otrava ARP je typ kybernetického útoku, který zneužívá slabiny široce používaného protokolu řešení adres (ARP) k narušení, přesměrování nebo špehování síťového provozu. V tomto díle se rychle podíváme na potřebu ARP, slabiny, které umožňují otravu ARP, a co můžete udělat, abyste udrželi svou organizaci v bezpečí.
co je ARP?
protokol ARP (Address Resolution Protocol) existuje pro podporu vrstveného přístupu používaného od prvních dnů počítačových sítí. Funkce každé vrstvy, od elektrických signálů, které cestují přes ethernetový kabel, až po HTML kód používaný k vykreslení webové stránky, fungují do značné míry nezávisle na sobě. Takto můžeme použít IPv4-technologii síťové vrstvy z počátku 80. let – s novějšími technologiemi, jako je Wi-Fi a Bluetooth: nižší vrstvy fyzického a datového spojení zvládají specifika přenosu dat přes konkrétní médium, jako jsou rádiové vlny.
účelem ARP je překládat mezi adresami ve vrstvě datového spojení-známé jako MAC adresy – a adresami v síťové vrstvě, což jsou typicky IP adresy. Umožňuje síťovým zařízením „zeptat se“, kterému zařízení je aktuálně přiřazena daná IP adresa. Zařízení mohou také toto mapování oznámit zbytku sítě, aniž by byla vyzvána. Z důvodu efektivity zařízení obvykle ukládají tyto odpovědi do mezipaměti a sestavují seznam aktuálních mapování MAC-to-IP.
co je otrava ARP?
otrava ARP spočívá ve zneužití slabých stránek v ARP k poškození mapování MAC-to-IP jiných zařízení v síti. Bezpečnost nebyla prvořadým problémem, když byl ARP zaveden v roce 1982, takže návrháři protokolu nikdy nezahrnovali autentizační mechanismy pro validaci ARP zpráv. Jakékoli zařízení v síti může odpovědět na požadavek ARP, ať už byla původní zpráva určena nebo ne. Například, pokud počítač a „požádá“ o MAC adresu počítače B, útočník v počítači C může odpovědět a počítač a by tuto odpověď přijal jako autentickou. Tento dohled umožnil řadu útoků. Využitím snadno dostupných nástrojů může herec hrozeb „otrávit“ mezipaměť ARP jiných hostitelů v místní síti a naplnit mezipaměť ARP nepřesnými záznamy.
Arp otravy kroky
přesné kroky Arp otravy útoku se může lišit, ale obecně se skládají z alespoň následující:
útočník vybere oběť stroj nebo stroje
prvním krokem při plánování a provádění ARP otravy útoku je výběr cíle. Může to být konkrétní koncový bod v síti, skupina koncových bodů nebo síťové zařízení, jako je router. Směrovače jsou atraktivní cíle, protože úspěšný útok otravy ARP proti routeru může narušit provoz celé podsítě.
útočník spouští Nástroje a zahajuje útok
každému, kdo chce provést otravu ARP, je snadno k dispozici široká škála nástrojů. Po spuštění nástroje podle svého výběru a konfiguraci příslušných nastavení útočník zahájí útok. Mohou okamžitě začít vysílat zprávy ARP nebo počkat, až bude přijata žádost.
útočník udělá něco s nesprávně řízeným provozem
jakmile byla poškozena mezipaměť ARP na počítači oběti nebo strojích, útočník obvykle provede nějaký typ akce s nesprávně řízeným provozem. Mohou to zkontrolovat, změnit, nebo způsobit ,že bude „blackholed“ a nikdy nedosáhne zamýšleného cíle. Přesná akce závisí na motivech útočníka.
typy otrav Arp
existují dva obecné způsoby, jak může dojít k otravě Arp: útočník může buď počkat, až uvidí požadavky ARP na konkrétní cíl a vydat odpověď, nebo vyslat nevyžádanou vysílanou zprávu známou jako „bezdůvodný ARP“. První přístup je v síti méně patrný, ale potenciálně méně dalekosáhlý ve svých dopadech. Bezdůvodné ARP může být bezprostřednější a mít dopad na větší počet obětí, ale přichází s nevýhodou generování velkého síťového provozu. V obou přístupech může být poškozená mezipaměť ARP na strojích obětí využita k dalším cílům:
útok Man-in-the-Middle (MiTM)
útoky MiTM jsou pravděpodobně nejčastějším a potenciálně nejnebezpečnějším cílem otravy ARP. Útočník odešle padělané ARP odpovědi pro danou IP adresu, obvykle výchozí bránu pro konkrétní podsíť. To způsobí, že počítače obětí naplní svou mezipaměť ARP MAC adresou útočníkova počítače namísto MAC adresy místního routeru. Stroje obětí pak nesprávně předají síťový provoz útočníkovi. Nástroje jako Ettercap umožňují útočníkovi působit jako proxy, prohlížet nebo upravovat informace před odesláním provozu na zamýšlené místo určení. Pro oběť se vše může zdát normální.
sňatek s otravou ARP s otravou DNS může dramaticky zvýšit účinnost útoku MiTM. V tomto scénáři, uživatel oběti může zadat legitimní web, například google.com a dostat IP adresu útočníka stroje, spíše než oprávněnou adresu.
