By: adminPosted on

ARP Poisoning is een soort cyberaanval die zwakke punten in het veelgebruikte Address Resolution Protocol (ARP) misbruikt om netwerkverkeer te verstoren, omleiden of bespioneren. In dit stuk zullen we snel kijken naar de behoefte aan ARP, de zwakheden die ARP vergiftiging mogelijk maken, en wat u kunt doen om uw organisatie veilig te houden.

Wat is ARP?

het Address Resolution Protocol (ARP) bestaat ter ondersteuning van de gelaagde aanpak die sinds de eerste dagen van computernetwerken wordt gebruikt. De functies van elke laag, van de elektrische signalen die over een Ethernetkabel reizen tot de HTML-code die wordt gebruikt om een webpagina weer te geven, werken grotendeels onafhankelijk van elkaar. Dit is hoe we IPv4 – een netwerklaagtechnologie die dateert uit de vroege jaren 1980 – kunnen gebruiken met nieuwere technologieën zoals Wi-Fi en Bluetooth: de lagere fysieke en datalinklagen behandelen de specifieke kenmerken van het overbrengen van gegevens over een specifiek medium zoals radiogolven.

het doel van ARP is om te vertalen tussen adressen op de datalinklaag – bekend als MAC-adressen-en adressen op de netwerklaag, die doorgaans IP-adressen zijn. Het staat netwerkapparaten toe om” te vragen ” welk apparaat momenteel een bepaald IP-adres wordt toegewezen. Apparaten kunnen deze toewijzing ook aankondigen aan de rest van het netwerk zonder dat dit wordt gevraagd. Omwille van de efficiëntie, apparaten zullen meestal cache deze reacties en het bouwen van een lijst van de huidige MAC-naar-IP toewijzingen.

Wat is Arp-vergiftiging?

Arp vergiftiging bestaat uit het misbruiken van de zwakke punten in ARP om de Mac-naar-IP mappings van andere apparaten op het netwerk te corrumperen. Toen ARP in 1982 werd geïntroduceerd, was beveiliging niet van groot belang, dus de ontwerpers van het protocol hebben nooit authenticatiemechanismen opgenomen om ARP-berichten te valideren. Elk apparaat op het netwerk kan een ARP-verzoek beantwoorden, ongeacht of het oorspronkelijke bericht daarvoor bedoeld was of niet. Bijvoorbeeld, als Computer a “vraagt” naar het MAC-adres van Computer B, kan een aanvaller op Computer C reageren en Computer A zou dit antwoord als authentiek accepteren. Dit toezicht heeft verschillende aanvallen mogelijk gemaakt. Door gebruik te maken van gemakkelijk beschikbare tools, kan een bedreiging actor “vergiftigen” de ARP cache van andere hosts op een lokaal netwerk, het vullen van de ARP cache met onjuiste vermeldingen.

Arp Vergiftigingsaanval stappen

de exacte stappen van een ARP Vergiftigingsaanval kunnen variëren, maar bestaan over het algemeen uit ten minste het volgende:

aanvaller selecteert een Slachtoffermachine of-Machines

de eerste stap in het plannen en uitvoeren van een ARP Vergiftigingsaanval is het selecteren van een doelwit. Dit kan een specifiek eindpunt op het netwerk, een groep eindpunten of een netwerkapparaat zoals een router zijn. Routers zijn aantrekkelijke doelen omdat een succesvolle Arp vergiftiging aanval tegen een router het verkeer voor een volledig subnet kan verstoren.

aanvaller lanceert Tools en begint de aanval

een grote verscheidenheid aan tools is gemakkelijk beschikbaar voor iedereen die een ARP Vergiftigingsaanval wil uitvoeren. Na de lancering van de tool van zijn of haar keuze en het configureren van toepasselijke instellingen, de aanvaller zal de aanval beginnen. Ze kunnen onmiddellijk beginnen met het uitzenden van ARP-berichten, of wachten tot een verzoek is ontvangen.

aanvaller doet iets met het verkeerd gestuurde verkeer

zodra de ARP-cache op een slachtoffermachine of-machines beschadigd is, zal de aanvaller meestal een soort actie uitvoeren met het verkeerd gestuurde verkeer. Ze kunnen het inspecteren, veranderen, of ervoor zorgen dat het “blackholed” is en nooit de beoogde bestemming bereiken. De exacte actie hangt af van de motieven van de aanvaller.

