Hva er ARP-spoofing?

I et ARP-spoofing-angrep sender en hacker ut falske ARP-meldinger ( Address Resolution Protocol ) for å lure andre enheter til å tro at de snakker med noen andre. Hackeren kan fange opp og overvåke data mens de flyter mellom to enheter.

Nettkriminalitet har økt alarmerende på grunn av den enorme veksten i bruken av datamaskiner og nettverk for kommunikasjon. Hackere og uetiske angrep på nettverk utgjør en kontinuerlig trussel mot å ta informasjon og forårsake digital kaos.

I løpet av de siste månedene har vi sett begrepet "ARP-spoofing" komme opp ganske mye i nyhetene, er en teknikk som lar hackere fange opp trafikk mellom to enheter på et nettverk.

Hvordan fungerer en ARP-spoofing?

Et ARP-spoofing-angrep kan utføres på en av to måter.

I den første metoden vil en hacker bruke tid på å vente på å få tilgang til ARP-forespørslene for en bestemt enhet. Et umiddelbart svar sendes etter mottak av ARP-forespørselen. Nettverket vil ikke umiddelbart gjenkjenne denne strategien fordi den er skjult. Når det gjelder innvirkning, har den ikke mye negativ effekt, og rekkevidden er veldig smal.

I den andre metoden spredte hackere en uautorisert melding kjent som «gratis ARP». Denne leveringsmetoden kan ha en umiddelbar innvirkning på flere enheter samtidig. Men husk at det også vil generere mye nettverkstrafikk som vil være utfordrende å administrere.

Hvem bruker ARP-spoofing?

Hackere har brukt ARP-spoofing siden 1980-tallet. Hackerangrep kan være bevisste eller impulsive. Denial-of-service-angrep er eksempler på planlagte angrep, mens informasjonstyveri fra et offentlig WiFi-nettverk er et eksempel på opportunisme. Disse overgrepene kan unngås, men de utføres regelmessig siden de er enkle fra et teknisk og kostnadsmessig synspunkt.

ARP-spoofing kan imidlertid også brukes til ærefulle formål. Ved bevisst å introdusere en tredje vert mellom to verter, kan programmerere bruke ARP-spoofing for å analysere nettverksdata. Etiske hackere vil replikere ARP-cache-forgiftningsangrep for å sikre at nettverk er sikre mot slike angrep.

Hva er målet med et ARP-spoofing-angrep?

Hovedmålene med ARP-spoofing-angrep er:

  • å kringkaste flere ARP-svar over hele nettverket
  • å sette inn falske adresser i bytte MAC-adressetabeller
  • å feilaktig koble MAC-adresser til IP-adresser
  • å sende for mange ARP-spørringer til nettverksverter

Når et ARP-spoofing-angrep er vellykket, kan angriperen:

  • Fortsett å rute meldingene som de er: Med mindre de sendes over en kryptert kanal som HTTPS, kan angriperen snuse på pakkene og stjele dataene.
  • Utfør øktkapring: Hvis angriperen får en økt-ID, kan de få tilgang til brukerens aktive kontoer.
  • Distribuert Denial of Service (DDoS): I stedet for å bruke maskinen sin til å starte et DDoS-angrep, kan angriperne spesifisere MAC-adressen til en server de ønsker å målrette mot. Målserveren vil bli oversvømmet med trafikk hvis de utfører dette angrepet mot flere IP-adresser.
  • Endre kommunikasjon: Laster ned en skadelig nettside eller fil til arbeidsstasjonen.

Hvordan oppdage ARP-spoofing?

For å oppdage ARP-spoofing, sjekk programvaren for konfigurasjonsadministrasjon og oppgaveautomatisering. Du kan finne ARP-cachen din her. Du kan være målet for et angrep hvis to IP-adresser har samme MAC-adresse. Hackere bruker ofte spoofing-programvare, som sender meldinger som hevder å være standard gateways adresse.

Det kan også tenkes at denne skadelige programvaren overbeviser offeret om å erstatte standardgatewayens MAC-adresse med en annen. Du må sjekke ARP-trafikken for merkelig aktivitet i denne situasjonen. Uønskede meldinger som hevder å eie ruterens MAC- eller IP-adresse er vanligvis den merkelige typen trafikk. Uønsket kommunikasjon kan derfor være et symptom på et ARP-spoofing-angrep.

Hvordan beskytte systemene dine mot ARP-spoofing?

ARP-forgiftning kan unngås på flere måter, hver med fordeler og ulemper. 

ARP Statiske oppføringer

Bare mindre nettverk bør bruke denne metoden på grunn av dens betydelige administrative byrde. Det innebærer å legge til en ARP-post for hver datamaskin for hver maskin på et nettverk.

Fordi datamaskinene kan ignorere ARP-svar, vil kartlegging av maskinene med sett med statiske IP- og MAC-adresser bidra til å forhindre spoofingforsøk. Dessverre vil bruk av denne metoden bare beskytte deg mot lettere angrep.

Pakkefiltre

ARP-pakker inneholder avsenderens og mottakerens IP-adressers MAC-adresser. Disse pakkene sendes over Ethernet-nettverk. Pakkefiltre kan blokkere ARP-pakker som ikke inneholder gyldige kilde- eller destinasjons-MAC-adresser eller IP-adresser.

Havnesikkerhetstiltak

Portsikkerhetstiltak sikrer at bare autoriserte enheter kan koble til en bestemt port på en enhet. Anta for eksempel at en datamaskin har fått lov til å koble til HTTP-tjenesten på port 80 på en server. I så fall vil den ikke tillate andre datamaskiner å koble til HTTP-tjenesten på port 80 på samme server med mindre de har blitt autorisert tidligere.

VPN-er

Virtual Private Networks (VPN) gir sikker kommunikasjon over internett. Når brukere bruker VPN-er, krypteres internettrafikken deres og tunneleres gjennom en mellomtjener. Krypteringen gjør det svært vanskelig for angripere å avlytte kommunikasjon. De fleste moderne VPN-er implementerer DNS-lekkasjebeskyttelse, og sikrer at ingen trafikk lekkes gjennom DNS-spørringene dine.

Kryptering

Kryptering er en av de beste måtene å beskytte deg mot ARP-spoofing. Du kan bruke VPN-er eller krypterte tjenester som HTTPS, SSH og TLS. Disse metodene er imidlertid ikke idiotsikre og gir ikke sterk beskyttelse mot alle typer angrep.

Innpakning

Å kombinere forebyggings- og deteksjonsteknologier er den ideelle strategien hvis du vil beskytte nettverket ditt mot risikoen for ARP-forgiftning. Selv det sikreste miljøet kan bli angrepet siden de forebyggende strategiene ofte har feil under spesifikke omstendigheter.

Hvis aktive deteksjonsteknologier også er på plass, vil du være oppmerksom på ARP-forgiftning så snart den starter. Du kan vanligvis stoppe disse overgrepene før mye skade er gjort hvis nettverksadministratoren svarer raskt etter å ha blitt informert.

For å beskytte mot andre typer spoofing-angrep som direkte domene-spoofing, kan du bruke en DMARC-analysator for å autorisere avsendere og iverksette tiltak mot dårlige e-poster.