By: adminPosted on

zatrucie ARP jest rodzajem cyberataku, który nadużywa słabości powszechnie używanego protokołu ARP (Address Resolution Protocol) do zakłócania, przekierowywania lub szpiegowania ruchu sieciowego. W tym artykule przyjrzymy się szybko potrzebom ARP, słabościom, które umożliwiają zatrucie ARP, i co możesz zrobić, aby zapewnić bezpieczeństwo swojej organizacji.

co to jest ARP?

protokół Arp (Address Resolution Protocol) istnieje, aby wspierać warstwowe podejście stosowane od najwcześniejszych dni sieci komputerowej. Funkcje każdej warstwy, od sygnałów elektrycznych, które podróżują przez kabel Ethernet do kodu HTML używanego do renderowania strony internetowej, działają w dużej mierze niezależnie od siebie. W ten sposób możemy wykorzystać IPv4 – technologię warstwy sieciowej z początku lat 80 – tych-z nowszymi technologiami, takimi jak Wi-Fi i Bluetooth: niższe warstwy fizyczne i łącza danych obsługują specyfikę przesyłania danych przez określone medium, takie jak fale radiowe.

celem ARP jest tłumaczenie między adresami w warstwie łącza danych-zwanymi adresami MAC – a adresami w warstwie sieciowej, które zazwyczaj są adresami IP. Pozwala to urządzeniom sieciowym „zapytać”, jakie urządzenie jest obecnie przypisane do danego adresu IP. Urządzenia mogą również ogłosić to mapowanie do reszty sieci bez monitu. Ze względu na wydajność urządzenia zazwyczaj buforują te odpowiedzi i tworzą listę aktualnych mapowań MAC-to-IP.

co to jest zatrucie ARP?

zatrucie ARP polega na nadużywaniu słabości ARP w celu uszkodzenia mapowania MAC-to-IP innych urządzeń w sieci. Bezpieczeństwo nie było sprawą nadrzędną, gdy ARP został wprowadzony w 1982 roku, więc projektanci protokołu nigdy nie wprowadzili mechanizmów uwierzytelniania do walidacji komunikatów ARP. Każde urządzenie w sieci może odpowiedzieć na żądanie ARP, niezależnie od tego, czy oryginalna wiadomość była dla niego przeznaczona, czy nie. Na przykład, jeśli komputer a „zapyta” o adres MAC komputera B, atakujący z komputera C może odpowiedzieć, A Komputer a zaakceptuje tę odpowiedź jako autentyczną. To niedopatrzenie umożliwiło wiele ataków. Wykorzystując łatwo dostępne narzędzia, podmiot zagrożeń może „zatruć” pamięć podręczną ARP innych hostów w sieci lokalnej, wypełniając pamięć podręczną ARP niedokładnymi wpisami.

kroki ataku zatrucia ARP

dokładne kroki ataku zatrucia Arp mogą się różnić, ale zazwyczaj składają się z co najmniej następujących kroków:

atakujący wybiera maszynę ofiary lub maszyny

pierwszym krokiem w planowaniu i przeprowadzaniu ataku zatrucia ARP jest wybranie celu. Może to być określony punkt końcowy w sieci, Grupa punktów końcowych lub urządzenie sieciowe, takie jak router. Routery są atrakcyjnymi celami, ponieważ udany atak ARP na router może zakłócić ruch w całej podsieci.

atakujący uruchamia narzędzia i rozpoczyna atak

szeroka gama narzędzi jest łatwo dostępna dla każdego, kto chce przeprowadzić atak zatrucia ARP. Po uruchomieniu wybranego przez siebie narzędzia i skonfigurowaniu odpowiednich ustawień atakujący rozpocznie atak. Mogą natychmiast rozpocząć nadawanie wiadomości ARP lub poczekać na otrzymanie żądania.

atakujący robi coś z nieprawidłowo kierowanym ruchem

gdy pamięć podręczna ARP na maszynie lub maszynach ofiary została uszkodzona, atakujący zazwyczaj wykonuje pewne działania z nieprawidłowo kierowanym ruchem. Mogą go sprawdzić, zmienić lub spowodować, że będzie „czarny” i nigdy nie dotrą do zamierzonego miejsca przeznaczenia. Dokładna akcja zależy od motywów atakującego.

