Spoofing ARP: Qual è l'obiettivo di un attacco ARP Spoofing?

Blog

In un attacco di spoofing ARP, gli hacker inviano messaggi ARP falsi per indurre i dispositivi a comunicare con loro invece che con il destinatario di rete previsto.

di Ahona Rudra

Ultimo aggiornamento:
Tempo di lettura: 6 min
Spoofing ARP: Qual è l'obiettivo di un attacco ARP Spoofing?
Indice dei contenuti-

In un attacco ARP Spoofing, un hacker invia messaggi ARP(Address Resolution Protocol) falsi per ingannare gli altri dispositivi e far loro credere che stanno parlando con qualcun altro. L'hacker può intercettare e monitorare i dati che scorrono tra due dispositivi.

I crimini informatici sono aumentati in modo allarmante a causa dell'enorme crescita dell'uso di computer e reti per la comunicazione. Gli hacker e gli attacchi non etici alle reti costituiscono una minaccia continua di sottrazione di informazioni e di caos digitale.

Negli ultimi mesi abbiamo visto il termine "ARP spoofing" comparire spesso nelle notizie, è una tecnica che consente agli hacker di intercettare il traffico tra due dispositivi in rete.

I punti chiave da prendere in considerazione

  1. Gli attacchi ARP spoofing consentono agli hacker di intercettare e manipolare il traffico di dati tra i dispositivi di una rete.
  2. Gli hacker impiegano vari metodi per eseguire lo spoofing ARP, tra cui risposte nascoste e messaggi di broadcast non autorizzati.
  3. ARP è un protocollo chiave utilizzato per tradurre gli indirizzi IP in indirizzi MAC all'interno di una rete locale.
  4. Il rilevamento dello spoofing ARP prevede il monitoraggio della cache ARP per verificare la presenza di coppie di indirizzi IP e MAC duplicati.
  5. L'implementazione di difese quali voci ARP statiche, filtri dei pacchetti e crittografia può contribuire a proteggere dagli attacchi ARP spoofing.

Che cos'è l'ARP?

ARP è l'acronimo di Address Resolution Protocol. È un protocollo utilizzato per mappare un indirizzo di rete, ad esempio un indirizzo IP, a un indirizzo fisico (MAC) su una rete locale. Questo è necessario perché gli indirizzi IP sono utilizzati per l'instradamento dei pacchetti a livello di rete, mentre gli indirizzi MAC sono utilizzati per inoltrare effettivamente i pacchetti su un collegamento specifico. ARP consente a un dispositivo di determinare l'indirizzo MAC di un altro dispositivo sulla stessa rete, in base al suo indirizzo IP.

Quando un dispositivo vuole comunicare con un altro dispositivo della stessa rete, deve conoscere l'indirizzo MAC del dispositivo di destinazione. ARP consente al dispositivo di trasmettere un messaggio sulla rete locale, chiedendo l'indirizzo MAC corrispondente a uno specifico indirizzo IP. Il dispositivo con quell'indirizzo IP risponderà con il suo indirizzo MAC, permettendo al primo dispositivo di comunicare direttamente con lui.

ARP è un protocollo stateless, ovvero non mantiene una tabella di mappatura tra indirizzi IP e MAC. Ogni volta che un dispositivo deve comunicare con un altro dispositivo della rete, invia una richiesta ARP per risolvere l'indirizzo MAC dell'altro dispositivo.

Vale la pena ricordare che ARP è utilizzato nelle reti IPv4, mentre nelle reti IPv6 un protocollo simile si chiama Neighbor Discovery Protocol (NDP).

Proteggetevi dallo spoofing ARP con PowerDMARC!

Prova di 15 giorniPrenota una demo

Come funziona lo spoofing ARP?

Un attacco ARP spoofing può essere eseguito in due modi.

Nel primo metodo un hacker si prende il tempo necessario per accedere alle richieste ARP per un particolare dispositivo. Dopo aver ricevuto la richiesta ARP, viene inviata una risposta immediata. La rete non riconoscerà immediatamente questa strategia perché è nascosta. In termini di impatto, non ha un grande effetto negativo e la sua portata è molto limitata.

Nel secondo metodo gli hacker diffondono un messaggio non autorizzato noto come "ARP gratuito". Questo metodo di consegna potrebbe avere un impatto immediato su numerosi dispositivi contemporaneamente. Ma ricordate che genererà anche molto traffico di rete che sarà difficile da gestire.

Chi utilizza lo spoofing ARP?

Gli hacker utilizzano lo spoofing ARP fin dagli anni '80. Gli attacchi degli hacker possono essere deliberati o impulsivi. Gli attacchi Denial-of-service sono esempi di attacchi pianificati, mentre il furto di informazioni da una rete WiFi pubblica è un esempio di opportunismo. Questi attacchi possono essere evitati, ma vengono regolarmente eseguiti perché sono semplici dal punto di vista tecnico e dei costi.

L'ARP spoofing, tuttavia, può essere utilizzato anche per obiettivi onorevoli. Introducendo deliberatamente un terzo host tra due host, i programmatori possono utilizzare lo spoofing ARP per analizzare i dati di rete. Gli hacker etici replicano gli attacchi di avvelenamento della cache ARP per garantire la sicurezza delle reti da tali attacchi.

