在ARP欺骗攻击中,黑客发出虚假的ARP(地址解析协议)信息,欺骗其他设备,使其相信他们正在与其他人交谈。黑客可以拦截和监视在两个设备之间流动的数据。
由于使用计算机和网络进行通信的巨大增长,网络犯罪已经惊人地增加。黑客和对网络的不道德攻击为夺取信息和造成数字混乱提供了持续的威胁。
在过去的几个月里,我们看到 "ARP欺骗 "一词在新闻中出现了不少,这是一种允许黑客拦截网络上两个设备之间流量的技术。
什么是ARP?
什么是ARP?ARP是地址解析协议的缩写。它是一个用于将网络地址,如IP地址,映射到本地网络的物理(MAC)地址的协议。这是必要的,因为IP地址用于在网络层路由数据包,而MAC地址用于在特定链路上实际转发数据包。ARP允许一个设备根据其IP地址来确定同一网络上另一个设备的MAC地址。
当一个设备想与同一网络上的另一个设备通信时,它需要知道目标设备的MAC地址。ARP允许设备在本地网络上广播一个消息,要求提供与特定IP地址相对应的MAC地址。拥有该IP地址的设备将回应其MAC地址,允许第一个设备与之直接通信。
ARP是一个无状态协议,意味着它不维护IP和MAC地址之间的映射表。每次一个设备需要与网络上的另一个设备通信时,它都会发送一个ARP请求来解决另一个设备的MAC地址。
值得一提的是,ARP是在IPv4网络中使用的,在IPv6网络中,一个类似的协议被称为邻居发现协议(NDP)。
ARP欺骗是如何工作的?
ARP欺骗攻击可以通过以下两种方式之一执行。
在第一种方法中,黑客会花时间等待访问特定设备的ARP请求。在收到ARP请求后,会立即发送一个答案。网络不会立即识别这种策略,因为它是隐蔽的。就影响而言,它没有太大的负面影响,其影响范围也很窄。
在第二种方法中,黑客传播一种被称为 "无偿ARP "的未授权信息。这种传递方法可能会同时对众多设备产生直接影响。但请记住,它也会产生大量的网络流量,这对管理来说将是一个挑战。
谁在使用ARP欺骗?
自20世纪80年代以来,黑客一直使用ARP欺骗。黑客攻击可以是故意的,也可以是冲动的。拒绝服务攻击是有计划的攻击的例子,而从公共WiFi网络盗窃信息是机会主义的例子。这些攻击可以避免,但它们经常被实施,因为从技术和成本的角度来看,它们很简单。
然而,ARP欺骗也可以被用来实现光荣的目标。通过故意在两台主机之间引入第三台主机,程序员可以利用ARP欺骗来分析网络数据。有道德的黑客会复制ARP缓存中毒攻击,以确保网络免受此类攻击。
ARP欺骗攻击的目的是什么?
ARP欺骗攻击的主要目的是。
- 在整个网络中广播几个ARP响应
- 在交换机MAC地址表中插入假地址
- 将MAC地址与IP地址错误地联系起来
- 向网络主机发送过多的ARP查询
当ARP欺骗攻击成功后,攻击者可以。
- 继续按原样路由信息。除非通过HTTPS这样的加密通道发送,否则攻击者可以嗅到数据包并窃取数据。
- 进行会话劫持。如果攻击者获得会话ID,他们可以访问用户的活动账户。
- 分布式拒绝服务(DDoS)。攻击者可能不使用他们的机器来发动DDoS攻击,而是指定他们想攻击的服务器的MAC地址。如果他们对多个IP地址进行这种攻击,目标服务器将被淹没在流量中。
- 改变通讯方式。将有害的网页或文件下载到工作站。
如何检测ARP欺骗?
要检测ARP欺骗,请检查你的配置管理和任务自动化软件。你可以在这里找到你的ARP缓存。如果两个IP地址有相同的MAC地址,你就会成为攻击的目标。黑客经常采用欺骗软件,它发送的信息声称是默认网关的地址。
也可以想象,这个恶意软件说服它的受害者用一个不同的MAC地址替换默认网关的地址。在这种情况下,你需要检查ARP流量是否有任何奇怪的活动。声称拥有路由器的MAC或IP地址的未经请求的信息通常是奇怪的流量类型。因此,不需要的通信可能是ARP欺骗攻击的一个症状。
如何保护你的系统免受ARP欺骗?
ARP中毒可以通过几种方式来避免,每种方式都有优点和缺点。
ARP静态条目
由于这种方法有很大的管理负担,只有较小的网络应该使用这种方法。它需要为网络上的每台机器的每台计算机添加一条ARP记录。
因为计算机可以忽略ARP回复,用一组静态IP和MAC地址来映射机器有助于防止欺骗企图。不幸的是,使用这种方法只能保护你免受更容易的攻击。
数据包过滤器
ARP数据包包含发送方和接收方的IP地址的MAC地址。这些数据包是通过以太网网络发送的。数据包过滤器可以阻止不包含有效源或目标MAC地址或IP地址的ARP数据包。
港口安保措施
端口安全措施确保只有经授权的设备才能与设备上的某个特定端口连接。例如,假设一台计算机被允许在一个服务器的80端口连接HTTP服务。在这种情况下,它将不允许任何其他计算机与同一服务器的80端口的HTTP服务连接,除非他们之前已经被授权。
VPNs
虚拟专用网络(VPN)提供安全的互联网通信。当用户使用 VPN 时,他们的互联网流量会被加密,并通过中间服务器传输。通过加密,攻击者很难窃听通信内容。大多数现代 VPN 都具有 DNS 泄露保护功能,确保不会通过 DNS 查询泄露流量。
加密
加密是防止 ARP 欺骗的最佳方法之一。您可以使用 VPN 或 HTTPS、SSH 和 TLS 等加密服务。但是,这些方法并不是万无一失的,也不能对所有类型的攻击提供强有力的保护。
结束语
如果你想保护你的网络免受ARP中毒的风险,将预防和检测技术相结合是理想的策略。即使是最安全的环境也可能受到攻击,因为预防策略在特定情况下经常出现故障。
如果主动检测技术也到位,你会在ARP中毒开始时就意识到它的存在。如果你的网络管理员在接到通知后迅速作出反应,你通常可以在造成很大损失之前阻止这些攻击。
在防止其他类型的欺骗攻击,如直接域名欺骗,你可以使用一个 DMARC分析器来授权发件人并对不良邮件采取行动。
- 增强型网络钓鱼攻击中借口式诈骗的兴起- 2025 年 1 月 15 日
- 2025 年起支付卡行业将强制执行 DMARC- 2025 年 1 月 12 日
- 国家计算机安全委员会邮件检查变化及其对英国公共部门电子邮件安全的影响- 2025 年 1 月 11 日