ARP myrkytys on eräänlainen kyberhyökkäys, joka käyttää väärin laajalti käytetyn Address Resolution Protocol (ARP) – protokollan heikkouksia häiritäkseen, ohjatakseen tai vakoillakseen verkkoliikennettä. Tässä teoksessa tarkastelemme nopeasti ARP: n tarvetta, heikkouksia, jotka mahdollistavat Arp-myrkytyksen, ja mitä voit tehdä pitääksesi organisaatiosi turvassa.
mitä ARP on?
Address Resolution Protocol (Arp) on olemassa tukemaan monitasoista lähestymistapaa, jota on käytetty Tietokoneverkon alkuajoista lähtien. Kunkin kerroksen toiminnot Ethernet-kaapelin poikki kulkevista sähköisistä signaaleista verkkosivun muokkaamiseen käytettävään HTML-koodiin toimivat pitkälti toisistaan riippumattomina. Näin voimme käyttää IPv4-verkkokerroksen tekniikkaa vuodelta 1980-luvun alussa-uudemmilla tekniikoilla, kuten Wi-Fi ja Bluetooth: alempi fyysinen ja tiedonsiirto kerrokset käsittelevät yksityiskohtia siirtää tietoja tietyn väliaineen, kuten radioaaltojen.
ARP: n tarkoituksena on kääntää datayhteyskerroksen osoitteita – joita kutsutaan MAC – osoitteiksi-ja verkkokerroksen osoitteita, jotka ovat tyypillisesti IP-osoitteita. Sen avulla verkotetut laitteet voivat ”kysyä”, mille laitteelle on tällä hetkellä annettu tietty IP-osoite. Laitteet voivat myös ilmoittaa tämän yhdistämisen muulle verkolle ilman, että sitä pyydetään. Tehokkuuden vuoksi laitteet tyypillisesti tallentavat nämä vastaukset ja rakentavat luettelon nykyisistä MAC-to-IP-yhdistyksistä.
mitä ARP-myrkytys on?
ARP-myrkytys koostuu ARP: n heikkouksien väärinkäytöstä muiden verkon laitteiden MAC-to-IP-kartoitusten turmelemiseen. Turvallisuus ei ollut ensiarvoisen tärkeää ARP: n käyttöönotossa vuonna 1982, joten protokollan suunnittelijat eivät koskaan sisällyttäneet ARP-viestien todentamismenetelmiä. Mikä tahansa verkon laite voi vastata ARP-pyyntöön riippumatta siitä, oliko alkuperäinen viesti tarkoitettu sille vai ei. Esimerkiksi Jos tietokone A ”kysyy” tietokoneen B MAC-osoitetta, tietokoneen C hyökkääjä voi vastata ja tietokone a hyväksyisi tämän vastauksen aitona. Tämä valvonta on mahdollistanut monenlaiset hyökkäykset. Hyödyntämällä helposti saatavilla olevia työkaluja uhkaaja voi ”myrkyttää” lähiverkon muiden isäntien ARP-välimuistin ja täyttää ARP-välimuistin epätarkoilla merkinnöillä.
ARP-Myrkytyshyökkäyksen vaiheet
ARP-Myrkytyshyökkäyksen tarkat vaiheet voivat vaihdella, mutta koostuvat yleensä ainakin seuraavista:
Hyökkääjä valitsee Uhrikoneen tai koneet
ensimmäinen vaihe ARP-Myrkytyshyökkäyksen suunnittelussa ja toteuttamisessa on kohteen valitseminen. Tämä voi olla tietty päätepiste verkossa, päätepisteiden ryhmä tai verkkolaite, kuten reititin. Reitittimet ovat houkuttelevia kohteita, koska onnistunut ARP-Myrkytyshyökkäys reititintä vastaan voi häiritä koko aliverkon liikennettä.
Hyökkääjä käynnistää Työkalut ja aloittaa hyökkäyksen
monenlaisia työkaluja on helposti saatavilla kenelle tahansa, joka haluaa suorittaa ARP-Myrkytyshyökkäyksen. Käynnistettyään valitsemansa työkalun ja määritettyään sovellettavat asetukset hyökkääjä aloittaa hyökkäyksen. He voivat aloittaa ARP-viestien lähettämisen välittömästi tai odottaa, kunnes pyyntö on vastaanotettu.
hyökkääjä tekee jotain väärin ohjatulla liikenteellä
kun uhrikoneen tai-koneiden ARP-välimuisti on vioittunut, hyökkääjä suorittaa tyypillisesti jonkin tyyppistä toimintaa väärin ohjatulla liikenteellä. He saattavat tarkastaa sen, muuttaa sitä tai aiheuttaa sen ”mustaksi” pääsemättä koskaan aiottuun määränpäähänsä. Tarkka teko riippuu hyökkääjän motiiveista.
