Co to jest ARP Spoofing?

W ataku ARP Spoofing haker wysyła fałszywe wiadomości ARP(Address Resolution Protocol), aby oszukać inne urządzenia i przekonać je, że rozmawiają z kimś innym. Haker może przechwycić i monitorować dane przepływające między dwoma urządzeniami.

Cyberprzestępczość wzrosła alarmująco z powodu ogromnego wzrostu wykorzystania komputerów i sieci do komunikacji. Hakerzy i nieetyczne ataki na sieci stanowią ciągłe zagrożenie w celu przejęcia informacji i spowodowania cyfrowego chaosu.

W ciągu ostatnich kilku miesięcy widzieliśmy, że termin "ARP spoofing" pojawia się dość często w wiadomościach, jest to technika, która pozwala hakerom przechwytywać ruch między dwoma urządzeniami w sieci.

Jak działa ARP Spoofing?

Atak ARP spoofing może być wykonany na jeden z dwóch sposobów.

W pierwszej metodzie, haker poświęci swój czas na oczekiwanie na dostęp do żądań ARP dla konkretnego urządzenia. Natychmiastowa odpowiedź jest wysyłana po otrzymaniu żądania ARP. Sieć nie będzie natychmiast rozpoznawać tej strategii, ponieważ jest ona ukryta. Jeśli chodzi o wpływ, nie ma on zbyt wiele negatywnych skutków, a jego zasięg jest bardzo wąski.

W drugiej metodzie, hakerzy rozpowszechniają nieautoryzowaną wiadomość znaną jako "gratuitous ARP". Ta metoda dostarczania może mieć natychmiastowy wpływ na wiele urządzeń jednocześnie. Ale pamiętaj, że wygeneruje również duży ruch sieciowy, który będzie wyzwaniem do zarządzania.

Kto używa ARP Spoofing?

Hakerzy wykorzystują ARP spoofing od lat 80. Ataki hakerów mogą być celowe lub impulsywne. Ataki typu Denial-of-service są przykładami ataków planowych, natomiast kradzież informacji z publicznej sieci WiFi jest przykładem oportunizmu. Ataków tych można uniknąć, ale są one regularnie przeprowadzane, ponieważ są proste z technicznego i kosztowego punktu widzenia.

ARP spoofing może być jednak również wykorzystywany do zaszczytnych celów. Poprzez celowe wprowadzenie trzeciego hosta pomiędzy dwa hosty, programiści mogą wykorzystać ARP spoofing do analizy danych sieciowych. Etyczni hakerzy będą replikować ataki ARP cache poisoning, aby zapewnić sieciom bezpieczeństwo przed takimi atakami.

Jaki jest cel ataku ARP Spoofing?

Głównymi celami ataków ARP spoofing są:

  • rozgłaszanie kilku odpowiedzi ARP w całej sieci
  • aby wstawić fałszywe adresy do tablic adresów MAC przełącznika
  • nieprawidłowe łączenie adresów MAC z adresami IP
  • wysyłanie zbyt wielu zapytań ARP do hostów sieciowych

Kiedy atak ARP spoofing jest udany, atakujący może:

  • Kontynuuj kierowanie wiadomości w takiej formie: Jeśli nie są wysyłane przez szyfrowany kanał, taki jak HTTPS, atakujący może sniffować pakiety i wykraść dane.
  • Dokonać porwania sesji (session hijacking): Jeśli atakujący uzyska identyfikator sesji, może uzyskać dostęp do aktywnych kont użytkownika.
  • Distributed Denial of Service (DDoS): Zamiast używać swojej maszyny do przeprowadzenia ataku DDoS, atakujący mogą określić adres MAC serwera, który chcą namierzyć. Serwer docelowy zostanie zalany ruchem, jeśli przeprowadzą ten atak na wiele adresów IP.
  • Komunikacja zmian: Pobranie na stację roboczą szkodliwej strony internetowej lub pliku.

Jak wykryć ARP Spoofing?

