Janeiro 23, 2022

o que é ARP Spoofing e como evitá-lo?

ARP spoofing é um tipo de ciberataque no qual o hacker envia uma mensagem de Protocolo de resolução de endereço falso (ARP) através de uma rede local (LAN).

neste artigo, vamos dar uma olhada em spoofing ARP, ou envenenamento ARP, o que é, como funciona, como você pode detectar ataques de spoofing ARP e, finalmente, como evitar um ataque ao protocolo ARP.

então vamos começar.

o que é ARP (Address Resolution Protocol)?

antes que possamos entender completamente a falsificação de ARP, precisamos entender o protocolo ARP primeiro.

o protocolo APR é responsável por traduzir um endereço MAC em um endereço de Protocolo da Internet e vice-versa.

em outras palavras, o protocolo de resolução de Endereço permite que seu computador ou outro dispositivo entre em contato com o roteador e se conecte à rede (Internet). Aqui, um host mantém um cache ARP ou uma tabela de mapeamento. Esta tabela ARP é chamada toda vez que pacotes de dados IP são enviados entre hosts em uma LAN, o que permite melhores conexões entre destinos de rede.

o que acontece se um endereço IP não for conhecido pelo host?

neste caso, uma solicitação ARP é enviada, o que significa um pacote de transmissão. Se um computador com esse endereço IP existir (e estiver conectado à rede), ele responderá com seu endereço MAC (Media Access Control) antes de ser adicionado ao cache.

o que são ataques de Spoofing ARP?

vários problemas tornam o ARP menos seguro.

  • o protocolo ARP carece de qualquer tipo de verificação para confirmar que a solicitação é originária de um usuário autorizado. Isso é o que permite principalmente ataques de spoofing ARP.
  • quando uma nova resposta ARP é recebida, as entradas ARP antigas e não expiradas são substituídas.
  • mesmo que nenhuma solicitação ARP seja enviada, os hosts armazenarão em cache as respostas, pois o ARP é um protocolo sem estado.
  • ARP só funciona com IPv4 e em endereços IP de 32 bits.

Ok, então o que é ARP spoofing ou ARP envenenamento?

é um tipo de ataque malicioso no qual o cyberattacker engana o gateway padrão para relacionar seu endereço MAC ao endereço IP da vítima enviando pacotes ARP para o gateway na rede local (LAN).

para que é geralmente usada a falsificação de ARP?

por conta própria, a falsificação de ARP pode não ser tão grande. Em vez disso, geralmente serve como vanguarda para tipos mais sofisticados de ataques, como:

  • ataques Man-in – the-middle-o atacante intercepta e ajusta o tráfego entre o remetente e o destinatário. Leia mais sobre os ataques MITM.
  • ataques DDoS – ARP spoofing permite que o cibercriminoso use o endereço MAC do servidor que deseja atacar e não o seu próprio e inicie um ataque DDoS. Ele pode então repetir isso para tantos endereços IP quanto ele precisa para inundar o tráfego.
  • Session hijacking – ARP spoofing também permite que o hacker obtenha o ID da sessão da vítima e acesse as contas nas quais o alvo já se conectou.
  • roubo contínuo de pacotes-finalmente, o invasor pode simplesmente continuar roubando seus dados farejando seus pacotes de dados.

como funcionam os ataques de Spoofing ARP?

agora vamos dar uma olhada em como esses ataques funcionam passo a passo.

  1. primeiro, o hacker obtém acesso à rede LAN e verifica se há endereços IP.
  2. em seguida, com uma ferramenta de spoofing ARP, como Arpspoof, o invasor cria respostas ARP.
  3. então, o pacote ARP com o endereço MAC do hacker é enviado e emparelhado com o endereço IP do alvo. Isso engana o roteador e o computador para se conectar ao hacker em vez de um ao outro.
  4. agora o cache ARP é atualizado, o que significa que o roteador e o computador se comunicarão com o cibercriminoso.
  5. outros hosts na rede transmitirão dados para o invasor vendo o cache ARP falsificado.

você pode detectar Spoofing ARP?

a boa notícia é que sim, você pode detectar um ataque de spoofing ARP.

existem várias maneiras de fazer isso.

  • Usando o Prompt de Comando do Windows

Se você estiver no sistema operacional Windows, você pode descobrir se o seu computador atacado por ARP spoofing digitando

arp -1

Na linha de comando.

o que isso fará é trazer uma tabela ARP com os endereços IP no lado esquerdo e os endereços MAC no meio. Se dois endereços IP compartilharem o mesmo endereço MAC, isso é um sinal de um ataque ARP.

além disso, observe que o mesmo comando para detectar spoofing ARP também funciona com Linux.

  • usando um software de terceiros

se você estiver usando software de terceiros, existem duas opções disponíveis.

um é usar um programa de detecção de spoofing ARP dedicado, como o XArp, para monitorar a rede para ataques de spoofing ARP.

o outro é usar um analisador de Protocolo de rede como o Wireshark.

como evitar a falsificação de ARP (e proteger seu endereço IP e endereço MAC)?

além de usar um software de detecção de spoofing ARP (ou comando), o que mais você pode fazer para evitar tais ataques?

existem várias coisas que você pode fazer, como:

  1. use filtros de pacotes para detectar pacotes de dados maliciosos e bloqueá-los.
  2. criptografe os dados entre você e a saída com uma VPN (Rede Privada Virtual).
  3. Use TLS (Transport Layer Security), SSH Secure Shell) e HTTPS para criptografar seus dados em trânsito e minimizar a probabilidade de ataques de falsificação de ARP.
  4. Use ARP estático para permitir entradas estáticas para cada endereço IP e impedir que hackers ouçam as respostas ARP para esse endereço IP.
  5. resolução do endereço do Monitor usando software de detecção de intrusão como Suricata.
  6. fique longe de relacionamentos de confiança que dependem de endereços IP para Autenticação, pois facilitam a realização de ataques de falsificação de ARP.

Conclusão

Como você pode ver, ARP spoofing é definitivamente algo para ser cauteloso.

espero que, graças a este artigo, agora você tenha uma melhor compreensão dos ataques de falsificação de ARP, como eles funcionam e como detectá-los e evitá-los.

Deixe uma resposta

O seu endereço de email não será publicado.