otrăvirea ARP este un tip de atac cibernetic care abuzează de punctele slabe ale Protocolului de rezoluție a adreselor (ARP) utilizat pe scară largă pentru a perturba, redirecționa sau spiona traficul de rețea. În această piesă, vom analiza rapid nevoia de ARP, punctele slabe care permit otrăvirea ARP și ce puteți face pentru a vă menține organizația în siguranță.
ce este ARP?
Address Resolution Protocol (Arp) există pentru a sprijini abordarea stratificată utilizată încă din primele zile ale rețelelor de calculatoare. Funcțiile fiecărui strat, de la semnalele electrice care se deplasează printr-un cablu Ethernet până la codul HTML utilizat pentru a reda o pagină web, funcționează în mare măsură independent unul de celălalt. Acesta este modul în care putem folosi IPv4 – o tehnologie de strat de rețea datând de la începutul anilor 1980 – cu tehnologii mai noi, cum ar fi Wi-Fi și Bluetooth: straturile inferioare de legături fizice și de date gestionează specificul transferului de date pe un mediu specific, cum ar fi undele radio.
scopul ARP este de a traduce între adresele din stratul de legătură de date – cunoscute sub numele de adrese MAC – și adresele din stratul de rețea, care sunt de obicei adrese IP. Permite dispozitivelor în rețea să” întrebe ” ce dispozitiv i se atribuie în prezent o anumită adresă IP. Dispozitivele pot anunța, de asemenea, această mapare către restul rețelei fără a fi solicitate. Din motive de eficiență, dispozitivele vor memora în mod obișnuit aceste răspunsuri și vor construi o listă de mapări MAC-to-IP actuale.
ce este otrăvirea ARP?
otrăvirea ARP constă în abuzarea punctelor slabe din ARP pentru a corupe mapările MAC-to-IP ale altor dispozitive din rețea. Securitatea nu a fost o preocupare primordială atunci când ARP a fost introdus în 1982, astfel încât proiectanții protocolului nu au inclus niciodată mecanisme de autentificare pentru a valida mesajele arp. Orice dispozitiv din rețea poate răspunde la o solicitare ARP, indiferent dacă mesajul original a fost destinat sau nu. De exemplu, dacă computerul A „cere” adresa MAC a computerului B, un atacator de la computerul C poate răspunde și computerul a ar accepta acest răspuns ca fiind autentic. Această supraveghere a făcut posibilă o varietate de atacuri. Folosind instrumente ușor disponibile, un actor de amenințare poate „otrăvi” memoria cache ARP a altor gazde dintr-o rețea locală, umplând memoria cache ARP cu intrări inexacte.
etapele atacului de otrăvire ARP
pașii exacți ai unui atac de otrăvire ARP pot varia, dar în general constau în cel puțin următoarele:
atacatorul Selectează o mașină victimă sau mașini
primul pas în planificarea și desfășurarea unui atac de otrăvire ARP este selectarea unei ținte. Acesta poate fi un punct final specific din rețea, un grup de puncte finale sau un dispozitiv de rețea precum un router. Routerele sunt ținte atractive, deoarece un atac de otrăvire ARP de succes împotriva unui router poate perturba traficul pentru o întreagă subrețea.
atacatorul lansează instrumente și începe atacul
o mare varietate de instrumente sunt ușor disponibile pentru oricine dorește să efectueze un atac de otrăvire ARP. După lansarea instrumentului la alegere și configurarea setărilor aplicabile, atacatorul va începe atacul. Aceștia pot începe imediat difuzarea mesajelor ARP sau pot aștepta până la primirea unei cereri.
atacatorul face ceva cu traficul direcționat incorect
odată ce memoria cache ARP de pe o mașină sau mașini victimă a fost coruptă, atacatorul va efectua de obicei un anumit tip de acțiune cu traficul direcționat incorect. Ei îl pot inspecta, modifica sau provoca „blackholed” și nu ajung niciodată la destinația dorită. Acțiunea exactă depinde de motivele atacatorului.
