envenenamento ARP (também conhecido como ARP spoofing”) é um ataque cibernético, realizada através malicioso ARP mensagens
Um ataque ARP é difícil de detectar, e uma vez que ele está no lugar, o impacto é impossível ignorar.
um hacker que implementa com sucesso a falsificação de ARP ou o envenenamento por ARP pode obter o controle de todos os documentos em sua rede. Você pode estar sujeito a espionagem, ou seu tráfego pode parar até que você dê ao hacker O que é solicitado para resgate.
vamos orientá-lo sobre como um ataque ARP funciona, e nós lhe daremos algumas soluções que você pode implementar imediatamente para manter seu servidor seguro.
o que é um ARP?
em 2001, os desenvolvedores introduziram o protocolo de resolução de endereços (ARP) para desenvolvedores Unix. Na época, eles descreveram isso como um” burro de carga ” que poderia estabelecer conexões de nível IP para novos hosts.
o trabalho é crítico, especialmente se sua rede está em constante crescimento, e você precisa de uma maneira de adicionar novas funcionalidades sem autorizar cada solicitação.
a base do ARP é o controle de acesso de mídia (MAC). Como os especialistas explicam, um MAC é um endereço exclusivo de nível de hardware de uma placa de interface de rede ethernet (NIC). Esses números são atribuídos na fábrica, embora possam ser alterados por software.
em teoria, um ARP deveria:
- Aceite pedidos. Um novo dispositivo pede para se juntar à rede local (LAN), fornecendo um endereço IP.
- traduzir. Os dispositivos na LAN não se comunicam via endereço IP. O ARP traduz o endereço IP para um endereço MAC.
- enviar pedidos. Se o ARP não souber o endereço MAC a ser usado para um endereço IP, ele enviará uma solicitação de pacote ARP, que consulta outras máquinas na rede para obter o que está faltando.
esta funcionalidade poupa muito tempo aos administradores de rede. As solicitações são tratadas nos bastidores e a rede faz toda a limpeza necessária. Mas existem perigos.
ataques ARP: Definições-chave
um desenvolvedor malicioso, na esperança de obter acesso a dados importantes, pode expor vulnerabilidades e entrar furtivamente, e você pode nunca saber que está acontecendo.
existem dois tipos de ataques ARP.
- ARP spoofing: um hacker envia pacotes ARP falsos que vinculam o endereço MAC de um invasor a um IP de um computador já na LAN.
- envenenamento por ARP: após uma falsificação bem-sucedida de ARP, um hacker muda a tabela ARP da empresa, por isso contém mapas Mac falsificados. O contágio se espalha.
o objetivo é vincular o MAC de um hacker à LAN. O resultado significa que qualquer tráfego enviado para a LAN comprometida irá para o invasor.
no final de um ataque ARP bem-sucedido, um hacker pode:
- sequestro. Alguém pode olhar sobre tudo o que vai para a LAN antes de liberá-lo.
- negar serviço. Alguém pode se recusar a liberar qualquer coisa da LAN infectada, a menos que algum tipo de resgate seja pago.
- sente-se no meio. Alguém conduzindo um ataque man-in-the-middle pode fazer quase tudo, incluindo a alteração de documentos antes de enviá-los para fora. Esses ataques ameaçam a confidencialidade e reduzem a confiança do Usuário. Eles estão entre os ataques mais perigosos que alguém pode perpetrar.
se um hacker quiser assumir um host final, o trabalho deve ser feito rapidamente. Os processos ARP expiram em cerca de 60 segundos. Mas em uma rede, as solicitações podem durar até 4 horas. Isso deixa muito tempo para um hacker contemplar e executar um ataque.
vulnerabilidades conhecidas do ARP
velocidade, funcionalidade e autonomia foram os objetivos quando o ARP foi desenvolvido. O protocolo não foi feito com a segurança em mente, e provou ser muito fácil falsificar e ajustar para fins maliciosos.
um hacker precisa de apenas algumas ferramentas para fazer isso funcionar.
- conexão: o invasor precisa do controle de uma máquina conectada à LAN. Melhor ainda, o hacker já está diretamente conectado à LAN.
- habilidades de codificação: o hacker deve saber como escrever pacotes ARP que são imediatamente aceitos ou armazenados no sistema.
- ferramentas externas: um hacker poderia usar uma ferramenta de falsificação, como Arpspoof, para enviar respostas ARP falsificadas ou não autênticas.
