By: adminPosted on

ARP-forgiftning er en type cyberangreb, der misbruger svagheder i den udbredte Adresseopløsningsprotokol (ARP) for at forstyrre, omdirigere eller spionere på netværkstrafik. I dette stykke tager vi et hurtigt kig på behovet for ARP, de svagheder, der muliggør ARP-forgiftning, og hvad du kan gøre for at holde din organisation sikker.

hvad er ARP?

Address Resolution Protocol (ARP) eksisterer for at understøtte den lagdelte tilgang, der er brugt siden de tidligste dage af computernetværk. Funktionerne i hvert lag, fra de elektriske signaler, der bevæger sig over et Ethernet-kabel til HTML-koden, der bruges til at gengive en hjemmeside, fungerer stort set uafhængigt af hinanden. Sådan kan vi bruge IPv4-en netværkslagsteknologi fra begyndelsen af 1980 ‘ erne-med nyere teknologier som trådløs internetadgang og Bluetooth: de lavere fysiske lag og datalinklag håndterer detaljerne ved overførsel af data over et specifikt medium som radiobølger.

formålet med ARP er at oversætte mellem adresser på datalinklaget – kendt som MAC – adresser-og adresser på netværkslaget, som typisk er IP-adresser. Det giver netværksenheder mulighed for at” spørge”, hvilken enhed der i øjeblikket er tildelt en given IP-adresse. Enheder kan også annoncere denne kortlægning til resten af netværket uden at blive bedt om det. For effektivitetens skyld vil enheder typisk cache disse svar og opbygge en liste over aktuelle MAC-til-IP-kortlægninger.

Hvad er ARP forgiftning?

ARP-forgiftning består i at misbruge svaghederne i ARP for at ødelægge MAC-til-IP-kortlægninger af andre enheder på netværket. Sikkerhed var ikke en altoverskyggende bekymring, da ARP blev introduceret i 1982, så designerne af protokollen inkluderede aldrig godkendelsesmekanismer til validering af ARP-meddelelser. Enhver enhed på netværket kan besvare en ARP-anmodning, uanset om den originale meddelelse var beregnet til den eller ej. For eksempel, Hvis Computer a “beder” om MAC-adressen på Computer B, kan en angriber på Computer C svare, og Computer a ville acceptere dette svar som autentisk. Dette tilsyn har muliggjort en række angreb. Ved at udnytte let tilgængelige værktøjer kan en trusselaktør” forgifte ” ARP-cachen fra andre værter på et lokalt netværk og fylde ARP-cachen med unøjagtige poster.

Arp-Forgiftningsangrebstrin

de nøjagtige trin i et ARP-Forgiftningsangreb kan variere, men består generelt af mindst følgende:

angriber vælger en Offermaskine eller maskiner

det første trin i planlægning og gennemførelse af et ARP-Forgiftningsangreb er at vælge et mål. Dette kan være et specifikt slutpunkt på netværket, en gruppe slutpunkter eller en netværksenhed som en router. Routere er attraktive mål, fordi et vellykket ARP-Forgiftningsangreb mod en router kan forstyrre trafikken for et helt undernet.

Hacker lancerer værktøjer og begynder angrebet

en bred vifte af værktøjer er let tilgængelige for alle, der ønsker at udføre et ARP-Forgiftningsangreb. Efter at have lanceret værktøjet efter eget valg og konfigureret gældende indstillinger, begynder angriberen angrebet. De kan straks begynde at udsende ARP-meddelelser eller vente, indtil en anmodning er modtaget.

Hacker gør noget med den forkert styrede trafik

når ARP-cachen på en offermaskine eller-maskiner er blevet beskadiget, vil angriberen typisk udføre en form for handling med den forkert styrede trafik. De kan inspicere det, ændre det eller få det til at blive “blackholed” og aldrig nå sin tilsigtede destination. Den nøjagtige handling afhænger af angriberens motiver.

typer af arp-Forgiftningsangreb

der er to generelle måder, hvorpå et ARP-Forgiftningsangreb kan forekomme: angriberen kan enten vente med at se ARP-anmodninger om et bestemt mål og udsende et svar eller sende en uopfordret udsendelsesmeddelelse kendt som en “gratis ARP”. Den første tilgang er mindre mærkbar på netværket, men potentielt mindre vidtrækkende i dens virkninger. En gratis ARP kan være mere øjeblikkelig og påvirke et større antal ofre, men kommer med ulempen ved at generere masser af netværkstrafik. I begge tilgange kan de beskadigede ARP-cache(er) på offermaskiner udnyttes til yderligere ender:

Man-In-The-Middle (MiTM) angreb

MiTM-angreb er sandsynligvis det mest almindelige og potentielt farligste mål for ARP-forgiftning. Angriberen sender forfalskede ARP-svar for en given IP-adresse, typisk standardporten for et bestemt undernet. Dette får offermaskiner til at udfylde deres ARP-cache med MAC-adressen på angriberens maskine i stedet for den lokale routers MAC-adresse. Offermaskiner videresender derefter forkert netværkstrafik til angriberen. Værktøjer som Ettercap giver angriberen mulighed for at fungere som en fuldmagt, se eller ændre oplysninger, før han sender trafikken til den tilsigtede destination. For offeret kan alt virke normalt.

at gifte sig med ARP-forgiftning med DNS-forgiftning kan dramatisk øge effektiviteten af et MITM-angreb. I dette scenarie, en offerbruger kan skrive et legitimt sted, såsom google.com og få IP-adressen på angriberens maskine, snarere end den retmæssige adresse.

