By: adminPosted on

az ARP mérgezés egy olyan típusú kibertámadás, amely visszaél a széles körben használt Address Resolution Protocol (ARP) gyengeségeivel a hálózati forgalom megzavarása, átirányítása vagy kémkedése érdekében. Ebben a cikkben röviden áttekintjük az ARP szükségességét, azokat a gyengeségeket, amelyek lehetővé teszik az ARP mérgezést, és mit tehet a szervezet biztonsága érdekében.

mi az ARP?

az Address Resolution Protocol (Arp) a számítógépes hálózatépítés legkorábbi napjaitól kezdve alkalmazott réteges megközelítés támogatására létezik. Az egyes rétegek funkciói, az Ethernet-kábelen áthaladó elektromos jelektől a weboldal megjelenítéséhez használt HTML-kódig, nagyrészt egymástól függetlenül működnek. Így használhatjuk az IPv4 – et-egy 1980-as évek eleji hálózati réteg technológiát-olyan újabb technológiákkal, mint a Wi-Fi és a Bluetooth: az alsó fizikai és adatkapcsolati rétegek kezelik az adatok átvitelének sajátosságait egy adott adathordozón, például rádióhullámokon.

az ARP célja, hogy lefordítsa az adatkapcsolati réteg címeit – az úgynevezett MAC – címeket-és a hálózati réteg címeit, amelyek általában IP-címek. Ez lehetővé teszi a hálózati eszközök számára, hogy” megkérdezzék”, hogy melyik eszközhöz van hozzárendelve egy adott IP-cím. Az eszközök kérés nélkül is bejelenthetik ezt a leképezést a hálózat többi részére. A hatékonyság érdekében az eszközök általában gyorsítótárazzák ezeket a válaszokat, és összeállítják az aktuális MAC-IP leképezések listáját.

mi az ARP mérgezés?

az ARP-mérgezés abból áll, hogy visszaélnek az ARP gyengeségeivel, hogy megsértsék a hálózat többi eszközének MAC-IP-leképezését. A biztonság nem volt elsődleges szempont az ARP 1982-es bevezetésekor, így a protokoll tervezői soha nem tartalmaztak hitelesítési mechanizmusokat az ARP üzenetek érvényesítésére. A hálózat bármely eszköze válaszolhat egy ARP kérésre, függetlenül attól, hogy az eredeti üzenetet szánták-e vagy sem. Például, ha az a számítógép “megkérdezi” a B számítógép MAC-címét, a C számítógép támadója válaszolhat, és az A számítógép hitelesnek fogadja el ezt a választ. Ez a felügyelet számos támadást tett lehetővé. A könnyen elérhető eszközök kihasználásával a fenyegetés szereplője “megmérgezheti” a helyi hálózat többi gazdagépének ARP gyorsítótárát, pontatlan bejegyzésekkel töltve meg az ARP gyorsítótárat.

ARP mérgezési támadás lépései

az ARP mérgezési támadás pontos lépései változhatnak, de általában legalább a következőkből állnak:

A támadó kiválasztja az áldozat gépét vagy gépeit

az ARP mérgezési támadás tervezésének és végrehajtásának első lépése a cél kiválasztása. Ez lehet egy adott végpont a hálózaton, végpontok csoportja vagy hálózati eszköz, például útválasztó. Az útválasztók vonzó célpontok, mivel az útválasztó elleni sikeres ARP-mérgezési támadás megzavarhatja a teljes alhálózat forgalmát.

A támadó eszközöket indít és elindítja a támadást

az eszközök széles választéka könnyen elérhető bárki számára, aki ARP-mérgezést szeretne végrehajtani. A választott eszköz elindítása és a megfelelő beállítások megadása után a támadó megkezdi a támadást. Azonnal megkezdhetik az ARP üzenetek sugárzását, vagy várhatnak, amíg kérés érkezik.

