ARP-spoofing: Hvad er formålet med et ARP-spoofing-angreb?
I et ARP-spoofing-angreb sender en hacker falske ARP-meddelelser(Address Resolution Protocol) for at narre andre enheder til at tro, at de taler med en anden person. Hackeren kan opsnappe og overvåge data, mens de strømmer mellem to enheder.
Cyberkriminalitet er steget alarmerende som følge af den enorme vækst i brugen af computere og netværk til kommunikation. Hackere og uetiske angreb på netværk udgør en konstant trussel mod at stjæle oplysninger og skabe digital ødelæggelse.
I de sidste par måneder har vi set udtrykket "ARP spoofing" dukke op en del i nyhederne, og det er en teknik, der gør det muligt for hackere at opsnappe trafikken mellem to enheder på et netværk.
Hvad er ARP?
Hvad er ARP? ARP står for Address Resolution Protocol. Det er en protokol, der bruges til at mappe en netværksadresse, f.eks. en IP-adresse, til en fysisk (MAC-) adresse på et lokalt netværk. Dette er nødvendigt, fordi IP-adresser bruges til at videresende pakker i netværkslaget, mens MAC-adresser bruges til rent faktisk at videresende pakkerne på et bestemt link. ARP gør det muligt for en enhed at bestemme MAC-adressen på en anden enhed på det samme netværk på grundlag af dens IP-adresse.
Når en enhed ønsker at kommunikere med en anden enhed på det samme netværk, skal den kende MAC-adressen på destinationsenheden. ARP gør det muligt for enheden at udsende en meddelelse på det lokale netværk, hvor den beder om den MAC-adresse, der svarer til en bestemt IP-adresse. Enheden med den pågældende IP-adresse svarer med sin MAC-adresse og giver den første enhed mulighed for at kommunikere direkte med den.
ARP er en stateless-protokol, hvilket betyder, at den ikke vedligeholder en tabel med mapping mellem IP- og MAC-adresser. Hver gang en enhed skal kommunikere med en anden enhed på netværket, sender den en ARP-forespørgsel for at finde den anden enheds MAC-adresse.
Det er værd at nævne, at ARP bruges i IPv4-netværk, mens en lignende protokol i IPv6-netværk kaldes Neighbor Discovery Protocol (NDP).
Hvordan fungerer ARP-spoofing?
Et ARP-spoofing-angreb kan udføres på en af to måder.
I den første metodevil en hacker tage sig god tid med at vente på at få adgang til ARP-forespørgslerne for en bestemt enhed. Der sendes et øjeblikkeligt svar efter modtagelse af ARP-anmodningen. Netværket vil ikke straks genkende denne strategi, fordi den er skjult. Med hensyn til virkning har den ikke meget negativ effekt, og dens rækkevidde er meget snæver.
I den anden metodespreder hackere en uautoriseret meddelelse, der er kendt som "gratuitous ARP". Denne leveringsmetode kan have en øjeblikkelig virkning på mange enheder på én gang. Men husk, at den også vil generere en masse netværkstrafik, som vil være udfordrende at administrere.
Hvem bruger ARP-spoofing?
Hackere har brugt ARP-spoofing siden 1980'erne. Hackerangreb kan være bevidste eller impulsive. Denial-of-service-angreb er eksempler på planlagte angreb, mens tyveri af oplysninger fra et offentligt WiFi-netværk er et eksempel på opportunisme. Disse angreb kan undgås, men de udføres regelmæssigt, da de er enkle ud fra et teknisk og omkostningsmæssigt synspunkt.
ARP-spoofing kan dog også bruges til hæderlige formål. Ved bevidst at indsætte en tredje vært mellem to værter kan programmører bruge ARP-spoofing til at analysere netværksdata. Etiske hackere kopierer ARP cache poisoning-angreb for at sikre, at netværkene er sikre mod sådanne angreb.
Hvad er formålet med et ARP-spoofing-angreb?
Hovedformålene med ARP-spoofing-angreb er:
- at udsende flere ARP-svar i hele netværket
- at indsætte falske adresser i switch MAC-adressetabeller
- at MAC-adresser ikke er knyttet korrekt til IP-adresser
- at sende for mange ARP-forespørgsler til netværksværter
Når et ARP-spoofing-angreb er vellykket, kan angriberen:
- Fortsæt med at videresende meddelelserne som hidtil: Medmindre de sendes over en krypteret kanal som HTTPS, kan angriberen sniffe pakkerne og stjæle dataene.