DoS-angreb (Denial of Service)

et DoS-angreb har til formål at nægte et eller flere ofre adgang til netværksressourcer. I tilfælde af ARP, en angriber kan sende ARP-svarmeddelelser, der fejlagtigt kortlægger hundreder eller endda tusinder af IP-adresser til en enkelt MAC-adresse, potentielt overvældende målmaskinen. Denne type angreb, undertiden kendt som ARP-oversvømmelse, kan også bruges til at målrette afbrydere, hvilket potentielt påvirker ydeevnen for hele netværket.

Session kapring

Session kapring angreb er af samme art som Man-In-The-Middle, bortset fra at angriberen ikke direkte vil videresende trafik fra offeret maskine til sin tilsigtede destination. I stedet vil angriberen fange et ægte TCP-sekvensnummer eller internetcookie fra offeret og bruge det til at antage offerets identitet. Bruges til at få adgang til en målbrugers sociale mediekonto, hvis de tilfældigvis er logget ind.

Hvad er formålet med et ARP-Forgiftningsangreb?

hackere har en lang række motiver, og ARP-forgiftning er ingen undtagelse. En angriber kan udføre et ARP-forgiftningsangreb af en række årsager, lige fra spionage på højt niveau til spændingen ved at skabe kaos på netværket. I et potentielt scenario vil en angriber bruge forfalskede ARP-meddelelser til at påtage sig rollen som standardportalen for et givet undernet og effektivt styre al trafik til angriberens maskine i stedet for den lokale router. De kan derefter spionere på, Ændre eller slippe trafikken. Disse angreb er” støjende ” i den forstand, at de efterlader beviser, men de behøver ikke forstyrre den faktiske drift af netværket. Hvis spionage er målet, vil den angribende maskine blot videresende trafikken til sin oprindelige destination, hvilket giver slutbrugeren ingen indikation af, at noget har ændret sig.

på den anden side kan pointen med et DoS-angreb være at skabe en meget mærkbar forstyrrelse i netværksdriften. Selvom dette kunne målrettes mod at fratage en virksomhed sin evne til at operere, udføres DoS-angreb ofte af mindre dygtige angribere for den rene glæde ved at skabe problemer.

Insiderangreb er af særlig bekymring, når man tænker på ARP-forgiftning. Falske ARP-meddelelser når ikke ud over grænserne for et lokalt netværk, så angrebet skal stamme fra en enhed, der er lokalt forbundet. Det er ikke umuligt for en outsider at indlede et ARP-angreb, men de skal først kompromittere et lokalt system på andre måder. En insider ville i mellemtiden kun have brug for netværksadgang og nogle let tilgængelige værktøjer.

ARP-Spoofing vs ARP-forgiftning

illustration af arp-forgiftning vs arp-spoofing

udtrykkene ARP-Spoofing og ARP-forgiftning bruges generelt om hverandre. Teknisk set henviser spoofing til en angriber, der efterligner en anden maskines MAC-adresse, mens forgiftning betegner handlingen med at ødelægge ARP-tabellerne på en eller flere offermaskiner. I praksis er disse imidlertid begge underelementer i det samme angreb, og generelt bruges begge udtryk til at henvise til angrebet som helhed. Andre lignende udtryk kan omfatte ARP cache forgiftning eller arp tabel korruption.

Hvad er virkningerne af et ARP-Forgiftningsangreb?

den mest direkte virkning af et Arp-Forgiftningsangreb er, at trafik bestemt til en eller flere værter på det lokale netværk i stedet styres til en destination, som angriberen vælger. Præcis hvilken effekt dette vil have afhænger af angrebets SPECIFIKATIONER. Trafikken kunne sendes til angriberens maskine eller sendes til et ikke-eksisterende sted. I første omgang kan der ikke være nogen observerbar effekt, mens den anden kan hæmme adgangen til netværket.

ARP cache forgiftning selv vil ikke have en varig effekt. ARP-poster cachelagres hvor som helst fra et par minutter på slutenheder til flere timer for afbrydere. Så snart en angriber stopper aktivt forgiftning tabellerne, vil de beskadigede poster simpelthen alder ud og ordentlig strøm af trafik vil snart genoptage. ARP-forgiftning alene vil ikke efterlade en permanent infektion eller fodfæste på offermaskiner. Imidlertid kæder hackere ofte mange typer angreb sammen, og ARP-forgiftning kan bruges i en del af en større kampagne.

