Che cos'è l'ARP Spoofing?

In un attacco ARP Spoofing, un hacker invia messaggi ARP(Address Resolution Protocol) falsi per ingannare gli altri dispositivi e far loro credere che stanno parlando con qualcun altro. L'hacker può intercettare e monitorare i dati che scorrono tra due dispositivi.

I crimini informatici sono aumentati in modo allarmante a causa dell'enorme crescita dell'uso di computer e reti per la comunicazione. Gli hacker e gli attacchi non etici alle reti costituiscono una minaccia continua di sottrazione di informazioni e di caos digitale.

Negli ultimi mesi abbiamo visto il termine "ARP spoofing" comparire spesso nelle notizie, è una tecnica che consente agli hacker di intercettare il traffico tra due dispositivi in rete.

Come funziona lo spoofing ARP?

Un attacco ARP spoofing può essere eseguito in due modi.

Nel primo metodoun hacker si prende il tempo necessario per accedere alle richieste ARP per un particolare dispositivo. Dopo aver ricevuto la richiesta ARP, viene inviata una risposta immediata. La rete non riconoscerà immediatamente questa strategia perché è nascosta. In termini di impatto, non ha un grande effetto negativo e la sua portata è molto limitata.

Nel secondo metodogli hacker diffondono un messaggio non autorizzato noto come "ARP gratuito". Questo metodo di consegna potrebbe avere un impatto immediato su numerosi dispositivi contemporaneamente. Ma ricordate che genererà anche molto traffico di rete che sarà difficile da gestire.

Chi utilizza lo spoofing ARP?

Gli hacker utilizzano lo spoofing ARP fin dagli anni '80. Gli attacchi degli hacker possono essere deliberati o impulsivi. Gli attacchi Denial-of-service sono esempi di attacchi pianificati, mentre il furto di informazioni da una rete WiFi pubblica è un esempio di opportunismo. Questi attacchi possono essere evitati, ma vengono regolarmente eseguiti perché sono semplici dal punto di vista tecnico e dei costi.

L'ARP spoofing, tuttavia, può essere utilizzato anche per obiettivi onorevoli. Introducendo deliberatamente un terzo host tra due host, i programmatori possono utilizzare lo spoofing ARP per analizzare i dati di rete. Gli hacker etici replicano gli attacchi di avvelenamento della cache ARP per garantire la sicurezza delle reti da tali attacchi.

Qual è l'obiettivo di un attacco ARP Spoofing?

Gli obiettivi principali degli attacchi ARP spoofing sono:

  • per trasmettere diverse risposte ARP in tutta la rete
  • per inserire indirizzi falsi nelle tabelle degli indirizzi MAC degli switch
  • per collegare erroneamente gli indirizzi MAC agli indirizzi IP
  • inviare un numero eccessivo di query ARP agli host della rete.

Quando un attacco ARP spoofing ha successo, l'attaccante può:

  • Continuare a instradare i messaggi così come sono: Se non vengono inviati tramite un canale crittografato come HTTPS, l'aggressore può sniffare i pacchetti e rubare i dati.
  • Eseguire il dirottamento di sessione: Se l'attaccante ottiene un ID di sessione, può accedere agli account attivi dell'utente.
  • Negazione distribuita del servizio (DDoS): Invece di utilizzare la propria macchina per lanciare un attacco DDoS, gli aggressori potrebbero specificare l'indirizzo MAC di un server che desiderano colpire. Il server bersaglio sarà inondato di traffico se l'attacco viene effettuato contro più indirizzi IP.
  • Comunicazione di cambiamento: Scaricare una pagina web o un file dannoso sulla postazione di lavoro.

Come rilevare lo spoofing ARP?

Per rilevare lo spoofing ARP, controllare il software di gestione della configurazione e di automazione delle attività. È possibile individuare la cache ARP proprio qui. Potete essere oggetto di un attacco se due indirizzi IP hanno lo stesso indirizzo MAC. Gli hacker utilizzano spesso software di spoofing, che inviano messaggi che affermano di essere l'indirizzo del gateway predefinito.

È anche possibile che questo malware convinca la vittima a sostituire l'indirizzo MAC del gateway predefinito con uno diverso. In questa situazione è necessario controllare il traffico ARP per individuare eventuali attività strane. I messaggi non richiesti che affermano di possedere l'indirizzo MAC o IP del router sono solitamente un tipo di traffico strano. Una comunicazione indesiderata può quindi essere sintomo di un attacco ARP spoofing.

Come proteggere i sistemi dallo spoofing ARP?

L'avvelenamento ARP può essere evitato in diversi modi, ciascuno con vantaggi e svantaggi. 

Voci statiche ARP

Solo le reti più piccole dovrebbero utilizzare questo metodo, a causa del suo notevole onere amministrativo. Esso comporta l'aggiunta di un record ARP per ogni computer della rete.

Poiché i computer possono ignorare le risposte ARP, la mappatura dei computer con set di indirizzi IP e MAC statici aiuta a prevenire i tentativi di spoofing. Sfortunatamente, l'utilizzo di questo metodo vi proteggerà solo da attacchi più semplici.

Filtri a pacchetto

I pacchetti ARP contengono gli indirizzi IP del mittente e del destinatario e gli indirizzi MAC. Questi pacchetti vengono inviati su reti Ethernet. I filtri dei pacchetti possono bloccare i pacchetti ARP che non contengono indirizzi MAC o IP di origine o di destinazione validi.

Misure di sicurezza portuale

Le misure di sicurezza delle porte garantiscono che solo i dispositivi autorizzati possano connettersi a una determinata porta di un dispositivo. Ad esempio, supponiamo che un computer sia stato autorizzato a connettersi al servizio HTTP sulla porta 80 di un server. In questo caso, non consentirà a nessun altro computer di connettersi al servizio HTTP sulla porta 80 dello stesso server, a meno che non sia stato autorizzato in precedenza.

VPN

Le reti private virtuali (VPN) forniscono comunicazioni sicure su Internet. Quando gli utenti utilizzano le VPN, il loro traffico Internet viene crittografato e fatto passare attraverso un server intermediario. La crittografia rende molto difficile per gli aggressori origliare le comunicazioni. La maggior parte delle VPN moderne implementa la protezione contro le fughe di DNS, garantendo che non vi siano fughe di traffico attraverso le query DNS.

Crittografia

La crittografia è uno dei modi migliori per proteggersi dall'ARP spoofing. È possibile utilizzare VPN o servizi criptati come HTTPS, SSH e TLS. Tuttavia, questi metodi non sono infallibili e non forniscono una forte protezione contro tutti i tipi di attacchi.

Avvicinarsi alla fine

La combinazione di tecnologie di prevenzione e rilevamento è la strategia ideale per proteggere la rete dal rischio di avvelenamento ARP. Anche l'ambiente più sicuro può subire un attacco, poiché le strategie di prevenzione presentano spesso dei difetti in circostanze specifiche.

Se sono presenti anche tecnologie di rilevamento attivo, sarete a conoscenza dell'avvelenamento ARP non appena inizia. In genere è possibile bloccare questi attacchi prima che si verifichino danni ingenti se l'amministratore di rete reagisce rapidamente dopo essere stato informato.

Per proteggersi da altri tipi di attacchi di spoofing, come lo spoofing del dominio diretto, è possibile utilizzare un analizzatore DMARC. analizzatore DMARC per autorizzare i mittenti e prendere provvedimenti contro le e-mail sbagliate.