By: adminPosted on

ARP Forgiftning er en type cyberattack som misbruker svakheter i den mye brukte Address Resolution Protocol (ARP) for å forstyrre, omdirigere Eller spionere på nettverkstrafikk. I dette stykket tar vi en rask titt på behovet FOR ARP, svakhetene som muliggjør Arp-Forgiftning, og hva du kan gjøre for å holde organisasjonen trygg.

Hva ER ARP?

Address Resolution Protocol (ARP) eksisterer for å støtte den lagdelte tilnærmingen som ble brukt siden de tidligste dagene av datanettverk. Funksjonene til hvert lag, fra de elektriske signalene som går over En Ethernet-kabel TIL HTML-koden som brukes til å gjengi en nettside, opererer i stor grad uavhengig av hverandre. Slik kan Vi bruke IPv4-en nettverkslagsteknologi som dateres til tidlig på 1980 – tallet-med nyere teknologier Som Wi-Fi Og Bluetooth: de nedre fysiske og datalinklagene håndterer detaljene for overføring av data over et bestemt medium som radiobølger.

formålet MED ARP er å oversette mellom adresser på datalinklaget – KJENT SOM MAC-Adresser-og adresser på nettverkslaget, som vanligvis ER IP-adresser. Det tillater nettverksenheter å «spørre» hvilken enhet som for øyeblikket er tildelt EN GITT IP-adresse. Enheter kan også kunngjøre denne tilordningen til resten av nettverket uten å bli bedt om det. For effektivitetens skyld vil enheter vanligvis cache disse svarene og bygge en liste over nåværende MAC-TIL-IP-tilordninger.

HVA ER Arp Forgiftning?

Arp-Forgiftning består av å misbruke svakhetene I ARP for å ødelegge MAC-TIL-IP-kartlegginger av andre enheter på nettverket. Sikkerhet var ikke en viktig bekymring da ARP ble introdusert i 1982, så designerne av protokollen inkluderte aldri autentiseringsmekanismer for å validere ARP-meldinger. Enhver enhet på nettverket kan svare PÅ EN arp-forespørsel, om den opprinnelige meldingen var ment for det eller ikke. Hvis Datamaskin A for Eksempel «spør» ETTER Mac-adressen Til Datamaskin B, kan en angriper ved Datamaskin C svare, Og Datamaskin A vil akseptere dette svaret som autentisk. Dette tilsynet har gjort en rekke angrep mulig. Ved å utnytte lett tilgjengelige verktøy kan en trusselaktør «forgifte» ARP-cachen til andre verter på et lokalt nettverk, og fylle ARP-cachen med unøyaktige oppføringer.

Arp Forgiftning Angrep Trinn

de nøyaktige trinnene I EN ARP Forgiftning angrep kan variere, men vanligvis består av minst følgende:

Angriper Velger Et Offer Maskin Eller Maskiner

det første trinnet i planlegging OG gjennomføring AV EN ARP Forgiftning angrep er å velge Et Mål. Dette kan være et bestemt endepunkt på nettverket, en gruppe endepunkter eller en nettverksenhet som en ruter. Rutere er attraktive mål fordi et vellykket Arp-Forgiftningsangrep mot en ruter kan forstyrre trafikken for et helt delnett.

Angriper Lanserer Verktøy Og Begynner Angrepet

et bredt utvalg av verktøy er lett tilgjengelig for alle som ønsker å utføre ET Arp-Forgiftningsangrep. Etter å ha startet verktøyet etter eget valg og konfigurert gjeldende innstillinger, starter angriperen angrepet. De kan umiddelbart begynne å kringkaste arp-meldinger, eller vente til en forespørsel er mottatt.

Angriper Gjør Noe Med Feilstyrt Trafikk

NÅR ARP-hurtigbufferen på en offermaskin eller maskiner er skadet, vil angriperen vanligvis utføre en type handling med feilstyrt trafikk. De kan inspisere den, endre den eller få den til å bli «svarthullet» og aldri nå sin tiltenkte destinasjon. Den nøyaktige handlingen avhenger av angriperens motiver.