A támadó valamit csinál a helytelenül irányított forgalommal

Miután az áldozat gépén vagy gépein az ARP gyorsítótár megsérült, a támadó általában valamilyen műveletet hajt végre a helytelenül irányított forgalommal. Megvizsgálhatják, megváltoztathatják, vagy “feketelyukazhatják”, és soha nem érik el a kívánt rendeltetési helyet. A pontos cselekvés a támadó motívumaitól függ.

az ARP-mérgezési támadások típusai

az ARP-mérgezési támadásoknak két általános módja van: a támadó vagy megvárhatja az ARP-kérések megtekintését egy adott célpontra, és válaszolhat, vagy elküldhet egy kéretlen sugárzott üzenetet, amelyet “Ingyenes ARP”néven ismerünk. Az első megközelítés kevésbé észrevehető a hálózaton, de potenciálisan kevésbé messzemenő hatásaiban. Az ingyenes ARP közvetlenebb lehet, és nagyobb számú áldozatot érinthet, de hátránya, hogy sok hálózati forgalmat generál. Mindkét megközelítésben a sérült ARP gyorsítótár(ok) az áldozat gépeken további célokra hasznosíthatók:

ember a közepén (MITM) támadás

az MiTM támadások valószínűleg az ARP mérgezés leggyakoribb és potenciálisan legveszélyesebb célja. A támadó hamisított ARP-válaszokat küld egy adott IP-címre, általában egy adott alhálózat alapértelmezett átjárója. Ez azt eredményezi, hogy az áldozatgépek az ARP gyorsítótárukat a támadó gépének MAC-címével töltik fel a helyi útválasztó MAC-címe helyett. Az áldozatgépek ezután helytelenül továbbítják a hálózati forgalmat a támadónak. Az olyan eszközök, mint az Ettercap, lehetővé teszik a támadó számára, hogy proxyként működjön, megtekintse vagy módosítsa az információkat, mielőtt elküldi a forgalmat a tervezett rendeltetési helyre. Az áldozat számára minden normálisnak tűnhet.

az ARP-mérgezés DNS-mérgezéssel történő házasságkötése drámai módon növelheti az MiTM-támadás hatékonyságát. Ebben az esetben az áldozat felhasználó beírhat egy legitim webhelyet, például google.com meg kell adni a támadó gépének IP-címét, nem pedig a jogos címet.

szolgáltatásmegtagadási (DoS) támadás

a DoS támadás célja egy vagy több áldozat hálózati erőforrásokhoz való hozzáférésének megtagadása. Az ARP esetében a támadó ARP válaszüzeneteket küldhet, amelyek hamisan több száz vagy akár több ezer IP-címet térképeznek fel egyetlen MAC-címre, potenciálisan túlterhelve a célgépet. Ez a fajta támadás, amelyet néha ARP áradásnak is neveznek, felhasználható a kapcsolók célzására is, ami potenciálisan befolyásolhatja a teljes hálózat teljesítményét.

munkamenet-eltérítés

a munkamenet-eltérítési támadások természetükben hasonlóak a középső emberhez, azzal a különbséggel, hogy a támadó nem továbbítja közvetlenül a forgalmat az áldozatgépről a tervezett rendeltetési helyre. Ehelyett a támadó egy eredeti TCP-sorszámot vagy webes sütit rögzít az áldozattól, és arra használja, hogy felvegye az áldozat személyazonosságát. Ez felhasználható például egy célfelhasználó közösségi médiafiókjának elérésére, ha véletlenül be van jelentkezve.

mi az ARP mérgezési támadás célja?

a hackerek sokféle motívummal rendelkeznek, és az ARP mérgezés sem kivétel. A támadó ARP-mérgezési támadást hajthat végre bármilyen okból, kezdve a magas szintű kémkedéstől a káosz létrehozásának izgalmáig a hálózaton. Az egyik lehetséges forgatókönyvben a támadó hamisított ARP-üzeneteket fog használni az adott alhálózat alapértelmezett átjárójának szerepére, hatékonyan irányítva az összes forgalmat a támadó gépére a helyi útválasztó helyett. Ezután kémkedhetnek, módosíthatják vagy csökkenthetik a forgalmat. Ezek a támadások “zajosak” abban az értelemben, hogy bizonyítékot hagynak maguk után, de nem kell beavatkozniuk a hálózat tényleges működésébe. Ha a kémkedés a cél, a támadó gép egyszerűen továbbítja a forgalmat az eredeti rendeltetési helyére, így a végfelhasználó nem jelzi, hogy bármi megváltozott.

másrészt a DoS támadás lényege az lehet, hogy nagyon észrevehető zavart okoz a hálózat működésében. Bár ennek célja lehet egy vállalkozás működési képességének megfosztása, a DoS támadásokat gyakran kevésbé képzett támadók hajtják végre a problémák puszta élvezete érdekében.

