Introduzione
Con il massiccio aumento dell’uso di computer e reti per la comunicazione, c’è stato un allarmante aumento del numero di crimini informatici. C’è una costante minaccia di hacker e attacchi non etici alle reti per rubare informazioni e devastare il digitale. ARP spoofing, chiamato anche ARP poisoning, è uno di questi metodi che viene utilizzato dagli hacker per intercettare le comunicazioni tra due dispositivi sulla stessa rete locale (LAN) per sfruttare i dati sensibili. In questo articolo, abbiamo elaborato in dettaglio su ARP e ARP spoofing.
- Che cos’è il protocollo ARP (Address Resolution Protocol)?
- Che cos’è lo spoofing ARP?
- Prevenzione degli attacchi ARP
Cos’è il protocollo ARP (Address Resolution Protocol)?
Per capire cos’è lo spoofing ARP, bisogna prima capire il protocollo di risoluzione degli indirizzi e il suo funzionamento. Per le comunicazioni su una rete locale (LAN), è necessario mappare gli indirizzi IP (Dynamic Internet Protocol) all’indirizzo fisico permanente del dispositivo o della macchina coinvolta nel processo di comunicazione ed è qui che entra in gioco ARP. In parole semplici, ARP è un protocollo di rete che traduce gli indirizzi IP a 32 bit in indirizzi MAC (Media Access Control) a 48 bit per consentire una comunicazione efficiente su una rete locale.
Pertanto, l’ARP invia richieste di trasmissione a tutte le macchine sulla LAN quando si tenta di comunicare con un particolare indirizzo IP, e la macchina con tale indirizzo IP risponde a questa richiesta con l’indirizzo MAC (chiamato anche risposta ARP) che consente il trasferimento e la comunicazione dei dati liberi e senza restrizioni. Il problema degli attacchi ARP, tuttavia, sorge quando la risposta ARP viene intercettata dagli hacker per dirottare le informazioni.
Che cosa è ARP Spoofing?
Un ARP spoofing man in the Middle attack (MitM), a volte indicato come ARP poisoning attack, è uno in cui gli aggressori sfruttano l’Address Resolution Protocol (ARP) al fine di intercettare tutte le comunicazioni tra due dispositivi sulla stessa rete. Ciò che rende principalmente possibile lo spoofing ARP è che il protocollo non è stato progettato per essere una funzionalità di sicurezza ma un mero strumento di comunicazione e, quindi, manca una procedura di verifica per accertare la legittimità delle risposte ARP ricevute sulla rete.
Un utente malintenzionato può quindi inviare una risposta ARP a qualsiasi richiesta sulla rete contenente informazioni errate per manipolare l’ARP. Questo è l’avvelenamento da ARP. Questo è ciò che viene sfruttato dagli aggressori in quanto il dispositivo che sta cercando di stabilire un canale di comunicazione accetta qualsiasi risposta ARP e registra l’indirizzo MAC della macchina dell’attaccante per tutte le comunicazioni future con quell’indirizzo IP. Da quel momento in poi, l’individuo che ha avviato l’attacco di spoofing ARP ottiene il pieno accesso a tutte le comunicazioni tra i due dispositivi di destinazione.
Di seguito sono riportati i passaggi che un utente malintenzionato di solito segue per orchestrare un attacco ARP.
- L’attaccante ottiene l’accesso alla rete e identifica l’indirizzo IP di almeno due dispositivi sulla stessa rete.
- L’utente malintenzionato utilizza quindi uno strumento di spoofing ARP per inviare risposte ARP contraffatte sulla rete che portano all’avvelenamento della cache ARP.
- La falsa risposta ARP convince entrambi i dispositivi che l’indirizzo MAC del sistema dell’attaccante è quello giusto e quindi entrambi i dispositivi finiscono per connettersi a quel sistema invece l’uno dell’altro.
- Una volta connesso, le voci della cache ARP vengono aggiornate per tutte le comunicazioni future e l’utente malintenzionato ottiene così l’accesso a tutte le comunicazioni tra i due dispositivi.
Se un utente malintenzionato riesce in un attacco di spoofing ARP, ha una vasta gamma di opzioni con cui può rubare o intercettare comunicazioni sensibili o causare interruzioni nei servizi. A meno che i pacchetti di dati non siano crittografati, l’attaccante sarà facilmente in grado di dirottare e rubare informazioni da tutte le comunicazioni tra i due dispositivi.
