ARP-spoofing: Hva er målet med et ARP-spoofingangrep?

ARP-spoofing. Hva er målet med et ARP-spoofing-angrep?

I et ARP-spoofing-angrep sender en hacker ut falske ARP-meldinger ( Address Resolution Protocol ) for å lure andre enheter til å tro at de snakker med noen andre. Hackeren kan fange opp og overvåke data mens de flyter mellom to enheter.

Nettkriminalitet har økt alarmerende på grunn av den enorme veksten i bruken av datamaskiner og nettverk for kommunikasjon. Hackere og uetiske angrep på nettverk utgjør en kontinuerlig trussel mot å ta informasjon og forårsake digital kaos.

I løpet av de siste månedene har vi sett begrepet "ARP-spoofing" komme opp ganske mye i nyhetene, er en teknikk som lar hackere fange opp trafikk mellom to enheter på et nettverk.

Hva er ARP?

Hva er ARP? ARP står for Address Resolution Protocol (adresseoppløsningsprotokoll). Det er en protokoll som brukes til å tilordne en nettverksadresse, for eksempel en IP-adresse, til en fysisk adresse (MAC-adresse) i et lokalt nettverk. Dette er nødvendig fordi IP-adresser brukes til ruting av pakker på nettverkslaget, mens MAC-adresser brukes til å videresende pakkene på en bestemt kobling. ARP gjør det mulig for en enhet å bestemme MAC-adressen til en annen enhet på samme nettverk, basert på IP-adressen.

Når en enhet ønsker å kommunisere med en annen enhet på samme nettverk, må den kjenne MAC-adressen til destinasjonsenheten. ARP gjør det mulig for enheten å kringkaste en melding på det lokale nettverket og be om MAC-adressen som tilsvarer en bestemt IP-adresse. Enheten med den IP-adressen vil svare med sin MAC-adresse, slik at den første enheten kan kommunisere direkte med den.

ARP er en tilstandsløs protokoll, noe som betyr at den ikke vedlikeholder en tabell med tilordning mellom IP- og MAC-adresser. Hver gang en enhet trenger å kommunisere med en annen enhet i nettverket, sender den en ARP-forespørsel for å løse den andre enhetens MAC-adresse.

Det er verdt å nevne at ARP brukes i IPv4-nettverk, i IPv6-nettverk kalles en lignende protokoll Neighbor Discovery Protocol (NDP).

Hvordan fungerer en ARP-spoofing?

Et ARP-spoofing-angrep kan utføres på en av to måter.

I den første metoden vil en hacker bruke tid på å vente på å få tilgang til ARP-forespørslene for en bestemt enhet. Et umiddelbart svar sendes etter mottak av ARP-forespørselen. Nettverket vil ikke umiddelbart gjenkjenne denne strategien fordi den er skjult. Når det gjelder innvirkning, har den ikke mye negativ effekt, og rekkevidden er veldig smal.

I den andre metoden spredte hackere en uautorisert melding kjent som «gratis ARP». Denne leveringsmetoden kan ha en umiddelbar innvirkning på flere enheter samtidig. Men husk at det også vil generere mye nettverkstrafikk som vil være utfordrende å administrere.

Hvem bruker ARP-spoofing?

Hackere har brukt ARP-spoofing siden 1980-tallet. Hackerangrep kan være bevisste eller impulsive. Denial-of-service-angrep er eksempler på planlagte angrep, mens informasjonstyveri fra et offentlig WiFi-nettverk er et eksempel på opportunisme. Disse overgrepene kan unngås, men de utføres regelmessig siden de er enkle fra et teknisk og kostnadsmessig synspunkt.

ARP-spoofing kan imidlertid også brukes til ærefulle formål. Ved bevisst å introdusere en tredje vert mellom to verter, kan programmerere bruke ARP-spoofing for å analysere nettverksdata. Etiske hackere vil replikere ARP-cache-forgiftningsangrep for å sikre at nettverk er sikre mot slike angrep.

Hva er målet med et ARP-spoofing-angrep?

