By: adminPosted on

ARP-förgiftning är en typ av cyberattack som missbrukar svagheter i det allmänt använda Adressupplösningsprotokollet (ARP) för att störa, omdirigera eller spionera på nätverkstrafik. I det här stycket tar vi en snabb titt på behovet av ARP, svagheterna som möjliggör ARP-förgiftning och vad du kan göra för att hålla din organisation säker.

vad är ARP?

Adressupplösningsprotokollet (ARP) finns för att stödja det skiktade tillvägagångssätt som används sedan de tidigaste dagarna av datornätverk. Funktionerna i varje lager, från de elektriska signalerna som reser över en Ethernet-kabel till HTML-koden som används för att göra en webbsida, fungerar i stort sett oberoende av varandra. Så här kan vi använda IPv4 – en nätverkslagerteknik som dateras till början av 1980 – talet-med nyare tekniker som Wi-Fi och Bluetooth: de lägre fysiska och datalänkskikten hanterar detaljerna för att överföra data över ett specifikt medium som radiovågor.

syftet med ARP är att översätta mellan adresser i datalänkskiktet – känt som MAC – adresser-och adresser i nätverkslagret, som vanligtvis är IP-adresser. Det gör att nätverksenheter kan” fråga ” vilken enhet som för närvarande tilldelas en viss IP-adress. Enheter kan också meddela denna kartläggning till resten av nätverket utan att bli ombedd. För effektivitetens skull cachar enheter vanligtvis dessa svar och bygger en lista över aktuella MAC-till-IP-mappningar.

vad är ARP-förgiftning?

ARP-förgiftning består av att missbruka svagheterna i ARP för att korrumpera MAC-till-IP-mappningar av andra enheter i nätverket. Säkerhet var inte ett avgörande problem när ARP introducerades 1982, så protokollets designers inkluderade aldrig autentiseringsmekanismer för att validera ARP-meddelanden. Alla enheter i nätverket kan svara på en ARP-förfrågan, oavsett om det ursprungliga meddelandet var avsett för det eller inte. Till exempel, om dator a ”frågar” efter MAC-adressen till dator B, kan en angripare på Dator C svara och dator A skulle acceptera detta svar som autentiskt. Denna övervakning har gjort en mängd olika attacker möjliga. Genom att utnyttja lättillgängliga verktyg kan en hotskådespelare” förgifta ” ARP-cachen för andra värdar i ett lokalt nätverk och fylla ARP-cachen med felaktiga poster.

Arp-Förgiftningssteg

de exakta stegen för en Arp-Förgiftningsattack kan variera, men består i allmänhet av minst följande:

angripare väljer en Offermaskin eller maskiner

det första steget i planeringen och genomförandet av en ARP-Förgiftningsattack är att välja ett mål. Detta kan vara en specifik slutpunkt i nätverket, en grupp slutpunkter eller en nätverksenhet som en router. Routrar är attraktiva mål eftersom en framgångsrik Arp-Förgiftningsattack mot en router kan störa trafiken för ett helt delnät.

angripare lanserar verktyg och börjar attacken

ett brett utbud av verktyg är lätt tillgängliga för alla som vill utföra en Arp-Förgiftningsattack. Efter att ha startat verktyget efter eget val och konfigurerat tillämpliga inställningar börjar angriparen attacken. De kan omedelbart börja sända ARP-meddelanden, eller vänta tills en begäran tas emot.

angripare gör något med felaktigt styrd trafik

när ARP-cachen på en offermaskin eller maskiner har skadats, kommer angriparen vanligtvis att utföra någon typ av åtgärd med felaktigt styrd trafik. De kan inspektera den, ändra den eller få den att vara ”blackholed” och aldrig nå sin avsedda destination. Den exakta åtgärden beror på angriparens motiv.

typer av ARP-Förgiftningsattacker

det finns två allmänna sätt på vilka en Arp-Förgiftningsattack kan inträffa: angriparen kan antingen vänta med att se ARP-förfrågningar om ett visst mål och utfärda ett svar eller skicka ut ett oönskat sändningsmeddelande som kallas en ”gratuitous ARP”. Det första tillvägagångssättet är mindre märkbart i nätverket, men potentiellt mindre långtgående i dess effekter. En kostnadsfri ARP kan vara mer omedelbar och påverka ett större antal offer men kommer med nackdelen att generera mycket nätverkstrafik. I båda tillvägagångssätten kan den skadade ARP-cachen(erna) på offermaskiner utnyttjas till ytterligare ändar:

Man-In-The-Middle (MiTM) Attack

MiTM-attacker är förmodligen det vanligaste och potentiellt farligaste målet för ARP-förgiftning. Angriparen skickar ut förfalskade Arp-svar för en viss IP-adress, vanligtvis standardgatewayen för ett visst delnät. Detta gör att offermaskiner fyller sin ARP-cache med MAC-adressen till angriparens maskin, istället för den lokala routerns MAC-adress. Offermaskiner kommer då felaktigt att vidarebefordra nätverkstrafik till angriparen. Verktyg som Ettercap tillåter angriparen att fungera som en proxy, visa eller ändra information innan den skickar trafiken till sin avsedda destination. För offret kan allt verka normalt.

att gifta sig med ARP-förgiftning med DNS-förgiftning kan dramatiskt öka effektiviteten av en MiTM-attack. I det här scenariot kan en offeranvändare skriva in en legitim webbplats som google.com och få IP-adressen till angriparens maskin, snarare än den rättmätiga adressen.