a bennfentes támadások különösen aggodalomra adnak okot, ha ARP mérgezésre gondolunk. A hamisított ARP-üzenetek nem érik el a helyi hálózat határait, ezért a támadásnak helyileg csatlakoztatott eszközről kell származnia. Nem lehetetlen, hogy egy kívülálló kezdeményezzen egy ARP támadást, de először távolról kell veszélyeztetniük a helyi rendszert más eszközökkel. A bennfentesnek eközben csak hálózati hozzáférésre és néhány könnyen elérhető eszközre van szüksége.

ARP hamisítás vs ARP mérgezés

az arp mérgezés illusztrációja vs arp hamisítás

az ARP hamisítás és az ARP mérgezés kifejezéseket általában felcserélhető módon használják. Technikailag a hamisítás arra utal, hogy a támadó megszemélyesíti egy másik gép MAC-címét, míg a mérgezés az ARP-táblák megrontását jelenti egy vagy több áldozati gépen. A gyakorlatban azonban ezek mind ugyanazon támadás alelemei, és általános értelemben mindkét kifejezést a támadás egészére utalják. Más hasonló kifejezések lehetnek az ARP gyorsítótár mérgezése vagy az ARP tábla sérülése.

milyen hatásai vannak az ARP mérgezési támadásnak?

az ARP-mérgezési támadás legközvetlenebb hatása az, hogy a helyi hálózat egy vagy több gazdagépének szánt forgalmat a támadó által választott célállomásra irányítják. Pontosan milyen hatással lesz ez a támadás sajátosságaitól függ. A forgalom elküldhető a támadó gépére, vagy elküldhető egy nem létező helyre. Először is előfordulhat, hogy nincs megfigyelhető hatás, míg a második gátolhatja a hálózathoz való hozzáférést.

az ARP gyorsítótár mérgezésének önmagában nem lesz tartós hatása. Az ARP bejegyzéseket a végberendezések néhány percétől a kapcsolók több órájáig gyorsítótárazzák. Amint a támadó abbahagyja a táblák aktív mérgezését, a sérült bejegyzések egyszerűen elöregednek, és a forgalom megfelelő áramlása hamarosan folytatódik. Az ARP-mérgezés önmagában nem hagy állandó fertőzést vagy lábat az áldozatgépeken. A hackerek azonban gyakran sokféle támadást láncolnak össze, és az ARP-mérgezést egy nagyobb kampány részeként is felhasználhatják.

hogyan lehet észlelni egy ARP gyorsítótár mérgezési támadást

számos kereskedelmi és nyílt forráskódú szoftver létezik az ARP gyorsítótár mérgezésének észlelésére, de könnyedén ellenőrizheti az ARP táblákat a saját számítógépén anélkül, hogy bármit telepítene. A legtöbb Windows, Mac és Linux rendszeren az” arp-a ” parancs kiadása terminálról vagy parancssorból megjeleníti a gép aktuális IP-MAC cím leképezését.

az olyan eszközök, mint az arpwatch és az X-ARP, hasznosak a hálózat folyamatos felügyeletéhez, és figyelmeztethetik a rendszergazdát, ha ARP gyorsítótár-mérgezési támadás jeleit látják. A hamis pozitív eredmények azonban aggodalomra adnak okot, és nagyszámú nem kívánt riasztást hozhatnak létre.

hogyan lehet megelőzni az ARP-mérgezési támadásokat

az arp-mérgezés megelőzésére vonatkozó tippek illusztrációja

az ARP-mérgezési támadások megelőzésére számos megközelítés létezik:

statikus ARP-táblák

a hálózat összes MAC-címét statikusan leképezheti a jogos IP-címekre. Ez rendkívül hatékony az ARP-mérgezési rohamok megelőzésében, de óriási adminisztratív terhet jelent. A hálózat bármilyen módosítása az ARP táblák kézi frissítését igényli az összes gazdagépen, így a statikus ARP táblák a legtöbb nagyobb szervezet számára megvalósíthatatlanok. Mégis, olyan helyzetekben, amikor a biztonság kulcsfontosságú, egy különálló hálózati szegmens kivágása, ahol statikus ARP táblákat használnak, segíthet a kritikus információk védelmében.

