Hvad er ARP-spoofing?

I et ARP-spoofing-angreb sender en hacker falske ARP-meddelelser(Address Resolution Protocol) for at narre andre enheder til at tro, at de taler med en anden person. Hackeren kan opsnappe og overvåge data, mens de strømmer mellem to enheder.

Cyberkriminalitet er steget alarmerende som følge af den enorme vækst i brugen af computere og netværk til kommunikation. Hackere og uetiske angreb på netværk udgør en konstant trussel mod at stjæle oplysninger og skabe digital ødelæggelse.

I de sidste par måneder har vi set udtrykket "ARP spoofing" dukke op en del i nyhederne, og det er en teknik, der gør det muligt for hackere at opsnappe trafikken mellem to enheder på et netværk.

What is ARP?

What is ARP? ARP stands for Address Resolution Protocol. It is a protocol used to map a network address, such as an IP address, to a physical (MAC) address on a local network. This is necessary because IP addresses are used for routing packets at the network layer, while MAC addresses are used for actually forwarding the packets on a specific link. ARP allows a device to determine the MAC address of another device on the same network, based on its IP address.

When a device wants to communicate with another device on the same network, it needs to know the MAC address of the destination device. ARP allows the device to broadcast a message on the local network, asking for the MAC address corresponding to a specific IP address. The device with that IP address will respond with its MAC address, allowing the first device to communicate directly with it.

ARP is a stateless protocol, meaning that it doesn’t maintain a table of mapping between IP and MAC addresses. Each time a device needs to communicate with another device on the network, it sends an ARP request to resolve the other device’s MAC address.

It’s worth mentioning that ARP is used in IPv4 networks, in IPv6 networks, a similar protocol is called Neighbor Discovery Protocol (NDP).

Hvordan fungerer ARP-spoofing?

Et ARP-spoofing-angreb kan udføres på en af to måder.

I den første metodevil en hacker tage sig god tid med at vente på at få adgang til ARP-forespørgslerne for en bestemt enhed. Der sendes et øjeblikkeligt svar efter modtagelse af ARP-anmodningen. Netværket vil ikke straks genkende denne strategi, fordi den er skjult. Med hensyn til virkning har den ikke meget negativ effekt, og dens rækkevidde er meget snæver.

I den anden metodespreder hackere en uautoriseret meddelelse, der er kendt som "gratuitous ARP". Denne leveringsmetode kan have en øjeblikkelig virkning på mange enheder på én gang. Men husk, at den også vil generere en masse netværkstrafik, som vil være udfordrende at administrere.

Hvem bruger ARP-spoofing?

Hackere har brugt ARP-spoofing siden 1980'erne. Hackerangreb kan være bevidste eller impulsive. Denial-of-service-angreb er eksempler på planlagte angreb, mens tyveri af oplysninger fra et offentligt WiFi-netværk er et eksempel på opportunisme. Disse angreb kan undgås, men de udføres regelmæssigt, da de er enkle ud fra et teknisk og omkostningsmæssigt synspunkt.

ARP-spoofing kan dog også bruges til hæderlige formål. Ved bevidst at indsætte en tredje vært mellem to værter kan programmører bruge ARP-spoofing til at analysere netværksdata. Etiske hackere kopierer ARP cache poisoning-angreb for at sikre, at netværkene er sikre mod sådanne angreb.

Hvad er formålet med et ARP-spoofing-angreb?

Hovedformålene med ARP-spoofing-angreb er:

  • at udsende flere ARP-svar i hele netværket
  • at indsætte falske adresser i switch MAC-adressetabeller
  • at MAC-adresser ikke er knyttet korrekt til IP-adresser
  • at sende for mange ARP-forespørgsler til netværksværter

Når et ARP-spoofing-angreb er vellykket, kan angriberen:

  • Fortsæt med at videresende meddelelserne som hidtil: Medmindre de sendes over en krypteret kanal som HTTPS, kan angriberen sniffe pakkerne og stjæle dataene.
  • Udføre session hijacking: Hvis angriberen får fat i et sessions-id, kan de få adgang til brugerens aktive konti.
  • Distributed Denial of Service (DDoS): I stedet for at bruge deres egen maskine til at iværksætte et DDoS-angreb kan angriberne angive MAC-adressen på en server, som de ønsker at angribe. Målserveren vil blive oversvømmet med trafik, hvis de udfører dette angreb mod flere IP-adresser.
  • Forandringskommunikation: Download af en skadelig webside eller fil til arbejdsstationen.

