ianuarie 23, 2022

ce este Spoofing-ul ARP și cum să îl preveniți?

spoofing-ul ARP este un tip de atac cibernetic în care hackerul trimite un mesaj fals Address Resolution Protocol (ARP) printr-o rețea locală (LAN).

în acest articol, vom arunca o privire asupra spoofing-ului ARP sau otrăvirii ARP, ce este, cum funcționează, cum puteți detecta atacurile de spoofing ARP și, în final, cum să preveniți un atac asupra protocolului arp.

deci, să începem.

ce este Arp (Address Resolution Protocol)?

înainte de a putea înțelege pe deplin falsificarea ARP, trebuie să înțelegem mai întâi protocolul arp.

protocolul APR este responsabil pentru traducerea unei adrese MAC într-o adresă de Protocol Internet și invers.

cu alte cuvinte, Protocolul de rezoluție a adresei permite computerului sau altui dispozitiv să contacteze routerul și să se conecteze la rețea (Internet). Aici, o gazdă menține o memorie cache ARP sau un tabel de mapare. Acest tabel ARP este apelat de fiecare dată când pachetele de date IP sunt trimise între gazde pe o rețea LAN, ceea ce permite conexiuni mai bune între destinațiile de rețea.

ce se întâmplă dacă o adresă IP nu este cunoscută gazdei?

în acest caz, este trimisă o solicitare ARP, adică un pachet de difuzare. Dacă există un computer cu acea adresă IP (și este conectat la rețea), acesta răspunde cu adresa MAC (Media Access Control) înainte de a fi adăugat în memoria cache.

ce sunt atacurile de Spoofing ARP?

mai multe probleme fac ARP mai puțin sigur.

  • protocolul ARP nu are nici un fel de verificare pentru a confirma că cererea provine de la un utilizator autorizat. Aceasta este ceea ce permite în primul rând atacuri de spoofing ARP.
  • când se primește un răspuns ARP nou, intrările ARP vechi, neexpirate, devin suprascrise.
  • chiar dacă nu este trimisă nicio solicitare ARP, gazdele vor memora în cache răspunsurile, deoarece ARP este un protocol apatrid.
  • ARP funcționează numai cu IPv4 și pe adrese IP pe 32 de biți.

bine, deci ce este falsificarea ARP sau otrăvirea ARP?

este un tip de atac rău intenționat în care cyberattacker-ul păcălește gateway-ul implicit pentru a-și raporta adresa MAC la adresa IP a victimei, trimițând pachete ARP către gateway-ul din rețeaua locală (LAN).

pentru ce se folosește de obicei Spoofingul ARP?

pe cont propriu, ARP spoofing nu ar putea fi atât de mare de o afacere. În schimb, servește de obicei ca avangardă pentru tipuri mai sofisticate de atacuri, cum ar fi:

  • atacuri Man-in-the-middle-atacatorul interceptează și modifică traficul dintre expeditor și destinatar. Cititi mai multe despre atacurile MITM.
  • atacuri DDoS – ARP spoofing permite infractorilor cibernetici să folosească adresa MAC a serverului pe care doresc să îl atace și nu a lor și să lanseze un atac DDoS. Apoi poate repeta asta pentru cât mai multe adrese IP de care are nevoie pentru a inunda traficul.
  • deturnarea sesiunii – spoofingul ARP permite, de asemenea, hackerului să obțină ID-ul sesiunii victimei și să acceseze conturile la care ținta s-a conectat deja.
  • furt continuu de pachete – în cele din urmă, atacatorul poate continua pur și simplu să vă fure datele prin adulmecarea pachetelor de date.

cum funcționează atacurile de Spoofing ARP?

acum să aruncăm o privire la modul în care aceste atacuri funcționează pas cu pas.

  1. în primul rând, hackerul obține acces la rețeaua LAN și o scanează pentru adrese IP.
  2. apoi, cu un instrument de spoofing ARP, cum ar fi arpspoof, atacatorul creează răspunsuri arp.
  3. apoi, pachetul ARP cu adresa MAC a hackerului este trimis și asociat cu adresa IP a țintei. Acest lucru păcălește routerul și computerul să se conecteze la hacker în loc să se conecteze unul la celălalt.
  4. acum cache-ul ARP este actualizat, ceea ce înseamnă că routerul și computerul vor comunica cu infractorul cibernetic.
  5. alte gazde din rețea vor transmite apoi date atacatorului care văd cache-ul ARP falsificat.

puteți detecta falsificarea Arp?

vestea bună este că da, puteți detecta un atac de spoofing ARP.

există mai multe moduri în care puteți face acest lucru.

  • utilizarea promptului de comandă Windows

dacă sunteți pe sistemul de operare Windows, puteți afla dacă computerul dvs. a fost atacat de spoofing ARP tastând

Arp -1

în linia de comandă.

ce va face acest lucru este să scoateți un tabel ARP cu adresele IP din partea stângă și adresele MAC din mijloc. Dacă două adrese IP partajează aceeași adresă MAC, acesta este un semn al unui atac ARP.

de asemenea, rețineți că aceeași comandă pentru detectarea falsificării ARP funcționează și cu Linux.

  • utilizarea unui software 3rd-party

dacă utilizați software 3rd-party, există două opțiuni disponibile.

unul este să folosiți un program dedicat de detectare a spoofing-ului ARP, cum ar fi XArp, pentru a monitoriza rețeaua pentru atacuri de spoofing arp.

cealaltă este de a utiliza un analizor de protocol de rețea ca Wireshark.

cum să preveniți falsificarea ARP (și să vă protejați adresa IP și adresa MAC)?

pe lângă utilizarea unui software de detectare ARP spoofing (sau Comandă), ce altceva puteți face pentru a preveni astfel de atacuri?

există mai multe lucruri pe care le puteți face, cum ar fi:

  1. Utilizați filtre de pachete pentru a detecta pachetele de date rău intenționate și a le bloca.
  2. criptați datele dintre dvs. și ieșire cu un VPN (rețea privată virtuală).
  3. utilizați TLS (Transport Layer Security), SSH Secure Shell) și HTTPS pentru a cripta datele dvs. în tranzit și pentru a minimiza probabilitatea atacurilor de falsificare ARP.
  4. utilizați ARP static pentru a permite intrările statice pentru fiecare adresă IP și pentru a împiedica hackerii să asculte răspunsurile ARP pentru acea adresă IP.
  5. monitorizați rezoluția adresei utilizând software-ul de detectare a intruziunilor, cum ar fi Suricata.
  6. stai departe de relațiile de încredere care se bazează pe adresele IP pentru autentificare, deoarece facilitează efectuarea atacurilor de spoofing arp.

concluzie

după cum puteți vedea, spoofing-ul ARP este cu siguranță ceva de care să fiți atenți.

sperăm că, datorită acestui articol, aveți acum o mai bună înțelegere a atacurilor de spoofing ARP, a modului în care funcționează și a modului de detectare și prevenire a acestora.

Lasă un răspuns

Adresa ta de email nu va fi publicată.