systemów. Ale inni muszą wysłać dziesiątki, a nawet setki próśb, zanim oszukają sieć LAN.
ARP jest bezpaństwowy, A sieci mają tendencję do buforowania odpowiedzi ARP. Im dłużej pozostają, tym bardziej stają się niebezpieczni. Jedna odpowiedź może zostać wykorzystana w następnym ataku, co prowadzi do zatrucia ARP.
w tradycyjnym systemie ARP nie istnieje żadna metoda sprawdzania tożsamości. Hosty nie mogą określić, czy pakiety są autentyczne, ani nawet nie mogą określić, skąd pochodzą.
zapobieganie atakom ARP
hakerzy wykorzystują przewidywalną serię kroków do przejęcia sieci LAN. Wysyłają fałszywy pakiet ARP, wysyłają żądanie, które łączy się z fałszywym i przejmują kontrolę. Żądanie jest nadawane do wszystkich komputerów w sieci LAN, a kontrola jest zakończona.
administratorzy sieci mogą używać dwóch technik do wykrywania fałszowania ARP.
- pasywny: Monitoruj ruch ARP i Szukaj niespójności mapowania.
- aktywne: Wstrzykiwanie sfałszowanych pakietów ARP do sieci. Taki atak podszywający pomaga zidentyfikować słabe punkty systemu. Szybko je naprawisz, a powstrzymasz atak.
niektórzy programiści próbują napisać własny kod, aby wykryć fałszerstwo, ale wiąże się to z ryzykiem. Jeśli protokół jest zbyt surowy, nadmierne fałszywe alarmy spowalniają dostęp. Jeśli protokół jest zbyt liberalny, ataki w toku są ignorowane, ponieważ masz fałszywe poczucie bezpieczeństwa.
Jeśli haker przekopie się do Twojego systemu i otrzyma tylko zniekształcony tekst bez klucza dekodowania, obrażenia są ograniczone. Ale musisz konsekwentnie stosować Szyfrowanie, aby uzyskać pełną ochronę.
Korzystanie z VPN może być wyjątkowym źródłem ochrony. Urządzenia łączą się przez zaszyfrowany tunel, a cała komunikacja jest natychmiast szyfrowana.
narzędzia ochrony do rozważenia
wiele firm oferuje programy monitorujące, których możesz używać zarówno do nadzorowania sieci, jak i wykrywania problemów z ARP.
to są wspólne rozwiązania:
- Arpwatch: Monitoruj aktywność ethernet, w tym zmieniając adresy IP i MAC, za pomocą tego narzędzia linuksowego. Przeglądaj dziennik każdego dnia i uzyskuj dostęp do znaczników czasu, aby zrozumieć, kiedy nastąpił atak.
- ARP-GUARD: skorzystaj z graficznego przeglądu istniejącej sieci, w tym ilustracji przełączników i routerów. Pozwól programowi zrozumieć, jakie urządzenia znajdują się w Twojej sieci i stwórz reguły kontroli przyszłych połączeń.
- XArp: Użyj tego narzędzia do wykrywania ataków zachodzących pod zaporą. Otrzymuj powiadomienia, gdy tylko rozpocznie się atak, i użyj narzędzia, aby określić, co robić dalej.
- Wireshark: Użyj tego narzędzia do opracowania graficznego zrozumienia wszystkich urządzeń w sieci. To narzędzie jest potężne, ale możesz potrzebować zaawansowanych umiejętności, aby je prawidłowo wdrożyć.
- filtrowanie pakietów: Użyj tej techniki zapory sieciowej do zarządzania dostępem do sieci poprzez monitorowanie przychodzących i wychodzących pakietów IP. Pakiety są dozwolone lub zatrzymywane na podstawie źródłowych i docelowych adresów IP, portów i protokołów.
- : Te Arp są dodawane do pamięci podręcznej i przechowywane na stałe. Będą one służyć jako stałe mapowania między adresami MAC i adresami IP.
Pracuj z Okta
wiemy, że musisz dbać o bezpieczeństwo swoich systemów. Wiemy również, że możesz nie być pewien, od czego zacząć i jakie kroki podjąć w tej chwili. Możemy pomóc. Dowiedz się, jak Okta może pomóc w zapobieganiu atakom zatrucia ARP.
sztuczki sieciowe ARP. (Październik 2001). Computerworld.
domena 4: Komunikacja i bezpieczeństwo sieci (Projektowanie i Ochrona Bezpieczeństwa Sieci). (2016). CISSP Study Guide (Third Edition).
Fact Sheet: Man-in-the-Middle Attacks. (Marzec 2020). Społeczeństwo Internetowe.
w sprawie zbadania rozwiązań bezpieczeństwa ARP Spoofing. (Kwiecień 2010). International Journal of Internet Protocol Technology.
tradycyjne ARP. (Styczeń 2017). Praktyczny Networking.
adres Resolution Protocol Spoofing Attacks and Security Approaches: a Survey. (Grudzień 2018). Bezpieczeństwo i prywatność.
ograniczenia wykrywania ataków ARP. Zabezpiecz torbę Infosec.
narzędzie Arpwatch do monitorowania aktywności Ethernet w Linuksie. (Kwiecień 2013). TecMint.
ARP-GUARD Datasheet. ARP-STRAŻNIK.
Dom. XArp.
Dom. Wireshark.