Aby wykryć ARP Spoofing, sprawdź swoje oprogramowanie do zarządzania konfiguracją i automatyzacji zadań. Możesz zlokalizować swoją pamięć podręczną ARP właśnie tutaj. Możesz być celem ataku, jeśli dwa adresy IP mają ten sam adres MAC. Hakerzy często wykorzystują oprogramowanie spoofingowe, które wysyła wiadomości podające się za adres bramy domyślnej.

Można też sobie wyobrazić, że to złośliwe oprogramowanie przekonuje swoją ofiarę do zastąpienia adresu MAC bramy domyślnej innym. W tej sytuacji należy sprawdzić ruch ARP pod kątem dziwnej aktywności. Niezamówione wiadomości twierdzące, że są właścicielami adresu MAC lub IP routera, są zwykle dziwnym typem ruchu. Niechciana komunikacja może być więc objawem ataku ARP spoofing.

Jak chronić swoje systemy przed ARP Spoofingiem?

ARP poisoning można uniknąć na kilka sposobów, z których każdy ma zalety i wady. 

Statyczne wpisy ARP

Tylko mniejsze sieci powinny stosować tę metodę ze względu na znaczne obciążenie administracyjne. Pociąga ona za sobą konieczność dodania rekordu ARP każdego komputera dla każdej maszyny w sieci.

Ponieważ komputery mogą ignorować odpowiedzi ARP, mapowanie maszyn za pomocą zestawów statycznych adresów IP i MAC pomaga zapobiec próbom spoofingu. Niestety, użycie tej metody ochroni Cię tylko przed łatwiejszymi atakami.

Filtry pakietów

Pakiety ARP zawierają adresy IP nadawcy i adresy MAC odbiorcy. Pakiety te są przesyłane przez sieci Ethernet. Filtry pakietów mogą blokować pakiety ARP, które nie zawierają poprawnych źródłowych i docelowych adresów MAC lub adresów IP.

Środki ochrony portu

Zabezpieczenia portów zapewniają, że tylko uprawnione urządzenia mogą łączyć się z określonym portem na urządzeniu. Na przykład załóżmy, że komputerowi zezwolono na połączenie z usługą HTTP na porcie 80 serwera. W takim przypadku nie pozwoli on żadnemu innemu komputerowi połączyć się z usługą HTTP na porcie 80 tego samego serwera, o ile nie został on wcześniej upoważniony.

VPN-y

Wirtualne sieci prywatne (VPN) zapewniają bezpieczną komunikację przez Internet. Gdy użytkownicy korzystają z sieci VPN, ich ruch internetowy jest szyfrowany i tunelowany przez serwer pośredniczący. Szyfrowanie bardzo utrudnia napastnikom podsłuchiwanie komunikacji. Większość nowoczesnych sieci VPN wdraża ochronę przed wyciekiem DNS, zapewniając, że żaden ruch nie wycieka poprzez Twoje zapytania DNS.

Szyfrowanie

Szyfrowanie jest jednym z najlepszych sposobów ochrony przed ARP spoofingiem. Możesz użyć VPN lub usług szyfrowanych, takich jak HTTPS, SSH i TLS. Jednak te metody nie są niezawodne i nie zapewniają silnej ochrony przed wszystkimi rodzajami ataków.

Zakończenie

Połączenie technologii zapobiegania i wykrywania jest idealną strategią, jeśli chcesz chronić swoją sieć przed ryzykiem zatrucia ARP. Nawet najbardziej bezpieczne środowisko może paść ofiarą ataku, ponieważ strategie prewencyjne często mają błędy w określonych okolicznościach.

Jeśli zastosowano również technologie aktywnego wykrywania, użytkownik będzie wiedział o zatruwaniu ARP zaraz po jego wystąpieniu. Jeśli administrator sieci szybko zareaguje po otrzymaniu informacji, to zazwyczaj można powstrzymać takie ataki zanim wyrządzą one duże szkody.

W ochronie przed innymi rodzajami ataków spoofingowych, jak np. direct-domain spoofing, można użyć analizator DMARC do autoryzacji nadawców i podejmowania działań przeciwko złym e-mailom.