23 tammikuun, 2022

mitä ARP-huijaus on ja miten sen voi estää?

ARP-huijaus on eräänlainen kyberhyökkäys, jossa hakkeri lähettää väärän osoitteen Resolution Protocol (ARP) – viestin lähiverkon (LAN) kautta.

tässä artikkelissa tarkastelemme ARP-huijausta eli ARP-myrkytystä, mitä se on, miten se toimii, miten voit havaita ARP-huijaushyökkäykset ja lopuksi, miten estää hyökkäys ARP-protokollaan.

joten aloitetaan.

mikä on ARP (Address Resolution Protocol)?

ennen kuin voimme täysin ymmärtää ARP-huijausta, meidän on ensin ymmärrettävä ARP-protokolla.

APR-protokolla vastaa MAC-osoitteen kääntämisestä Internet-Protokollaosoitteeksi ja päinvastoin.

toisin sanoen Osoiteresoluutioprotokolla mahdollistaa tietokoneen tai muun laitteen yhteyden reitittimeen ja yhteyden verkkoon (Internet). Tässä isäntä ylläpitää ARP-välimuistia tai karttataulukkoa. Tämä ARP-taulukko kutsutaan aina, kun IP-datapaketteja lähetetään isäntien välillä lähiverkossa, mikä mahdollistaa paremmat yhteydet verkon kohteiden välillä.

mitä tapahtuu, jos IP-osoite ei ole isännän tiedossa?

tällöin lähetetään ARP-pyyntö, joka tarkoittaa lähetyspakettia. Jos tietokone, jolla on kyseinen IP-osoite, on olemassa (ja se on liitetty verkkoon), se vastaa Media Access Control (MAC) – osoitteellaan ennen kuin se lisätään välimuistiin.

Mitä ovat ARP-Huijaushyökkäykset?

useat asiat tekevät ARP: stä turvattomamman.

  • ARP-protokollasta puuttuu minkäänlainen varmennus, joka vahvistaisi, että pyyntö on lähtöisin valtuutetulta käyttäjältä. Tämä mahdollistaa ensisijaisesti ARP-huijaushyökkäykset.
  • kun uusi ARP-vastaus saadaan, Vanhat, tutkimattomat ARP-merkinnät korvataan.
  • vaikka ARP-pyyntöä ei lähetettäisi, isännät tallentavat vastaukset, koska ARP on valtioton protokolla.
  • ARP toimii vain IPv4: llä ja 32-bittisillä IP-osoitteilla.

Okei, joten mitä on ARP-huijaus tai ARP-myrkytys?

kyseessä on haittaohjelman tyyppinen hyökkäys, jossa kyberhyökkääjä huijaa oletusyhdyskäytävän liittämään MAC-osoitteensa uhrin IP-osoitteeseen lähettämällä ARP-paketteja yhdyskäytävään lähiverkossa (LAN).

mihin ARP-huijausta yleensä käytetään?

yksinään ARP-huijaus ei välttämättä olisi niin iso juttu. Sen sijaan se toimii yleensä etujoukkona kehittyneemmille hyökkäystyypeille, kuten:

  • Man-in-the-middle attacks-hyökkääjä sieppaa ja säätää lähettäjän ja vastaanottajan välistä liikennettä. Lue lisää MITM-hyökkäyksistä.
  • DDoS attacks – ARP-huijaus sallii verkkorikollisen käyttää haluamansa palvelimen MAC-osoitetta eikä omaansa ja käynnistää DDoS-hyökkäyksen. Hän voi sitten toistaa, että niin monta IP-osoitetta kuin hän tarvitsee tulvimaan liikennettä.
  • Session hijacking – ARP-huijaus mahdollistaa myös sen, että hakkeri saa uhrin sessiotunnuksen ja pääsyn tileille, joille kohde on jo kirjautunut.
  • jatkuva pakettivarkaus – lopuksi hyökkääjä voi yksinkertaisesti jatkaa tietojesi varastamista haistelemalla datapakettejasi.

miten ARP-Huijaushyökkäykset toimivat?

nyt katsotaan, miten nämä hyökkäykset toimivat vaihe vaiheelta.

