co to jest ARP Spoofing i jak temu zapobiec?
ARP spoofing to rodzaj cyberataku, w którym haker wysyła wiadomość ARP (false Address Resolution Protocol) przez sieć lokalną (LAN).
w tym artykule przyjrzymy się spoofingowi ARP lub zatruciu ARP, co to jest, jak działa, jak można wykryć ataki spoofingu ARP i wreszcie, jak zapobiec atakowi na protokół ARP.
więc zaczynajmy.
co to jest ARP (Address Resolution Protocol)?
zanim będziemy mogli w pełni zrozumieć fałszowanie ARP, musimy najpierw zrozumieć protokół ARP.
protokół APR jest odpowiedzialny za tłumaczenie adresu MAC na adres protokołu internetowego i odwrotnie.
innymi słowy, protokół rozdzielczości adresu umożliwia komputerowi lub innemu urządzeniu kontakt z routerem i połączenie z siecią (Internet). Tutaj host utrzymuje bufor ARP lub tabelę mapowania. Ta tabela ARP jest wywoływana za każdym razem, gdy pakiety danych IP są wysyłane między hostami w sieci LAN, co umożliwia lepsze połączenia między celami sieciowymi.
co się stanie, jeśli adres IP nie jest znany hostowi?
w tym przypadku wysyłane jest żądanie ARP, co oznacza pakiet nadawczy. Jeśli komputer z tym adresem IP istnieje (i jest podłączony do sieci), odpowiada za pomocą adresu Media Access Control (MAC), zanim zostanie dodany do pamięci podręcznej.
czym są ataki ARP Spoofing?
kilka problemów sprawia, że ARP jest mniej niż Bezpieczny.
- protokół ARP nie ma żadnej weryfikacji w celu potwierdzenia, że żądanie pochodzi od autoryzowanego użytkownika. To jest to, co przede wszystkim umożliwia ataki spoofing ARP.
- po otrzymaniu nowej odpowiedzi ARP, stare, niewykorzystane wpisy ARP zostają nadpisane.
- nawet jeśli nie zostanie wysłane żadne żądanie ARP, hosty będą buforować odpowiedzi, ponieważ ARP jest protokołem bezstanowym.
- ARP działa tylko z IPv4 i na 32-bitowych adresach IP.
dobra, więc co to jest ARP spoofing czy ARP truting?
jest to rodzaj złośliwego ataku, w którym cyberatak oszukuje domyślną bramę, aby powiązać swój adres MAC z adresem IP ofiary, wysyłając pakiety ARP do bramy w sieci lokalnej (LAN).
do czego zwykle służy Spoofing ARP?
sam w sobie spoofing ARP może nie być taki duży. Zamiast tego zwykle służy jako awangarda dla bardziej wyrafinowanych typów ataków, takich jak:
- ataki typu Man-in-the-middle-atakujący przechwytuje i poprawia ruch między nadawcą a odbiorcą. Przeczytaj więcej o atakach MITM.
- ataki DDoS-ARP spoofing pozwala cyberprzestępcy użyć adresu MAC serwera, który chce zaatakować, a nie własnego, i uruchomić atak DDoS. Następnie może powtórzyć to dla tylu adresów IP, ile potrzebuje, aby zalać ruch.
- session hijacking – ARP spoofing pozwala również hakerowi uzyskać identyfikator sesji ofiary i dostęp do kont, na które cel już się zalogował.
- ciągła kradzież pakietów-wreszcie, atakujący może po prostu kontynuować kradzież danych, wąchając pakiety danych.
jak działają ataki Spoofing ARP?
teraz przyjrzyjmy się, jak te ataki działają krok po kroku.
- najpierw haker uzyskuje dostęp do sieci LAN i skanuje ją w poszukiwaniu adresów IP.
- następnie, za pomocą narzędzia do fałszowania ARP, takiego jak Arpspoof, atakujący tworzy odpowiedzi ARP.
- następnie przesyłany jest pakiet ARP z adresem MAC hakera i sparowany z adresem IP celu. To oszukuje router i komputer, aby połączyć się z hakerem, a nie ze sobą.
- teraz pamięć podręczna ARP zostaje zaktualizowana, co oznacza, że router i komputer będą komunikować się z cyberprzestępcą.
- inne hosty w sieci będą następnie transmitować dane do atakującego, który widzi fałszywą pamięć podręczną ARP.
czy można wykryć Spoofing ARP?
dobrą wiadomością jest to, że tak, możesz wykryć atak spoofing ARP.
można to zrobić na kilka sposobów.
- używając wiersza poleceń Windows
jeśli korzystasz z systemu operacyjnego Windows, możesz sprawdzić, czy Twój komputer został zaatakowany przez fałszowanie ARP, wpisując
arp -1
w wierszu poleceń.
spowoduje to wyświetlenie tabeli ARP z adresami IP po lewej stronie i adresami MAC w środku. Jeśli dwa adresy IP mają ten sam adres MAC, oznacza to atak ARP.
zauważ również, że to samo polecenie do wykrywania fałszowania ARP działa również z Linuksem.
- Korzystanie z oprogramowania innych firm
jeśli używasz oprogramowania innych firm, dostępne są dwie opcje.
jednym z nich jest użycie dedykowanego programu do wykrywania spoofingu ARP, takiego jak XArp, do monitorowania sieci pod kątem ataków spoofingu ARP.
drugim jest użycie analizatora protokołów sieciowych, takiego jak Wireshark.
jak zapobiec fałszowaniu ARP (i chronić swój adres IP i adres MAC)?
oprócz używania oprogramowania do wykrywania spoofingu ARP (lub polecenia), co jeszcze możesz zrobić, aby zapobiec takim atakom?
jest kilka rzeczy, które możesz zrobić, takich jak:
- Użyj filtrów pakietów, aby wykryć szkodliwe pakiety danych i zablokować je.
- Szyfruj dane między tobą a wyjściem za pomocą VPN (Virtual Private Network).
- użyj TLS (Transport Layer Security), SSH Secure Shell) i HTTPS, aby zaszyfrować przesyłane dane i zminimalizować prawdopodobieństwo ataków podszywających się pod ARP.
- użyj statycznego ARP, aby zezwolić na statyczne wpisy dla każdego adresu IP i uniemożliwić hakerom słuchanie odpowiedzi ARP dla tego adresu IP.
- Monitoruj rozdzielczość adresów za pomocą oprogramowania do wykrywania włamań, takiego jak Suricata.
- trzymaj się z dala od relacji zaufania, które polegają na adresach IP do uwierzytelniania, ponieważ ułatwiają przeprowadzanie ataków spoofingu ARP.
podsumowanie
jak widać, spoofing ARP jest zdecydowanie czymś, na co należy uważać.
miejmy nadzieję, że dzięki temu artykułowi lepiej zrozumiesz ataki ARP spoofing, jak działają oraz jak je wykrywać i zapobiegać.