ARP-förgiftning (även känd som ARP-spoofing) är en cyberattack som utförs genom skadliga ARP-meddelanden
en ARP-attack är svår att upptäcka, och när den är på plats är effekten omöjlig att ignorera.
en hacker som framgångsrikt implementerar antingen ARP-spoofing eller ARP-förgiftning kan få kontroll över varje dokument i ditt nätverk. Du kan bli föremål för spioneri, eller din trafik kan mala till ett stopp tills du ger hacker vad begärs för lösen.
vi går igenom hur en ARP-attack fungerar, och vi ger dig några lösningar du kan implementera direkt för att hålla din server säker.
Vad är en ARP?
under 2001 introducerade Utvecklare adressupplösningsprotokollet (ARP) för Unix-Utvecklare. Vid den tiden beskrev de det som en ”arbetshäst” som kunde upprätta IP-nivåanslutningar till nya värdar.
arbetet är kritiskt, särskilt om ditt nätverk ständigt växer och du behöver ett sätt att lägga till ny funktionalitet utan att själv godkänna varje förfrågan.
grunden för ARP är media access control (MAC). Som experter förklarar är en MAC en unik adress på hårdvarunivå för ett ethernet-nätverkskort (Nic). Dessa nummer tilldelas på fabriken, även om de kan ändras av programvara.
i teorin bör en ARP:
- acceptera förfrågningar. En ny enhet ber om att gå med i det lokala nätverket (LAN), vilket ger en IP-adress.
- översätta. Enheter på LAN kommunicerar inte via IP-adress. ARP översätter IP-adressen till en MAC-adress.
- skicka förfrågningar. Om ARP inte känner till MAC-adressen som ska användas för en IP-adress skickar den en ARP-paketförfrågan, som frågar andra maskiner i nätverket för att få det som saknas.
denna funktion sparar nätverksadministratörer mycket tid. Förfrågningar hanteras bakom kulisserna, och nätverket gör all sanering som krävs. Men faror finns.
Arp-attacker: Nyckeldefinitioner
en skadlig utvecklare, i hopp om att få tillgång till viktiga data, kan avslöja sårbarheter och smyga inuti, och du kanske aldrig vet att det händer.
två typer av ARP-attacker finns.
- ARP spoofing: en hacker skickar falska ARP-paket som länkar en angripares MAC-adress med en IP på en dator som redan finns på LAN.
- ARP-förgiftning: efter en framgångsrik ARP-spoofing ändrar en hacker företagets ARP-tabell, så den innehåller förfalskade MAC-kartor. Smittan sprider sig.
målet är att länka en hackers MAC med LAN. Resultatet innebär att all trafik som skickas till det komprometterade LAN kommer att gå till angriparen istället.
i slutet av en framgångsrik ARP-attack kan en hacker:
- kapa. Någon kan se över allt som leder till LAN innan du släpper det.
- neka service. Någon kan vägra att släppa något från det infekterade LAN om inte någon form av lösen betalas.
- Sitt i mitten. Någon som utför en man-in-the-middle-attack kan göra nästan vad som helst, inklusive att ändra dokument innan de skickas ut. Dessa attacker hotar både konfidentialitet och minskar användarnas förtroende. De är bland de farligaste attackerna som någon kan begå.
om en hacker vill ta över en slutvärd måste arbetet ske snabbt. Arp-processer löper ut inom cirka 60 sekunder. Men på ett nätverk kan förfrågningar dröja i upp till 4 timmar. Det lämnar gott om tid för en hacker att både överväga och utföra en attack.
kända Arp-sårbarheter
hastighet, funktionalitet och autonomi var målen när ARP utvecklades. Protokollet gjordes inte med säkerhet i åtanke, och det har visat sig vara mycket lätt att förfalska och tweak för skadliga ändamål.
en hacker behöver bara några verktyg för att göra detta arbete.
- anslutning: angriparen behöver kontroll över en LAN-ansluten maskin. Ännu bättre är hackaren redan direkt ansluten till LAN.
- kodningsförmåga: hackaren måste veta hur man skriver upp ARP-paket som omedelbart accepteras eller lagras på systemet.
- externa verktyg: en hacker kan använda ett spoofing-verktyg, till exempel Arpspoof, för att skicka ut förfalskade eller på annat sätt oäkta ARP-svar.
- tålamod. Vissa hackare bris i system snabbt. Men andra måste skicka dussintals eller till och med hundratals förfrågningar innan de lurar LAN.