soorten Arp-Vergiftigingsaanvallen

er zijn twee algemene manieren waarop een ARP-Vergiftigingsaanval kan optreden: de aanvaller kan wachten op ARP-verzoeken voor een bepaald doel en een antwoord geven, of een ongevraagd broadcast-bericht versturen dat bekend staat als een “gratuite ARP”. De eerste aanpak is minder merkbaar op het netwerk, maar potentieel minder verstrekkende effecten. Een gratis ARP kan directer zijn en invloed hebben op een groter aantal slachtoffers, maar komt met de keerzijde van het genereren van veel netwerkverkeer. In beide benaderingen kunnen de beschadigde ARP-cache (s) op victim machines worden gebruikt voor verdere doeleinden:

Man-In-The-Middle (MiTM) – aanval

MiTM-aanvallen zijn waarschijnlijk het meest voorkomende en potentieel gevaarlijkste doel van ARP-vergiftiging. De aanvaller stuurt vervalste ARP-antwoorden voor een bepaald IP-adres, meestal de standaard gateway voor een bepaald subnet. Dit veroorzaakt slachtoffer machines om hun ARP cache bevolken met het MAC-adres van de machine van de aanvaller, in plaats van de lokale router MAC-adres. Slachtoffer machines zal dan ten onrechte doorsturen netwerkverkeer naar de aanvaller. Tools zoals Ettercap kunnen de aanvaller om op te treden als een proxy, bekijken of wijzigen van informatie voordat het verkeer naar de beoogde bestemming. Voor het slachtoffer kan alles normaal lijken. Een combinatie van ARP-vergiftiging met DNS-vergiftiging kan de effectiviteit van een MiTM-aanval aanzienlijk verhogen. In dit scenario, een slachtoffer gebruiker kan typen in een legitieme site, zoals google.com en krijgen het IP-adres van de machine van de aanvaller, in plaats van het rechtmatige adres.

Denial of Service (DoS) Attack

een DoS-aanval is bedoeld om een of meer slachtoffers toegang tot netwerkbronnen te ontzeggen. In het geval van ARP kan een aanvaller Arp-antwoordberichten verzenden die ten onrechte honderden of zelfs duizenden IP-adressen toewijzen aan een enkel MAC-adres, waardoor de doelmachine mogelijk wordt overweldigd. Dit type aanval, ook wel bekend als ARP flooding, kan ook worden gebruikt om switches te richten, mogelijk van invloed op de prestaties van het hele netwerk.

Session Hijacking

Session Hijacking attacks zijn vergelijkbaar in Aard met Man-in-the-Middle, behalve dat de aanvaller het verkeer van de victim machine niet direct doorstuurt naar de beoogde bestemming. In plaats daarvan, de aanvaller zal een echte TCP sequence nummer of web cookie van het slachtoffer vast te leggen en te gebruiken om de identiteit van het slachtoffer te veronderstellen. Dit kan bijvoorbeeld worden gebruikt om toegang te krijgen tot het social media-account van een doelgebruiker als ze zijn ingelogd.

Wat is het doel van een ARP-Vergiftigingsaanval?Hackers hebben een grote verscheidenheid aan motieven, en Arp vergiftiging is geen uitzondering. Een aanvaller kan een ARP vergiftigingsaanval uitvoeren om een aantal redenen, variërend van spionage op hoog niveau tot de sensatie van het creëren van chaos op het netwerk. In een mogelijk scenario zal een aanvaller vervalste ARP-berichten gebruiken om de rol van de standaard gateway voor een bepaald subnet op zich te nemen, waardoor al het verkeer effectief naar de machine van de aanvaller wordt gestuurd in plaats van naar de lokale router. Ze kunnen dan bespioneren, wijzigen, of laat het verkeer. Deze aanvallen zijn “luidruchtig” in de zin dat ze bewijsmateriaal achterlaten, maar ze hoeven de daadwerkelijke werking van het netwerk niet te verstoren. Als Spionage het doel is, zal de aanvallende machine het verkeer gewoon doorsturen naar zijn oorspronkelijke bestemming, waardoor de eindgebruiker geen indicatie krijgt dat er iets is veranderd.

