ARPポイズニングは、広く使用されているAddress Resolution Protocol(ARP)の弱点を悪用して、ネットワークトラフィックを妨害、リダイレクト、またはスパイするサイバー攻撃の一種です。 この記事では、ARPの必要性、ARPポイズニングを可能にする弱点、組織を安全に保つためにできることを簡単に見ていきます。
ARPとは何ですか?
アドレス解決プロトコル(ARP)は、コンピュータネットワークの初期の頃から使用されている階層化されたアプローチをサポートするために存在します。 イーサネットケーブルを通過する電気信号からウェブページをレンダリングするために使用されるHTMLコードまで、各層の機能は、互いに大きく独立して動作 これは、1980年代初頭にさかのぼるネットワーク層技術であるIpv4を、Wi–FiやBluetoothなどの新しい技術で使用する方法です。
ARPの目的は、データリンク層のアドレス(MACアドレスとして知られています)とネットワーク層のアドレス(通常はIPアドレス)の間で変換することです。 これにより、ネットワーク上のデバイスは、現在指定されたIPアドレスが割り当てられているデバイ デバイスは、プロンプトを表示せずに、このマッピングをネットワークの残りの部分に通知することもできます。 効率のために、デバイスは通常、これらの応答をキャッシュし、現在のMACからIPへのマッピングのリストを作成します。
ARP中毒とは何ですか?
ARPポイズニングは、ARPの弱点を悪用して、ネットワーク上の他のデバイスのMAC-IPマッピングを破壊することで構成されます。 1982年にARPが導入されたとき、セキュリティは最優先の懸念事項ではなかったため、プロトコルの設計者はARPメッセージを検証するための認証メカニズ ネットワーク上の任意のデバイスは、元のメッセージがそれのために意図されていたかどうかにかかわらず、ARP要求に応答することができます。 たとえば、コンピュータAがコンピュータBのMACアドレスを”要求”すると、コンピュータCの攻撃者が応答することができ、コンピュータAはこの応答を本物 この監視により、さまざまな攻撃が可能になりました。 簡単に利用できるツールを活用することで、脅威アクターはローカルネットワーク上の他のホストのARPキャッシュを”毒殺”し、ARPキャッシュに不正確なエン
ARPポイズニング攻撃の手順
ARPポイズニング攻撃の正確な手順はさまざまですが、一般的には少なくとも次のもので構成されています。
攻撃者が被害者のマシンまたはマシンを選択します
ARPポイズニング攻撃を計画および実施するための最初のステップは、ターゲットを選択することです。 これは、ネットワーク上の特定のエンドポイント、エンドポイントのグループ、またはルータのようなネットワークデバイスです。 ルータに対するARPポイズニング攻撃が成功すると、サブネット全体のトラフィックが混乱する可能性があるため、ルータは魅力的なターゲットです。
攻撃者がツールを起動し、攻撃を開始
ARP中毒攻撃を実行しようとする人には、さまざまなツールが簡単に利用できます。 選択したツールを起動し、該当する設定を構成すると、攻撃者は攻撃を開始します。 彼らはすぐにARPメッセージの放送を開始するか、要求が受信されるまで待つことができます。
攻撃者が誤って操舵されたトラフィックで何かを行う
被害者のマシンのARPキャッシュが破損した場合、攻撃者は通常、誤って操舵されたトラフィッ 彼らはそれを検査したり、それを変更したり、それを”黒穴”にしたり、意図した目的地に到達することはありません。 正確な行動は、攻撃者の動機に依存します。
ARPポイズニング攻撃の種類
ARPポイズニング攻撃が発生するには、攻撃者が特定のターゲットに対するARP要求を見て応答を発行するのを待つか、”gratuitous ARP”と呼ばれる未承諾のブロードキャストメッセージを送信するかの二つの一般的な方法がある。 最初のアプローチは、ネットワーク上ではあまり目立たないが、その影響で潜在的に少ない遠大です。 無償のARPは、より即時であり、より多くの犠牲者に影響を与える可能性がありますが、多くのネットワークトラフィックを生成する欠点があります。 いずれのアプローチでも、被害者マシン上の破損したARPキャッシュをさらなる目的に活用することができます。
Man-in-the-Middle(MiTM)攻撃