In alcuni casi, l’hacker potrebbe essere in grado di rubare l’ID di sessione di un utente connesso e impersonarli attraverso metodi di dirottamento della sessione. L’hacker può anche facilmente spingere i file dannosi o siti web per i dispositivi per causare interruzioni o per facilitare il furto di dati. Dal momento che ci sono molti rischi che possono derivare da tali attacchi, è molto importante per le organizzazioni e gli individui per imparare come ARP spoofing funziona così come come difendersi contro ARP spoofing.
Prevenzione degli attacchi ARP
Quando un utente malintenzionato ha eseguito con successo un attacco di spoofing ARP, ARP cache poisoning è il risultato che consente a tutte le comunicazioni future di passare attraverso lo stesso falso indirizzo MAC che è stato inviato al protocollo ARP e memorizzato nella cache ARP. Per fortuna, tuttavia, ci sono diversi modi con cui si può rilevare un attacco ARP. La prima opzione è quella di utilizzare lo strumento Prompt dei comandi come amministratore su un PC Windows e far apparire la cache ARP nella finestra del prompt dei comandi inserendo ‘arp -1’.
Se due dispositivi con indirizzi IP diversi condividono apparentemente lo stesso indirizzo MAC, è molto probabile che si stia subendo un attacco di avvelenamento da ARP. Ci sono anche altri strumenti e programmi di Windows ARP spoofing disponibili che sono progettati per rilevare qualsiasi incidenza di attacchi ARP e informare l’utente dello stesso. Per consentire un’efficiente difesa da ARP spoofing, un’organizzazione deve quindi necessariamente sapere come funzionano gli script python di ARP spoofing e come rilevare gli attacchi di ARP spoofing il prima possibile. Di seguito sono riportati alcuni modi utili in cui è possibile ottenere la prevenzione dello spoofing ARP.
Utilizzo di una rete privata virtuale (VPN): i servizi di rete privata virtuale (VPN) sono ampiamente disponibili a prezzi ragionevoli e convenienti. Queste reti consentono ai dispositivi di connettersi e comunicare su Internet attraverso un tunnel sicuro e crittografato che rende infruttuoso qualsiasi tentativo di attacco all’ARP. Questo perché nessun dato può essere rubato o accessibile dall’attaccante.
Filtraggio dei pacchetti: Ci sono alcuni filtri pacchetto che sono in grado di analizzare tutti i pacchetti di dati che vengono inviati attraverso una particolare rete per rilevare e bloccare tutti i pacchetti che sono dannosi o sono stati inviati da indirizzi IP sospetti. I filtri sono anche in grado di rilevare i pacchetti che dovrebbero essere inviati internamente su una rete locale (LAN) ma provengono da una fonte esterna, riducendo così le possibilità di un attacco ARP di successo.
Usa voci ARP statiche: Se possibile, singole voci ARP possono essere aggiunti a ciascun dispositivo su una rete locale e quindi gli indirizzi MAC e IP del dispositivo vengono mappati manualmente. Quando questi indirizzi vengono resi statici, il dispositivo ignora tutte le risposte ARP o le risposte necessarie per eseguire un attacco di spoofing.
Crittografia: i dati possono essere crittografati utilizzando determinati protocolli di crittografia che rendono difficile per l’utente malintenzionato rubare e accedere alle informazioni inviate attraverso la rete. SSH (Secure Shell) e HTTPS(Hypertext Transfer Protocol Secure) sono alcuni esempi di protocolli di crittografia.
Conclusione
L’aumento dell’utilizzo del computer ha reso lo spoofing ARP un problema inevitabile. Tuttavia, nessun particolare meccanismo di difesa contro lo spoofing ARP può essere considerato perenne. C’è sempre bisogno di un buon sistema e up-to-date che deve essere in atto per mantenere un controllo su tali attacchi quando si verificano. Questi sistemi devono essere equipaggiati per rilevare tali attacchi e devono essere pronti a spegnerli al fine di minimizzare notevolmente il danno fatto.
Se siete alla ricerca di un ampio corso di Cloud Computing, poi il 5.Il programma di certificati post-laurea online di 5 mesi nel cloud Computing offerto da Jigsaw Academy può essere di aiuto. Questo programma aiuta gli studenti interessati a diventare professionisti del cloud completi.