januari 23, 2022

vad är ARP Spoofing och hur man förhindrar det?

ARP-spoofing är en typ av cyberattack där hackaren skickar ut ett Arp-meddelande (false Address Resolution Protocol) över ett lokalt nätverk (LAN).

i den här artikeln tar vi en titt på ARP-spoofing eller ARP-förgiftning, vad är det, hur det fungerar, hur du kan upptäcka ARP-spoofingattacker och slutligen hur man förhindrar en attack på ARP-protokollet.

så låt oss komma igång.

vad är ARP (Address Resolution Protocol)?

innan vi helt kan förstå ARP-spoofing måste vi förstå ARP-protokollet först.

APR-protokollet ansvarar för att översätta en MAC-adress till en Internetprotokolladress och vice versa.

med andra ord gör Adressupplösningsprotokollet att din dator eller en annan enhet kan kontakta routern och ansluta till nätverket (Internet). Här upprätthåller en värd en ARP-cache eller en kartläggningstabell. Denna Arp-tabell anropas varje gång IP – datapaket skickas mellan värdar på ett LAN, vilket möjliggör bättre anslutningar mellan nätverksdestinationer.

vad händer om en IP-adress inte är känd för värden?

i detta fall skickas en ARP-begäran, vilket betyder ett sändningspaket. Om en dator med den IP-adressen finns (och är ansluten till nätverket) svarar den med sin MAC-adress (Media Access Control) innan den läggs till i cachen.

Vad är ARP Spoofing attacker?

flera problem gör ARP mindre än säkert.

  • Arp-protokollet saknar någon form av verifiering för att bekräfta att begäran kommer från en auktoriserad användare. Detta är vad som främst möjliggör ARP-spoofingattacker.
  • när ett nytt Arp-svar tas emot skrivs gamla, återstående ARP-poster över.
  • även om ingen Arp-begäran skickas, kommer värdar att cache svar eftersom ARP är ett statslöst protokoll.
  • ARP fungerar bara med IPv4 och på 32-bitars IP-adresser.

Okej, så vad är ARP-spoofing eller ARP-förgiftning?

det är en typ av skadlig attack där cyberattackern lurar standardgatewayen för att relatera sin MAC-adress till offrets IP-adress genom att skicka ut ARP-paket till gatewayen på det lokala nätverket (LAN).

vad används ARP-Spoofing vanligtvis för?

på egen hand kan ARP-spoofing inte vara så stor av en affär. Istället fungerar det vanligtvis som en förtrupp för mer sofistikerade typer av attacker som:

  • Man – in-the-middle attacker-angriparen avlyssna och tweaks trafiken mellan avsändaren och mottagaren. Läs mer om MITM-attacker.
  • DDoS-attacker-ARP-spoofing tillåter cyberkriminella att använda MAC-adressen till servern de vill attackera och inte sin egen och att starta en DDoS-attack. Han kan sedan upprepa det för så många IP-adresser som han behöver översvämma trafiken.
  • Session hijacking-ARP spoofing gör det också möjligt för hackaren att få offrets sessions-ID och få åtkomst till konton som målet redan har loggat in på.
  • fortsatt paketstöld-slutligen kan angriparen helt enkelt fortsätta stjäla dina data genom att sniffa dina datapaket.

Hur fungerar ARP-Spoofingattacker?

låt oss nu ta en titt på hur dessa attacker fungerar Steg för steg.

  1. först får hackaren tillgång till LAN-nätverket och skannar det efter IP-adresser.
  2. nästa, med ett Arp-spoofingverktyg, som Arpspoof, skapar angriparen ARP-svar.
  3. sedan skickas ARP-paketet med hackarens MAC-adress och paras ihop med målets IP-adress. Detta lurar routern och datorn att ansluta till hackaren istället för till varandra.
  4. nu uppdateras ARP-cachen, vilket betyder att routern och datorn kommer att kommunicera med cyberkriminalen.
  5. andra värdar i nätverket sänder sedan data till angriparen som ser den falska ARP-cachen.

kan du upptäcka ARP Spoofing?

den goda nyheten är att ja, du kan upptäcka en ARP-spoofing-attack.

det finns flera sätt att göra detta.

  • använda Windows Command Prompt

om du använder Windows OS kan du ta reda på om din dator attackeras av ARP-spoofing genom att skriva

arp -1

i kommandoraden.

vad detta kommer att göra är att ta fram en ARP-tabell med IP-adresserna på vänster sida och MAC-adresserna i mitten. Om två IP-adresser delar samma MAC-adress är detta ett tecken på en ARP-attack.

Observera också att samma kommando för att upptäcka ARP-spoofing också fungerar med Linux.

  • använda en 3: e parts programvara

om du använder 3: e parts programvara finns det två alternativ tillgängliga.

en är att använda ett dedikerat ARP-spoofingdetekteringsprogram som XArp för att övervaka nätverket för ARP-spoofingattacker.

den andra är att använda en nätverksprotokollanalysator som Wireshark.

Hur förhindrar du ARP-Spoofing (och skyddar din IP-adress och MAC-adress)?

förutom att använda en ARP spoofing detection software (eller kommando), vad mer kan du göra för att förhindra sådana attacker?

det finns flera saker du kan göra, till exempel:

  1. använd paketfilter för att upptäcka skadliga datapaket och blockera dem.
  2. kryptera data mellan dig och utgången med ett VPN (virtuellt privat nätverk).
  3. Använd TLS (Transport Layer Security), SSH Secure Shell) och HTTPS för att kryptera dina data-in-transit och minimera sannolikheten för ARP spoofing attacker.
  4. använd statisk ARP för att tillåta statiska poster för varje IP-adress och förhindra hackare att lyssna på ARP-svar för den IP-adressen.
  5. övervaka adressupplösning med hjälp av intrångsdetekteringsprogram som Suricata.
  6. Håll dig borta från förtroendeförhållanden som är beroende av IP-adresser för autentisering eftersom de gör det lättare att utföra ARP-spoofingattacker.

slutsats

som du kan se är ARP-spoofing definitivt något att vara försiktig med.

förhoppningsvis, tack vare den här artikeln, har du nu en bättre förståelse för ARP-spoofingattacker, hur de fungerar och hur man upptäcker och förhindrar dem.

Lämna ett svar

Din e-postadress kommer inte publiceras.