tipuri de atacuri de otrăvire ARP
există două moduri generale în care poate apărea un atac de otrăvire ARP: atacatorul poate aștepta fie să vadă cererile ARP pentru o anumită țintă și să emită un răspuns, fie să trimită un mesaj difuzat nesolicitat cunoscut sub numele de „arp gratuit”. Prima abordare este mai puțin vizibilă în rețea, dar potențial mai puțin amplă în ceea ce privește impactul acesteia. Un ARP gratuit poate fi mai imediat și poate afecta un număr mai mare de victime, dar vine cu dezavantajul de a genera o mulțime de trafic de rețea. În oricare dintre abordări, cache-urile ARP corupte de pe mașinile victime pot fi utilizate pentru a se termina în continuare:
atacul omului în mijloc(MiTM)
atacurile MiTM sunt probabil cel mai frecvent și potențial cel mai periculos obiectiv al otrăvirii ARP. Atacatorul trimite răspunsuri ARP falsificate pentru o anumită adresă IP, de obicei gateway-ul implicit pentru o anumită subrețea. Acest lucru face ca mașinile victime să-și populeze memoria cache ARP cu adresa MAC a mașinii atacatorului, în loc de adresa MAC a routerului local. Mașinile victime vor redirecționa în mod incorect traficul de rețea către atacator. Instrumente precum Ettercap permit atacatorului să acționeze ca proxy, vizualizând sau modificând informații înainte de a trimite traficul către destinația dorită. Pentru victimă, totul poate părea normal.
căsătoria otrăvirii ARP cu otrăvirea DNS poate crește dramatic eficacitatea unui atac MiTM. În acest scenariu, un utilizator victimă ar putea Tip într-un site legitim, cum ar fi google.com și să i se dea adresa IP a mașinii atacatorului, mai degrabă decât adresa de drept.
Denial of Service (DoS) atac
un atac DoS are ca scop negarea accesului uneia sau mai multor victime la resursele rețelei. În cazul ARP, un atacator ar putea trimite mesaje de răspuns ARP care mapează în mod fals sute sau chiar mii de adrese IP la o singură adresă MAC, potențial copleșind mașina țintă. Acest tip de atac, uneori cunoscut sub numele de inundații ARP, poate fi folosit și pentru a viza comutatoarele, având un impact potențial asupra performanței întregii rețele.
deturnarea sesiunii
atacurile de deturnare a sesiunii sunt similare în natură cu omul din mijloc, cu excepția faptului că atacatorul nu va redirecționa direct traficul de la mașina victimă la destinația dorită. În schimb, atacatorul va captura un număr de secvență TCP autentic sau un cookie web de la victimă și îl va folosi pentru a-și asuma identitatea victimei. Acest lucru ar putea fi folosit, de exemplu, pentru a accesa contul de social media al unui utilizator țintă dacă se întâmplă să fie conectat.
care este scopul unui atac de otrăvire cu Arp?
hackerii au o mare varietate de motive, iar otrăvirea ARP nu face excepție. Un atacator ar putea efectua un atac de otrăvire ARP din mai multe motive, de la spionaj la nivel înalt până la fiorul de a crea haos în rețea. Într-un scenariu potențial, un atacator va folosi mesaje ARP falsificate pentru a-și asuma rolul gateway-ului implicit pentru o anumită subrețea, direcționând efectiv tot traficul către mașina atacatorului în locul routerului local. Ei pot spiona apoi pe, modifica, sau picătură de trafic. Aceste atacuri sunt „zgomotoase” în sensul că lasă dovezi în urmă, dar nu trebuie să interfereze cu funcționarea reală a rețelei. Dacă scopul este spionajul, mașina de atac va transmite pur și simplu traficul către destinația inițială, oferind utilizatorului final niciun indiciu că s-a schimbat ceva.