Denial of Service (DoS) Attack
útok DoS je zaměřen na odepření jedné nebo více obětí přístupu k síťovým zdrojům. V případě ARP může útočník vyslat zprávy s odpovědí ARP, které falešně mapují stovky nebo dokonce tisíce IP adres na jednu MAC adresu, potenciálně ohromující cílový stroj. Tento typ útoku, někdy známý jako ARP flooding, lze také použít k cílení přepínačů, což může mít vliv na výkon celé sítě.
session Hijacking
session Hijacking attacks jsou podobné povahy jako Man-in-the-Middle, kromě toho, že útočník nebude přímo předávat provoz ze stroje oběti na zamýšlené místo určení. Místo toho útočník zachytí skutečné pořadové číslo TCP nebo webový soubor cookie od oběti a použije jej k převzetí identity oběti. To by mohlo být použito například pro přístup k účtu sociálních médií cílového uživatele, pokud se přihlásí.
jaký je cíl otravy Arp?
hackeři mají širokou škálu motivů a otrava ARP není výjimkou. Útočník může provést otravu ARP z mnoha důvodů, od špionáže na vysoké úrovni až po vzrušení z vytváření chaosu v síti. V jednom možném scénáři, útočník použije padělané zprávy ARP k převzetí role výchozí brány pro danou podsíť, účinně řídit veškerý provoz na útočníkově počítači místo lokálního routeru. Mohou pak špehovat, upravovat nebo upustit provoz. Tyto útoky jsou „hlučné“ v tom smyslu, že zanechávají důkazy, ale nemusí zasahovat do skutečného provozu sítě. Pokud je cílem špionáž, útočící stroj jednoduše předá provoz do původního cíle, což konečnému uživateli nenaznačuje, že by se něco změnilo.
na druhé straně může být bodem útoku DoS vytvoření vysoce znatelného narušení provozu sítě. I když by to mohlo být zaměřeno na zbavení podniku jeho schopnosti fungovat, útoky DoS jsou často prováděny méně kvalifikovanými útočníky pro pouhé potěšení z vytváření problémů.
útoky zasvěcených osob jsou zvláště znepokojivé, když přemýšlejí o otravě ARP. Falešné zprávy ARP se nedostanou za hranice místní sítě, takže útok musí pocházet ze zařízení, které je místně připojeno. Pro outsidera není nemožné zahájit útok ARP, ale nejprve by museli vzdáleně ohrozit místní systém jinými prostředky. Zasvěcenci by mezitím potřebovali pouze přístup k síti a některé snadno dostupné nástroje.
ARP Spoofing vs Arp otrava
termíny ARP Spoofing a Arp otrava se obecně používají zaměnitelně. Technicky, spoofing označuje útočníka vydávajícího se za MAC adresu jiného počítače, zatímco otrava označuje akt poškození tabulek ARP na jednom nebo více strojích obětí. V praxi se však jedná o dílčí prvky stejného útoku a obecně se oba pojmy používají k označení útoku jako celku. Další podobné pojmy mohou zahrnovat otravu mezipaměti ARP nebo poškození tabulky ARP.
jaké jsou účinky otravy Arp?
nejpřímějším dopadem útoku otravy ARP je to, že provoz určený pro jednoho nebo více hostitelů v místní síti bude místo toho nasměrován na místo, které si útočník vybere. Přesně to, jaký efekt to bude mít, závisí na specifikách útoku. Provoz by mohl být odeslán na stroj útočníka nebo odeslán na neexistující místo. V prvním případě nemusí být pozorovatelný účinek, zatímco druhý může bránit přístupu k síti.