rodzaje ataków zatrucia ARP

istnieją dwa ogólne sposoby, w których atak zatrucia Arp może wystąpić: atakujący może poczekać, aby zobaczyć żądania ARP dla określonego celu i wydać odpowiedź, lub wysłać niechcianą wiadomość nadawczą znaną jako „darmowa ARP”. Pierwsze podejście jest mniej zauważalne w sieci, ale potencjalnie mniej dalekosiężne w jej skutkach. Nieodpłatne ARP może być bardziej natychmiastowe i wpływać na większą liczbę ofiar, ale wiąże się z minusem generowania dużego ruchu w sieci. W obu podejściach uszkodzone pamięci podręczne ARP na maszynach ofiar mogą być wykorzystane do dalszych celów:

atak Man-in-the-Middle (MiTM)

ataki MiTM są prawdopodobnie najczęstszym i potencjalnie najbardziej niebezpiecznym celem zatrucia ARP. Atakujący wysyła sfałszowane odpowiedzi ARP dla danego adresu IP, zazwyczaj domyślną bramę dla danej podsieci. Powoduje to, że maszyny ofiar wypełniają pamięć podręczną ARP adresem MAC komputera atakującego, zamiast adresu MAC lokalnego routera. Maszyny ofiar nieprawidłowo przekażą ruch sieciowy do atakującego. Narzędzia takie jak Ettercap umożliwiają atakującemu działanie jako proxy, przeglądanie lub modyfikowanie informacji przed wysłaniem ruchu do zamierzonego miejsca docelowego. Dla ofiary wszystko wydaje się normalne.

połączenie zatrucia ARP z zatruciem DNS może znacznie zwiększyć skuteczność ataku MiTM. W tym scenariuszu użytkownik ofiary może wpisać legalną witrynę, taką jak google.com i otrzymać adres IP komputera atakującego, a nie prawowity adres.

atak typu Denial of Service (DoS)

atak typu DoS ma na celu uniemożliwienie jednej lub większej liczbie ofiar dostępu do zasobów sieciowych. W przypadku ARP atakujący może wysyłać wiadomości odpowiedzi ARP, które fałszywie mapują setki, a nawet tysiące adresów IP na jeden adres MAC, potencjalnie przytłaczając maszynę docelową. Ten rodzaj ataku, czasami znany jako Arp flooding, może być również używany do celowania w przełączniki, potencjalnie wpływając na wydajność całej sieci.

przejmowanie sesji

ataki przejmowania sesji są podobne do ataków typu Man-in-the-Middle, z tym wyjątkiem, że atakujący nie będzie bezpośrednio przesyłał ruchu z maszyny ofiary do zamierzonego miejsca docelowego. Zamiast tego atakujący przechwytuje od ofiary prawdziwy numer sekwencji TCP lub plik cookie sieciowy i używa go do przyjęcia tożsamości ofiary. Może to być wykorzystane, na przykład, aby uzyskać dostęp do konta społecznościowego użytkownika docelowego, jeśli zdarzy się, że jest zalogowany.

jaki jest cel ataku ARP?

hakerzy mają wiele różnych motywów, a zatrucie ARP nie jest wyjątkiem. Atakujący może przeprowadzić atak zatrucia ARP z wielu powodów, od szpiegostwa Wysokiego Szczebla do dreszczyku chaosu w sieci. W jednym z potencjalnych scenariuszy atakujący użyje sfałszowanych wiadomości ARP, aby przejąć rolę bramy domyślnej dla danej podsieci, skutecznie kierując cały ruch do maszyny atakującej zamiast lokalnego routera. Mogą wtedy szpiegować, modyfikować lub usuwać ruch. Ataki te są „głośne” w tym sensie, że pozostawiają dowody, ale nie muszą zakłócać rzeczywistego działania sieci. Jeśli celem jest szpiegostwo, atakująca maszyna po prostu przekaże ruch do pierwotnego miejsca docelowego, nie dając użytkownikowi końcowemu żadnych oznak, że coś się zmieniło.

z drugiej strony, celem ataku DoS może być spowodowanie wysoce zauważalnych zakłóceń w działaniu sieci. Chociaż może to być ukierunkowane na pozbawienie firmy zdolności do działania, ataki DoS są często przeprowadzane przez mniej wykwalifikowanych atakujących dla czystej przyjemności tworzenia problemów.

