januar 23, 2022

hvad er ARP Spoofing og hvordan man kan forhindre det?

ARP spoofing er en type cyberangreb, hvor hackeren sender en falsk adresse Resolution Protocol (arp) besked over et lokalt netværk (LAN).

i denne artikel tager vi et kig på ARP-spoofing eller ARP-forgiftning, hvad er det, hvordan det fungerer, hvordan du kan opdage ARP-spoofingangreb og endelig, hvordan man forhindrer et angreb på ARP-protokollen.

så lad os komme i gang.

Hvad er ARP (Address Resolution Protocol)?

før vi fuldt ud kan forstå ARP-spoofing, skal vi først forstå ARP-protokollen.

APR-protokollen er ansvarlig for at oversætte en MAC-adresse til en internetprotokoladresse og omvendt.

med andre ord giver Adresseopløsningsprotokollen din computer eller en anden enhed mulighed for at kontakte routeren og oprette forbindelse til netværket (Internet). Her opretholder en vært en ARP-cache eller en kortlægningstabel. Denne ARP-tabel kaldes til hver gang IP-datapakker sendes mellem værter på et LAN, hvilket muliggør bedre forbindelser mellem netværksdestinationer.

Hvad sker der, hvis en IP-adresse ikke er kendt af værten?

i dette tilfælde sendes en ARP-anmodning, hvilket betyder en udsendelsespakke. Hvis der findes en computer med den IP-adresse (og er tilsluttet netværket), svarer den med sin MAC-adresse (Media Access Control), før den føjes til cachen.

Hvad er ARP Spoofing angreb?

flere problemer gør ARP mindre end sikker.

  • ARP-protokollen mangler nogen form for verifikation for at bekræfte, at anmodningen stammer fra en autoriseret bruger. Dette er det, der primært muliggør ARP-spoofing-angreb.
  • når et nyt ARP-svar modtages, overskrives gamle, uudløbne ARP-poster.
  • selvom der ikke sendes nogen ARP-anmodning, cache værter svar, da ARP er en statsløs protokol.
  • ARP fungerer kun med IPv4 og på 32-bit IP-adresser.

Okay, så hvad er ARP spoofing eller ARP forgiftning?

det er en type ondsindet angreb, hvor cyberattackeren narrer standardporten til at relatere deres MAC-adresse til offerets IP-adresse ved at sende ARP-pakker til porten på lokalnetværket (LAN).

Hvad bruges ARP-Spoofing normalt til?

alene er ARP-spoofing måske ikke så stor af en aftale. I stedet fungerer det normalt som en fortrop for mere sofistikerede typer angreb såsom:

  • Man-in-the-middle angreb-angriberen opfanger og justerer trafikken mellem afsenderen og modtageren. Læs mere om MITM angreb.
  • DDoS – angreb-ARP-spoofing giver cyberkriminelle mulighed for at bruge MAC-adressen på den server, de vil angribe, og ikke deres egen, og til at starte et DDoS-angreb. Han kan derefter gentage det for så mange IP-adresser, som han har brug for for at oversvømme trafikken.
  • Session hijacking – ARP spoofing giver også hackeren mulighed for at få offerets session ID og få adgang til konti, som målet allerede har logget ind på.
  • fortsat pakketyveri – endelig kan angriberen simpelthen fortsætte med at stjæle dine data ved at snuse dine datapakker.

Hvordan virker ARP Spoofing angreb?

lad os nu se på, hvordan disse angreb fungerer trin for trin.

  1. først får hackeren adgang til LAN-netværket og scanner det efter IP-adresser.
  2. dernæst opretter angriberen ARP-svar med et ARP-spoofingsværktøj, såsom Arpspoof.
  3. derefter sendes ARP-pakken med hackerens MAC-adresse og parres med målets IP-adresse. Dette narrer routeren og computeren til at oprette forbindelse til hackeren i stedet for til hinanden.
  4. nu bliver ARP-cachen opdateret, hvilket betyder, at routeren og computeren vil kommunikere med cyberkriminelle.
  5. andre værter på netværket sender derefter data til angriberen, der ser den falske ARP-cache.

kan du opdage ARP Spoofing?

den gode nyhed er, at ja, du kan opdage et ARP-spoofingangreb.

der er flere måder, du kan gøre dette på.

  • brug af vinduer Kommandoprompt

hvis du er på Vinduer OS, kan du finde ud af, om din computer angrebet af ARP spoofing ved at skrive

arp -1

i kommandolinjen.

hvad dette vil gøre er at bringe en ARP-tabel med IP-adresserne på venstre side og MAC-adresserne i midten. Hvis to IP-adresser deler den samme MAC-adresse, er dette et tegn på et ARP-angreb.

Bemærk også, at den samme kommando til detektering af ARP-spoofing også fungerer.

  • brug af et 3.parts program

hvis du bruger 3. parts program, er der to muligheder.

den ene er at bruge et dedikeret ARP-spoofing-detekteringsprogram som f.eks.

den anden er at bruge en netværksprotokolanalysator som f.eks.

Sådan forhindrer du ARP-Spoofing (og beskytter din IP-adresse og MAC-adresse)?

udover at bruge et ARP-spoofing-detekteringsprogram (eller kommando), hvad kan du ellers gøre for at forhindre sådanne angreb?

der er flere ting, du kan gøre, såsom:

  1. brug pakkefiltre til at registrere ondsindede datapakker og blokere dem.
  2. Krypter dataene mellem dig og udgangen med et VPN (virtuelt privat netværk).
  3. Brug TLS (Transport Layer Security), SSH Secure Shell) og HTTPS til at kryptere dine data i transit og minimere sandsynligheden for ARP-spoofing-angreb.
  4. Brug statisk ARP til at tillade statiske poster for hver IP-adresse og forhindre hackere at lytte på ARP-svar for den IP-adresse.
  5. Overvåg adresseopløsning ved hjælp af indtrængningsdetekteringsprogrammer som Suricata.
  6. Hold dig væk fra tillidsforhold, der er afhængige af IP-adresser til godkendelse, da de gør det lettere at udføre ARP-spoofingangreb.

konklusion

som du kan se, er ARP-spoofing bestemt noget at være forsigtig med.

forhåbentlig har du takket være denne artikel nu en bedre forståelse af arp-spoofingangreb, hvordan de fungerer, og hvordan du opdager og forhindrer dem.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.