Hvordan til at opdage en ARP Cache forgiftning angreb

der findes en række kommercielle og open source-programmer til at opdage ARP-cacheforgiftning, men du kan nemt kontrollere ARP-tabellerne på din egen computer uden at installere noget. På de fleste systemer vil udstedelse af kommandoen “arp-A” fra en terminal eller kommandolinje vise de aktuelle IP-til-MAC-adressekort på maskinen.

værktøjer som Arp er nyttige til kontinuerlig overvågning af netværket og kan advare en administrator, hvis der ses tegn på et ARP-Cache-Forgiftningsangreb. Imidlertid, falske positiver er en bekymring og kan skabe et stort antal uønskede alarmer.

Sådan forhindres Arp-Forgiftningsangreb

illustration af tip til forebyggelse af arp-forgiftning

der er flere tilgange til forebyggelse af ARP-Forgiftningsangreb:

statiske ARP-tabeller

det er muligt statisk at kortlægge alle MAC-adresser i et netværk til deres retmæssige IP-adresser. Dette er yderst effektivt til at forhindre ARP-Forgiftningsangreb, men tilføjer en enorm administrativ byrde. Enhver ændring af netværket kræver manuelle opdateringer af arp-tabellerne på tværs af alle værter, hvilket gør statiske ARP-tabeller umulige for de fleste større organisationer. I situationer, hvor sikkerhed er afgørende, kan udskæring af et separat netværkssegment, hvor statiske ARP-tabeller bruges, hjælpe med at beskytte kritisk information.

skift sikkerhed

mest administrerede Ethernet skifter sport funktioner designet til at afbøde ARP forgiftning angreb. Typisk kendt som dynamisk ARP-inspektion (DAI), vurderer disse funktioner gyldigheden af hver ARP-meddelelse og slipper pakker, der forekommer mistænkelige eller ondsindede. DAI kan også typisk konfigureres til at begrænse den hastighed, hvormed ARP-meddelelser kan passere gennem kontakten, hvilket effektivt forhindrer DoS-angreb.

DAI og lignende funktioner var engang eksklusive til high-end netværksudstyr, men er nu almindelige på næsten alle forretningskontakter, inklusive dem, der findes i mindre virksomheder. Det betragtes generelt som en bedste praksis at aktivere DAI på alle porte undtagen dem, der er tilsluttet andre kontakter. Funktionen introducerer ikke en betydelig præstationspåvirkning, men skal muligvis aktiveres sammen med andre funktioner som DHCP Snooping.

aktivering af Havnesikkerhed på en kontakt kan også hjælpe med at afbøde ARP-Cache-Forgiftningsangreb. Port Security kan konfigureres til kun at tillade en enkelt MAC-adresse på en omskifterport, hvilket fratager en angriber chancen for ondsindet at antage flere netværksidentiteter.

fysisk sikkerhed

korrekt kontrol af fysisk adgang til dit forretningssted kan hjælpe med at afbøde ARP-Forgiftningsangreb. ARP-meddelelser dirigeres ikke ud over grænserne for det lokale netværk, så potentielle angribere skal være i fysisk nærhed til offernetværket eller allerede have kontrol over en maskine på netværket. Bemærk, at i tilfælde af trådløse netværk betyder nærhed ikke nødvendigvis, at angriberen har brug for direkte fysisk adgang; et signal strækker sig til en gade eller parkeringsplads kan være tilstrækkeligt. Uanset om det er kablet eller trådløst, brugen af teknologi som 802.1 gange kan sikre, at kun betroede og/eller administrerede enheder kan oprette forbindelse til netværket.

Netværksisolering

som tidligere nævnt rejser ARP-meddelelser ikke ud over det lokale undernet. Dette betyder, at et godt segmenteret netværk generelt kan være mindre modtageligt for ARP-cacheforgiftning, da et angreb i et undernet ikke kan påvirke enheder i et andet. Koncentrering af vigtige ressourcer i et dedikeret netværkssegment, hvor forbedret sikkerhed er til stede, kan i høj grad mindske den potentielle virkning af et ARP-Forgiftningsangreb.

kryptering

mens kryptering faktisk ikke forhindrer et ARP-angreb i at forekomme, kan det afbøde den potentielle skade. En populær brug af MITM-angreb var at fange loginoplysninger, der engang ofte blev transmitteret i almindelig tekst. Med den udbredte brug af SSL / TLS-kryptering på nettet er denne type angreb blevet vanskeligere. Trusselskuespilleren kan stadig opfange trafikken, men kan ikke gøre noget med den i sin krypterede form.

bare en af mange trusler

mens det har eksisteret langt længere end moderne trusler som løsepenge, er ARP-forgiftning stadig en trussel, som organisationer har brug for at tackle. Som alle cybertrusler løses det bedst gennem et omfattende informationssikkerhedsprogram. En løsning som Varonis Threat Detection and Response kan hjælpe dig med at få en ide om din organisations overordnede sikkerhedsstilling. Varonis Edge kan hjælpe med at få øje på tegn på dataudfiltrering, der kan opstå efter et ARP-Forgiftningsangreb har fundet sted.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.