Arp-Myrkytyshyökkäyksen tyypit
Arp-Myrkytyshyökkäys voi tapahtua kahdella yleisellä tavalla: hyökkääjä voi joko odottaa tiettyä kohdetta koskevia ARP-pyyntöjä ja antaa vastauksen tai lähettää pyytämättä lähetetyn viestin, joka tunnetaan nimellä ”gratuitous ARP”. Ensimmäinen lähestymistapa on vähemmän havaittavissa verkossa, mutta mahdollisesti vähemmän kauaskantoinen vaikutuksiltaan. Vastikkeeton ARP voi olla välittömämpi ja vaikuttaa enemmän uhreja, mutta mukana haittapuoli tuottaa paljon verkkoliikennettä. Kummassakin lähestymistavassa uhrikoneiden vioittuneita ARP-välimuisteja voidaan hyödyntää edelleen:
Man-in-the-Middle (MiTM) – hyökkäys
MiTM-hyökkäykset ovat luultavasti yleisin ja mahdollisesti vaarallisin ARP-myrkytyksen tavoite. Hyökkääjä lähettää väärennettyjä ARP-vastauksia tietylle IP-osoitteelle, tyypillisesti oletusyhdyskäytävälle tietylle aliverkolle. Tämä saa uhrikoneet kansoittamaan ARP-välimuistinsa hyökkääjän koneen MAC-osoitteella paikallisen reitittimen MAC-osoitteen sijaan. Tämän jälkeen uhriautomaatit välittävät verkkoliikenteen väärin hyökkääjälle. Ettercapin kaltaisten työkalujen avulla hyökkääjä voi toimia välityspalvelimena, katsella tai muokata tietoja ennen liikenteen lähettämistä aiottuun määränpäähänsä. Uhrille kaikki voi näyttää normaalilta.
Arp-myrkytyksen naiminen DNS-myrkytyksen kanssa voi lisätä merkittävästi MiTM-hyökkäyksen tehoa. Tässä skenaariossa uhri käyttäjä voi kirjoittaa laillinen sivusto, kuten google.com ja annetaan hyökkääjän koneen IP-osoite oikean osoitteen sijaan.
palvelunestohyökkäys (dos)
DoS-hyökkäys pyrkii epäämään yhdeltä tai useammalta uhrilta pääsyn verkon resursseihin. Arp: n tapauksessa hyökkääjä saattaa lähettää ARP-vastausviestejä, jotka virheellisesti kartoittavat satoja tai jopa tuhansia IP-osoitteita yhteen MAC-osoitteeseen, mikä saattaa hukuttaa kohdekoneen. Tämän tyyppistä hyökkäystä, jota joskus kutsutaan ARP-tulvaksi, voidaan käyttää myös kytkimien kohdentamiseen, mikä saattaa vaikuttaa koko verkon suorituskykyyn.
Session kaappaus
Session Kaappaushyökkäykset ovat luonteeltaan samanlaisia kuin ihminen keskellä, paitsi että hyökkääjä ei suoraan ohjaa liikennettä uhriautomaatista aiottuun määränpäähänsä. Sen sijaan hyökkääjä nappaa uhrilta aidon TCP-järjestysnumeron tai verkkoevästeen ja käyttää sitä uhrin henkilöllisyyden omaksumiseen. Tätä voitaisiin käyttää, esimerkiksi, käyttää kohdekäyttäjän sosiaalisen median tilin, jos ne sattuvat olemaan Kirjautunut sisään.
mikä on ARP-Myrkytyskohtauksen tavoite?
hakkereilla on monenlaisia motiiveja, eikä ARP-myrkytys ole poikkeus. Hyökkääjä saattaa tehdä ARP-myrkytyshyökkäyksen monestakin syystä, aina korkean tason vakoilusta jännittävään kaaoksen luomiseen verkossa. Yhdessä mahdollisessa skenaariossa hyökkääjä käyttää väärennettyjä ARP-viestejä ottaakseen tietyn aliverkon oletusyhdyskäytävän roolin ohjaten tehokkaasti kaiken liikenteen hyökkääjän koneelle paikallisen reitittimen sijaan. He voivat sitten vakoilla, muokata tai pudottaa liikennettä. Nämä hyökkäykset ovat ”meluisia” siinä mielessä, että ne jättävät todisteita jälkeensä, mutta niiden ei tarvitse häiritä verkon todellista toimintaa. Jos tavoitteena on vakoilu, hyökkäävä kone vain välittää liikenteen alkuperäiseen määränpäähänsä, jolloin loppukäyttäjä ei osoita minkään muuttuneen.
toisaalta DoS-hyökkäyksen tarkoituksena saattaa olla aiheuttaa hyvin havaittavaa häiriötä verkon toiminnassa. Vaikka tämä voisi kohdistua yrityksen toimintakyvyn riistämiseen, DOS-hyökkäyksiä tekevät usein vähemmän taitavat hyökkääjät silkasta ongelmien tuottamisen nautinnosta.
