什么是ARP欺骗?

在ARP欺骗攻击中,黑客发出虚假的ARP(地址解析协议)信息,欺骗其他设备,使其相信他们正在与其他人交谈。黑客可以拦截和监视在两个设备之间流动的数据。

由于使用计算机和网络进行通信的巨大增长,网络犯罪已经惊人地增加。黑客和对网络的不道德攻击为夺取信息和造成数字混乱提供了持续的威胁。

在过去的几个月里,我们看到 "ARP欺骗 "一词在新闻中出现了不少,这是一种允许黑客拦截网络上两个设备之间流量的技术。

ARP欺骗是如何工作的?

ARP欺骗攻击可以通过以下两种方式之一执行。

第一种方法,黑客会花时间等待访问特定设备的ARP请求。在收到ARP请求后,会立即发送一个答案。网络不会立即识别这种策略,因为它是隐蔽的。就影响而言,它没有太大的负面影响,其影响范围也很窄。

第二种方法,黑客传播一种被称为 "无偿ARP "的未授权信息。这种传递方法可能会同时对众多设备产生直接影响。但请记住,它也会产生大量的网络流量,这对管理来说将是一个挑战。

谁在使用ARP欺骗?

自20世纪80年代以来,黑客一直使用ARP欺骗。黑客攻击可以是故意的,也可以是冲动的。拒绝服务攻击是有计划的攻击的例子,而从公共WiFi网络盗窃信息是机会主义的例子。这些攻击可以避免,但它们经常被实施,因为从技术和成本的角度来看,它们很简单。

然而,ARP欺骗也可以被用来实现光荣的目标。通过故意在两台主机之间引入第三台主机,程序员可以利用ARP欺骗来分析网络数据。有道德的黑客会复制ARP缓存中毒攻击,以确保网络免受此类攻击。

ARP欺骗攻击的目的是什么?

ARP欺骗攻击的主要目的是。

  • 在整个网络中广播几个ARP响应
  • 在交换机MAC地址表中插入假地址
  • 将MAC地址与IP地址错误地联系起来
  • 向网络主机发送过多的ARP查询

当ARP欺骗攻击成功后,攻击者可以。

  • 继续按原样路由信息。除非通过HTTPS这样的加密通道发送,否则攻击者可以嗅到数据包并窃取数据。
  • 进行会话劫持。如果攻击者获得会话ID,他们可以访问用户的活动账户。
  • 分布式拒绝服务(DDoS)。攻击者可能不使用他们的机器来发动DDoS攻击,而是指定他们想攻击的服务器的MAC地址。如果他们对多个IP地址进行这种攻击,目标服务器将被淹没在流量中。
  • 改变通讯方式。将有害的网页或文件下载到工作站。

如何检测ARP欺骗?

要检测ARP欺骗,请检查你的配置管理和任务自动化软件。你可以在这里找到你的ARP缓存。如果两个IP地址有相同的MAC地址,你就会成为攻击的目标。黑客经常采用欺骗软件,它发送的信息声称是默认网关的地址。

也可以想象,这个恶意软件说服它的受害者用一个不同的MAC地址替换默认网关的地址。在这种情况下,你需要检查ARP流量是否有任何奇怪的活动。声称拥有路由器的MAC或IP地址的未经请求的信息通常是奇怪的流量类型。因此,不需要的通信可能是ARP欺骗攻击的一个症状。

如何保护你的系统免受ARP欺骗?

ARP中毒可以通过几种方式来避免,每种方式都有优点和缺点。 

ARP静态条目

由于这种方法有很大的管理负担,只有较小的网络应该使用这种方法。它需要为网络上的每台机器的每台计算机添加一条ARP记录。

因为计算机可以忽略ARP回复,用一组静态IP和MAC地址来映射机器有助于防止欺骗企图。不幸的是,使用这种方法只能保护你免受更容易的攻击。

数据包过滤器

ARP数据包包含发送方和接收方的IP地址的MAC地址。这些数据包是通过以太网网络发送的。数据包过滤器可以阻止不包含有效源或目标MAC地址或IP地址的ARP数据包。

港口安保措施

端口安全措施确保只有经授权的设备才能与设备上的某个特定端口连接。例如,假设一台计算机被允许在一个服务器的80端口连接HTTP服务。在这种情况下,它将不允许任何其他计算机与同一服务器的80端口的HTTP服务连接,除非他们之前已经被授权。

VPNs

虚拟专用网络(VPN)在互联网上提供安全通信。当用户使用VPN时,他们的互联网流量会被加密,并通过一个中间服务器进行隧道传输。加密使得攻击者很难窃听通信。大多数现代VPN实施DNS泄漏保护,确保没有流量通过你的DNS查询被泄漏。

加密

加密是保护自己免受ARP欺骗的最好方法之一。你可以使用VPN或加密的服务,如HTTPS、SSH和TLS。然而,这些方法并非万无一失,也不能对所有类型的攻击提供强有力的保护。

结束语

如果你想保护你的网络免受ARP中毒的风险,将预防和检测技术相结合是理想的策略。即使是最安全的环境也可能受到攻击,因为预防策略在特定情况下经常出现故障。

如果主动检测技术也到位,你会在ARP中毒开始时就意识到它的存在。如果你的网络管理员在接到通知后迅速作出反应,你通常可以在造成很大损失之前阻止这些攻击。

在防止其他类型的欺骗攻击,如直接域名欺骗,你可以使用一个 DMARC分析器来授权发件人并对不良邮件采取行动。