Bevezetés
a számítógépek és hálózatok kommunikációs célú használatának hatalmas növekedésével riasztó mértékben nőtt a számítógépes bűncselekmények száma. Folyamatosan fenyeget a hackerek és etikátlan támadások a hálózatok ellen, hogy ellopják az információkat és megbosszulják a digitális pusztítást. Az ARP spoofing, más néven ARP mérgezés, az egyik ilyen módszer, amelyet a hackerek használnak az ugyanazon helyi hálózaton (LAN) lévő két eszköz közötti kommunikáció elfogására az érzékeny adatok kiaknázására. Ebben a cikkben részletesen kidolgoztuk az ARP és az ARP hamisítást.
- mi az Address Resolution Protocol (Arp)?
- mi az ARP hamisítás?
- ARP támadások megelőzése
mi az Address Resolution Protocol (Arp)?
ahhoz, hogy megértsük, mi az ARP spoofing, először meg kell értenünk a Címfeloldási protokollt és annak működését. A helyi hálózaton (LAN) keresztüli kommunikációhoz szükség van a dinamikus Internet protokoll (IP) címek leképezésére az eszköz vagy a kommunikációs folyamatban részt vevő gép fizikai állandó címére, és itt jön létre az ARP. Egyszerű szavakkal, az ARP egy hálózati protokoll, amely a 32 bites IP-címeket 48 bites MAC (Media Access Control) címekké alakítja, hogy lehetővé tegye a hatékony kommunikációt a helyi hálózaton.
ezért az ARP sugárzási kéréseket küld a LAN-on lévő összes gépnek, amikor egy adott IP-címmel próbálnak kommunikálni, és az IP-címet viselő gép erre a kérésre válaszol a MAC-címmel (más néven ARP-válasz), amely lehetővé teszi a szabad és korlátlan adatátvitelt és kommunikációt. Az ARP támadások problémája azonban akkor merül fel, amikor a hackerek elfogják az ARP válaszát, hogy eltérítsék az információkat.
mi az ARP hamisítás?
az ARP spoofing man in the middle attack (MITM), amelyet néha ARP mérgezési támadásnak is neveznek, olyan, ahol a támadók kihasználják a Címfeloldási protokollt (ARP) annak érdekében, hogy elfogják az összes kommunikációt ugyanazon a hálózaton lévő két eszköz között. Az ARP-hamisítást elsősorban az teszi lehetővé, hogy a protokollt nem biztonsági funkciónak, hanem pusztán kommunikációs eszköznek tervezték, ezért hiányzik belőle az ellenőrzési eljárás a hálózaton keresztül kapott ARP-válaszok legitimitásának megállapítására.
a támadó ezért ARP-választ küldhet a hálózat bármely olyan kérésére, amely helytelen információkat tartalmaz az ARP manipulálása érdekében. Ez az ARP mérgezés. Ezt használják ki a támadók, mivel az eszköz, amely kommunikációs csatornát kíván létrehozni, Elfogad minden ARP-választ, és regisztrálja a támadó gépének MAC-címét az összes jövőbeni kommunikációhoz az adott IP-címmel. Ettől a ponttól kezdve az a személy, aki kezdeményezte az ARP hamisító támadást, teljes hozzáférést kap a két céleszköz közötti összes kommunikációhoz.
az alábbiakban bemutatjuk azokat a lépéseket, amelyeket a támadó általában követ az ARP támadás megszervezéséhez.
- a támadó hozzáférést kap a hálózathoz, és azonosítja legalább két eszköz IP-címét ugyanazon a hálózaton.
- a támadó ezután egy ARP spoofing eszközt használ annak érdekében, hogy hamis ARP válaszokat küldjön a hálózaton, ami ARP gyorsítótár mérgezéshez vezet.
- a hamis ARP válasz mindkét eszközt meggyőzi arról, hogy a támadó rendszerének MAC-címe a megfelelő, és így mindkét eszköz csatlakozik a rendszerhez egymás helyett.
- a csatlakozás után az ARP gyorsítótár bejegyzései frissülnek az összes jövőbeli kommunikációhoz, és a támadó ezáltal hozzáférést kap a két eszköz közötti kommunikációhoz.
ha egy támadónak sikerül egy ARP-hamisító támadást végrehajtania, számos lehetősége van arra, hogy ellopja vagy lehallgatja az érzékeny kommunikációt, vagy zavart okozzon a Szolgáltatásokban. Hacsak az adatcsomagok nincsenek titkosítva, a támadó könnyen képes lesz eltéríteni és ellopni az információkat a két eszköz közötti kommunikációból.
bizonyos esetekben a hacker ellophatja egy bejelentkezett felhasználó munkamenet-azonosítóját, és munkamenet-eltérítési módszerekkel megszemélyesítheti őket. A hacker könnyen rosszindulatú fájlokat vagy webhelyeket is eljuttathat az eszközökhöz, hogy zavarokat okozzon vagy megkönnyítse az adatlopást. Mivel sok ilyen kockázat merülhet fel az ilyen támadásokból, nagyon fontos, hogy a szervezetek és az egyének megtanulják, hogyan működik az ARP-hamisítás, valamint hogyan lehet védekezni az ARP-hamisítás ellen.
