Num ataque de ARP Spoofing, um hacker envia mensagens ARP(Address Resolution Protocol) falsas para enganar outros dispositivos, fazendo-os acreditar que estão a falar com outra pessoa. O hacker pode interceptar e monitorizar dados à medida que estes fluem entre dois dispositivos.
Os crimes informáticos aumentaram de forma alarmante devido ao tremendo crescimento na utilização de computadores e redes de comunicação. Os hackers e os ataques antiéticos às redes constituem uma ameaça contínua para tomar informações e causar caos digital.
Nos últimos meses, vimos o termo "ARP spoofing" surgir bastante nas notícias, é uma técnica que permite aos hackers interceptar o tráfego entre dois dispositivos de uma rede.
O que é a ARP?
O que é a ARP? ARP significa Protocolo de Resolução de Endereços. É um protocolo utilizado para mapear um endereço de rede, tal como um endereço IP, para um endereço físico (MAC) numa rede local. Isto é necessário porque os endereços IP são utilizados para encaminhar pacotes na camada de rede, enquanto que os endereços MAC são utilizados para encaminhar efectivamente os pacotes numa ligação específica. O ARP permite que um dispositivo determine o endereço MAC de outro dispositivo na mesma rede, com base no seu endereço IP.
Quando um dispositivo quer comunicar com outro dispositivo na mesma rede, precisa de saber o endereço MAC do dispositivo de destino. O ARP permite ao dispositivo transmitir uma mensagem na rede local, pedindo o endereço MAC correspondente a um endereço IP específico. O dispositivo com esse endereço IP responderá com o seu endereço MAC, permitindo que o primeiro dispositivo comunique directamente com ele.
O ARP é um protocolo sem estado, o que significa que não mantém uma tabela de mapeamento entre endereços IP e MAC. Cada vez que um dispositivo precisa de comunicar com outro dispositivo na rede, envia um pedido de ARP para resolver o endereço MAC do outro dispositivo.
Vale a pena mencionar que o ARP é utilizado em redes IPv4, em redes IPv6, um protocolo semelhante é chamado Neighbor Discovery Protocol (NDP).
Como funciona uma ARP Spoofing?
Um ataque de spoofing ARP pode ser executado de uma de duas maneiras.
No primeiro métodoUm hacker levará o seu tempo à espera de aceder aos pedidos da ARP para um determinado dispositivo. Uma resposta imediata é enviada após a recepção do pedido da ARP. A rede não reconhecerá imediatamente esta estratégia porque é encoberta. Em termos de impacto, não tem muito efeito negativo, e o seu alcance é muito estreito.
No segundo métodoOs hackers difundem uma mensagem não autorizada conhecida como "ARP gratuita". Este método de entrega pode ter um impacto imediato em numerosos dispositivos ao mesmo tempo. Mas lembrem-se que também irá gerar muito tráfego de rede que será um desafio para gerir.
Quem utiliza a ARP Spoofing?
Os hackers têm utilizado o ARP spoofing desde os anos 80. Os ataques de hackers podem ser deliberados ou impulsivos. Os ataques de negação de serviço são exemplos de ataques planeados, enquanto que o roubo de informação de uma rede WiFi pública é um exemplo de oportunismo. Estes ataques podem ser evitados, mas são realizados regularmente, uma vez que são simples de um ponto de vista técnico e de custos.
ARP spoofing, no entanto, também pode ser transportado utilizado para objectivos honrosos. Ao introduzir deliberadamente um terceiro anfitrião entre dois anfitriões, os programadores podem utilizar o ARP spoofing para analisar os dados da rede. Os hackers éticos replicarão ataques de envenenamento de cache ARP para garantir a segurança das redes contra tais ataques.
Qual é o objectivo de um ARP Spoofing Attack?
Os principais objectivos dos ataques de spoofing da ARP são:
- para transmitir várias respostas da ARP através da rede
- para inserir endereços falsos nas tabelas de endereços MAC do switch
- para ligar incorrectamente endereços MAC a endereços IP
- para enviar demasiadas consultas de ARP aos anfitriões da rede
Quando um ataque de spoofing ARP é bem sucedido, o atacante pode:
- Continuar a encaminhar as mensagens tal como estão: A menos que seja enviado por um canal encriptado como HTTPS, o atacante pode farejar os pacotes e roubar os dados.
- Realizar o sequestro da sessão: Se o atacante obtiver um ID de sessão, pode aceder às contas activas do utilizador.