Sisäpiirihyökkäykset ovat erityisen huolestuttavia ARP-myrkytystä ajateltaessa. Huijatut ARP-viestit eivät ulotu lähiverkon rajojen ulkopuolelle, joten hyökkäyksen on oltava lähtöisin paikallisesti kytketystä laitteesta. Ulkopuolisen ei ole mahdotonta käynnistää ARP-hyökkäystä, mutta heidän täytyisi etänä vaarantaa paikallinen järjestelmä muilla keinoilla ensin. Sisäpiiriläinen taas tarvitsisi vain verkkoyhteyden ja joitakin helposti saatavilla olevia työkaluja.
ARP huijaus vs ARP myrkytys
termejä ARP huijaus ja ARP myrkytys käytetään yleensä keskenään. Teknisesti huijaus viittaa hyökkääjään, joka esiintyy toisen koneen MAC-osoitteena, kun taas myrkytys merkitsee yhden tai useamman uhrin koneiden ARP-taulukoiden turmelemista. Käytännössä nämä molemmat ovat kuitenkin saman hyökkäyksen osaelementtejä, ja yleisessä kielenkäytössä molempia termejä käytetään tarkoittamaan hyökkäystä kokonaisuutena. Muita vastaavia termejä voivat olla ARP cache myrkytys tai ARP taulukko korruptio.
mitä vaikutuksia ARP-Myrkytyskohtauksella on?
ARP-Myrkytyshyökkäyksen suorin vaikutus on se, että paikallisverkossa yhdelle tai useammalle isännälle tarkoitettu liikenne ohjataan sen sijaan hyökkääjän valitsemaan kohteeseen. Mikä vaikutus tällä on, riippuu hyökkäyksen yksityiskohdista. Liikenne voitiin lähettää hyökkääjän koneelle tai lähettää olemattomaan paikkaan. Ensimmäisessä tapauksessa ei välttämättä ole havaittavaa vaikutusta, kun taas toinen voi estää pääsyn verkkoon.
ARP-kätkömyrkytyksellä itsessään ei ole pysyvää vaikutusta. ARP merkinnät tallennetaan välimuistiin missä tahansa muutaman minuutin päässä laitteet useita tunteja Kytkimet. Heti kun hyökkääjä lakkaa aktiivisesti myrkyttämästä taulukoita, vioittuneet merkinnät yksinkertaisesti ikääntyvät ja asianmukainen liikenteen virtaus jatkuu pian. ARP-myrkytys ei yksinään jätä pysyvää infektiota tai jalansijaa uhrikoneisiin. Hakkerit kuitenkin usein ketjuttavat monenlaisia hyökkäyksiä yhteen, ja ARP-myrkytystä saatetaan käyttää osana suurempaa kampanjaa.
Arp-Välimuistimyrkytyshyökkäyksen havaitseminen
ARP-välimuistimyrkytyksen havaitsemiseen on olemassa erilaisia kaupallisia ja avoimen lähdekoodin ohjelmistoja, mutta oman tietokoneen ARP-taulukot voi helposti tarkistaa asentamatta mitään. Useimmissa Windows -, Mac-ja Linux-järjestelmissä ”arp-a” – komennon antaminen päätteestä tai komentoriviltä näyttää koneen nykyiset IP-to-MAC-osoitekartoitukset.
Arpwatchin ja X-ARP: n kaltaiset työkalut ovat hyödyllisiä verkon jatkuvassa seurannassa ja voivat hälyttää ylläpitäjän, jos merkkejä Arp-Välimuistimyrkytyshyökkäyksestä havaitaan. Väärät positiiviset ovat kuitenkin huolenaihe ja voivat luoda suuren määrän ei-toivottuja hälytyksiä.
Miten estää ARP-Myrkytyskohtaukset
ARP-Myrkytyskohtausten ehkäisemiseen on useita lähestymistapoja:
staattiset ARP-taulukot
on mahdollista staattisesti kartoittaa kaikki verkon MAC-osoitteet niiden oikeisiin IP-osoitteisiin. Tämä on erittäin tehokas ehkäisemään ARP-Myrkytyshyökkäyksiä, mutta lisää valtavaa hallinnollista taakkaa. Kaikki muutokset verkkoon edellyttävät ARP-taulukoiden manuaalista päivittämistä kaikissa isännissä, mikä tekee staattisista ARP-taulukoista mahdottomia useimmille suuremmille organisaatioille. Silti tilanteissa, joissa turvallisuus on ratkaisevaa, erillisen verkkolohkon veistäminen, jossa käytetään staattisia ARP-taulukoita, voi auttaa suojaamaan kriittisiä tietoja.