- Udføre session hijacking: Hvis angriberen får fat i et sessions-id, kan de få adgang til brugerens aktive konti.
- Distributed Denial of Service (DDoS): I stedet for at bruge deres egen maskine til at iværksætte et DDoS-angreb kan angriberne angive MAC-adressen på en server, som de ønsker at angribe. Målserveren vil blive oversvømmet med trafik, hvis de udfører dette angreb mod flere IP-adresser.
- Forandringskommunikation: Download af en skadelig webside eller fil til arbejdsstationen.
Hvordan registrerer man ARP-spoofing?
Hvis du vil opdage ARP-spoofing, skal du kontrollere din konfigurationshåndtering og din software til automatisering af opgaver. Du kan finde din ARP-cache lige her. Du kan være mål for et angreb, hvis to IP-adresser har den samme MAC-adresse. Hackere anvender ofte spoofing-software, som sender meddelelser, der hævder at være standardgatewayens adresse.
Det er også tænkeligt, at denne malware overbeviser sit offer om at erstatte standardgatewayens MAC-adresse med en anden. Du skal kontrollere ARP-trafikken for mærkelig aktivitet i denne situation. Uopfordrede meddelelser, der hævder at eje routerens MAC- eller IP-adresse, er normalt den mærkelige type trafik. Uønsket kommunikation kan derfor være et symptom på et ARP-spoofing-angreb.
Hvordan beskytter du dine systemer mod ARP-spoofing?
ARP poisoning kan undgås på flere måder, som hver især har fordele og ulemper.
Statiske ARP-indtastninger
Kun mindre netværk bør anvende denne metode på grund af den betydelige administrative byrde. Den indebærer, at der skal tilføjes en ARP-record for hver computer og for hver maskine på netværket.
Da computerne kan ignorere ARP-svar, hjælper det med at forhindre forsøg på at forfalske en maskine med statiske IP- og MAC-adresser. Desværre vil denne metode kun beskytte dig mod lettere angreb.
Filtre til pakker
ARP-pakker indeholder afsenderens og modtagerens IP-adresser og MAC-adresser. Disse pakker sendes over Ethernet-netværk. Pakkefiltre kan blokere ARP-pakker, der ikke indeholder gyldige kilde- eller destinations-MAC-adresser eller IP-adresser.
Foranstaltninger til sikring af havne
Portsikkerhedsforanstaltninger sikrer, at kun godkendte enheder kan oprette forbindelse til en bestemt port på en enhed. Antag f.eks. at en computer har fået tilladelse til at oprette forbindelse med HTTP-tjenesten på port 80 på en server. I så fald vil den ikke tillade andre computere at oprette forbindelse til HTTP-tjenesten på port 80 på den samme server, medmindre de tidligere er blevet godkendt.
VPN-tjenester
Virtuelle private netværk (VPN'er) giver sikker kommunikation over internettet. Når brugere bruger VPN'er, bliver deres internettrafik krypteret og ført gennem en tunnel via en mellemliggende server. Krypteringen gør det meget vanskeligt for angribere at aflytte kommunikationen. De fleste moderne VPN'er implementerer DNS-lækagebeskyttelse, hvilket sikrer, at ingen trafik lækkes gennem dine DNS-forespørgsler.
Kryptering
Kryptering er en af de bedste måder at beskytte sig mod ARP-spoofing på. Du kan bruge VPN-tjenester eller krypterede tjenester som HTTPS, SSH og TLS. Disse metoder er dog ikke idiotsikre og giver ikke en stærk beskyttelse mod alle typer angreb.
Indpakning
En kombination af forebyggelses- og detektionsteknologier er den ideelle strategi, hvis du vil beskytte dit netværk mod risikoen for ARP-poisoning. Selv det mest sikre miljø kan blive angrebet, da de forebyggende strategier ofte har fejl under særlige omstændigheder.
Hvis der også er aktive detektionsteknologier på plads, vil du være opmærksom på ARP-forgiftning, så snart den begynder. Du kan typisk stoppe disse angreb, før der er sket stor skade, hvis din netværksadministrator reagerer hurtigt efter at være blevet informeret.
Når du beskytter dig mod andre typer spoofing-angreb som f.eks. direkte domæne-spoofing, kan du bruge en DMARC-analysator til at godkende afsendere og træffe foranstaltninger mod dårlige e-mails.
- Hvordan ved man, om en e-mail er et fupnummer? - 27. marts 2024
- Hvad er cyberkriminalitet? Typer, konsekvenser og forebyggelse - 22. marts 2024
- Kan man have flere SPF-poster? - 19. marts 2024