DoS-attack (Denial of Service)

en DoS-attack syftar till att neka ett eller flera offer tillgång till nätverksresurser. När det gäller ARP kan en angripare skicka ut ARP-svarsmeddelanden som felaktigt kartlägger hundratals eller till och med tusentals IP-adresser till en enda MAC-adress, vilket kan överväldiga målmaskinen. Denna typ av attack, ibland känd som Arp-översvämning, kan också användas för att rikta omkopplare, vilket potentiellt påverkar prestanda för hela nätverket.

Session kapning

Session kapning attacker är av samma karaktär som Man-in-the-Middle, förutom att angriparen inte direkt kommer att vidarebefordra trafik från offret maskinen till sin avsedda destination. Istället kommer angriparen att fånga ett äkta TCP-sekvensnummer eller webbkaka från offret och använda den för att anta offrets identitet. Detta kan till exempel användas för att komma åt en målanvändares sociala mediekonto om de råkar vara inloggade.

Vad är syftet med en Arp-Förgiftningsattack?

hackare har en mängd olika motiv, och ARP-förgiftning är inget undantag. En angripare kan utföra en ARP-förgiftningsattack av flera orsaker, allt från spionage på hög nivå till spänningen att skapa kaos i nätverket. I ett potentiellt scenario kommer en angripare att använda förfalskade ARP-meddelanden för att ta rollen som standardgateway för ett visst delnät, vilket effektivt styr all trafik till angriparens maskin istället för den lokala routern. De kan sedan spionera på, Ändra eller släppa trafiken. Dessa attacker är ”bullriga” i den meningen att de lämnar bevis bakom, men de behöver inte störa den faktiska driften av nätverket. Om spionage är målet kommer den attackerande maskinen helt enkelt att vidarebefordra trafiken till sin ursprungliga destination, vilket ger slutanvändaren ingen indikation på att något har förändrats.

å andra sidan kan punkten för en DoS-attack vara att skapa en mycket märkbar störning i nätverksoperationen. Även om detta kan inriktas på att beröva ett företag sin förmåga att fungera, utförs DoS-attacker ofta av mindre skickliga angripare för ren njutning av att skapa problem.

Insiderattacker är särskilt oroande när man tänker på ARP-förgiftning. Falska ARP-meddelanden når inte utöver gränserna för ett lokalt nätverk, så attacken måste härröra från en enhet som är lokalt ansluten. Det är inte omöjligt för en utomstående att initiera en ARP-attack, men de skulle först behöva kompromissa med ett lokalt system på andra sätt. En insider skulle under tiden bara behöva nätverksåtkomst och några lättillgängliga verktyg.

ARP Spoofing vs ARP förgiftning

illustration av arp förgiftning vs arp spoofing

termerna ARP Spoofing och ARP förgiftning används i allmänhet omväxlande. Tekniskt hänvisar spoofing till en angripare som efterliknar en annan maskins MAC-adress, medan förgiftning betecknar handlingen att korrumpera ARP-tabellerna på en eller flera offermaskiner. I praktiken är dessa emellertid båda underelement av samma attack, och i allmänhet används båda termerna för att hänvisa till attacken som helhet. Andra liknande termer kan inkludera ARP cache förgiftning eller Arp tabell korruption.

vilka är effekterna av en Arp-Förgiftningsattack?

den mest direkta effekten av en Arp-Förgiftningsattack är att trafik som är avsedd för en eller flera värdar i det lokala nätverket istället kommer att styras till en destination som angriparen väljer. Exakt vilken effekt detta kommer att ha beror på attackens specifika egenskaper. Trafiken kan skickas till angriparens maskin eller skickas till en obefintlig plats. I första hand kan det inte finnas någon observerbar effekt, medan den andra kan hämma åtkomst till nätverket.