ataki wewnętrzne są szczególnie niepokojące, gdy myślimy o zatruciu ARP. Fałszywe wiadomości ARP nie wykraczają poza granice sieci lokalnej, więc atak musi pochodzić z urządzenia podłączonego lokalnie. Nie jest niemożliwe, aby outsider zainicjował atak ARP, ale najpierw musiałby zdalnie skompromitować lokalny system za pomocą innych środków. Wtajemniczony potrzebuje natomiast tylko dostępu do sieci i niektórych łatwo dostępnych narzędzi.

ARP Spoofing vs Arp zatrucie

ilustracja ARP zatrucie vs ARP spoofing

terminy ARP Spoofing i Arp zatrucie są powszechnie używane zamiennie. Technicznie, spoofing odnosi się do atakującego podszywającego się pod adres MAC innej maszyny, podczas gdy zatrucie oznacza akt uszkodzenia tabel ARP na jednej lub kilku maszynach ofiar. W praktyce są to jednak oba podelementy tego samego ataku, a w ogólnym mowie oba terminy są używane w odniesieniu do ataku jako całości. Inne podobne terminy mogą obejmować zatrucie pamięci podręcznej ARP lub uszkodzenie tabeli ARP.

jakie są skutki ataku zatrucia ARP?

najbardziej bezpośredni wpływ ataku zatrucia ARP polega na tym, że ruch przeznaczony dla jednego lub więcej hostów w sieci lokalnej będzie kierowany do miejsca docelowego wybranego przez atakującego. Dokładnie jaki efekt będzie to miało, zależy od specyfiki ataku. Ruch może zostać wysłany do maszyny atakującego lub wysłany do nieistniejącej lokalizacji. W pierwszym przypadku może nie być obserwowalny efekt, podczas gdy drugi może utrudniać dostęp do sieci.

samo zatrucie pamięci podręcznej ARP nie będzie miało trwałego wpływu. Wpisy ARP są buforowane w dowolnym miejscu od kilku minut na urządzeniach końcowych do kilku godzin dla przełączników. Gdy tylko atakujący przestanie aktywnie zatruwać tabele, uszkodzone wpisy po prostu się starzeją i wkrótce zostanie wznowiony prawidłowy przepływ ruchu. Zatrucie ARP samo w sobie nie pozostawi trwałej infekcji ani oparcia na maszynach ofiar. Jednak hakerzy często łączą ze sobą wiele rodzajów ataków, a zatrucie ARP może być wykorzystane w części większej kampanii.

jak wykryć atak zatrucia pamięci podręcznej ARP

istnieje wiele komercyjnych i otwartych programów do wykrywania zatrucia pamięci podręcznej ARP, ale można łatwo sprawdzić tabele ARP na własnym komputerze bez instalowania czegokolwiek. W większości systemów Windows, Mac i Linux wydanie polecenia „arp-a” z terminala lub Wiersza poleceń wyświetli bieżące mapowania adresów IP na MAC komputera.

narzędzia takie jak arpwatch i X-ARP są przydatne do ciągłego monitorowania sieci i mogą ostrzegać administratora, jeśli widoczne są oznaki ataku zatrucia pamięci podręcznej ARP. Jednak fałszywe alerty są problemem i mogą tworzyć dużą liczbę niechcianych alertów.

jak zapobiegać atakom zatrucia ARP

ilustracja wskazówek dotyczących zapobiegania zatruciom arp

istnieje kilka sposobów zapobiegania atakom zatrucia ARP:

statyczne tabele ARP

możliwe jest statyczne mapowanie wszystkich adresów MAC w sieci na ich prawowite adresy IP. Jest to bardzo skuteczne w zapobieganiu atakom zatrucia ARP, ale powoduje ogromne obciążenie administracyjne. Wszelkie zmiany w sieci będą wymagały ręcznej aktualizacji tabel ARP we wszystkich hostach, co sprawi, że statyczne tabele ARP będą niewykonalne dla większości większych organizacji. Jednak w sytuacjach, w których bezpieczeństwo ma kluczowe znaczenie, wydzielenie oddzielnego segmentu sieci, w którym używane są statyczne tabele ARP, może pomóc w ochronie krytycznych informacji.

