Vad är ARP Spoofing?

Vid en ARP-spoofing-attack skickar en hackare falska ARP-meddelanden(Address Resolution Protocol) för att lura andra enheter att tro att de pratar med någon annan. Hackaren kan avlyssna och övervaka data som flödar mellan två enheter.

Cyberbrottsligheten har ökat oroväckande mycket på grund av den enorma ökningen av användningen av datorer och nätverk för kommunikation. Hackare och oetiska angrepp på nätverk utgör ett ständigt hot om att ta information och orsaka digital förödelse.

Under de senaste månaderna har vi sett termen "ARP spoofing" dyka upp en hel del i nyheterna, vilket är en teknik som gör det möjligt för hackare att avlyssna trafiken mellan två enheter i ett nätverk.

Hur fungerar ARP-spoofing?

En ARP-spoofing-attack kan utföras på två sätt.

I den första metodentar en hackare tid på sig för att vänta på att få tillgång till ARP-förfrågningar för en viss enhet. Ett omedelbart svar skickas efter att ARP-förfrågan har mottagits. Nätverket kommer inte omedelbart att känna igen denna strategi eftersom den är dold. När det gäller inverkan har den inte mycket negativ effekt och dess räckvidd är mycket liten.

I den andra metodensprider hackare ett obehörigt meddelande som kallas "gratuitous ARP". Denna leveransmetod kan ha en omedelbar inverkan på många enheter samtidigt. Men kom ihåg att den också genererar mycket nätverkstrafik som blir svår att hantera.

Vem använder ARP Spoofing?

Hackare har använt ARP-spoofing sedan 1980-talet. Hackerattacker kan vara avsiktliga eller impulsiva. Angrepp som innebär att tjänsten inte kan utnyttjas är exempel på planerade attacker, medan informationsstöld från ett offentligt WiFi-nätverk är ett exempel på opportunism. Dessa angrepp kan undvikas, men de utförs regelbundet eftersom de är enkla ur teknisk och kostnadsmässig synvinkel.

ARP-spoofing kan dock också användas för hedervärda syften. Genom att avsiktligt införa en tredje värd mellan två värdar kan programmerare använda ARP-spoofing för att analysera nätverksdata. Etiska hackare replikerar ARP cache poisoning-attacker för att se till att nätverken är säkra mot sådana angrepp.

Vad är syftet med en ARP-spoofing-attack?

ARP-spoofing-attacker har följande huvudsyften:

  • sända flera ARP-svar i hela nätverket
  • för att lägga in falska adresser i MAC-adresstabellerna för växlar
  • att MAC-adresser felaktigt kopplas till IP-adresser
  • skicka för många ARP-förfrågningar till nätverksvärdar

När en ARP-spoofing-attack lyckas kan angriparen:

  • Fortsätt att dirigera meddelandena på samma sätt som tidigare: Om inte meddelandet skickas via en krypterad kanal som HTTPS kan angriparen sniffa paketen och stjäla data.
  • Utföra sessionskapning: Om angriparen får ett sessions-ID kan han eller hon få tillgång till användarens aktiva konton.
  • Distribuerad överbelastning (DDoS): Istället för att använda sin egen maskin för att starta en DDoS-attack kan angriparna ange MAC-adressen för en server som de vill angripa. Målservern kommer att översvämmas av trafik om de utför denna attack mot flera IP-adresser.
  • Förändringskommunikation: Ladda ner en skadlig webbsida eller fil till arbetsstationen.

Hur upptäcker man ARP-spoofing?

Kontrollera programvaran för konfigurationshantering och automatisering av arbetsuppgifter för att upptäcka ARP Spoofing. Du kan hitta din ARP-cache här. Du kan bli måltavla för en attack om två IP-adresser har samma MAC-adress. Hackare använder ofta spoofing-programvara, som skickar meddelanden som påstår sig vara standardgatewayens adress.

Det är också tänkbart att det skadliga programmet övertygar offret att ersätta MAC-adressen för standardgatewayen med en annan. Du måste kontrollera ARP-trafiken för att se om det finns någon konstig aktivitet i den här situationen. Oönskade meddelanden som hävdar att de äger routerns MAC- eller IP-adress är vanligtvis den märkliga typen av trafik. Oönskad kommunikation kan därför vara ett symptom på en ARP-spoofing-attack.

Hur skyddar du dina system mot ARP-spoofing?

ARP poisoning kan undvikas på flera olika sätt, vart och ett med för- och nackdelar. 

Statiska ARP-inmatningar

Endast mindre nätverk bör använda denna metod på grund av den stora administrativa bördan. Den innebär att man lägger till en ARP-post per dator för varje maskin i nätverket.

Eftersom datorerna kan ignorera ARP-svar hjälper kartläggning av maskinerna med statiska IP- och MAC-adresser till att förhindra försök till förfalskning. Tyvärr skyddar den här metoden dig bara från enklare angrepp.

Paketfilter

ARP-paket innehåller avsändarens och mottagarens IP-adresser och MAC-adresser. Dessa paket skickas via Ethernet-nätverk. Paketfilter kan blockera ARP-paket som inte innehåller giltiga MAC-adresser eller IP-adresser för källan eller destinationen.

Säkerhetsåtgärder i hamnen

Portsäkerhetsåtgärder säkerställer att endast auktoriserade enheter kan ansluta till en viss port på en enhet. Anta till exempel att en dator har tillåtits ansluta till HTTP-tjänsten på port 80 på en server. I så fall kommer den inte att tillåta någon annan dator att ansluta till HTTP-tjänsten på port 80 på samma server om de inte har godkänts tidigare.

VPN-tjänster

Virtuella privata nätverk (VPN) ger säker kommunikation över internet. När användare använder VPN-tjänster krypteras deras internettrafik och går genom en mellanliggande server. Krypteringen gör det mycket svårt för angripare att tjuvlyssna på kommunikationen. De flesta moderna VPN-tjänster har ett skydd mot DNS-läckage, vilket garanterar att ingen trafik läcker ut genom dina DNS-frågor.

Kryptering

Kryptering är ett av de bästa sätten att skydda sig mot ARP-spoofing. Du kan använda VPN-tjänster eller krypterade tjänster som HTTPS, SSH och TLS. Dessa metoder är dock inte idiotsäkra och ger inte ett starkt skydd mot alla typer av attacker.

Avslutning

Att kombinera förebyggande och upptäckande teknik är den idealiska strategin om du vill skydda ditt nätverk från risken för ARP-poisoning. Även den säkraste miljön kan utsättas för angrepp eftersom de förebyggande strategierna ofta har brister under särskilda omständigheter.

Om tekniken för aktiv upptäckt också finns på plats kommer du att få kännedom om ARP-giftning så snart den börjar. Du kan vanligtvis stoppa dessa angrepp innan stor skada har uppstått om din nätverksadministratör reagerar snabbt efter att ha blivit informerad.

För att skydda dig mot andra typer av spoofing-attacker, t.ex. direktdomänspoofing, kan du använda en DMARC-analysator för att godkänna avsändare och vidta åtgärder mot felaktig e-post.