Dostęp do systemu można uzyskać na wiele sposobów. Celem zatrucia ARP jest sposób, w jaki nasze urządzenia komunikują się ze sobą.
Posiadanie jednej obrony cyberbezpieczeństwa nie gwarantuje całkowitego bezpieczeństwa, ponieważ hakerzy wciąż wymyślają nowe sposoby na przełamanie. Rozumieją, że przeprowadzanie bezpośrednich ataków nie jest już tak skuteczne, ponieważ zaawansowane mechanizmy bezpieczeństwa mogą je łatwo wykryć. Ukrywanie się za legalnymi sieciami za pomocą technik takich jak zatruwanie ARP ułatwia im pracę.
Dzięki zatruciu ARP cyberprzestępca może przekierować Twój adres IP i przechwycić przesyłaną komunikację bez Twojej wiedzy. Oto, jak działa ta metoda ataku i jak możesz jej zapobiec.
Co to jest atak trujący ARP?
Address Resolution Protocol (ARP) to procedura łączności, która łączy protokół internetowy (IP) adresu na statyczny adres fizyczny kontrolera dostępu do mediów (MAC) w sieci lokalnej (LAN). Ponieważ adresy IP i MAC mają różne składy, nie są kompatybilne. ARP godzi tę różnicę, aby zapewnić synchronizację obu elementów. Inaczej by się nie rozpoznali.
Atak zatruwający ARP to proces, w którym intruz wysyła szkodliwą zawartość za pośrednictwem sieci lokalnej (LAN) w celu przekierowania połączenia z prawidłowego adresu IP na jego adres MAC. W trakcie tego atakujący zastępuje oryginalny adres MAC, który powinien łączyć się z adresem IP, umożliwiając mu dostęp do wiadomości wysyłanych przez ludzi na autentyczny adres MAC.
Jak działa atak trujący ARP?
Kilka sieci może działać jednocześnie w sieci lokalnej (LAN). Każda aktywna sieć otrzymuje określony adres IP, który służy jej do identyfikacji i odróżnia ją od innych. Kiedy dane z różnych sieci docierają do bramki, ARP odpowiednio je sortuje, więc każda z nich trafia prosto do zamierzonego celu.
Atakujący tworzy i wysyła fałszywą wiadomość ARP do sprofilowanego systemu. Dodają swój adres MAC i adres IP celu w wiadomości. Po odebraniu i przetworzeniu fałszywej wiadomości ARP system synchronizuje adres MAC atakującego z adresem IP.
Gdy sieć LAN połączy adres IP z adresem MAC intruza, intruz zaczyna odbierać wszystkie wiadomości przeznaczone dla prawidłowego adresu MAC. Mogą podsłuchiwać komunikację, aby w zamian uzyskać poufne dane, modyfikować komunikację wstawianie złośliwych treści w celu ułatwienia ich intencji, a nawet usuwanie przesyłanych danych, aby odbiorca ich nie otrzymał To.
Rodzaje ataków zatruwających ARP
Cyberprzestępcy mogą przeprowadzać ataki ARP na dwa sposoby: fałszowanie i zatruwanie pamięci podręcznej.
Fałszowanie ARP
Fałszowanie ARP to proces, w którym cyberprzestępca fałszuje i wysyła odpowiedź ARP do systemu, którego atakuje. Jedna sfałszowana odpowiedź to wszystko, co intruz musi wysłać do danego systemu, aby dodać swój adres MAC do białej listy. Dzięki temu fałszowanie ARP jest łatwe do wykonania.
Atakujący wykorzystują również spoofing ARP do przeprowadzania innych rodzajów ataków, takich jak przejmowanie sesji tam, gdzie chcą przejąć sesje przeglądania i Man-in-the-Middle atakuje tam, gdzie oni przechwytywać komunikację między dwoma urządzeniami podłączony do sieci.
Zatruwanie pamięci podręcznej ARP
Zatrucie w tego rodzaju ataku ARP wynika z tego, że atakujący tworzy i wysyła wiele sfałszowanych odpowiedzi ARP do systemu docelowego. Robią to do tego stopnia, że system jest przytłoczony nieprawidłowymi wpisami i nie może zidentyfikować swoich legalnych sieci.