pe de altă parte, punctul unui atac DoS ar putea fi crearea unei perturbări foarte vizibile în funcționarea rețelei. În timp ce acest lucru ar putea fi orientat spre privarea unei afaceri de capacitatea sa de a opera, atacurile DoS sunt adesea efectuate de atacatori mai puțin calificați pentru plăcerea pură de a crea probleme.
atacurile din interior sunt deosebit de îngrijorătoare atunci când ne gândim la otrăvirea ARP. Mesajele ARP falsificate nu vor depăși limitele unei rețele locale, astfel încât atacul trebuie să provină de la un dispozitiv conectat local. Nu este imposibil ca un străin să inițieze un atac ARP, dar ar trebui să compromită de la distanță un sistem local prin alte mijloace mai întâi. Între timp, un insider ar avea nevoie doar de acces la rețea și de câteva instrumente ușor disponibile.
Spoofing ARP vs otrăvire Arp
termenii Spoofing ARP și otrăvire arp sunt în general folosiți interschimbabil. Din punct de vedere tehnic, falsificarea se referă la un atacator care imită adresa MAC a altei mașini, în timp ce otrăvirea denotă actul de corupere a tabelelor ARP pe una sau mai multe mașini victime. În practică, însă, acestea sunt ambele sub-elemente ale aceluiași atac și, în limbajul general, ambii termeni sunt folosiți pentru a se referi la atac în ansamblu. Alți termeni similari ar putea include otrăvirea cache-ului ARP sau corupția tabelului ARP.
care sunt efectele unui atac de otrăvire cu Arp?
impactul cel mai direct al unui atac de otrăvire ARP este că traficul destinat uneia sau mai multor gazde din rețeaua locală va fi în schimb direcționat către o destinație la alegerea atacatorului. Exact ce efect va avea acest lucru depinde de specificul atacului. Traficul ar putea fi trimis la mașina atacatorului sau trimis într-o locație inexistentă. În primul rând, este posibil să nu existe un efect observabil, în timp ce al doilea poate inhiba accesul la rețea.
otrăvirea cache ARP în sine nu va avea un impact de durată. Intrările ARP sunt stocate în cache oriunde de la câteva minute pe dispozitivele finale la câteva ore pentru comutatoare. De îndată ce un atacator oprește otrăvirea activă a tabelelor, intrările corupte vor îmbătrâni pur și simplu și fluxul adecvat de trafic va fi reluat în curând. Otrăvirea ARP pe cont propriu nu va lăsa o infecție permanentă sau un punct de sprijin pe mașinile victimelor. Cu toate acestea, hackerii leagă adesea multe tipuri de atacuri împreună, iar otrăvirea ARP poate fi utilizată într-o parte a unei campanii mai mari.
cum se detectează un atac de otrăvire a Cache-ului Arp
există o varietate de software comercial și open-source pentru a detecta otrăvirea cache-ului ARP, dar puteți verifica cu ușurință tabelele ARP de pe propriul computer fără a instala nimic. Pe majoritatea sistemelor Windows, Mac și Linux, emiterea comenzii „arp-a” de la un terminal sau linie de comandă va afișa mapările actuale de adrese IP-MAC ale mașinii.
instrumente precum Arpwatch și X-arp sunt utile pentru monitorizarea continuă a rețelei și pot alerta un administrator dacă se văd semne ale unui atac de otrăvire a Cache-ului Arp. Cu toate acestea, fals pozitive sunt o preocupare și poate crea un număr mare de alerte nedorite.
cum să preveniți atacurile de otrăvire ARP
există mai multe abordări pentru prevenirea atacurilor de otrăvire Arp:
tabele Arp statice
este posibil să mapați static toate adresele MAC dintr-o rețea la adresele lor IP de drept. Acest lucru este foarte eficient în prevenirea atacurilor de otrăvire ARP, dar adaugă o povară administrativă extraordinară. Orice modificare a rețelei va necesita actualizări manuale ale tabelelor ARP pe toate gazdele, făcând tabelele ARP statice imposibile pentru majoritatea organizațiilor mai mari. Totuși, în situațiile în care securitatea este crucială, decuparea unui segment de rețea separat în care sunt utilizate tabele ARP statice poate ajuta la protejarea informațiilor critice.