ARP-cache-förgiftning i sig kommer inte att ha en varaktig inverkan. ARP-poster cachas var som helst från några minuter på slutenheter till flera timmar för omkopplare. Så snart en angripare slutar aktivt förgifta tabellerna, kommer de skadade posterna helt enkelt att åldras och korrekt trafikflöde kommer snart att återupptas. ARP-förgiftning på egen hand kommer inte att lämna en permanent infektion eller fotfäste på offermaskiner. Men hackare kedjar ofta många typer av attacker tillsammans, och ARP-förgiftning kan användas i en del av en större kampanj.

hur man upptäcker en ARP Cache förgiftning Attack

en mängd kommersiella och öppen källkodsprogramvara finns för att upptäcka ARP-cache-förgiftning, men du kan enkelt kontrollera ARP-tabellerna på din egen dator utan att installera något. På de flesta Windows -, Mac-och Linux-system kommer utfärdandet av kommandot ”arp-a” från en terminal eller kommandorad att visa maskinens aktuella IP-till-MAC-adressmappningar.

verktyg som arpwatch och X-ARP är användbara för kontinuerlig övervakning av nätverket och kan varna en administratör om tecken på en Arp-Cacheförgiftningsattack ses. Men falska positiva är ett problem och kan skapa ett stort antal oönskade varningar.

hur man förhindrar Arp-Förgiftningsattacker

illustration av ARP-förgiftningsförebyggande tips

det finns flera metoder för att förhindra Arp-Förgiftningsattacker:

statiska Arp-tabeller

det är möjligt att statiskt kartlägga alla MAC-adresser i ett nätverk till deras rättmätiga IP-adresser. Detta är mycket effektivt för att förhindra Arp-Förgiftningsattacker men lägger till en enorm administrativ börda. Alla ändringar i nätverket kräver manuella uppdateringar av ARP-tabellerna över alla värdar, vilket gör statiska ARP-tabeller omöjliga för de flesta större organisationer. I situationer där säkerhet är avgörande kan det ändå hjälpa till att skydda kritisk information genom att skära ut ett separat nätverkssegment där statiska ARP-tabeller används.

Byt säkerhet

de flesta hanterade Ethernet-switchar sportfunktioner utformade för att mildra ARP-Förgiftningsattacker. Vanligtvis känd som dynamisk Arp-inspektion (DAI), utvärderar dessa funktioner giltigheten för varje ARP-meddelande och släpper paket som verkar misstänkta eller skadliga. DAI kan också vanligtvis konfigureras för att begränsa hastigheten med vilken ARP-meddelanden kan passera genom omkopplaren, vilket effektivt förhindrar DoS-attacker.

DAI och liknande funktioner var en gång exklusiva för high-end nätverk redskap, men är nu vanligt på nästan alla business-grade växlar, inklusive de som finns i mindre företag. Det anses allmänt vara en bästa praxis för att aktivera DAI på alla portar utom de som är anslutna till andra växlar. Funktionen introducerar inte en betydande prestandapåverkan men kan behöva aktiveras tillsammans med andra funktioner som DHCP-Snooping.

aktivera Port säkerhet på en switch kan också bidra till att mildra ARP Cache förgiftning attacker. Port säkerhet kan konfigureras för att tillåta endast en enda MAC-adress på en switch port, beröva en angripare chansen att uppsåtligt anta flera nätverksidentiteter.

fysisk säkerhet

korrekt kontroll av fysisk åtkomst till din verksamhet kan hjälpa till att mildra ARP-Förgiftningsattacker. ARP-meddelanden dirigeras inte utöver gränserna för det lokala nätverket, så angripare måste vara i fysisk närhet till offrets nätverk eller redan ha kontroll över en maskin i nätverket. Observera att när det gäller trådlösa nätverk betyder närhet inte nödvändigtvis att angriparen behöver direkt fysisk åtkomst; en signal sträcker sig till en gata eller parkeringsplats kan vara tillräcklig. Oavsett om det är trådbundet eller trådlöst, användningen av teknik som 802.1x kan säkerställa att endast betrodda och/eller hanterade enheter kan ansluta till nätverket.

Nätverksisolering

som tidigare nämnts reser ARP-meddelanden inte utöver det lokala undernätet. Detta innebär att ett välsegmenterat nätverk kan vara mindre mottagligt för Arp-cacheförgiftning totalt sett, eftersom en attack i ett delnät inte kan påverka enheter i en annan. Att koncentrera viktiga resurser i ett dedikerat nätverkssegment där ökad säkerhet är närvarande kan kraftigt minska den potentiella effekten av en Arp-Förgiftningsattack.

Encryption

medan kryptering inte kommer att förhindra att en ARP-attack uppstår, kan den mildra den potentiella skadan. En populär användning av MiTM-attacker var att fånga inloggningsuppgifter som en gång ofta överfördes i vanlig text. Med den utbredda användningen av SSL/TLS-kryptering på webben har denna typ av attack blivit svårare. Hotskådespelaren kan fortfarande fånga upp trafiken, men kan inte göra någonting med den i sin krypterade form.

bara ett av många hot

även om det har funnits mycket längre än moderna hot som Ransomware, är ARP-förgiftning fortfarande ett hot som organisationer behöver ta itu med. Liksom alla cyberhot är det bäst att ta itu med genom ett omfattande informationssäkerhetsprogram. En lösning som Varonis Hot Detection and Response kan hjälpa dig att få en uppfattning om din organisations övergripande säkerhetsställning. Varonis Edge kan hjälpa till att upptäcka tecken på datafiltrering som kan uppstå efter en Arp-Förgiftningsattack har ägt rum.

Lämna ett svar

Din e-postadress kommer inte publiceras.