Cyberprzestępcy inżynierowie ruchu ulicznego wykorzystają okazję do przekierowania adresów IP do własnych systemów i przechwycenia przechodzącej przez nie komunikacji. Zagrożenia wykorzystują tę metodę ataku ARP, aby ułatwić inne formy ataków, takie jak odmowa usługi (DoS) gdzie zalewają system docelowy nieistotnymi wiadomościami, aby spowodować korek, a następnie przekierowują adres IP adresy.
Jak można zapobiec atakowi zatrucia ARP?
Ataki zatruwające ARP mają negatywny wpływ na system, taki jak utrata krytycznych danych czy uszczerbek na reputacji z powodu ujawnienia poufnych danych, a nawet przestojów w przypadku manipulowania przez atakującego elementami, które kierują twoimi danymi sieć.
Jeśli nie chcesz ponieść żadnej z powyższych konsekwencji, oto sposoby zapobiegania atakom zatruwania ARP.
1. Twórz statyczne tabele ARP
Technologia ARP nie może automatycznie zweryfikować prawidłowych adresów IP za pomocą ich adresów MAC. Daje to cyberprzestępcom możliwość sfałszowania odpowiedzi ARP. Możesz naprawić tę lukę, tworząc statyczną tablicę ARP, w której odwzorowujesz wszystkie autentyczne adresy MAC w swojej sieci na ich prawidłowe adresy IP. Oba komponenty będą łączyć się tylko z pasującymi adresami i przetwarzać je, eliminując możliwość połączenia ich adresów MAC z siecią przez osoby atakujące.
Tworzenie statycznych tabel ARP wymaga dużej ilości ręcznej pracy, co sprawia, że jest czasochłonne. Ale jeśli włożysz w to pracę, zapobiegniesz kilku atakom zatruwania ARP.
2. Implementacja dynamicznej kontroli ARP (DAI)
Dynamic ARP Inspection (DAI) to system bezpieczeństwa sieci, który weryfikuje komponenty ARP obecne w sieci. Identyfikuje połączenia z nielegalnymi adresami MAC, które próbują przekierować lub przechwycić prawidłowe adresy IP.
Inspekcja DAI sprawdza wszystkie żądania adresu ARP MAC-to-IP w systemie i potwierdza, że są one uzasadnione przed aktualizacją informacji w pamięci podręcznej ARP i przekazaniem ich do właściwych kanałów.
3. Segmentuj swoją sieć
Atakujący przeprowadzają ataki typu ARP poisoning, zwłaszcza gdy mają dostęp do wszystkich obszarów sieci. Segmentacja sieci oznacza, że różne komponenty będą znajdować się w różnych obszarach. Nawet gdy intruz uzyska dostęp do jednej części, jego kontrola jest ograniczona, ponieważ niektóre elementy nie są obecne.
Możesz wzmocnić swoje bezpieczeństwo, tworząc statyczną tabelę ARP dla każdego segmentu sieci. W ten sposób hakerom trudniej jest włamać się do jednego obszaru, nie mówiąc już o wszystkich obszarach.
4. Zaszyfruj swoje dane
Szyfrowanie może nie mieć większego wpływu na powstrzymanie hakerów przed infiltracją Twojej sieci za pomocą ataków typu ARP poisoning, ale uniemożliwi im modyfikację danych, jeśli je przejmą. A to dlatego, że szyfrowanie danych uniemożliwia intruzom ich odczytanie bez ważnego klucza deszyfrującego.
Jeśli osoby atakujące dane wykradzione z ataku zatruwającego ARP są dla nich bezużyteczne ze względu na szyfrowanie, nie mogą powiedzieć, że ich atak się powiódł.
Zapobiegaj atakom zatruwającym ARP dzięki uwierzytelnianiu
Ataki zatruwające ARP rozwijają się, gdy nie ma parametrów zabezpieczających połączenie sieciowe przed włamaniami. Gdy utworzysz białą listę sieci i urządzeń do zatwierdzenia, elementy, których nie ma na liście, nie przejdą weryfikacji uwierzytelnienia i nie będą mogły wejść do twojego systemu.
Lepiej jest zapobiegać przedostawaniu się cyberprzestępców do twojego systemu, niż zajmować się nimi, gdy już są w środku. Mogą wyrządzić poważne szkody, zanim zdołasz je powstrzymać.