Hovedmålene med ARP-spoofing-angrep er:

  • å kringkaste flere ARP-svar over hele nettverket
  • å sette inn falske adresser i bytte MAC-adressetabeller
  • å feilaktig koble MAC-adresser til IP-adresser
  • å sende for mange ARP-spørringer til nettverksverter

Når et ARP-spoofing-angrep er vellykket, kan angriperen:

  • Fortsett å rute meldingene som de er: Med mindre de sendes over en kryptert kanal som HTTPS, kan angriperen snuse på pakkene og stjele dataene.
  • Utfør øktkapring: Hvis angriperen får en økt-ID, kan de få tilgang til brukerens aktive kontoer.
  • Distribuert Denial of Service (DDoS): I stedet for å bruke maskinen sin til å starte et DDoS-angrep, kan angriperne spesifisere MAC-adressen til en server de ønsker å målrette mot. Målserveren vil bli oversvømmet med trafikk hvis de utfører dette angrepet mot flere IP-adresser.
  • Endre kommunikasjon: Laster ned en skadelig nettside eller fil til arbeidsstasjonen.

Hvordan oppdage ARP-spoofing?

For å oppdage ARP-spoofing, sjekk programvaren for konfigurasjonsadministrasjon og oppgaveautomatisering. Du kan finne ARP-cachen din her. Du kan være målet for et angrep hvis to IP-adresser har samme MAC-adresse. Hackere bruker ofte spoofing-programvare, som sender meldinger som hevder å være standard gateways adresse.

Det kan også tenkes at denne skadelige programvaren overbeviser offeret om å erstatte standardgatewayens MAC-adresse med en annen. Du må sjekke ARP-trafikken for merkelig aktivitet i denne situasjonen. Uønskede meldinger som hevder å eie ruterens MAC- eller IP-adresse er vanligvis den merkelige typen trafikk. Uønsket kommunikasjon kan derfor være et symptom på et ARP-spoofing-angrep.

Hvordan beskytte systemene dine mot ARP-spoofing?

ARP-forgiftning kan unngås på flere måter, hver med fordeler og ulemper. 

ARP Statiske oppføringer

Bare mindre nettverk bør bruke denne metoden på grunn av dens betydelige administrative byrde. Det innebærer å legge til en ARP-post for hver datamaskin for hver maskin på et nettverk.

Fordi datamaskinene kan ignorere ARP-svar, vil kartlegging av maskinene med sett med statiske IP- og MAC-adresser bidra til å forhindre spoofingforsøk. Dessverre vil bruk av denne metoden bare beskytte deg mot lettere angrep.

Pakkefiltre

ARP-pakker inneholder avsenderens og mottakerens IP-adressers MAC-adresser. Disse pakkene sendes over Ethernet-nettverk. Pakkefiltre kan blokkere ARP-pakker som ikke inneholder gyldige kilde- eller destinasjons-MAC-adresser eller IP-adresser.

Havnesikkerhetstiltak

Portsikkerhetstiltak sikrer at bare autoriserte enheter kan koble til en bestemt port på en enhet. Anta for eksempel at en datamaskin har fått lov til å koble til HTTP-tjenesten på port 80 på en server. I så fall vil den ikke tillate andre datamaskiner å koble til HTTP-tjenesten på port 80 på samme server med mindre de har blitt autorisert tidligere.

VPN-er

Virtuelle private nettverk (VPN) gir sikker kommunikasjon over Internett. Når brukere bruker VPN, blir internettrafikken kryptert og sendt i en tunnel gjennom en mellomliggende server. Krypteringen gjør det svært vanskelig for angripere å avlytte kommunikasjonen. De fleste moderne VPN-tjenester har DNS-lekkasjebeskyttelse, noe som sikrer at ingen trafikk lekker gjennom DNS-forespørslene dine.

Kryptering

Kryptering er en av de beste måtene å beskytte deg mot ARP-spoofing. Du kan bruke VPN-er eller krypterte tjenester som HTTPS, SSH og TLS. Disse metodene er imidlertid ikke idiotsikre og gir ikke sterk beskyttelse mot alle typer angrep.

Innpakning

Å kombinere forebyggings- og deteksjonsteknologier er den ideelle strategien hvis du vil beskytte nettverket ditt mot risikoen for ARP-forgiftning. Selv det sikreste miljøet kan bli angrepet siden de forebyggende strategiene ofte har feil under spesifikke omstendigheter.

Hvis aktive deteksjonsteknologier også er på plass, vil du være oppmerksom på ARP-forgiftning så snart den starter. Du kan vanligvis stoppe disse overgrepene før mye skade er gjort hvis nettverksadministratoren svarer raskt etter å ha blitt informert.

For å beskytte mot andre typer spoofing-angrep som direkte domene-spoofing, kan du bruke en DMARC-analysator for å autorisere avsendere og iverksette tiltak mot dårlige e-poster.

arp-spoofing

Siste innlegg av Ahona Rudra ( se alle )
/av
Hva er SMS-spoofing?Hva er SMS-spoofingDKIM-rekordDKIM Record Syntaks