- paciência. Alguns hackers invadem os sistemas rapidamente. Mas outros devem enviar dezenas ou mesmo centenas de pedidos antes de enganar a LAN.
o ARP não tem estado e as redes tendem a armazenar em cache as respostas do ARP. Quanto mais tempo eles permanecem, mais perigosos eles se tornam. Uma resposta restante pode ser usada no próximo ataque, o que leva ao envenenamento por ARP.
nenhum método de prova de identidade existe em um sistema ARP tradicional. Os Hosts não podem determinar se os pacotes são autênticos e nem mesmo determinar de onde vieram.
ARP Poisoning attack Prevention
Hackers usam uma série previsível de etapas para assumir uma LAN. Eles enviam um pacote ARP falsificado, enviam uma solicitação que se conecta à falsificação e assumem o controle. A solicitação é transmitida para todos os computadores na LAN e o controle está completo.
os administradores de rede podem usar duas técnicas para detectar spoofing ARP.
- passivo: monitore o tráfego ARP e procure por inconsistências de mapeamento.
- Ativo: Injete pacotes ARP falsificados na rede. Um ataque de spoofing como este ajuda a identificar pontos fracos em seu sistema. Remediá-los rapidamente, e você pode parar um ataque em andamento.
alguns desenvolvedores tentam escrever seu próprio código para detectar uma paródia, mas isso vem com riscos. Se o protocolo for muito rigoroso, alarmes falsos excessivos retardam o acesso. Se o protocolo for muito permissivo, os ataques em andamento serão ignorados, pois você tem uma falsa sensação de segurança.
a criptografia pode ser útil. Se um hacker cavar em seu sistema e receber apenas texto ilegível sem chave de decodificação, o dano será limitado. Mas você deve aplicar criptografia consistentemente para proteção total.
o uso de uma VPN pode ser uma fonte excepcional de proteção. Os dispositivos se conectam por meio de um túnel criptografado e toda a comunicação é criptografada imediatamente.
Ferramentas de proteção a considerar
muitas empresas fornecem programas de monitoramento que você pode usar para supervisionar sua rede e detectar problemas de ARP.
estas são soluções comuns:
- Arpwatch: Monitore a atividade ethernet, incluindo a alteração de endereços IP e MAC, por meio desta ferramenta Linux. Observe o registro todos os dias e acesse carimbos de data / hora para entender exatamente quando o ataque aconteceu.
- ARP-GUARD: toque em uma visão geral gráfica de sua rede existente, incluindo ilustrações de switches e roteadores. Permita que o programa desenvolva uma compreensão de quais dispositivos estão em sua rede e crie regras para controlar conexões futuras.
- XArp: Use esta ferramenta para detectar ataques acontecendo abaixo do seu firewall. Seja notificado assim que um ataque começar e use a ferramenta para determinar o que fazer a seguir.
- Wireshark: Use esta ferramenta para desenvolver uma compreensão gráfica de todos os dispositivos em sua rede. Esta ferramenta é poderosa, mas você pode precisar de habilidades avançadas para implementá-la corretamente.
- Filtragem de pacotes: Use esta técnica de firewall para gerenciar o acesso à rede monitorando pacotes IP de entrada e saída. Os pacotes são permitidos ou interrompidos com base em endereços IP de origem e destino, portas e protocolos.
- Arp Estático: Esses ARPs são adicionados ao cache e retidos permanentemente. Estes servirão como mapeamentos permanentes entre endereços MAC e endereços IP.
trabalhe com Okta
sabemos que você precisa manter seus sistemas seguros e protegidos. Também sabemos que você pode não ter certeza de por onde começar e quais medidas tomar agora. Podemos ajudar. Descubra como o Okta pode ajudar a prevenir ataques de envenenamento por ARP.
truques de rede ARP. (Outubro de 2001). Computerworld. Domínio 4: Comunicação e segurança de rede (projetando e protegendo a segurança da rede). (2016). Guia de estudo CISSP (terceira edição).
Ficha técnica: ataques Man-in-the-Middle. (Março de 2020). Sociedade Da Internet.
sobre a investigação de soluções de segurança ARP Spoofing. (Abril de 2010). International Journal of Internet Protocol Technology (em Inglês).
ARP tradicional. (Janeiro de 2017). Rede Prática.
Address Resolution Protocol Spoofing Attacks and Security Approaches: a Survey. (Dezembro de 2018). Segurança e Privacidade.
limitações de detecção de ataque ARP. Segurança o saco Infosec.
Arpwatch ferramenta para monitorar a atividade Ethernet no Linux. (Abril de 2013). TecMint.
folha de dados ARP-GUARD. ARP-GUARDA.
casa. XArp.
casa. Wireshark.