január 23, 2022

mi az ARP Spoofing és hogyan lehet megakadályozni?

az ARP spoofing egy olyan típusú kibertámadás, amelyben a hacker hamis Címfeloldási protokoll (ARP) üzenetet küld egy helyi hálózaton (LAN) keresztül.

ebben a cikkben megnézzük az ARP-hamisítást vagy az ARP-mérgezést, mi ez, hogyan működik, hogyan lehet észlelni az ARP-hamisító támadásokat, és végül, hogyan lehet megakadályozni az ARP-protokoll elleni támadást.

Tehát kezdjük el.

mi az ARP (Address Resolution Protocol)?

mielőtt teljesen megértenénk az ARP hamisítást, először meg kell értenünk az ARP protokollt.

az APR protokoll felelős a MAC-cím internetes Protokollcímre történő lefordításáért és fordítva.

más szavakkal, a Címfelbontási protokoll lehetővé teszi a számítógép vagy más eszköz számára, hogy kapcsolatba lépjen az útválasztóval és csatlakozzon a hálózathoz (Internet). Itt a gazdagép ARP gyorsítótárat vagy leképezési táblázatot tart fenn. Ezt az ARP táblát minden alkalommal meghívják, amikor IP-adatcsomagokat küldenek a LAN-on lévő gazdagépek között, ami jobb kapcsolatokat tesz lehetővé a hálózati célállomások között.

mi történik, ha egy IP-cím nem ismert a gazdagép számára?

ebben az esetben egy ARP kérést küldünk, ami egy broadcast csomagot jelent. Ha létezik ilyen IP-címmel rendelkező számítógép (és csatlakozik a hálózathoz), akkor a Media Access Control (MAC) címével válaszol, mielőtt hozzáadná a gyorsítótárhoz.

mik azok az ARP Spoofing támadások?

számos probléma miatt az ARP kevésbé biztonságos.

  • az ARP protokoll nem rendelkezik semmiféle ellenőrzéssel annak megerősítésére, hogy a kérés egy felhatalmazott felhasználótól származik. Ez az, ami elsősorban lehetővé teszi az ARP spoofing támadásokat.
  • amikor új ARP-válasz érkezik, a régi, le nem járt ARP-bejegyzések felülíródnak.
  • még akkor is, ha nem küld ARP kérést, a gazdagépek gyorsítótárba helyezik a válaszokat, mivel az ARP állapot nélküli protokoll.
  • az ARP csak IPv4 és 32 bites IP-címeken működik.

Oké, tehát mi az ARP hamisítás vagy ARP mérgezés?

ez egy olyan típusú rosszindulatú támadás, amelyben a cyberattacker becsapja az alapértelmezett átjárót, hogy összekapcsolja MAC-címét az áldozat IP-címével azáltal, hogy ARP-csomagokat küld a helyi hálózat (LAN) átjárójára.

mire használják általában az ARP-hamisítást?

önmagában az ARP-hamisítás nem biztos, hogy olyan nagy ügy. Ehelyett általában élcsapatként szolgál a kifinomultabb típusú támadásokhoz, például:

  • Man-in-the-middle támadások – a támadó elfogja és módosítja a küldő és a címzett közötti forgalmat. További információ a MITM támadásokról.
  • DDoS támadások – az ARP spoofing lehetővé teszi a számítógépes bűnözők számára, hogy a támadni kívánt szerver MAC-címét használják, nem pedig a sajátjukat, és DDoS támadást indítsanak. Ezután megismételheti ezt annyi IP-címre, amennyire szüksége van a forgalom elárasztásához.
  • Session hijacking – az ARP spoofing lehetővé teszi a hacker számára, hogy megszerezze az áldozat session ID azonosítóját, és hozzáférjen azokhoz a fiókokhoz, amelyekbe a célpont már bejelentkezett.
  • folyamatos csomaglopás – végül a támadó egyszerűen folytathatja az adatok ellopását az adatcsomagok szimatolásával.

hogyan működnek az ARP Spoofing támadások?

most nézzük meg, hogyan működnek ezek a támadások lépésről lépésre.

  1. először a hacker hozzáférést nyer a LAN hálózathoz, és IP-címeket keres.
  2. ezután egy ARP-hamisító eszközzel, például az Arpspoof segítségével a támadó ARP-válaszokat hoz létre.
  3. ezután a hacker MAC-címét tartalmazó ARP-csomagot elküldik és párosítják a cél IP-címével. Ez becsapja az útválasztót és a számítógépet, hogy csatlakozzanak a hackerhez, nem pedig egymáshoz.
  4. most az ARP gyorsítótár frissül, ami azt jelenti, hogy az útválasztó és a számítógép kommunikálni fog a kiberbűnözővel.
  5. a hálózat többi állomása ezután adatokat továbbít a támadónak, látva a hamisított ARP gyorsítótárat.

felismeri az ARP-hamisítást?

a jó hír az, hogy igen, észlelhet egy ARP hamisító támadást.

ennek többféle módja van.

  • A Windows parancssorának használata

Ha Windows operációs rendszert használ, akkor megtudhatja, hogy számítógépét ARP-hamisítás támadta-e meg, ha beírja a parancsot

arp -1

a parancssorba.

ez egy ARP táblát hoz ki, amelynek bal oldalán az IP-címek, középen a MAC-címek vannak. Ha két IP-cím ugyanazt a MAC-címet használja, ez egy ARP-támadás jele.

ezenkívül vegye figyelembe, hogy ugyanaz a parancs az ARP-hamisítás észlelésére Linuxon is működik.

  • 3rd-party szoftver használata

ha 3rd-party szoftvert használ, két lehetőség áll rendelkezésre.

az egyik egy dedikált ARP spoofing detektáló program, például az XArp használata az ARP spoofing támadások hálózatának megfigyelésére.

a másik az, hogy egy hálózati protokoll analizátor, mint a Wireshark.

hogyan lehet megakadályozni az ARP-hamisítást (és megvédeni az IP-címét és a MAC-címét)?

az ARP spoofing detection szoftver (vagy parancs) használata mellett mit tehet még az ilyen támadások megelőzése érdekében?

számos dolgot tehet, például:

  1. használja a csomagszűrőket a rosszindulatú adatcsomagok észleléséhez és blokkolásához.
  2. titkosítsa az Ön és a kilépés közötti adatokat egy VPN (virtuális magánhálózat) segítségével.
  3. a TLS (Transport Layer Security), SSH Secure Shell) és HTTPS használatával titkosíthatja a tranzitadatokat, és minimalizálhatja az ARP spoofing támadások valószínűségét.
  4. statikus ARP használatával engedélyezheti az egyes IP-címek statikus bejegyzését, és megakadályozhatja, hogy a hackerek meghallgassák az adott IP-címre adott ARP-válaszokat.
  5. Monitor cím felbontás segítségével behatolásérzékelő szoftver, mint Suricata.
  6. kerülje az IP-címekre támaszkodó bizalmi kapcsolatokat a hitelesítéshez, mivel ezek megkönnyítik az ARP-hamisító támadások végrehajtását.

következtetés

mint látható, ARP spoofing határozottan valami, hogy legyen óvatos.

remélhetőleg ennek a cikknek köszönhetően jobban megértheti az ARP-hamisító támadásokat, azok működését, valamint azok észlelését és megelőzését.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.