Typer Arp Forgiftning Angrep

det er to generelle måter som EN ARP Forgiftning angrep kan oppstå: angriperen kan enten vente å se ARP forespørsler om et bestemt mål og utstede et svar, eller sende ut en uønsket kringkastingsmelding kjent som en «umotivert ARP». Den første tilnærmingen er mindre merkbar på nettverket, men potensielt mindre vidtgående i konsekvensene. En umotivert ARP kan være mer umiddelbar og påvirke et større antall ofre, men kommer med ulempen ved å generere mye nettverkstrafikk. I begge tilnærminger kan de ødelagte ARP-cachene på offermaskiner bli utnyttet til ytterligere ender:

Man-in-The-Middle (MiTM) Angrep

MiTM-angrep er trolig det vanligste og potensielt farligste målet FOR arp-forgiftning. Angriperen sender ut forfalskede ARP-svar for EN GITT IP-Adresse, vanligvis standardgatewayen for et bestemt delnett. Dette fører til at offermaskiner fyller SIN arp-cache med mac-adressen til angriperens maskin, i stedet for den lokale ruterenes MAC-adresse. Offermaskiner vil da feilaktig videresende nettverkstrafikk til angriperen. Verktøy som Ettercap tillater angriperen å fungere som en proxy, vise eller endre informasjon før du sender trafikken til sin tiltenkte destinasjon. For offeret kan alt virke normalt.

Gifte Arp Forgiftning MED DNS Forgiftning kan dramatisk øke effektiviteten Av En MiTM angrep. I dette scenariet kan en offerbruker skrive inn et legitimt nettsted som google.com OG bli gitt IP-adressen til angriperens maskin, i stedet for den rettmessige adressen.

Denial of Service (DoS) Angrep

Et DoS-angrep er rettet mot å nekte ett eller flere ofre tilgang til nettverksressurser. NÅR DET gjelder ARP, kan en angriper sende UT Arp-Svarmeldinger som feilaktig kartlegger hundrevis ELLER tusenvis AV IP-adresser til EN ENKELT MAC-adresse, noe som potensielt overvelder målmaskinen. Denne typen angrep, noen ganger kjent SOM arp-flom, kan også brukes til å målrette brytere, noe som potensielt påvirker ytelsen til hele nettverket.

Øktkapring

øktkapringangrep ligner I naturen Til Man-in-The-Middle, bortsett fra at angriperen ikke vil videresende trafikk direkte fra offermaskinen til sin tiltenkte destinasjon. I stedet, angriperen vil fange en ekte TCP sekvensnummer eller web cookie fra offeret og bruke den til å anta offerets identitet. Dette kan for eksempel brukes til å få tilgang til en målbrukers sosiale medier-konto hvis de tilfeldigvis er logget inn.

Hva Er Målet Med ET Arp-Forgiftningsangrep?

Hackere har en rekke motiver, OG Arp Forgiftning er intet unntak. En angriper kan utføre ET arp-forgiftningsangrep av en rekke årsaker, alt fra spionasje på høyt nivå til spenningen ved å skape kaos på nettverket. I et potensielt scenario vil en angriper bruke forfalskede ARP-meldinger til å påta seg rollen som standardgatewayen for et gitt delnett, og effektivt styre all trafikk til angriperens maskin i stedet for den lokale ruteren. De kan da spionere på, endre eller slippe trafikken. Disse angrepene er «støyende» i den forstand at de legger bevis bak seg, men de trenger ikke å forstyrre den faktiske driften av nettverket. Hvis spionasje er målet, vil den angripende maskinen bare videresende trafikken til sin opprinnelige destinasjon, noe som gir sluttbrukeren ingen indikasjon på at noe har endret seg.

på Den annen side kan Poenget Med Et DoS-angrep være å skape en svært merkbar forstyrrelse i nettverksoperasjonen. Selv om Dette kan være rettet mot å frata en bedrift sin evne til å operere, Blir DoS-angrep ofte utført av mindre dyktige angripere for den rene glede av å skape problemer.