Switch Security

Większość zarządzanych przełączników Ethernet posiada funkcje mające na celu łagodzenie ataków zatrucia ARP. Funkcje te, zwykle znane jako dynamiczna inspekcja ARP (Dai), oceniają Ważność każdej wiadomości ARP i upuszczanych pakietów, które wydają się podejrzane lub złośliwe. DAI można również zazwyczaj skonfigurować tak, aby ograniczać szybkość przesyłania komunikatów ARP przez przełącznik, skutecznie zapobiegając atakom DoS.

DAI i podobne funkcje były kiedyś dostępne wyłącznie w wysokiej klasy sprzęcie sieciowym, ale obecnie są powszechne w prawie wszystkich przełącznikach klasy biznesowej, w tym w mniejszych firmach. Powszechnie uważa się, że najlepszą praktyką jest włączanie DAI na wszystkich portach z wyjątkiem tych podłączonych do innych przełączników. Funkcja ta nie ma znaczącego wpływu na wydajność, ale może wymagać włączenia w połączeniu z innymi funkcjami, takimi jak Szpiegowanie DHCP.

włączenie zabezpieczeń portów na przełączniku może również pomóc w łagodzeniu ataków zatruwania pamięci podręcznej ARP. Zabezpieczenia portów można skonfigurować tak, aby zezwalały na tylko jeden adres MAC na porcie przełącznika, pozbawiając atakującego szansy na złośliwe przyjęcie wielu tożsamości sieciowych.

bezpieczeństwo fizyczne

prawidłowe kontrolowanie fizycznego dostępu do miejsca prowadzenia działalności może pomóc złagodzić ataki zatrucia ARP. Komunikaty ARP nie są kierowane poza granice sieci lokalnej, więc potencjalni napastnicy muszą znajdować się w fizycznej odległości od sieci ofiary lub mieć już kontrolę nad maszyną w sieci. Należy pamiętać, że w przypadku sieci bezprzewodowych bliskość nie musi oznaczać, że atakujący potrzebuje bezpośredniego dostępu fizycznego; sygnał rozciąga się na ulicę lub parking może być wystarczający. Czy przewodowe lub bezprzewodowe, wykorzystanie technologii takich jak 802.1x może zapewnić, że tylko zaufane i/lub Zarządzane urządzenia mogą łączyć się z siecią.

izolacja sieci

jak wspomniano wcześniej, wiadomości ARP nie podróżują poza lokalną podsieć. Oznacza to, że dobrze segmentowana sieć może być mniej podatna na zatrucie pamięci podręcznej ARP, ponieważ atak w jednej podsieci nie może wpłynąć na urządzenia w innej. Koncentracja ważnych zasobów w dedykowanym segmencie sieci, w którym występuje zwiększone bezpieczeństwo, może znacznie zmniejszyć potencjalny wpływ ataku zatrucia ARP.

Szyfrowanie

chociaż szyfrowanie nie zapobiegnie atakowi ARP, może złagodzić potencjalne uszkodzenia. Popularnym zastosowaniem ataków MiTM było przechwytywanie danych logowania, które były kiedyś powszechnie przesyłane w postaci zwykłego tekstu. Dzięki powszechnemu stosowaniu szyfrowania SSL / TLS w Internecie, ten rodzaj ataku stał się trudniejszy. Aktor zagrożenia nadal może przechwycić ruch, ale nie może nic zrobić z nim w zaszyfrowanej formie.

tylko jedno z wielu zagrożeń

Chociaż istnieje znacznie dłużej niż współczesne zagrożenia, takie jak oprogramowanie Ransomware, zatrucie ARP nadal jest Zagrożeniem, z którym organizacje muszą się zmierzyć. Podobnie jak wszystkie zagrożenia cybernetyczne, najlepiej jest je rozwiązać za pomocą kompleksowego programu bezpieczeństwa informacji. Rozwiązanie takie jak Varonis Threat Detection and Response może pomóc w zrozumieniu ogólnego stanu bezpieczeństwa organizacji. Varonis Edge może pomóc wykryć oznaki eksfiltracji danych, które mogą wystąpić po ataku zatrucia ARP.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.