aan de andere kant kan het doel van een DoS-aanval zijn om een zeer merkbare verstoring in de werking van het netwerk te creëren. Hoewel dit zou kunnen worden gericht op het ontnemen van een bedrijf van zijn vermogen om te opereren, worden DoS-aanvallen vaak uitgevoerd door minder geschoolde aanvallers voor het pure plezier van het creëren van problemen. Insider attacks zijn van bijzonder belang wanneer men denkt aan Arp vergiftiging. Vervalste ARP-berichten zullen niet verder reiken dan de grenzen van een lokaal netwerk, dus de aanval moet afkomstig zijn van een apparaat dat lokaal is verbonden. Het is niet onmogelijk voor een buitenstaander om een ARP aanval te starten, maar ze zouden op afstand een lokaal systeem moeten compromitteren door andere middelen. Een insider, ondertussen, zou alleen toegang tot het netwerk en een aantal gemakkelijk beschikbare tools nodig.

ARP Spoofing vs Arp vergiftiging

illustratie van ARP vergiftiging vs arp spoofing

de termen ARP Spoofing en ARP vergiftiging worden over het algemeen door elkaar gebruikt. Technisch, spoofing verwijst naar een aanvaller imiteren MAC-adres van een andere machine, terwijl vergiftiging duidt op de daad van het corrumperen van de ARP-tabellen op een of meer slachtoffer machines. In de praktijk zijn dit echter beide subelementen van dezelfde aanval, en in het algemeen worden beide termen gebruikt om naar de aanval als geheel te verwijzen. Andere soortgelijke termen kunnen ARP cache vergiftiging of ARP tabel corruptie.

Wat zijn de effecten van een ARP-Vergiftigingsaanval?

de meest directe impact van een ARP vergiftiging aanval is dat verkeer bestemd voor een of meer hosts op het lokale netwerk in plaats daarvan zal worden gestuurd naar een bestemming van de aanvaller te kiezen. Precies welk effect dit zal hebben, hangt af van de specifieke kenmerken van de aanval. Het verkeer kan worden verzonden naar de machine van de aanvaller of verzonden naar een niet-bestaande locatie. In het eerste geval kan er geen waarneembaar effect zijn, terwijl het tweede de toegang tot het netwerk kan belemmeren.

ARP cache vergiftiging zelf zal geen blijvende impact hebben. ARP-ingangen worden overal in de cache opgeslagen, van een paar minuten op eindapparaten tot enkele uren voor switches. Zodra een aanvaller stopt actief vergiftigen van de tabellen, de beschadigde items zal gewoon verouderen en de juiste stroom van het verkeer zal binnenkort hervatten. Arp vergiftiging op zijn eigen zal geen permanente infectie of voet aan de grond op slachtoffer machines. Echter, hackers vaak keten vele soorten aanvallen samen, en ARP vergiftiging kan worden gebruikt in een deel van een grotere campagne.

een ARP-cache-Vergiftigingsaanval detecteren

een verscheidenheid van commerciële en open-source software bestaat om ARP cache vergiftiging te detecteren, maar u kunt eenvoudig de ARP-tabellen op uw eigen computer controleren zonder iets te installeren. Op de meeste Windows -, Mac-en Linux-systemen zal het uitvoeren van de “arp-a” – opdracht vanaf een terminal of commandoregel de huidige IP-naar-MAC-adrestoewijzingen van de machine weergeven.

Tools zoals arpwatch en X-ARP zijn nuttig voor continue monitoring van het netwerk en kunnen een beheerder waarschuwen als er tekenen van een ARP cache vergiftiging aanval worden gezien. Echter, valse positieven zijn een punt van zorg en kan een groot aantal ongewenste waarschuwingen te creëren.

How to Prevent ARP Poisoning Attacks

illustratie van ARP poisoning prevention tips

er zijn verschillende benaderingen om ARP Poisoning attacks te voorkomen:

statische Arp tabellen

het is mogelijk om alle MAC-adressen in een netwerk statisch in kaart te brengen op hun rechtmatige IP-adressen. Dit is zeer effectief in het voorkomen van ARP Vergiftigingsaanvallen, maar voegt een enorme administratieve last. Elke wijziging in het netwerk vereist handmatige updates van de ARP-tabellen op alle hosts, waardoor statische ARP-tabellen niet haalbaar zijn voor de meeste grotere organisaties. In situaties waar beveiliging cruciaal is, kan het uitsnijden van een apart netwerksegment waar statische ARP-tabellen worden gebruikt, helpen om kritieke informatie te beschermen.