Insiderangrep er spesielt bekymret når man tenker PÅ Arp-Forgiftning. Falske arp-meldinger når ikke lenger enn grensene til et lokalt nettverk, så angrepet må stamme fra en enhet som er lokalt tilkoblet. Det er ikke umulig for en outsider å starte ET ARP-angrep, men de må eksternt kompromittere et lokalt system på andre måter først. En insider vil i mellomtiden bare trenge nettverkstilgang og noen lett tilgjengelige verktøy.

ARP Spoofing vs ARP Forgiftning

illustrasjon av arp forgiftning vs arp spoofing

begrepene Arp Spoofing og ARP Forgiftning brukes vanligvis om hverandre. Teknisk refererer spoofing til en angriper som utgir seg for EN ANNEN maskinens MAC-adresse, mens forgiftning betegner handlingen med å ødelegge ARP-tabellene på en eller flere offermaskiner. I praksis er disse imidlertid begge underelementer av samme angrep, og generelt er begge begrepene brukt til å referere til angrepet som helhet. Andre lignende vilkår kan omfatte ARP cache forgiftning ELLER arp tabell korrupsjon.

Hva Er Effekten AV EN Arp Forgiftning Angrep?

den mest direkte effekten av ET Arp-Forgiftningsangrep er at trafikk som er bestemt for en eller flere verter på det lokale nettverket, i stedet vil bli styrt til et mål som angriperen velger. Nøyaktig hvilken effekt dette vil ha, avhenger av angrepets spesifikasjoner. Trafikken kan sendes til angriperens maskin eller sendes til et ikke-eksisterende sted. I første omgang kan det ikke være noen observerbar effekt, mens den andre kan hemme tilgangen til nettverket.

arp cache forgiftning selv vil ikke ha en varig innvirkning. ARP oppføringer er bufret alt fra noen få minutter på slutten enheter til flere timer for brytere. Så snart en angriper slutter å forgifte tabellene aktivt, vil de ødelagte oppføringene bare bli eldre og riktig trafikkflyt vil snart fortsette. ARP-Forgiftning alene vil ikke etterlate permanent infeksjon eller fotfeste på offermaskiner. Men hackere ofte kjede mange typer angrep sammen, OG arp forgiftning kan brukes i en del av en større kampanje.

Hvordan Oppdage EN ARP Cache Forgiftning Angrep

En rekke kommersielle og åpen kildekode programvare finnes for å oppdage ARP cache forgiftning, men DU kan enkelt sjekke ARP tabeller på din egen datamaskin uten å installere noe. På De Fleste Windows -, Mac-og Linux-systemer vil utstedelse av» arp-a » – kommandoen fra en terminal eller kommandolinje vise gjeldende ip-TIL-MAC-adressekartlegginger av maskinen.

Verktøy som arpwatch og X-ARP er nyttige for kontinuerlig overvåking av nettverket og kan varsle en administrator hvis tegn PÅ EN ARP Cache Forgiftning Angrep er sett. Men falske positiver er en bekymring og kan skape et stort antall uønskede varsler.

Slik Forhindrer DU Arp-Forgiftningsangrep

illustrasjon av arp-forgiftningsforebyggende tips

Det er flere tilnærminger for å forhindre ARP-Forgiftningsangrep:

Statiske ARP-Tabeller

det er mulig å statisk kartlegge ALLE MAC-adressene i et nettverk til deres rettmessige IP-adresser. Dette er svært effektivt for å forhindre ARP-Forgiftningsangrep, men legger til en enorm administrativ byrde. Enhver endring i nettverket vil kreve manuelle oppdateringer AV ARP-tabellene på tvers av alle verter, noe som gjør statiske ARP-tabeller umulig for de fleste større organisasjoner. Likevel, i situasjoner der sikkerhet er avgjørende, skar ut et eget nettverkssegment der statiske ARP-tabeller brukes, kan bidra til å beskytte kritisk informasjon.