Switch Security
cele mai gestionate switch-uri Ethernet caracteristici sport concepute pentru a atenua atacurile de otrăvire ARP. De obicei cunoscut sub numele de inspecție dinamică ARP (DAI), aceste caracteristici evaluează validitatea fiecărui mesaj ARP și aruncă pachete care par suspecte sau rău intenționate. DAI poate fi, de asemenea, configurat în mod obișnuit pentru a limita rata la care mesajele ARP pot trece prin comutator, prevenind în mod eficient atacurile DoS.
DAI și caracteristici similare au fost odată exclusive pentru echipamentele de rețea high-end, dar sunt acum comune pe aproape toate comutatoarele de nivel de afaceri, inclusiv cele găsite în întreprinderile mai mici. În general, este considerată o bună practică pentru a activa DAI pe toate porturile, cu excepția celor conectate la alte comutatoare. Caracteristica nu introduce un impact semnificativ asupra performanței, dar poate fi necesar să fie activată împreună cu alte caracteristici, cum ar fi DHCP Snooping.
activarea securității portuare pe un comutator poate ajuta, de asemenea, la atenuarea atacurilor de otrăvire a Cache-ului Arp. Securitatea porturilor poate fi configurată pentru a permite doar o singură adresă MAC pe un port switch, privând un atacator de șansa de a-și asuma cu rea intenție mai multe identități de rețea.
securitate fizică
controlul corect al accesului fizic la locul dvs. de afaceri poate ajuta la atenuarea atacurilor de otrăvire ARP. Mesajele ARP nu sunt dirijate dincolo de limitele rețelei locale, astfel încât atacatorii potențiali trebuie să se afle în apropierea fizică a rețelei victimei sau să aibă deja controlul asupra unei mașini din rețea. Rețineți că, în cazul rețelelor fără fir, proximitatea nu înseamnă neapărat că atacatorul are nevoie de acces fizic direct; un semnal se extinde la o stradă sau o parcare poate fi suficient. Indiferent dacă este cu fir sau fără fir, Utilizarea tehnologiei precum 802.1x se poate asigura că numai dispozitivele de încredere și/sau gestionate se pot conecta la rețea.
izolarea rețelei
după cum sa menționat anterior, mesajele ARP nu călătoresc dincolo de subrețea locală. Aceasta înseamnă că o rețea bine segmentată poate fi mai puțin susceptibilă la otrăvirea cache-ului arp în general, deoarece un atac într-o subrețea nu poate afecta dispozitivele în alta. Concentrarea resurselor importante într-un segment de rețea dedicat în care este prezentă o securitate sporită poate diminua foarte mult impactul potențial al unui atac de otrăvire ARP.
criptare
în timp ce criptarea nu va împiedica de fapt un atac ARP să apară, poate atenua daunele potențiale. O utilizare populară a atacurilor MiTM a fost captarea acreditărilor de conectare care au fost odată transmise în mod obișnuit în text simplu. Odată cu utilizarea pe scară largă a criptării SSL/TLS pe web, acest tip de atac a devenit mai dificil. Actorul de amenințare încă poate intercepta traficul, dar nu poate face nimic cu el în forma sa criptată.
doar una dintre numeroasele amenințări
deși a existat mult mai mult decât amenințările moderne, cum ar fi Ransomware, otrăvirea ARP este încă o amenințare pe care organizațiile trebuie să o abordeze. Ca toate amenințările cibernetice, este cel mai bine abordată printr-un program cuprinzător de securitate a informațiilor. O soluție precum Varonis Threat Detection and Response vă poate ajuta să vă faceți o idee despre poziția generală de securitate a organizației dvs. Varonis Edge poate ajuta la identificarea semnelor de exfiltrare a datelor care pot apărea după ce a avut loc un atac de otrăvire cu ARP.