Спуфинг протокола разрешения адресов (ARP)

Спуфинг протокола разрешения адресов (ARP) или отравление ARP — это форма спуфинговой атаки, которую хакеры используют для перехвата данных. Хакер совершает спуфинговую атаку ARP, обманом заставляя одно устройство отправлять сообщения хакеру вместо предполагаемого получателя.

Таким образом, хакер получает доступ к коммуникациям вашего устройства, включая конфиденциальные данные, такие как пароли и данные кредитной карты. К счастью, вы можете защитить себя от этих атак несколькими способами.

Протокол ARP и спуфинг ARP

Подмена ARP происходит в локальной сети (LAN) с использованием ARP. ARP — это протокол связи, соединяющий адрес динамического интернет-протокола (IP) с адресом физического компьютера. Последний называется адресом управления доступом к среде (MAC). Протокол ARP направляет связь в локальной сети.

Каждое сетевое устройство имеет как IP-адрес, так и MAC-адрес. Чтобы отправлять и получать сообщения, узлы в сети должны знать адреса других узлов в этой сети. При этом хост подключает, обычно, динамический IP-адрес к физическому MAC-адресу.

Например, узел A в компьютерной сети хочет соединить свой IP-адрес с MAC-адресом узла B. Поэтому он отправляет запрос ARP всем остальным узлам в локальной сети. После этого запроса он получает ответ ARP от хоста B с его MAC-адресом. Затем запрашивающий хост сохраняет этот адрес в своем кэше ARP, который похож на список контактов. Этот кеш иногда называют таблицей ARP, поскольку адреса хранятся в виде таблицы.

Спуфинг ARP выполняется злоумышленником, имеющем доступ к локальной сети, притворяющемуся узлом B. Злоумышленник отправляет сообщения узлу A с целью обманом заставить узел A сохранить адрес злоумышленника в качестве адреса узла B. Хост А в конечном итоге вместо этого отправит сообщения, предназначенные для хоста В, злоумышленнику.

Как только атакующий становится этим посредником, каждый раз, когда хост А связывается с хостом В, этот хост фактически будет первым связываться со злоумышленником. Хост B обычно будет шлюзом по умолчанию или маршрутизатором.

Цель атаки спуфинга ARP

Атака подмены ARP может иметь несколько целей. Злоумышленники могут использовать спуфинг ARP для шпионажа, атак типа «человек посередине» или для дополнительных кибератак, таких как атаки типа «отказ в обслуживании».

Шпионаж и атаки типа «отказ в обслуживании»

Шпионаж происходит, когда злоумышленник не изменяет сообщения между хостами A и B, а только читает сообщения, а затем перенаправляет их на предполагаемый хост. При атаке «человек посередине» злоумышленник изменяет информацию перед отправкой на предполагаемый хост.

Однако эти акты шпионажа и изменения сообщений часто являются частью более сложной кибератаки, включающей боковое перемещение. Одной из них является атака типа «отказ в обслуживании», при которой злоумышленник предотвращает отправку сообщений между двумя или более хостами. Злоумышленники также могут пересылать вредоносные файлы между хостами.

Кто использует спуфинг ARP?

Хакеры используют спуфинг ARP с 1980-х годов. Атаки хакеров могут быть спланированными или оппортунистическими. Запланированные атаки включают атаки типа «отказ в обслуживании», тогда как кража информации из общедоступной сети WI-FI может быть примером оппортунизма. Хотя эти атаки можно предотвратить, они по-прежнему часто используются, поскольку их легко осуществить как с финансовой, так и с технической точек зрения.

Однако спуфинг ARP можно использовать и в достойных целях. Разработчики также используют спуфинг ARP для отладки сетевого трафика, намеренно вставляя посредника между двумя хостами. Этичные хакеры также будут имитировать атаки с отравлением кэша ARP, чтобы обеспечить защиту сетей от таких атак.

Последствия спуфинга ARP

Спуфинг ARP имеет тот же эффект, что и другие формы спуфинга, такие как спуфинг электронной почты. Заметные эффекты спуфинга ARP могут варьироваться от полного отсутствия до полной потери соединения с сетью, если злоумышленник реализует атаку типа «отказ в обслуживании». Видны ли последствия атаки, зависит от целей хакера. Если они хотят только шпионить или изменять информацию между хостами, они вполне могут остаться незамеченными.

Если они хотят спровоцировать дальнейшую атаку, как это часто бывает с атаками с подменой ARP, они также захотят остаться незамеченными. Однако такие атаки станут очевидными, как только будет достигнута их конечная цель. Например, ваша система может быть перегружена вредоносными программами или ваша машина может быть заражена программами-вымогателями.

Почему спуфинг ARP опасен?