MiTM攻撃は、おそらくARP中毒の最も一般的で潜在的に最も危険な目標です。 攻撃者は、特定のIPアドレス、通常は特定のサブネットのデフォルトゲートウェイに対して改ざんされたARP応答を送信します。 これにより、被害者のマシンは、ローカルルーターのMACアドレスではなく、攻撃者のマシンのMACアドレスをARPキャッシュに設定します。 その後、被害者のマシンはネットワークトラフィックを攻撃者に誤って転送します。 Ettercapのようなツールは、攻撃者が意図した宛先にトラフィックを送信する前に情報を表示または変更し、プロキシとして機能することを可能にします。 被害者には、すべてが正常に見えるかもしれません。
ARP中毒とDNS中毒との結婚は、MiTM攻撃の有効性を劇的に高めることができます。 このシナリオでは、被害者のユーザーが次のような正当なサイトを入力する可能性がありますgoogle.com そして、正当なアドレスではなく、攻撃者のマシンのIPアドレスを与えられます。
Denial of Service(DoS)攻撃
DoS攻撃は、1人以上の犠牲者がネットワークリソースへのアクセスを拒否することを目的としています。 ARPの場合、攻撃者は数百または数千のIPアドレスを1つのMACアドレスに誤ってマッピングするARP応答メッセージを送信し、ターゲットマシンを圧倒する可能性があります。 このタイプの攻撃は、ARPフラッディングとも呼ばれ、スイッチを標的にするためにも使用され、ネットワーク全体のパフォーマンスに影響を与える可能性があります。
セッションハイジャック
セッションハイジャック攻撃は本質的にMan-in-the-Middleと似ていますが、攻撃者は被害者のマシンから意図した宛先にトラフィッ 代わりに、攻撃者は被害者から本物のTCPシーケンス番号またはweb cookieをキャプチャし、それを使用して被害者のidを想定します。 これは、たとえば、対象ユーザーがログインしている場合に、対象ユーザーのソーシャルメディアアカウントにアクセスするために使用できます。
ARP中毒攻撃の目的は何ですか?
ハッカーにはさまざまな動機があり、ARP中毒も例外ではありません。 攻撃者は、高レベルのスパイ活動からネットワーク上に混乱を引き起こすスリルまで、さまざまな理由でARP中毒攻撃を実行する可能性があります。 潜在的なシナリオでは、攻撃者は改ざんされたARPメッセージを使用して、特定のサブネットのデフォルトゲートウェイの役割を担い、ローカルルーターの代わりに攻撃者のマシンへのすべてのトラフィックを効果的に操舵します。 彼らは、スパイ、変更、またはトラフィックをドロップすることができます。 これらの攻撃は、証拠を残すという意味で「騒々しい」ものですが、ネットワークの実際の動作に干渉する必要はありません。 スパイ行為が目標である場合、攻撃マシンは単にトラフィックを元の宛先に転送し、エンドユーザーに何かが変更されたことを示すものを与えません。
一方、DoS攻撃のポイントは、ネットワーク操作に非常に顕著な中断を作成することである可能性があります。 これは、ビジネスの運営能力を奪うことを目標とすることができますが、DoS攻撃は、多くの場合、問題を作成する純粋な楽しみのために、熟練していない攻撃者によって実行されます。
ARP中毒を考える際には、インサイダー攻撃が特に懸念されています。 スプーフィングされたARPメッセージは、ローカルネットワークの境界を超えて到達しないため、攻撃はローカルに接続されているデバイスから発生する必要があります。 外部者がARP攻撃を開始することは不可能ではありませんが、最初に他の手段を介してローカルシステムをリモートで侵害する必要があります。 一方、インサイダーは、ネットワークアクセスと簡単に利用できるツールだけを必要とします。
ARPスプーフィングとArp中毒
arpスプーフィングとARP中毒という用語は、一般的に同じ意味で使用されます。 技術的には、スプーフィングは攻撃者が別のマシンのMACアドレスを偽装することを指し、ポイズニングは一つ以上の被害者マシン上のARPテーブルを破壊す しかし、実際には、これらは両方とも同じ攻撃のサブ要素であり、一般的な用語では、両方の用語が攻撃全体を指すために使用されます。 他の同様の用語には、ARPキャッシュポイズニングまたはARPテーブルの破損が含まれます。
ARP中毒攻撃の影響は何ですか?
