Что такое ARP-спуфинг?

При атаке ARP Spoofing хакер рассылает поддельные сообщения ARP(Address Resolution Protocol), чтобы обмануть другие устройства и заставить их поверить, что они разговаривают с кем-то другим. Хакер может перехватывать и отслеживать данные, передаваемые между двумя устройствами.

В связи с огромным ростом использования компьютеров и сетей для коммуникации, киберпреступность тревожно возросла. Хакеры и неэтичные атаки на сети представляют собой постоянную угрозу для завладения информацией и создания цифрового хаоса.

В последние несколько месяцев в новостях часто встречается термин "ARP спуфинг" - это техника, позволяющая хакерам перехватывать трафик между двумя устройствами в сети.

Как работает ARP-спуфинг?

Атака с подменой ARP может быть выполнена одним из двух способов.

В первом методехакер не торопится получить доступ к ARP-запросам для конкретного устройства. После получения ARP-запроса отправляется немедленный ответ. Сеть не сможет мгновенно распознать эту стратегию, поскольку она является скрытой. С точки зрения воздействия, она не имеет большого негативного эффекта, и зона ее действия очень узка.

Во втором методехакеры распространяют несанкционированное сообщение, известное как "gratuitous ARP". Этот метод доставки может оказать немедленное воздействие сразу на множество устройств. Но помните, что он также будет генерировать большой объем сетевого трафика, которым будет сложно управлять.

Кто использует ARP-спуфинг?

Хакеры используют подмену ARP с 1980-х годов. Хакерские атаки могут быть преднамеренными или импульсивными. Атаки на отказ в обслуживании являются примерами спланированных атак, в то время как кража информации из публичной сети WiFi является примером оппортунизма. Этих атак можно избежать, но они регулярно проводятся, поскольку просты с технической точки зрения и с точки зрения затрат.

Однако ARP спуфинг можно использовать и в благородных целях. Преднамеренно вводя третий хост между двумя хостами, программисты могут использовать ARP спуфинг для анализа сетевых данных. Этичные хакеры будут воспроизводить атаки отравления ARP-кэша, чтобы обезопасить сети от подобных нападений.

Какова цель атаки ARP Spoofing?

Основными целями атак ARP spoofing являются:

  • для трансляции нескольких ARP-ответов по всей сети
  • для вставки поддельных адресов в таблицы MAC-адресов коммутаторов
  • неправильная привязка MAC-адресов к IP-адресам
  • посылать слишком много ARP-запросов узлам сети.

Когда атака ARP спуфинга успешна, злоумышленник может:

  • Продолжайте маршрутизировать сообщения как есть: Если сообщения не отправляются по зашифрованному каналу, например, HTTPS, злоумышленник может пронюхать пакеты и украсть данные.
  • Выполнить перехват сеанса: Если злоумышленник получает идентификатор сеанса, он может получить доступ к активным учетным записям пользователя.
  • Распределенный отказ в обслуживании (DDoS): Вместо того чтобы использовать свою машину для запуска DDoS-атаки, злоумышленники могут указать MAC-адрес сервера, на который они хотят напасть. Целевой сервер будет переполнен трафиком, если они проведут эту атаку на несколько IP-адресов.
  • Изменение связи: Загрузка вредоносной веб-страницы или файла на рабочую станцию.

Как обнаружить ARP-спуфинг?

Чтобы обнаружить ARP Spoofing, проверьте свое программное обеспечение для управления конфигурацией и автоматизации задач. Вы можете найти свой ARP-кэш прямо здесь. Вы можете стать объектом атаки, если два IP-адреса имеют одинаковый MAC-адрес. Хакеры часто используют спуфинг-программы, которые отправляют сообщения, выдавая их за адрес шлюза по умолчанию.

Также возможно, что эта вредоносная программа убеждает свою жертву заменить MAC-адрес шлюза по умолчанию на другой. В этой ситуации необходимо проверить ARP-трафик на предмет странной активности. Нежелательные сообщения, претендующие на владение MAC или IP-адресом маршрутизатора, обычно являются странным типом трафика. Поэтому нежелательные сообщения могут быть симптомом атаки ARP-спуфинга.

Как защитить свои системы от ARP-спуфинга?

Отравления ARP можно избежать несколькими способами, каждый из которых имеет свои преимущества и недостатки. 

Статические записи ARP

Только небольшие сети должны использовать этот метод из-за его значительного административного бремени. Он подразумевает добавление ARP-записи на каждый компьютер для каждой машины в сети.

Поскольку компьютеры могут игнорировать ARP-ответы, сопоставление машин с наборами статических IP- и MAC-адресов помогает предотвратить попытки подделки. К сожалению, использование этого метода защитит вас только от более легких атак.

Пакетные фильтры

Пакеты ARP содержат MAC-адреса IP-адресов отправителя и получателя. Эти пакеты отправляются по сетям Ethernet. Пакетные фильтры могут блокировать ARP-пакеты, которые не содержат действительных MAC-адресов или IP-адресов источника или получателя.

Меры безопасности в порту

Меры безопасности портов гарантируют, что только авторизованные устройства могут подключаться к определенному порту на устройстве. Например, предположим, что компьютеру разрешено подключаться к службе HTTP через порт 80 сервера. В этом случае он не позволит никакому другому компьютеру подключиться к службе HTTP через порт 80 того же сервера, если он не был предварительно авторизован.

VPNs

Виртуальные частные сети (VPN) обеспечивают безопасную связь через Интернет. Когда пользователи используют VPN, их интернет-трафик шифруется и проходит через сервер-посредник. Благодаря шифрованию злоумышленникам очень сложно подслушать общение. Большинство современных VPN используют защиту от утечки DNS, что гарантирует отсутствие утечки трафика через ваши DNS-запросы.

Шифрование

Шифрование - один из лучших способов защиты от ARP-спуфинга. Вы можете использовать VPN или шифрованные службы, такие как HTTPS, SSH и TLS. Однако эти методы не являются надежными и не обеспечивают надежную защиту от всех типов атак.

Подведение итогов

Сочетание технологий предотвращения и обнаружения - идеальная стратегия, если вы хотите защитить свою сеть от риска ARP poisoning. Даже самая защищенная среда может подвергнуться атаке, поскольку превентивные стратегии часто дают сбои в определенных обстоятельствах.

Если также используются технологии активного обнаружения, вы узнаете об отравлении ARP, как только оно начнется. Обычно такие атаки можно остановить до того, как будет нанесен значительный ущерб, если ваш сетевой администратор быстро отреагирует после получения информации.

Для защиты от других типов атак подмены, таких как прямая подмена домена, вы можете использовать DMARC-анализатор для авторизации отправителей и принятия мер против плохих писем.