Спуфинг ARP может быть опасен по многим причинам. Прежде всего, он предоставляет хакерам несанкционированный доступ к частной информации. Затем хакер может использовать этот доступ для ряда злонамеренных целей, таких как доступ к паролям, идентифицирующей информации или информации о кредитной карте. Эти атаки также могут использоваться для внедрения вредоносных программ, таких как программы-вымогатели.

Как определить, что кто-то подделывает ваш ARP?

Чтобы определить, не подделывают ли вас, проверьте свою программу автоматизации задач и управления конфигурацией. Здесь вы сможете найти свой кеш ARP. Если есть два IP-адреса с одинаковым MAC-адресом, вы можете стать жертвой атаки. Хакеры обычно используют поддельное программное обеспечение, которое отправляет сообщения о том, что его адрес является шлюзом по умолчанию.

Однако также возможно, что это программное обеспечение обманом заставит свою жертву перезаписать MAC-адрес шлюза по умолчанию своим собственным. В этом случае вам придется проверять трафик ARP на наличие чего-либо необычного. Необычной формой трафика обычно являются нежелательные сообщения, утверждающие, что они владеют либо IP-адресом, либо MAC-адресом маршрутизатора. Таким образом, нежелательные сообщения могут быть признаком спуфинговой атаки ARP.

Как злоумышленники пытаются оставаться незамеченными?

Злоумышленники, использующие спуфинг ARP, часто хотят остаться незамеченными. Таким образом, они могут собирать информацию или глубже проникать в сеть, в которой они находятся, чтобы начать более серьезную атаку. Если хосты в сети поймут, что полученные ими ARP-запросы являются ложными, подделка будет предотвращена.

Жертвы обычно не обнаруживают отравленный кэш ARP, они продолжают получать сообщения в обычном режиме. Однако злоумышленник перехватывает эти сообщения, отправленные по протоколу ARP, такие как имена пользователей и пароли жертв.

Как защитить свои системы от спуфинга ARP

К счастью, вы можете внедрить ряд процедур и инструментов в свой план реагирования на инциденты, чтобы предотвратить спуфинг ARP. Эти методы включают сертификацию запросов ARP, фильтрацию пакетов, программное обеспечение для защиты от спуфинга ARP и шифрование.

Инструменты для проверки запросов ARP

Статические записи ARP представляют собой простейший способ проверки IP-адресов и MAC-адресов. Статическая запись ARP вводится или принимается вручную, что исключает возможность автоматического изменения устройством кэша ARP в соответствии с протоколом ARP.

Это можно сделать только для некоторых записей (например, адресов шлюза по умолчанию), а остальные остаются динамическими. Большинство адресов, скорее всего, должны оставаться динамическими, поскольку в противном случае обслуживание кэша во многих сетях было бы слишком сложным.

Программное обеспечение также существует для проверки запросов ARP и, таким образом, помогает защитить вас от спуфинга ARP. Это программное обеспечение сертифицирует IP-адреса и MAC-адреса и активно блокирует несертифицированные ответы.

Существует другое программное обеспечение, которое уведомляет хост об изменении записи в таблице ARP. Существует множество вариантов программного обеспечения, некоторые из которых работают на уровне ядра, тогда как другие могут быть частью сетевого протокола динамической конфигурации хоста или сетевого коммутатора.

Инструменты для предотвращения спуфинга ARP

Достаточно простой способ защиты от спуфинга ARP — использование брандмауэров с фильтрацией пакетов. Брандмауэры с фильтрацией пакетов помечают пакеты данных с адреса, который дважды встречается в сети, поскольку это дублирование предполагает присутствие кого-то, маскирующегося под другой хост.

Однако шифрование, вероятно, является наиболее важным способом защиты от ARP-атак. Из-за широкого использования сегодня шифрованных протоколов связи взлом ARP стал намного сложнее. Например, большая часть трафика веб-сайтов шифруется с использованием HTTPS, что не позволяет хакеру читать сообщения после их перехвата. Таким образом, наиболее важным способом защиты от таких атак является отказ от отправки незашифрованных данных.

Программное обеспечение также может помочь обеспечить вашу защиту. Многие программы для защиты от угроз кибербезопасности уведомляют пользователей, если они находятся на сайте, например, где данные не зашифрованы.

Наконец, вы можете имитировать спуфинг ARP в своей собственной сети, чтобы искать потенциальные дыры в вашей системе кибербезопасности. Фактически, большинство инструментов, используемых для инициирования этих атак, широко доступны и просты в использовании, что делает этичный взлом реальной стратегией защиты от таких атак.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.

ПЕНТЕСТ БЕЗОПАСНОСТЬ ВЗЛОМАЛИ? МОНИТОРИНГ СТАТЬИ ВАКАНСИИ