co je ARP Spoofing a jak tomu zabránit?
ARP spoofing je typ kybernetického útoku, při kterém hacker vyšle zprávu ARP (false Address Resolution Protocol) přes místní síť (LAN).
v tomto článku se podíváme na ARP spoofing nebo otravu ARP, co to je, jak to funguje,jak můžete detekovat ARP spoofing útoky a nakonec, jak zabránit útoku na protokol ARP.
tak začněme.
co je Arp (Address Resolution Protocol)?
než budeme moci plně pochopit ARP spoofing, musíme nejprve pochopit ARP protokol.
protokol APR je zodpovědný za převod MAC adresy na adresu internetového protokolu a naopak.
jinými slovy, protokol o rozlišení adresy umožňuje Vašemu počítači nebo jinému zařízení kontaktovat router a připojit se k síti (Internet). Hostitel zde udržuje mezipaměť ARP nebo mapovací tabulku. Tato tabulka ARP je volána pokaždé, když jsou IP datové pakety odesílány mezi hostiteli v síti LAN, což umožňuje lepší spojení mezi cíli sítě.
co se stane, když IP adresa není hostiteli známa?
v tomto případě je odeslán požadavek ARP, což znamená vysílací paket. Pokud počítač s touto adresou IP existuje (a je připojen k síti), odpoví svou adresou Media Access Control (MAC), než se přidá do mezipaměti.
co jsou ARP Spoofing útoky?
několik problémů činí ARP méně než bezpečným.
- protokol ARP postrádá jakýkoli druh ověření, aby potvrdil, že požadavek pochází od oprávněného uživatele. To je to, co primárně umožňuje útoky ARP spoofing.
- když je přijata nová odpověď ARP, staré, nevyčerpané položky ARP budou přepsány.
- i když není odeslán žádný požadavek ARP, hostitelé budou ukládat odpovědi do mezipaměti, protože ARP je protokol bez státní příslušnosti.
- ARP pracuje pouze s IPv4 a na 32bitových IP adresách.
dobře, takže co je ARP spoofing nebo ARP otrava?
jedná se o typ škodlivého útoku, při kterém cyberattacker podvádí výchozí bránu, aby spojil svou MAC adresu s IP adresou oběti zasláním paketů ARP do brány v místní síti (LAN).
k čemu se ARP Spoofing obvykle používá?
na jeho vlastní, ARP spoofing nemusí být tak velký problém. Místo toho obvykle slouží jako předvoj pro sofistikovanější typy útoků, jako jsou:
- Man-in-the-middle útoky-útočník zachytit a vyladí provoz mezi odesílatelem a příjemcem. Přečtěte si více o útocích MITM.
- DDoS útoky – ARP spoofing umožňuje počítačovému zločinci používat MAC adresu serveru, na který chce zaútočit, a ne vlastní, a zahájit útok DDoS. To pak může zopakovat pro tolik IP adres, kolik potřebuje k zaplavení provozu.
- session hijacking – ARP spoofing také umožňuje hackerovi získat ID relace oběti a přístup k účtům, ke kterým se cíl již přihlásil.
- pokračující krádež paketů-konečně může útočník jednoduše pokračovat v krádeži vašich dat čicháním datových paketů.
jak fungují útoky ARP Spoofing?
nyní se podívejme, jak tyto útoky fungují krok za krokem.
- nejprve hacker získá přístup k síti LAN a vyhledá IP adresy.
- dále pomocí nástroje ARP spoofing, jako je Arpspoof, útočník vytvoří ARP odpovědi.
- Paket ARP s MAC adresou hackera je odeslán a spárován s IP adresou cíle. To oklamá router a počítač, aby se připojili k hackerovi místo k sobě navzájem.
- nyní se aktualizuje mezipaměť ARP, což znamená, že router a počítač budou komunikovat s počítačovým zločincem.
- ostatní hostitelé v síti pak budou vysílat data útočníkovi, který uvidí falešnou mezipaměť ARP.
můžete detekovat ARP Spoofing?
dobrou zprávou je, že ano, můžete detekovat útok spoofingu ARP.
existuje několik způsobů, jak to udělat.
- pomocí příkazového řádku systému Windows
pokud jste v operačním systému Windows, můžete zjistit, zda váš počítač napadl spoofing ARP zadáním
arp -1
do příkazového řádku.
co to udělá, je vyvést ARP tabulku s IP adresami na levé straně a MAC adresami uprostřed. Pokud dvě IP adresy sdílejí stejnou MAC adresu, je to známka útoku ARP.
také si všimněte, že stejný příkaz pro detekci ARP spoofingu funguje také s Linuxem.
- použití Softwaru 3. strany
pokud používáte software 3. strany, jsou k dispozici dvě možnosti.
jedním z nich je použití vyhrazeného programu detekce spoofingu ARP, jako je XArp, ke sledování sítě pro útoky spoofingu ARP.
druhým je použití analyzátoru síťového protokolu, jako je Wireshark.
jak zabránit spoofingu ARP(a chránit vaši IP adresu a MAC adresu)?
kromě použití ARP spoofing detekční software (nebo příkaz), co jiného můžete udělat, aby se zabránilo takovým útokům?
existuje několik věcí, které můžete udělat, například:
- použijte paketové filtry k detekci škodlivých datových paketů a jejich blokování.
- šifrování dat mezi vámi a výstupem pomocí VPN (virtuální privátní síť).
- použijte TLS (Transport Layer Security) , SSH Secure Shell) a HTTPS k šifrování dat v tranzitu a minimalizaci pravděpodobnosti útoků ARP spoofing.
- pomocí statického ARP povolte statické položky pro každou IP adresu a zabraňte hackerům poslouchat odpovědi ARP pro tuto IP adresu.
- rozlišení adresy monitoru pomocí softwaru pro detekci narušení, jako je Suricata.
- Drž se dál od důvěryhodných vztahů, které se spoléhají na IP adresy pro autentizaci, protože usnadňují provádění útoků ARP spoofing.
závěr
jak můžete vidět, ARP spoofing je určitě něco, na co si dát pozor.
doufejme, že díky tomuto článku nyní lépe rozumíte útokům ARP spoofing, jak fungují a jak je detekovat a předcházet jim.