ARPスプーフィングとは何ですか?
ARPスプーフィングは、ハッカーがローカルエリアネットワーク(LAN)を介して偽のアドレス解決プロトコル(ARP)メッセージを送信するサイバー攻撃の一種です。
この記事では、ARPスプーフィング、またはARPポイズニング、それは何ですか、それがどのように動作するか、ARPスプーフィング攻撃を検出する方法、最後にARPプ
だから始めましょう。
ARP(Address Resolution Protocol)とは何ですか?
ARPスプーフィングを完全に理解する前に、まずARPプロトコルを理解する必要があります。
APRプロトコルは、MACアドレスをインターネットプロトコルアドレスに変換し、その逆も行います。
つまり、アドレス解決プロトコルは、コンピュータまたは他のデバイスがルータに接続し、ネットワーク(インターネット)に接続することを可能にします。 ここでは、ホストはARPキャッシュ、またはマッピングテーブルを維持します。 このARPテーブルは、LAN上のホスト間でIPデータパケットが送信されるたびに呼び出され、ネットワーク宛先間のより良い接続が可能になります。
IPアドレスがホストに知られていない場合はどうなりますか?
この場合、ブロードキャストパケットを意味するARP要求が送信されます。 そのIPアドレスを持つコンピュータが存在する場合(およびネットワークに接続されている場合)、キャッシュに追加される前にメディアアクセス制御(MAC)
ARPなりすまし攻撃とは何ですか?
いくつかの問題により、ARPは安全ではありません。
- ARPプロトコルには、要求が許可されたユーザーからのものであることを確認するための検証がありません。 これは、主にARPスプーフィング攻撃を可能にするものです。
- 新しいARP応答を受信すると、古い有効期限のないARPエントリが上書きされます。
- ARP要求が送信されなくても、ARPはステートレスプロトコルであるため、ホストは応答をキャッシュします。
- ARPは、Ipv4および32ビットIPアドレスでのみ動作します。
さて、ARPスプーフィングやARP中毒とは何ですか?
これは、サイバー攻撃者がローカルエリアネットワーク(LAN)上のゲートウェイにARPパケットを送信することにより、被害者のIPアドレスに自分のMACアドレスを関
通常使用されるARPスプーフィングとは何ですか?
それだけでは、ARPのなりすましはそれほど大したことではないかもしれません。 代わりに、それは通常、次のようなより洗練されたタイプの攻撃の先駆者として機能します:
- Man-in-the–middle attacks-攻撃者は、送信者と受信者の間のトラフィックを傍受して調整します。 MITM攻撃についての詳細を読みます。
- DDoS攻撃–ARPスプーフィングにより、サイバー犯罪者は自分ではなく攻撃したいサーバーのMACアドレスを使用し、DDoS攻撃を開始することができます。 彼はそれから彼が交通にあふれさせる必要があると同様に多くのIPアドレスのためのそれを繰り返すことができる。
- セッションハイジャック–ARPスプーフィングにより、ハッカーは被害者のセッションIDを取得し、ターゲットがすでにログインしているアカウントにアクセ
- 継続的なパケット盗難–最後に、攻撃者は単にデータパケットを盗聴することによってデータを盗み続けることができます。
ARPスプーフィング攻撃はどのように機能しますか?
それでは、これらの攻撃がどのように機能するかを段階的に見てみましょう。
- まず、ハッカーはLANネットワークにアクセスし、IPアドレスをスキャンします。
- 次に、ArpspoofなどのARPスプーフィングツールを使用して、攻撃者はARP応答を作成します。
- その後、ハッカーのMACアドレスを持つARPパケットが送信され、ターゲットのIPアドレスとペアになります。 これは、ルータとコンピュータを馬鹿にして、お互いの代わりにハッカーに接続します。
- これでARPキャッシュが更新され、ルーターとコンピュータはサイバー犯罪者と通信することになります。
- ネットワーク上の他のホストは、偽装されたARPキャッシュを見て攻撃者にデータをブロードキャストします。
ARPスプーフィングを検出できますか?
良いニュースは、はい、あなたはARPスプーフィング攻撃を検出できるということです。
これにはいくつかの方法があります。
- Windowsコマンドプロンプトを使用して
Windows OSを使用している場合は、コマンドラインで
arp-1
と入力することで、コンピュータがARPスプーフィングによっ
これが行うことは、左側にIPアドレスと中央にMACアドレスを持つARPテーブルを引き出すことです。 2つのIPアドレスが同じMACアドレスを共有する場合、これはARP攻撃の兆候です。
また、ARPスプーフィングを検出するための同じコマンドがLinuxでも動作することに注意してください。
- サードパーティ製のソフトウェアを使用する
サードパーティ製のソフトウェアを使用する場合は、二つのオプションがあります。
1つは、XARPなどの専用のARPスプーフィング検出プログラムを使用して、ARPスプーフィング攻撃のネットワークを監視することです。
もう一つは、Wiresharkのようなネットワークプロトコルアナライザを使用することです。
ARPのなりすましを防ぐ(およびIPアドレスとMACアドレスを保護する)方法は?
ARPスプーフィング検出ソフトウェア(またはコマンド)を使用する以外に、そのような攻撃を防ぐために他に何ができますか?
次のようにできることがいくつかあります:
- パケットフィルタを使用して、悪意のあるデータパケットを検出し、それらをブロックします。
- あなたと出口の間のデータをVPN(仮想プライベートネットワーク)で暗号化します。
- TLS(Transport Layer Security)、SSH Secure Shell、およびHTTPSを使用して、転送中のデータを暗号化し、ARPなりすまし攻撃の可能性を最小限に抑えます。
- 静的ARPを使用して、各IPアドレスの静的エントリを許可し、ハッカーがそのIPアドレスのARP応答をリッスンするのを防ぎます。
- Suricataなどの侵入検知ソフトウェアを使用してアドレス解決を監視します。
- 認証のためにIPアドレスに依存する信頼関係は、ARPスプーフィング攻撃を容易にするため、離れて滞在します。
結論
ご覧のように、ARPスプーフィングは間違いなく警戒すべきものです。
うまくいけば、この記事のおかげで、あなたは今、ARPスプーフィング攻撃のより良い理解を持っている、彼らはどのように動作し、それらを検出し、防止す