Hvordan registrerer man ARP-spoofing?

Hvis du vil opdage ARP-spoofing, skal du kontrollere din konfigurationshåndtering og din software til automatisering af opgaver. Du kan finde din ARP-cache lige her. Du kan være mål for et angreb, hvis to IP-adresser har den samme MAC-adresse. Hackere anvender ofte spoofing-software, som sender meddelelser, der hævder at være standardgatewayens adresse.

Det er også tænkeligt, at denne malware overbeviser sit offer om at erstatte standardgatewayens MAC-adresse med en anden. Du skal kontrollere ARP-trafikken for mærkelig aktivitet i denne situation. Uopfordrede meddelelser, der hævder at eje routerens MAC- eller IP-adresse, er normalt den mærkelige type trafik. Uønsket kommunikation kan derfor være et symptom på et ARP-spoofing-angreb.

Hvordan beskytter du dine systemer mod ARP-spoofing?

ARP poisoning kan undgås på flere måder, som hver især har fordele og ulemper. 

Statiske ARP-indtastninger

Kun mindre netværk bør anvende denne metode på grund af den betydelige administrative byrde. Den indebærer, at der skal tilføjes en ARP-record for hver computer og for hver maskine på netværket.

Da computerne kan ignorere ARP-svar, hjælper det med at forhindre forsøg på at forfalske en maskine med statiske IP- og MAC-adresser. Desværre vil denne metode kun beskytte dig mod lettere angreb.

Filtre til pakker

ARP-pakker indeholder afsenderens og modtagerens IP-adresser og MAC-adresser. Disse pakker sendes over Ethernet-netværk. Pakkefiltre kan blokere ARP-pakker, der ikke indeholder gyldige kilde- eller destinations-MAC-adresser eller IP-adresser.

Foranstaltninger til sikring af havne

Portsikkerhedsforanstaltninger sikrer, at kun godkendte enheder kan oprette forbindelse til en bestemt port på en enhed. Antag f.eks. at en computer har fået tilladelse til at oprette forbindelse med HTTP-tjenesten på port 80 på en server. I så fald vil den ikke tillade andre computere at oprette forbindelse til HTTP-tjenesten på port 80 på den samme server, medmindre de tidligere er blevet godkendt.

VPN-tjenester

Virtuelle private netværk (VPN) giver sikker kommunikation over internettet. Når brugerne bruger VPN, krypteres deres internettrafik og sendes gennem en mellemliggende server. Krypteringen gør det meget vanskeligt for angribere at aflytte kommunikationen. De fleste moderne VPN'er implementerer DNS-lækagebeskyttelse, der sikrer, at der ikke lækkes trafik gennem dine DNS-forespørgsler.

Kryptering

Kryptering er en af de bedste måder at beskytte sig mod ARP-spoofing på. Du kan bruge VPN-tjenester eller krypterede tjenester som HTTPS, SSH og TLS. Disse metoder er dog ikke idiotsikre og giver ikke en stærk beskyttelse mod alle typer angreb.

Indpakning

En kombination af forebyggelses- og detektionsteknologier er den ideelle strategi, hvis du vil beskytte dit netværk mod risikoen for ARP-poisoning. Selv det mest sikre miljø kan blive angrebet, da de forebyggende strategier ofte har fejl under særlige omstændigheder.

Hvis der også er aktive detektionsteknologier på plads, vil du være opmærksom på ARP-forgiftning, så snart den begynder. Du kan typisk stoppe disse angreb, før der er sket stor skade, hvis din netværksadministrator reagerer hurtigt efter at være blevet informeret.

Når du beskytter dig mod andre typer spoofing-angreb som f.eks. direkte domæne-spoofing, kan du bruge en DMARC-analysator til at godkende afsendere og træffe foranstaltninger mod dårlige e-mails.