O que é a ARP Spoofing?

Num ataque de ARP Spoofing, um hacker envia mensagens ARP(Address Resolution Protocol) falsas para enganar outros dispositivos, fazendo-os acreditar que estão a falar com outra pessoa. O hacker pode interceptar e monitorizar dados à medida que estes fluem entre dois dispositivos.

Os crimes informáticos aumentaram de forma alarmante devido ao tremendo crescimento na utilização de computadores e redes de comunicação. Os hackers e os ataques antiéticos às redes constituem uma ameaça contínua para tomar informações e causar caos digital.

Nos últimos meses, vimos o termo "ARP spoofing" surgir bastante nas notícias, é uma técnica que permite aos hackers interceptar o tráfego entre dois dispositivos de uma rede.

Como funciona uma ARP Spoofing?

Um ataque de spoofing ARP pode ser executado de uma de duas maneiras.

No primeiro métodoUm hacker levará o seu tempo à espera de aceder aos pedidos da ARP para um determinado dispositivo. Uma resposta imediata é enviada após a recepção do pedido da ARP. A rede não reconhecerá imediatamente esta estratégia porque é encoberta. Em termos de impacto, não tem muito efeito negativo, e o seu alcance é muito estreito.

No segundo métodoOs hackers difundem uma mensagem não autorizada conhecida como "ARP gratuita". Este método de entrega pode ter um impacto imediato em numerosos dispositivos ao mesmo tempo. Mas lembrem-se que também irá gerar muito tráfego de rede que será um desafio para gerir.

Quem utiliza a ARP Spoofing?

Os hackers têm utilizado o ARP spoofing desde os anos 80. Os ataques de hackers podem ser deliberados ou impulsivos. Os ataques de negação de serviço são exemplos de ataques planeados, enquanto que o roubo de informação de uma rede WiFi pública é um exemplo de oportunismo. Estes ataques podem ser evitados, mas são realizados regularmente, uma vez que são simples de um ponto de vista técnico e de custos.

ARP spoofing, no entanto, também pode ser transportado utilizado para objectivos honrosos. Ao introduzir deliberadamente um terceiro anfitrião entre dois anfitriões, os programadores podem utilizar o ARP spoofing para analisar os dados da rede. Os hackers éticos replicarão ataques de envenenamento de cache ARP para garantir a segurança das redes contra tais ataques.

Qual é o objectivo de um ARP Spoofing Attack?

Os principais objectivos dos ataques de spoofing da ARP são:

  • para transmitir várias respostas da ARP através da rede
  • para inserir endereços falsos nas tabelas de endereços MAC do switch
  • para ligar incorrectamente endereços MAC a endereços IP
  • para enviar demasiadas consultas de ARP aos anfitriões da rede

Quando um ataque de spoofing ARP é bem sucedido, o atacante pode:

  • Continuar a encaminhar as mensagens tal como estão: A menos que seja enviado por um canal encriptado como HTTPS, o atacante pode farejar os pacotes e roubar os dados.
  • Realizar o sequestro da sessão: Se o atacante obtiver um ID de sessão, pode aceder às contas activas do utilizador.
  • Negação de Serviço Distribuída (DDoS): Em vez de usar a sua máquina para lançar um ataque DDoS, os atacantes podem especificar o endereço MAC de um servidor que desejam atacar. O servidor alvo será inundado de tráfego se realizarem este ataque contra múltiplos endereços IP.
  • Mudar a comunicação: Descarregar uma página web ou ficheiro prejudicial para a estação de trabalho.

Como detectar a ARP Spoofing?

Para detectar a ARP Spoofing, verifique o seu software de gestão de configuração e automatização de tarefas. Pode localizar a sua cache ARP aqui mesmo. Pode ser o alvo de um ataque se dois endereços IP tiverem o mesmo endereço MAC. Os hackers empregam frequentemente software de spoofing, que envia mensagens que afirmam ser o endereço padrão do gateway.

Também é concebível que este malware convença a sua vítima a substituir o endereço MAC padrão do gateway por um endereço MAC diferente. Será necessário verificar o tráfego ARP para qualquer actividade estranha nesta situação. As mensagens não solicitadas que afirmam ser proprietárias do endereço MAC ou IP do router são normalmente o tipo de tráfego estranho. A comunicação indesejada pode, portanto, ser um sintoma de um ataque de spoofing ARP.

Como proteger os seus sistemas contra a ARP Spoofing?

O envenenamento por ARP pode ser evitado de várias maneiras, cada uma com vantagens e desvantagens. 

Entradas estáticas ARP

Apenas redes mais pequenas deveriam utilizar este método devido à sua significativa carga administrativa. Implica acrescentar um registo ARP a cada computador de cada máquina de uma rede.

Como os computadores podem ignorar as respostas do ARP, o mapeamento das máquinas com conjuntos de endereços IP e MAC estáticos ajuda a evitar tentativas de falsificação. Infelizmente, a utilização deste método apenas o protegerá de assaltos mais fáceis.

Filtros de embalagem

Os pacotes ARP contêm os endereços MAC dos endereços IP do remetente e do receptor. Estes pacotes são enviados através de redes Ethernet. Os filtros de pacotes podem bloquear os pacotes ARP que não contêm endereços MAC de origem ou destino válidos ou endereços IP.

Medidas de Segurança Portuária

As medidas de segurança portuária asseguram que apenas os dispositivos autorizados podem ligar-se a uma determinada porta num dispositivo. Por exemplo, suponha que um computador tenha sido autorizado a ligar-se ao serviço HTTP na porta 80 de um servidor. Nesse caso, não permitirá a qualquer outro computador ligar-se ao serviço HTTP na porta 80 do mesmo servidor, a menos que tenham sido previamente autorizados.

VPNs

As Redes Privadas Virtuais (VPNs) fornecem comunicações seguras através da Internet. Quando os utilizadores utilizam VPN, o seu tráfego na Internet é encriptado e sintonizado através de um servidor intermediário. A encriptação torna muito difícil para os atacantes escutar as comunicações. A maioria das VPNs modernas implementam a protecção contra fugas DNS, assegurando que nenhum tráfego é furado através das suas consultas DNS.

Criptografia

A encriptação é uma das melhores formas de se proteger da falsificação do ARP. Pode utilizar VPNs ou serviços encriptados como HTTPS, SSH, e TLS. Contudo, estes métodos não são infalíveis e não fornecem uma forte protecção contra todos os tipos de ataques.

Envolvimento

A combinação de tecnologias de prevenção e detecção é a estratégia ideal se quiser proteger a sua rede do risco de envenenamento por ARP. Mesmo o ambiente mais seguro pode ser atacado, uma vez que as estratégias preventivas têm frequentemente falhas em circunstâncias específicas.

Se as tecnologias de detecção activa também estiverem em vigor, estará ciente do envenenamento por ARP assim que este começar. Pode tipicamente parar estas agressões antes que sejam causados muitos danos se o seu administrador de rede responder rapidamente após ser informado.

Na protecção contra outros tipos de ataques de falsificação como a falsificação directa de domínio, pode utilizar um Analisador DMARC para autorizar os remetentes e tomar medidas contra maus e-mails.