Brytersikkerhet

de fleste administrerte Ethernet-svitsjer sportsfunksjoner som er utformet for å redusere ARP-Forgiftningsangrep. Vanligvis Kjent Som Dynamisk Arp Inspeksjon (DAI), disse funksjonene evaluere gyldigheten AV HVER ARP melding og slippe pakker som vises mistenkelig eller skadelig. DAI kan også vanligvis konfigureres for å begrense hastigheten SOM ARP-meldinger kan passere gjennom bryteren, og effektivt forhindre DoS-angrep.

DAI og lignende funksjoner var en gang eksklusivt for high-end nettverksutstyr, men er nå vanlig på nesten alle forretningskvalitet brytere, inkludert de som finnes i mindre bedrifter. Det er generelt ansett som en beste praksis for å aktivere DAI på alle porter unntatt de som er koblet til andre brytere. Funksjonen innfører ikke en betydelig ytelse innvirkning, men må kanskje aktiveres i forbindelse med andre funksjoner som DHCP Snusing.

Aktivering Av Portsikkerhet på en bryter kan også bidra til å redusere ARP-Cache-Forgiftningsangrep. Port Security kan konfigureres til å tillate BARE EN ENKELT MAC-adresse på en bryter port, frata en angriper sjansen til å ondsinnet anta flere nettverksidentiteter.

Fysisk Sikkerhet

riktig kontroll av fysisk tilgang til forretningsstedet ditt kan bidra til å redusere ARP-Forgiftningsangrep. ARP-meldinger blir ikke rutet utover grensene til det lokale nettverket, så potensielle angripere må være i fysisk nærhet til offernettverket eller allerede ha kontroll over en maskin på nettverket. Vær oppmerksom på at når det gjelder trådløse nettverk, betyr nærhet ikke nødvendigvis at angriperen trenger direkte fysisk tilgang; et signal strekker seg til en gate eller parkeringsplass kan være tilstrekkelig. Enten kablet eller trådløst, bruk av teknologi som 802.1x kan sikre at bare klarerte og / eller administrerte enheter kan koble til nettverket.

Nettverksisolasjon

SOM nevnt tidligere, GÅR IKKE arp-meldinger utover det lokale delnettet. Dette betyr at et godt segmentert nettverk kan være mindre utsatt for arp-bufferforgiftning generelt, da et angrep i ett delnett ikke kan påvirke enheter i et annet. Å konsentrere viktige ressurser i et dedikert nettverkssegment der økt sikkerhet er til stede, kan i stor grad redusere den potensielle effekten av ET Arp-Forgiftningsangrep.

Kryptering

selv om kryptering ikke vil forhindre AT ET ARP-angrep oppstår, kan det redusere den potensielle skaden. En populær bruk Av MiTM-angrep var å fange påloggingsinformasjon som en gang ofte ble overført i ren tekst. MED den utbredte bruken AV SSL / TLS-kryptering på nettet, har denne typen angrep blitt vanskeligere. Trusselaktøren kan fortsatt fange opp trafikken, men kan ikke gjøre noe med den i kryptert form.

Bare en av mange trusler

selv om DET har eksistert langt lenger enn moderne trusler Som Ransomware, Er Arp-Forgiftning fortsatt en trussel som organisasjoner må adressere. Som alle cyberthreats, er det best adressert gjennom et omfattende informasjonssikkerhetsprogram. En løsning som Varonis Threat Detection and Response kan hjelpe deg med å få en ide om organisasjonens generelle sikkerhetsstilling. Varonis Edge kan hjelpe spot tegn på data exfiltration som kan oppstå etter EN ARP Forgiftning angrep har funnet sted.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.