ARP támadások megelőzése
ha a támadó sikeresen végrehajtott egy ARP spoofing támadást, az ARP gyorsítótár-mérgezés az az eredmény, amely lehetővé teszi, hogy minden jövőbeli kommunikáció ugyanazon a hamis MAC-címen haladjon át, amelyet az ARP protokollba tápláltak és az ARP gyorsítótárban tároltak. Szerencsére azonban számos módja van annak, hogy észleljünk egy ARP támadást. Az első lehetőség a Parancssor eszköz használata rendszergazdaként egy Windows PC-n, és az ARP gyorsítótár megjelenítése a Parancssor ablakában az ‘arp -1’beírásával.
ha két különböző IP-címmel rendelkező eszköz látszólag ugyanazt a MAC-címet osztja meg, akkor nagyon valószínű, hogy ARP-mérgezési támadást szenved. Vannak más ARP spoofing Windows eszközök és programok is, amelyek célja az ARP támadások előfordulásának észlelése és a felhasználó értesítése. A hatékony ARP spoofing védelem lehetővé tétele érdekében a szervezetnek feltétlenül tudnia kell, hogyan működnek az ARP spoofing python szkriptek, és hogyan lehet a lehető leghamarabb felismerni az ARP spoofing támadásokat. Az alábbiakban bemutatunk néhány hasznos módszert az ARP-hamisítás megelőzésére.
virtuális magánhálózat (VPN) használata: a virtuális magánhálózati (VPN) szolgáltatások széles körben elérhetők ésszerű és megfizethető áron. Ezek a hálózatok lehetővé teszik az eszközök számára, hogy biztonságos és titkosított alagúton keresztül csatlakozzanak és kommunikáljanak az Interneten keresztül, ami minden ARP támadási kísérletet sikertelenné tesz. Ennek oka az, hogy a támadó nem lophat el vagy férhet hozzá adatokhoz.
Csomagszűrés: Vannak bizonyos csomagszűrők, amelyek képesek elemezni az adott hálózaton keresztül küldött összes adatcsomagot, hogy felismerjék és blokkolják a rosszindulatú vagy gyanús IP-címekről küldött csomagokat. A szűrők képesek felismerni azokat a csomagokat is, amelyeket állítólag belsőleg kell küldeni egy helyi hálózaton (LAN), de külső forrásból származnak, ezáltal csökkentve a sikeres ARP támadás esélyét.
statikus ARP bejegyzések használata: Ha lehetséges, a helyi hálózat minden eszközéhez egyedi ARP-bejegyzéseket lehet hozzáadni, ezért az eszköz MAC-és IP-címei manuálisan vannak leképezve. Amikor ezek a címek statikusak, az eszköz figyelmen kívül hagy minden olyan ARP-választ vagy választ, amely egy hamisító támadás végrehajtásához szükséges.
titkosítás: Az adatok titkosíthatók bizonyos titkosítási protokollok használatával, amelyek megnehezítik a támadó számára a hálózaton keresztül küldött információk ellopását és elérését. Az SSH (Secure Shell) és a HTTPS(Hypertext Transfer Protocol Secure) néhány példa a titkosítási protokollokra.
következtetés
a számítógéphasználat növekedése elkerülhetetlen problémává tette az ARP-hamisítást. Az ARP-hamisítás elleni különleges védelmi mechanizmus azonban nem tekinthető évelőnek. Mindig szükség van egy jó és naprakész rendszerre, amely a helyén van, hogy ellenőrizze az ilyen támadásokat, amikor azok előfordulnak. Ezeket a rendszereket fel kell szerelni az ilyen támadások észlelésére, és gyorsan le kell állítani őket, hogy nagymértékben minimalizálják az okozott károkat.
ha kiterjedt tanfolyamot keres a felhőalapú számítástechnikában, akkor az 5.5 hónapos online posztgraduális bizonyítvány Program Cloud Computing által kínált Jigsaw Academy segíthet. Ez a program segít az érdeklődő tanulóknak teljes felhő szakemberekké válni.