ARPポイズニング攻撃の最も直接的な影響は、ローカルネットワーク上の一つ以上のホスト宛てのトラフィックが、代わりに攻撃者が選択した宛先に これがどのような効果をもたらすかは、攻撃の詳細に依存します。 トラフィックは、攻撃者のマシンに送信されるか、存在しない場所に送信される可能性があります。 第一の例では、観察可能な効果がないかもしれないが、第二の例では、ネットワークへのアクセスを阻害するかもしれない。
ARPキャッシュポイズニング自体は永続的な影響を与えません。 ARPエントリは、エンドデバイスの数分からスイッチの数時間までの任意の場所にキャッシュされます。 攻撃者が積極的にテーブルを中毒するのを止めるとすぐに、破損したエントリは単に老化し、適切なトラフィックの流れはすぐに再開します。 ARP中毒は、それ自体では、被害者のマシンに恒久的な感染や足場を残すことはありません。 しかし、ハッカーは多くの種類の攻撃を連鎖させることが多く、ARP中毒は大規模なキャンペーンの一部で使用される可能性があります。
ARPキャッシュポイズニング攻撃を検出する方法
ARPキャッシュポイズニングを検出するための商用およびオープンソースのさまざまなソフトウェアが存在しますが、何もインストールせずに自分のコンピ ほとんどのWindows、Mac、Linuxシステムでは、端末またはコマンドラインから”arp-a”コマンドを発行すると、マシンの現在のIP-TO-MACアドレスマッピングが表示されま
arpwatchやX-ARPのようなツールは、ネットワークの継続的な監視に役立ち、ARPキャッシュポイズニング攻撃の兆候が見られた場合に管理者に警告することがで ただし、誤検知は懸念事項であり、多数の不要なアラートを作成する可能性があります。
ARPポイズニング攻撃を防ぐ方法
ARPポイズニング攻撃を防ぐには、いくつかのアプローチがあります。
静的ARPテーブル
ネットワーク内のすべてのMACアドレスを正当なIPアドレスに静的にマッピングすることができます。 これはARP中毒攻撃を防ぐのに非常に効果的ですが、管理上の負担が大きくなります。 ネットワークを変更するには、すべてのホスト間でARPテーブルを手動で更新する必要があり、ほとんどの大規模な組織では静的ARPテーブルを実行できません。 それでも、セキュリティが重要な状況では、静的ARPテーブルが使用される別のネットワークセグメントを切り出すことは、重要な情報を保護するのに役立
スイッチのセキュリティ
ほとんどのマネージドイーサネットスイッチは、ARPポイズニング攻撃を軽減するように設計された機能を備えています。 通常、動的ARP検査(DAI)として知られているこれらの機能は、各ARPメッセージの有効性を評価し、疑わしいまたは悪意のあるように見えるパケットをドロップ DAIは、通常、ARPメッセージがスイッチを通過する速度を制限し、DoS攻撃を効果的に防止するように構成することもできます。
DAIと同様の機能は、かつてはハイエンドのネットワーク機器に限定されていましたが、現在では中小企業に見られるものを含むほぼすべてのビジネ 一般的に、他のスイッチに接続されているポートを除くすべてのポートでDAIを有効にすることをお勧めします。 この機能はパフォーマンスに大きな影響を与えませんが、DHCPスヌーピングなどの他の機能と組み合わせて有効にする必要がある場合があります。
スイッチでポートセキュリティを有効にすると、ARPキャッシュポイズニング攻撃を軽減することもできます。 ポートセキュリティは、スイッチポート上の単一のMACアドレスのみを許可するように設定することができ、攻撃者が悪意を持って複数のネットワークidを
物理的なセキュリティ
あなたのビジネスの場所への物理的なアクセスを適切に制御することは、ARP中毒攻撃を軽減するのに役立ちます。 ARPメッセージはローカルネットワークの境界を越えてルーティングされないため、攻撃者は被害者ネットワークに物理的に近接しているか、ネットワーク上のマ 無線ネットワークの場合、近接は必ずしも攻撃者が直接物理的なアクセスを必要とすることを意味するものではないことに注意してください。 有線または無線かどうか、802のような技術の使用。1xは、信頼されたデバイスおよび/または管理対象デバイスのみがネットワークに接続できるようにします。
ネットワーク分離
前述のように、ARPメッセージはローカルサブネットを超えて移動しません。 これは、あるサブネットの攻撃が別のサブネットのデバイスに影響を与えることができないため、適切にセグメント化されたネットワークは、全体的にARP 強化されたセキュリティが存在する専用ネットワークセグメントに重要なリソースを集中させると、ARPポイズニング攻撃の潜在的な影響が大幅に減
暗号化
暗号化は実際にはARP攻撃の発生を防ぐことはできませんが、潜在的な損傷を軽減することができます。 MiTM攻撃の一般的な使用は、かつて一般的にプレーンテキストで送信されたログイン資格情報をキャプチャすることでした。 WEB上でSSL/TLS暗号化が広く使用されるようになると、このタイプの攻撃はより困難になっています。 脅威アクターはトラフィックを傍受することはできますが、暗号化された形式では何もできません。
多くの脅威の1つだけ
ランサムウェアのような現代の脅威よりもはるかに長い間、ARP中毒は依然として組織が対処する必要がある脅威です。 すべてのサイバー脅威と同様に、包括的な情報セキュリティプログラムを通じて対処するのが最善です。 Varonis Threat Detection and Responseのようなソリューションは、組織の全体的なセキュリティ体制を把握するのに役立ちます。 Varonis Edgeは、ARP中毒攻撃が行われた後に発生する可能性のあるデータ流出の兆候を発見するのに役立ちます。