Switch beveiliging

de meeste managed Ethernet switches sport functies ontworpen om ARP vergiftiging aanvallen te verminderen. Deze functies staan meestal bekend als Dynamic ARP Inspection (DAI) en evalueren de geldigheid van elk ARP-bericht en drop-pakketten die verdacht of kwaadaardig lijken. DAI kan ook meestal worden geconfigureerd om de snelheid waarmee ARP berichten kunnen passeren door de switch te beperken, effectief voorkomen van DoS-aanvallen.

DAI en soortgelijke functies waren ooit exclusief voor high-end networking gear, maar zijn nu gebruikelijk op bijna alle business-grade switches, inclusief die in kleinere bedrijven. Het wordt over het algemeen beschouwd als een best practice om DAI in te schakelen op alle poorten, behalve die welke zijn aangesloten op andere switches. De functie introduceert geen significant effect op de prestaties, maar moet mogelijk worden ingeschakeld in combinatie met andere functies zoals DHCP Snooping.

het inschakelen van poortbeveiliging op een switch kan ook helpen bij het verminderen van ARP-cache Vergiftigingsaanvallen. Poortbeveiliging kan worden geconfigureerd om slechts één MAC-adres op een switch-poort toe te staan, waardoor een aanvaller de kans wordt ontnomen om kwaadwillig meerdere netwerkidentiteiten aan te nemen.

fysieke beveiliging

een goede controle van de fysieke toegang tot uw werkplek kan helpen bij het verminderen van ARP-Vergiftigingsaanvallen. ARP berichten worden niet gerouteerd buiten de grenzen van het lokale netwerk, dus potentiële aanvallers moeten in de fysieke nabijheid van het slachtoffer netwerk of al de controle over een machine op het netwerk. Merk op dat in het geval van draadloze netwerken, nabijheid niet noodzakelijkerwijs betekent dat de aanvaller directe fysieke toegang nodig heeft; een signaal strekt zich uit naar een straat of parkeerplaats kan voldoende zijn. Of het nu bedraad of draadloos is, het gebruik van technologie zoals 802.1x kan ervoor zorgen dat alleen vertrouwde en / of beheerde apparaten verbinding kunnen maken met het netwerk.

netwerkisolatie

zoals eerder vermeld, reizen ARP-berichten niet buiten het lokale subnet. Dit betekent dat een goed gesegmenteerd netwerk minder gevoelig kan zijn voor ARP cache vergiftiging over het algemeen, als een aanval in een subnet apparaten in een ander niet kan beïnvloeden. Het concentreren van belangrijke middelen in een specifiek netwerksegment waar verbeterde beveiliging aanwezig is, kan de potentiële impact van een ARP-Vergiftigingsaanval aanzienlijk verminderen.

encryptie

hoewel encryptie een ARp-aanval niet voorkomt, kan het de potentiële schade beperken. Een populair gebruik van MiTM-aanvallen was om inloggegevens vast te leggen die ooit algemeen werden verzonden in platte tekst. Met het wijdverbreide gebruik van SSL / TLS-encryptie op het web, is dit type aanval moeilijker geworden. De bedreiging actor kan nog steeds onderscheppen het verkeer, maar kan niets doen met het in zijn versleutelde vorm.

slechts een van de vele bedreigingen

hoewel het al veel langer bestaat dan moderne bedreigingen zoals Ransomware, is Arp vergiftiging nog steeds een bedreiging die organisaties moeten aanpakken. Net als alle cyberdreigingen, het is het best aangepakt door middel van een uitgebreide informatiebeveiliging programma. Een oplossing zoals de Varonis Threat Detection and Response kan u helpen een idee te krijgen van de algehele beveiligingshouding van uw organisatie. Varonis Edge kan helpen bij het herkennen van tekenen van data-exfiltratie die kunnen optreden na een ARP vergiftiging aanval heeft plaatsgevonden.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.