Switch Security

a legtöbb felügyelt Ethernet switches sport funkciók célja, hogy enyhítse ARP mérgezés támadások. Általában dinamikus ARP-ellenőrzés (Dai) néven ismertek, ezek a funkciók értékelik az egyes ARP-üzenetek érvényességét, és eldobják a gyanúsnak vagy rosszindulatúnak tűnő csomagokat. A DAI általában úgy is konfigurálható, hogy korlátozza az ARP üzenetek áthaladásának sebességét a kapcsolón, hatékonyan megakadályozva a DoS támadásokat.

a DAI és hasonló funkciók egykor kizárólag a csúcskategóriás hálózati eszközökhöz tartoztak, de ma már szinte minden üzleti szintű kapcsolónál gyakoriak, beleértve a kisebb vállalkozásokban találhatókat is. Általában a legjobb gyakorlatnak tekintik a DAI engedélyezését az összes porton, kivéve azokat, amelyek más kapcsolókhoz vannak csatlakoztatva. A funkció nem vezet be jelentős teljesítményhatást, de előfordulhat, hogy engedélyezni kell más funkciókkal, például a DHCP Snooping szolgáltatással együtt.

a portbiztonság engedélyezése egy kapcsolón szintén segíthet az ARP gyorsítótár-mérgezési támadások enyhítésében. A portbiztonság úgy konfigurálható, hogy csak egyetlen MAC-címet engedélyezzen a switch porton, megfosztva a támadót attól, hogy rosszindulatúan több hálózati identitást vegyen fel.

fizikai biztonság

a telephelyéhez való fizikai hozzáférés megfelelő ellenőrzése segíthet enyhíteni az ARP-mérgezési támadásokat. Az ARP-üzeneteket nem továbbítják a helyi hálózat határain túlra, ezért a leendő támadóknak fizikai közelségben kell lenniük az áldozat hálózatához, vagy már rendelkezniük kell a hálózaton lévő gép irányításával. Ne feledje, hogy vezeték nélküli hálózatok esetén a közelség nem feltétlenül jelenti azt, hogy a támadónak közvetlen fizikai hozzáférésre van szüksége; elegendő lehet egy utcára vagy parkolóra kiterjedő jel. Akár vezetékes, akár vezeték nélküli, olyan technológia használata, mint a 802.Az 1x biztosítja, hogy csak megbízható és/vagy felügyelt eszközök csatlakozhassanak a hálózathoz.

hálózati elkülönítés

mint korábban említettük, az ARP-üzenetek nem haladnak túl a helyi alhálózaton. Ez azt jelenti, hogy egy jól szegmentált hálózat összességében kevésbé érzékeny az ARP gyorsítótár-mérgezésre, mivel az egyik alhálózatban végrehajtott támadás nem befolyásolhatja a másik eszközeit. A fontos erőforrások koncentrálása egy dedikált hálózati szegmensbe, ahol fokozott biztonság van jelen, jelentősen csökkentheti az ARP-mérgezési támadás lehetséges hatásait.

titkosítás

bár a titkosítás valójában nem akadályozza meg az ARP támadást, enyhítheti a lehetséges károkat. A MiTM támadások népszerű használata a bejelentkezési hitelesítő adatok rögzítése volt, amelyeket egykor általában egyszerű szövegben továbbítottak. Az SSL/TLS titkosítás széles körű használatával az interneten az ilyen típusú támadások nehezebbé váltak. A fenyegetés szereplője továbbra is elfoghatja a forgalmat, de titkosított formában semmit sem tehet vele.

csak egy a sok fenyegetés közül

bár sokkal régebb óta létezik, mint a modern fenyegetések, mint például a Ransomware, az ARP-mérgezés még mindig olyan fenyegetés, amelyet a szervezeteknek kezelniük kell. Mint minden kiberfenyegetés, ezt is egy átfogó információbiztonsági programon keresztül lehet a legjobban kezelni. Egy olyan megoldás, mint a Varonis Threat Detection and Response, segíthet képet kapni a szervezet általános biztonsági helyzetéről. A Varonis Edge segíthet észrevenni az adatok kiszivárgásának jeleit, amelyek ARP-mérgezési roham után fordulhatnak elő.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.