Qual è l'obiettivo di un attacco ARP Spoofing?

Gli obiettivi principali degli attacchi ARP spoofing sono:

  • per trasmettere diverse risposte ARP in tutta la rete
  • per inserire indirizzi falsi nelle tabelle degli indirizzi MAC degli switch
  • per collegare erroneamente gli indirizzi MAC agli indirizzi IP
  • inviare un numero eccessivo di query ARP agli host della rete.

Quando un attacco ARP spoofing ha successo, l'aggressore può:

  • Continuare a instradare i messaggi così come sono: Se non vengono inviati tramite un canale crittografato come HTTPS, l'aggressore può intercettare i pacchetti e rubare i dati.
  • Eseguire il dirottamento di sessione: Se l'aggressore ottiene un ID di sessione, può accedere agli account attivi dell'utente.
  • Negazione distribuita del servizio (DDoS): Invece di utilizzare la propria macchina per lanciare un attacco DDoS, gli aggressori potrebbero specificare l'indirizzo MAC di un server che desiderano colpire. Il server bersaglio sarà inondato di traffico se l'attacco viene effettuato contro più indirizzi IP.
  • Comunicazione di cambiamento: Scaricare una pagina web o un file dannoso sulla postazione di lavoro.

Come rilevare lo spoofing ARP?

Per rilevare lo spoofing ARP, controllare il software di gestione della configurazione e di automazione delle attività. È possibile individuare la cache ARP proprio qui. Potete essere oggetto di un attacco se due indirizzi IP hanno lo stesso indirizzo MAC. Gli hacker utilizzano spesso software di spoofing, che inviano messaggi che affermano di essere l'indirizzo del gateway predefinito.

È anche possibile che questo malware convinca la vittima a sostituire l'indirizzo MAC del gateway predefinito con uno diverso. In questa situazione è necessario controllare il traffico ARP per individuare eventuali attività strane. I messaggi non richiesti che affermano di possedere l'indirizzo MAC o IP del router sono solitamente un tipo di traffico strano. Una comunicazione indesiderata può quindi essere sintomo di un attacco ARP spoofing.

Come proteggere i sistemi dallo spoofing ARP?

L'avvelenamento ARP può essere evitato in diversi modi, ciascuno con vantaggi e svantaggi. 

Voci statiche ARP

Solo le reti più piccole dovrebbero utilizzare questo metodo, a causa del suo notevole onere amministrativo. Esso comporta l'aggiunta di un record ARP per ogni computer della rete.

Poiché i computer possono ignorare le risposte ARP, la mappatura dei computer con set di indirizzi IP e MAC statici aiuta a prevenire i tentativi di spoofing. Sfortunatamente, l'utilizzo di questo metodo vi proteggerà solo da attacchi più semplici.

Filtri a pacchetto

I pacchetti ARP contengono gli indirizzi IP del mittente e del destinatario e gli indirizzi MAC. Questi pacchetti vengono inviati su reti Ethernet. I filtri dei pacchetti possono bloccare i pacchetti ARP che non contengono indirizzi MAC o IP di origine o di destinazione validi.

Misure di sicurezza portuale

Le misure di sicurezza delle porte garantiscono che solo i dispositivi autorizzati possano connettersi a una determinata porta di un dispositivo. Ad esempio, supponiamo che un computer sia stato autorizzato a connettersi al servizio HTTP sulla porta 80 di un server. In questo caso, non consentirà a nessun altro computer di connettersi al servizio HTTP sulla porta 80 dello stesso server, a meno che non sia stato autorizzato in precedenza.

VPN

Le reti private virtuali (VPN) forniscono comunicazioni sicure su Internet. Quando gli utenti utilizzano le VPN, il loro traffico Internet viene crittografato e fatto passare attraverso un server intermediario. La crittografia rende molto difficile per gli aggressori origliare le comunicazioni. La maggior parte delle VPN moderne implementa la protezione contro le fughe di DNS, garantendo che non vi siano fughe di traffico attraverso le query DNS.

Crittografia

La crittografia è uno dei modi migliori per proteggersi dall'ARP spoofing. È possibile utilizzare VPN o servizi criptati come HTTPS, SSH e TLS. Tuttavia, questi metodi non sono infallibili e non forniscono una forte protezione contro tutti i tipi di attacchi.

Avvicinarsi alla fine

La combinazione di tecnologie di prevenzione e rilevamento è la strategia ideale per proteggere la rete dal rischio di avvelenamento ARP. Anche l'ambiente più sicuro può subire un attacco, poiché le strategie di prevenzione presentano spesso dei difetti in circostanze specifiche.

Se sono presenti anche tecnologie di rilevamento attivo, sarete a conoscenza dell'avvelenamento ARP non appena inizia. In genere è possibile bloccare questi attacchi prima che si verifichino danni ingenti se l'amministratore di rete reagisce rapidamente dopo essere stato informato.

Per proteggersi da altri tipi di attacchi di spoofing, come lo spoofing del dominio diretto, è possibile utilizzare un analizzatore DMARC.  per autorizzare i mittenti e prendere provvedimenti contro le e-mail sbagliate.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
Che cos'è il pharming e come prevenirlo?Che cos'è il PharmingRecord DKIMSintassi del record DKIM