- Negação de Serviço Distribuída (DDoS): Em vez de usar a sua máquina para lançar um ataque DDoS, os atacantes podem especificar o endereço MAC de um servidor que desejam atacar. O servidor alvo será inundado de tráfego se realizarem este ataque contra múltiplos endereços IP.
- Mudar a comunicação: Descarregar uma página web ou ficheiro prejudicial para a estação de trabalho.
Como detectar a ARP Spoofing?
Para detectar a ARP Spoofing, verifique o seu software de gestão de configuração e automatização de tarefas. Pode localizar a sua cache ARP aqui mesmo. Pode ser o alvo de um ataque se dois endereços IP tiverem o mesmo endereço MAC. Os hackers empregam frequentemente software de spoofing, que envia mensagens que afirmam ser o endereço padrão do gateway.
Também é concebível que este malware convença a sua vítima a substituir o endereço MAC padrão do gateway por um endereço MAC diferente. Será necessário verificar o tráfego ARP para qualquer actividade estranha nesta situação. As mensagens não solicitadas que afirmam ser proprietárias do endereço MAC ou IP do router são normalmente o tipo de tráfego estranho. A comunicação indesejada pode, portanto, ser um sintoma de um ataque de spoofing ARP.
Como proteger os seus sistemas contra a ARP Spoofing?
O envenenamento por ARP pode ser evitado de várias maneiras, cada uma com vantagens e desvantagens.
Entradas estáticas ARP
Apenas redes mais pequenas deveriam utilizar este método devido à sua significativa carga administrativa. Implica acrescentar um registo ARP a cada computador de cada máquina de uma rede.
Como os computadores podem ignorar as respostas do ARP, o mapeamento das máquinas com conjuntos de endereços IP e MAC estáticos ajuda a evitar tentativas de falsificação. Infelizmente, a utilização deste método apenas o protegerá de assaltos mais fáceis.
Filtros de embalagem
Os pacotes ARP contêm os endereços MAC dos endereços IP do remetente e do receptor. Estes pacotes são enviados através de redes Ethernet. Os filtros de pacotes podem bloquear os pacotes ARP que não contêm endereços MAC de origem ou destino válidos ou endereços IP.
Medidas de Segurança Portuária
As medidas de segurança portuária asseguram que apenas os dispositivos autorizados podem ligar-se a uma determinada porta num dispositivo. Por exemplo, suponha que um computador tenha sido autorizado a ligar-se ao serviço HTTP na porta 80 de um servidor. Nesse caso, não permitirá a qualquer outro computador ligar-se ao serviço HTTP na porta 80 do mesmo servidor, a menos que tenham sido previamente autorizados.
VPNs
As redes privadas virtuais (VPN) permitem comunicações seguras através da Internet. Quando os utilizadores utilizam VPNs, o seu tráfego de Internet é encriptado e ligado em túnel através de um servidor intermediário. A encriptação torna muito difícil aos atacantes espiarem as comunicações. A maioria das VPNs modernas implementa proteção contra fugas de DNS, garantindo que não há fugas de tráfego através das suas consultas de DNS.
Criptografia
A encriptação é uma das melhores formas de se proteger da falsificação do ARP. Pode utilizar VPNs ou serviços encriptados como HTTPS, SSH, e TLS. Contudo, estes métodos não são infalíveis e não fornecem uma forte protecção contra todos os tipos de ataques.
Envolvimento
A combinação de tecnologias de prevenção e detecção é a estratégia ideal se quiser proteger a sua rede do risco de envenenamento por ARP. Mesmo o ambiente mais seguro pode ser atacado, uma vez que as estratégias preventivas têm frequentemente falhas em circunstâncias específicas.
Se as tecnologias de detecção activa também estiverem em vigor, estará ciente do envenenamento por ARP assim que este começar. Pode tipicamente parar estas agressões antes que sejam causados muitos danos se o seu administrador de rede responder rapidamente após ser informado.
Na protecção contra outros tipos de ataques de falsificação como a falsificação directa de domínio, pode utilizar um Analisador DMARC para autorizar os remetentes e tomar medidas contra maus e-mails.
- Como encontrar o melhor fornecedor de soluções DMARC para a sua empresa? - 25 de abril de 2024
- PowerDMARC e Zendata formam parceria para aprimorar a segurança de domínios - 25 de abril de 2024
- PowerDMARC faz parceria com a CNS para avançar as práticas de segurança de e-mail no Oriente Médio - 24 de abril de 2024