Che cosa è ARP Spoofing e come prevenirlo?
Lo spoofing ARP è un tipo di attacco informatico in cui l’hacker invia un messaggio ARP (False Address Resolution Protocol) su una rete locale (LAN).
In questo articolo, daremo un’occhiata a ARP spoofing, o ARP poisoning, che cos’è, come funziona, come è possibile rilevare gli attacchi ARP spoofing e, infine, come prevenire un attacco al protocollo ARP.
Quindi iniziamo.
Che cos’è ARP (Address Resolution Protocol)?
Prima di poter comprendere appieno lo spoofing ARP, dobbiamo prima comprendere il protocollo ARP.
Il protocollo APR è responsabile della traduzione di un indirizzo MAC in un indirizzo Internet Protocol e viceversa.
In altre parole, il protocollo di risoluzione degli indirizzi consente al computer o a un altro dispositivo di contattare il router e connettersi alla rete (Internet). Qui, un host mantiene una cache ARP o una tabella di mappatura. Questa tabella ARP viene richiamata ogni volta che vengono inviati pacchetti di dati IP tra host su una LAN, il che consente connessioni migliori tra destinazioni di rete.
Cosa succede se un indirizzo IP non è noto all’host?
In questo caso, viene inviata una richiesta ARP, ovvero un pacchetto broadcast. Se un computer con tale indirizzo IP esiste (ed è connesso alla rete), risponde con il suo indirizzo MAC (Media Access Control) prima che venga aggiunto alla cache.
Cosa sono gli attacchi di spoofing ARP?
Diversi problemi rendono ARP meno sicuro.
- Il protocollo ARP manca di qualsiasi tipo di verifica per confermare che la richiesta provenga da un utente autorizzato. Questo è ciò che consente principalmente attacchi di spoofing ARP.
- Quando viene ricevuta una nuova risposta ARP, le vecchie voci ARP non scadute vengono sovrascritte.
- Anche se non viene inviata alcuna richiesta ARP, gli host memorizzeranno nella cache le risposte poiché ARP è un protocollo stateless.
- ARP funziona solo con IPv4 e su indirizzi IP a 32 bit.
Va bene, quindi qual è lo spoofing ARP o l’avvelenamento ARP?
È un tipo di attacco dannoso in cui il cyberattacker inganna il gateway predefinito per collegare il proprio indirizzo MAC all’indirizzo IP della vittima inviando pacchetti ARP al gateway sulla rete locale (LAN).
A cosa serve solitamente lo spoofing ARP?
Da solo, lo spoofing ARP potrebbe non essere un grosso problema. Invece, di solito serve come avanguardia per i tipi più sofisticati di attacchi come:
- Attacchi man-in-the-middle-L’attaccante intercetta e modifica il traffico tra il mittente e il destinatario. Per saperne di più sugli attacchi MITM.
- Attacchi DDoS – Lo spoofing ARP consente al criminale informatico di utilizzare l’indirizzo MAC del server che desidera attaccare e non il proprio e di lanciare un attacco DDoS. Egli può quindi ripetere che per il maggior numero di indirizzi IP di cui ha bisogno per inondare il traffico.
- Dirottamento di sessione-Lo spoofing ARP consente inoltre all’hacker di ottenere l’ID di sessione della vittima e accedere agli account in cui l’obiettivo ha già effettuato l’accesso.
- Furto di pacchetti continuato-Infine, l’utente malintenzionato può semplicemente continuare a rubare i dati annusando i pacchetti di dati.
Come funzionano gli attacchi di spoofing ARP?
Ora diamo un’occhiata a come questi attacchi funzionano passo dopo passo.
- In primo luogo, l’hacker ottiene l’accesso alla rete LAN e la esegue la scansione per gli indirizzi IP.
- Successivamente, con uno strumento di spoofing ARP, come Arpspoof, l’attaccante crea risposte ARP.
- Quindi, il pacchetto ARP con l’indirizzo MAC dell’hacker viene inviato e accoppiato con l’indirizzo IP del target. Questo inganna il router e il computer per connettersi all’hacker invece che l’uno all’altro.
- Ora la cache ARP viene aggiornata, il che significa che il router e il computer comunicheranno con il criminale informatico.
- Altri host sulla rete trasmetteranno i dati all’utente malintenzionato che vede la cache ARP falsificata.
Si può rilevare ARP Spoofing?
La buona notizia è che sì, è possibile rilevare un attacco di spoofing ARP.
Ci sono diversi modi per farlo.
- Utilizzo del prompt dei comandi di Windows
Se sei su sistema operativo Windows, puoi scoprire se il tuo computer è stato attaccato da ARP spoofing digitando
arp -1
Nella riga di comando.
Ciò che farà è far emergere una tabella ARP con gli indirizzi IP sul lato sinistro e gli indirizzi MAC nel mezzo. Se due indirizzi IP condividono lo stesso indirizzo MAC, questo è un segno di un attacco ARP.
Inoltre, si noti che lo stesso comando per rilevare lo spoofing ARP funziona anche con Linux.
- Utilizzo di un software di terze parti
Se si utilizza un software di terze parti, sono disponibili due opzioni.
Uno è quello di utilizzare un programma di rilevamento ARP spoofing dedicato come XArp per monitorare la rete per gli attacchi ARP spoofing.
L’altro è usare un analizzatore di protocollo di rete come Wireshark.
Come prevenire lo spoofing ARP (e proteggere il tuo indirizzo IP e indirizzo MAC)?
Oltre a utilizzare un software di rilevamento ARP spoofing (o comando), cos’altro si può fare per prevenire tali attacchi?
Ci sono diverse cose che puoi fare, come ad esempio:
- Utilizzare i filtri dei pacchetti per rilevare i pacchetti di dati dannosi e bloccarli.
- Crittografa i dati tra te e l’uscita con una VPN (Virtual Private Network).
- Utilizzare TLS (Transport Layer Security), SSH Secure Shell) e HTTPS per crittografare i dati in transito e ridurre al minimo la probabilità di attacchi di spoofing ARP.
- Usa ARP statico per consentire voci statiche per ogni indirizzo IP e impedire agli hacker di ascoltare le risposte ARP per quell’indirizzo IP.
- Monitorare la risoluzione degli indirizzi utilizzando software di rilevamento delle intrusioni come Suricata.
- Stai lontano dalle relazioni di fiducia che si basano su indirizzi IP per l’autenticazione in quanto rendono più facile condurre attacchi di spoofing ARP.
Conclusione
Come puoi vedere, lo spoofing ARP è sicuramente qualcosa di cui diffidare.
Speriamo che, grazie a questo articolo, ora hai una migliore comprensione degli attacchi di spoofing ARP, come funzionano e come rilevarli e prevenirli.