  1. ensin hakkeri pääsee LAN-verkkoon ja skannaa sieltä IP-osoitteita.
  2. seuraavaksi, ARP-huijaustyökalulla, kuten Arpspoof, hyökkääjä luo ARP-vastauksia.
  3. tämän jälkeen lähetetään hakkerin MAC-osoitteen sisältävä ARP-paketti, joka yhdistetään kohteen IP-osoitteeseen. Tämä huijaa reitittimen ja tietokoneen yhteyden hakkeri sijaan toisiinsa.
  4. nyt ARP-välimuisti päivittyy, eli reititin ja tietokone kommunikoivat verkkorikollisen kanssa.
  5. verkon muut isännät lähettävät tämän jälkeen tietoja hyökkääjälle, joka näkee väärennetyn ARP-välimuistin.

Tunnistatko ARP-huijauksen?

hyvä uutinen on, että kyllä, voit havaita ARP-huijaushyökkäyksen.

tämän voi tehdä monella tavalla.

  • käyttämällä Windowsin komentokehotetta

jos olet Windows-käyttöjärjestelmässä, voit selvittää, hyökkääkö tietokoneesi ARP-huijauksella kirjoittamalla komentoriville

arp -1

.

tämä tuo esiin ARP-taulukon, jossa IP-osoitteet ovat vasemmalla puolella ja MAC-osoitteet keskellä. Jos kahdella IP-osoitteella on sama MAC-osoite, Tämä on merkki ARP-hyökkäyksestä.

huomaa myös, että sama ARP-huijauksen havaitsemiseen tarkoitettu komento toimii myös Linuxilla.

  • kolmannen osapuolen ohjelmiston käyttäminen

jos käytät kolmannen osapuolen ohjelmistoa, vaihtoehtoja on kaksi.

yksi on käyttää omaa ARP-huijaushavaintoohjelmaa, kuten Xarpia, valvomaan verkkoa ARP-huijaushyökkäysten varalta.

toinen on käyttää Wiresharkin kaltaista verkkoprotokollaanalysaattoria.

Miten estää ARP-huijaus (ja suojata IP-osoite ja MAC-osoite)?

sen lisäksi, että käytät ARP-huijaushavaintoohjelmistoa (tai komentoa), mitä muuta voit tehdä tällaisten hyökkäysten estämiseksi?

voit tehdä useita asioita, kuten:

  1. käytä pakettisuodattimia haittaohjelmien datapakettien havaitsemiseen ja niiden estämiseen.
  2. salaa tiedot sinun ja poistujan välillä VPN: llä (Virtual Private Network).
  3. Käytä TLS: ää (Transport Layer Security), SSH Secure Shelliä) ja HTTPS: tä salataksesi tiedonsiirtosi ja minimoidaksesi ARP-huijaushyökkäysten todennäköisyyden.
  4. käytä staattista ARP: tä salliaksesi staattiset merkinnät jokaiselle IP-osoitteelle ja estääksesi hakkereita kuuntelemasta ARP-vastauksia kyseiselle IP-osoitteelle.
  5. Osoiteresoluutiota seurataan suricatan kaltaisilla tunkeutumisen tunnistusohjelmilla.
  6. Pysy erossa LUOTTAMUSSUHTEISTA, jotka tukeutuvat IP-osoitteisiin tunnistautumisessa, sillä ne helpottavat ARP-huijaushyökkäysten tekemistä.

johtopäätös

kuten näkyy, ARP-huijausta kannattaa ehdottomasti varoa.

Toivottavasti tämän artikkelin ansiosta ymmärrät nyt paremmin ARP-huijaushyökkäyksiä, miten ne toimivat ja miten ne voidaan havaita ja estää.

Vastaa

Sähköpostiosoitettasi ei julkaista.