Switch Security
Most managed Ethernet switches sport features suunniteltu lieventämään ARP myrkytys hyökkäyksiä. Tyypillisesti kutsutaan dynaaminen ARP tarkastus (DAI), nämä ominaisuudet arvioida pätevyyttä kunkin ARP viestin ja pudota paketteja, jotka näyttävät epäilyttäviä tai haitallisia. Dai voidaan myös tyypillisesti konfiguroida rajoittamaan nopeutta, jolla ARP-viestit voivat kulkea kytkimen läpi, estäen tehokkaasti DoS-hyökkäykset.
DAI ja sen kaltaiset ominaisuudet olivat aiemmin yksinomaan high-end-verkkovaihteille, mutta ovat nykyään yleisiä lähes kaikissa business-luokan kytkimissä, myös pienemmissä yrityksissä. Yleisesti pidetään parhaana käytäntönä ottaa DAI käyttöön kaikissa porteissa lukuun ottamatta niitä, jotka on kytketty muihin kytkimiin. Ominaisuus ei tuo merkittävää suorituskykyvaikutusta, mutta saattaa olla tarpeen ottaa käyttöön yhdessä muiden ominaisuuksien, kuten DHCP Nuuskimisen kanssa.
portin turvallisuuden mahdollistaminen kytkimellä voi myös auttaa ARP-Välimuistimyrkytyshyökkäysten lieventämisessä. Portin turvallisuus voidaan määrittää sallimaan vain yhden MAC-osoitteen kytkinporttiin, riistäen hyökkääjältä mahdollisuuden ilkeästi olettaa useita verkko-identiteettejä.
fyysinen turvallisuus
oikeaoppinen fyysisen pääsyn valvonta omaan toimipaikkaan voi auttaa vähentämään ARP-Myrkytyskohtauksia. ARP-viestejä ei reititetä lähiverkon rajojen ulkopuolelle, joten mahdollisten hyökkääjien on oltava fyysisesti lähellä uhriverkostoa tai heillä on jo hallussaan verkossa olevaa konetta. Huomaa, että langattomissa verkoissa läheisyys ei välttämättä tarkoita hyökkääjän tarvitsevan suoraa fyysistä yhteyttä, vaan katuun tai parkkipaikalle ulottuva signaali voi riittää. Olipa langallinen tai langaton, teknologian käyttö kuten 802.1x voi varmistaa, että vain luotetut ja/tai hallinnoidut laitteet voivat muodostaa yhteyden verkkoon.
verkon eristäminen
kuten aiemmin todettiin, ARP-viestit eivät kulje paikallista aliverkostoa pidemmälle. Tämä tarkoittaa, että hyvin segmentoitu verkko voi olla vähemmän altis ARP-välimuistimyrkytykselle kaiken kaikkiaan, koska hyökkäys yhdessä aliverkossa ei voi vaikuttaa laitteisiin toisessa. Tärkeiden resurssien keskittäminen erilliseen verkkosegmenttiin, jossa turvallisuutta parannetaan, voi vähentää huomattavasti Arp-Myrkytyshyökkäyksen mahdollisia vaikutuksia.
salaus
vaikka salaus ei varsinaisesti estä ARP-hyökkäystä, se voi lieventää mahdollisia vaurioita. Suosittu MiTM-hyökkäysten käyttö oli kirjaustunnusten kaappaaminen, jotka aikoinaan lähetettiin yleisesti pelkällä tekstillä. SSL/TLS-salauksen yleistyttyä verkossa tämän tyyppinen hyökkäys on vaikeutunut. Uhkaaja voi vielä siepata liikenteen, mutta ei voi tehdä sillä mitään salatussa muodossaan.
vain yksi monista uhista
vaikka se on ollut olemassa paljon kauemmin kuin nykyaikaiset uhat, kuten Ransomware, ARP-myrkytys on edelleen uhka, johon organisaatioiden on puututtava. Kuten kaikki cyberthreats, se on parasta käsitellä kautta kattava tietoturvaohjelma. Varonis-Uhkatunnistuksen ja-vastauksen kaltainen ratkaisu voi auttaa sinua saamaan käsityksen organisaatiosi yleisestä turvallisuustilanteesta. Varonis Edge voi auttaa havaitsemaan merkkejä tietojen poistumisesta ARP-Myrkytyskohtauksen jälkeen.