ARP cache otrava sama o sobě nebude mít trvalý dopad. Položky ARP jsou ukládány do mezipaměti kdekoli od několika minut na koncových zařízeních až po několik hodin pro přepínače. Jakmile útočník přestane aktivně otravovat tabulky, poškozené položky jednoduše stárnou a brzy se obnoví správný tok provozu. Otrava ARP sama o sobě nezanechá trvalou infekci nebo oporu na strojích obětí. Hackeři však často spojují mnoho typů útoků dohromady a Arp otrava může být použita v rámci větší kampaně.
jak detekovat ARP Cache otrava útok
k detekci otravy ARP cache existuje celá řada komerčních a open-source softwaru, ale tabulky ARP můžete snadno zkontrolovat na svém počítači, aniž byste cokoli nainstalovali. Na většině systémů Windows, Mac a Linux vydá příkaz „arp-a“ z terminálu nebo příkazového řádku aktuální mapování adres IP na MAC zařízení.
nástroje jako arpwatch a X-ARP jsou užitečné pro nepřetržité sledování sítě a mohou upozornit správce, pokud jsou vidět známky útoku otravy ARP Cache. Falešně pozitivní jsou však obavy a mohou vytvářet velké množství nežádoucích upozornění.
jak zabránit útokům na otravu ARP
existuje několik přístupů k prevenci útoků na otravu ARP:
statické ARP tabulky
je možné staticky mapovat všechny MAC adresy v síti na jejich oprávněné IP adresy. To je vysoce účinné při prevenci útoků otravy ARP, ale přináší obrovskou administrativní zátěž. Jakákoli změna v síti bude vyžadovat ruční aktualizace tabulek ARP napříč všemi hostiteli, takže statické tabulky ARP jsou pro většinu větších organizací neproveditelné. Ještě pořád, v situacích, kdy je bezpečnost zásadní, vyřezávání samostatného segmentu sítě, kde se používají statické tabulky ARP, může pomoci chránit kritické informace.
Switch Security
většina spravovaných ethernetových přepínačů má sportovní funkce určené ke zmírnění útoků otravy ARP. Typicky známý jako Dynamic Arp Inspection (DAI), tyto funkce vyhodnocují platnost každé zprávy ARP a přetahují pakety, které se zdají podezřelé nebo škodlivé. DAI lze také obvykle nakonfigurovat tak, aby omezil rychlost, jakou mohou zprávy ARP procházet přepínačem, což účinně zabraňuje útokům DoS.
DAI a podobné funkce byly kdysi exkluzivní pro špičkové síťové vybavení, ale nyní jsou běžné na téměř všech přepínačích obchodní třídy, včetně těch, které se nacházejí v menších podnicích. Obecně se považuje za nejlepší postup povolit DAI na všech portech kromě portů připojených k jiným přepínačům. Tato funkce nepředstavuje významný dopad na výkon, ale může být nutné ji povolit ve spojení s dalšími funkcemi, jako je Snooping DHCP.
povolení zabezpečení portů na přepínači může také pomoci zmírnit útoky otravy mezipaměti ARP. Zabezpečení portů může být nakonfigurováno tak, aby umožňovalo pouze jednu MAC adresu na přepínacím portu, což útočníkovi zbavuje šanci zlomyslně převzít více síťových identit.
fyzická bezpečnost
správná kontrola fyzického přístupu k místu podnikání může pomoci zmírnit útoky otravy ARP. Zprávy ARP nejsou směrovány za hranice místní sítě, takže potenciální útočníci musí být ve fyzické blízkosti sítě obětí nebo již mají kontrolu nad strojem v síti. Všimněte si, že v případě bezdrátových sítí nemusí blízkost nutně znamenat, že útočník potřebuje přímý fyzický přístup; může stačit signál zasahující do ulice nebo parkoviště. Ať už kabelové nebo bezdrátové, použití technologie jako 802.1x může zajistit, že se k síti mohou připojit pouze důvěryhodná a/nebo spravovaná zařízení.
izolace sítě
jak bylo uvedeno výše, ARP zprávy necestují mimo místní podsíť. To znamená, že dobře segmentovaná síť může být celkově méně náchylná k otravě mezipaměti ARP, protože útok v jedné podsíti nemůže ovlivnit zařízení v jiné. Soustředění důležitých zdrojů do vyhrazeného segmentu sítě, kde je přítomna zvýšená bezpečnost, může výrazně snížit potenciální dopad útoku na otravu ARP.
šifrování
zatímco šifrování ve skutečnosti nezabrání útoku ARP, může zmírnit potenciální poškození. Populární použití MiTM útoků bylo zachytit přihlašovací údaje, které byly kdysi běžně přenášeny v prostém textu. S rozšířeným používáním šifrování SSL/TLS na webu se tento typ útoku stal obtížnějším. Herec hrozby může stále zachytit provoz, ale nemůže s ním nic dělat ve své šifrované podobě.
jen jedna z mnoha hrozeb
i když je to mnohem déle než moderní hrozby, jako je Ransomware, otrava ARP je stále hrozbou, kterou organizace musí řešit. Stejně jako všechny cyberthreats, to je nejlépe řešit prostřednictvím komplexního programu informační bezpečnosti. Řešení, jako je detekce a reakce hrozeb Varonis, vám může pomoci získat představu o celkovém bezpečnostním postoji vaší organizace. Přípravek Varonis Edge může pomoci odhalit známky exfiltrace dat, které se mohou objevit po záchvatu otravy ARP.