ARP är statslös och nätverk tenderar att cacha ARP-svar. Ju längre de dröjer, desto farligare blir de. Ett kvarvarande svar kan användas i nästa attack, vilket leder till ARP-förgiftning.
ingen metod för identitetsbevis finns i ett traditionellt ARP-system. Värdar kan inte avgöra om paket är äkta, och de kan inte ens avgöra var de kom ifrån.
förebyggande av ARP-Förgiftningsattacker
hackare använder en förutsägbar serie steg för att ta över ett LAN. De skickar ett förfalskat ARP-paket, de skickar en begäran som ansluter till parodi, och de tar över. Begäran sänds till alla datorer på LAN, och kontrollen är klar.
nätverksadministratörer kan använda två tekniker för att upptäcka ARP-spoofing.
- passiv: övervaka ARP trafik och leta efter kartläggning inkonsekvenser.
- aktiv: Injicera förfalskade ARP-paket i nätverket. En spoofing attack som denna hjälper dig att identifiera svaga punkter i ditt system. Åtgärda dem snabbt, och du kan stoppa en attack pågår.
vissa utvecklare försöker skriva sin egen kod för att upptäcka en spoof, men det kommer med risker. Om protokollet är för strikt sänker alltför stora falska larm åtkomsten. Om protokollet är för tillåtet ignoreras pågående attacker, eftersom du har en falsk känsla av säkerhet.
kryptering kan vara till hjälp. Om en hacker gräver in i ditt system och bara får förvrängd text utan avkodningsnyckel är skadan begränsad. Men du måste tillämpa kryptering konsekvent för fullt skydd.
användning av en VPN kan vara en exceptionell källa till skydd. Enheter ansluts via en krypterad tunnel, och all kommunikation krypteras omedelbart.
skyddsverktyg att överväga
massor av företag tillhandahåller övervakningsprogram som du kan använda för att både övervaka ditt nätverk och upptäcka ARP-problem.
dessa är vanliga lösningar:
- Arpwatch: Övervaka ethernet-aktivitet, inklusive byte av IP-och MAC-adresser, via detta Linux-verktyg. Titta över loggen varje dag, och tillgång tidsstämplar för att förstå just när attacken hände.
- ARP-GUARD: utnyttja en grafisk översikt över ditt befintliga nätverk, inklusive illustrationer av switchar och routrar. Låt programmet Utveckla en förståelse för vilka enheter som finns i ditt nätverk och bygga regler för att styra framtida anslutningar.
- XArp: använd det här verktyget för att upptäcka attacker som händer under din brandvägg. Bli meddelad så snart en attack börjar och använd verktyget för att bestämma vad du ska göra nästa.
- Wireshark: använd det här verktyget för att utveckla en grafisk förståelse för alla enheter i ditt nätverk. Detta verktyg är kraftfullt, men du kan behöva avancerade färdigheter för att implementera det ordentligt.
- paketfiltrering: Använd denna brandväggsteknik för att hantera nätverksåtkomst genom att övervaka inkommande och utgående IP-paket. Paket tillåts eller stoppas baserat på käll-och destinations IP-adresser, portar och protokoll.
- statisk ARP: Dessa Arp läggs till i cachen och behålls permanent. Dessa kommer att fungera som permanenta mappningar mellan MAC-adresser och IP-adresser.
arbeta med Okta
vi vet att du måste hålla dina system säkra. Vi vet också att du kanske är osäker på var du ska börja och vilka steg du ska ta just nu. Vi kan hjälpa till. Upptäck hur Okta kan hjälpa till att förhindra ARP-förgiftningsattacker.
ARP nätverk Tricks. (Oktober 2001). Datorvärlden.
domän 4: Kommunikation och nätverkssäkerhet (utforma och skydda nätverkssäkerhet). (2016). CISSP Studiehandbok (tredje upplagan).
faktablad: Man-in-the-Middle attacker. (Mars 2020). Internet Samhället.
om att undersöka ARP Spoofing säkerhetslösningar. (April 2010). International Journal of Internet Protocol Technology.
traditionell ARP. (Januari 2017). Praktiskt Nätverkande.
adress Resolution Protocol Spoofing attacker och säkerhetsmetoder: en undersökning. (December 2018). Säkerhet och integritet.
ARP Attack upptäckt begränsningar. Säkerhet Infosec väska.
Arpwatch verktyg för att övervaka Ethernet aktivitet i Linux. (April 2013). TecMint.
ARP-GUARD datablad. ARP-VAKT.
hem. XArp.
hem. Wireshark.