introdução
com o aumento maciço no uso de computadores e redes para comunicação, houve um aumento alarmante no número de cibercrimes. Existe uma ameaça constante de hackers e ataques antiéticos às redes para roubar informações e causar estragos digitais. ARP spoofing, também chamado de envenenamento por ARP, é um desses métodos que é usado por hackers para interceptar comunicações entre dois dispositivos na mesma rede local (LAN) para explorar dados confidenciais. Neste artigo, elaboramos em detalhes sobre spoofing ARP e ARP.
- o que é o protocolo de resolução de endereço (Arp)?
- o que é ARP Spoofing?
- prevenção de ataques ARP
o que é Address Resolution Protocol (ARP)?
para entender o que é spoofing ARP, é preciso primeiro entender o protocolo de resolução de endereço e seu funcionamento. Para comunicações através de uma rede local (LAN), é necessário o mapeamento de endereços IP (dynamic Internet Protocol) para o endereço físico permanente do dispositivo ou da máquina envolvida no processo de comunicação e é aí que o ARP entra em jogo. Em palavras simples, o ARP é um protocolo de rede que traduz endereços IP de 32 bits para endereços MAC de 48 bits (Media Access Control) para permitir uma comunicação eficiente em uma rede local.
portanto, o ARP envia solicitações de transmissão para todas as máquinas na LAN quando há uma tentativa de se comunicar com um endereço IP específico, e a máquina que carrega esse endereço IP responde a essa solicitação com o endereço MAC (também chamado de resposta ARP) que permite transferência e comunicação de dados gratuita e irrestrita. O problema dos ataques ARP, no entanto, surge quando a resposta ARP é interceptada por hackers para sequestrar informações.
o que é ARP Spoofing?
um ARP spoofing man in the middle attack (MitM), às vezes referido como um ataque de envenenamento por ARP, é aquele em que os atacantes exploram o protocolo de resolução de endereço (ARP) para interceptar todas as comunicações entre dois dispositivos na mesma rede. O que torna a falsificação de ARP possível principalmente é que o protocolo não foi projetado para ser um recurso de segurança, mas uma mera ferramenta de comunicação e, portanto, carece de um procedimento de verificação para verificar a legitimidade das respostas de ARP recebidas pela rede.
um invasor pode, portanto, enviar uma resposta ARP a qualquer solicitação na rede contendo informações incorretas para manipular o ARP. É isso que é o envenenamento por ARP. Isto é o que é explorado por atacantes como o dispositivo que está procurando estabelecer um canal de comunicação aceita qualquer resposta ARP e registra o endereço MAC da máquina do atacante para todas as comunicações futuras com esse endereço IP. A partir desse ponto, o indivíduo que iniciou o ataque ARP spoofing ganha acesso total a todas as comunicações entre os dois dispositivos alvo.
a seguir estão as etapas que um invasor geralmente segue para orquestrar um ataque ARP.
- o invasor obtém acesso à rede e identifica o endereço IP de pelo menos dois dispositivos na mesma rede.
- o invasor então usa uma ferramenta de spoofing ARP para enviar respostas ARP forjadas na rede, o que leva ao envenenamento do cache ARP.
- a falsa resposta ARP convence ambos os dispositivos de que o endereço MAC do sistema do invasor é o certo e, portanto, ambos os dispositivos acabam se conectando a esse sistema em vez um do outro.
- uma vez conectado, as entradas de cache ARP são atualizadas para todas as comunicações futuras e o invasor obtém acesso a todas e quaisquer comunicações entre os dois dispositivos.
se um invasor conseguir um ataque de falsificação de ARP, ele tem uma ampla gama de opções com as quais pode roubar ou interceptar comunicações confidenciais ou causar interrupções nos Serviços. A menos que os pacotes de dados sejam criptografados, o invasor poderá facilmente sequestrar e roubar informações de todas as comunicações entre os dois dispositivos.
em alguns casos, o hacker pode ser capaz de roubar o ID da sessão de um usuário conectado e personificá-los por meio de métodos de sequestro de sessão. O hacker também pode facilmente enviar arquivos maliciosos ou sites para os dispositivos para causar interrupções ou para facilitar o roubo de dados. Como existem muitos desses riscos que podem surgir de tais ataques, é muito importante que organizações e indivíduos aprendam como o ARP spoofing funciona, bem como como se defender contra o ARP spoofing.
prevenção de ataques ARP
quando um invasor executou com sucesso um ataque de spoofing ARP, o envenenamento por cache ARP é o resultado que permite que todas as comunicações futuras passem pelo mesmo endereço MAC falso que foi alimentado ao protocolo ARP e armazenado no cache ARP. Felizmente, no entanto, existem várias maneiras pelas quais se pode detectar um ataque ARP. A primeira opção é utilizar a ferramenta Prompt de comando como administrador em um PC com Windows e abrir o cache ARP na janela Prompt de comando digitando ‘arp -1’.
se dois dispositivos com endereços IP diferentes estiverem aparentemente compartilhando o mesmo endereço MAC, é altamente provável que você esteja passando por um ataque de envenenamento por ARP. Existem também Outras ferramentas e programas ARP spoofing Windows disponíveis que são projetados para detectar qualquer incidência de ataques ARP e notificar o usuário do mesmo. Para permitir uma defesa eficiente de spoofing de ARP, uma organização deve, portanto, necessariamente saber como os scripts python de spoofing de ARP funcionam e como detectar ataques de spoofing de ARP o mais cedo possível. A seguir estão algumas maneiras úteis pelas quais a prevenção de spoofing ARP pode ser alcançada.
usando uma rede privada Virtual (VPN): os Serviços de Rede Privada Virtual (VPN) estão disponíveis amplamente por preços razoáveis e acessíveis. Essas redes permitem que os dispositivos se conectem e se comuniquem pela internet por meio de um túnel seguro e criptografado que torna qualquer tentativa de atacar o ARP malsucedida. Isso ocorre porque nenhum dado pode ser roubado ou acessado pelo invasor.
filtragem de pacotes: Existem certos filtros de pacotes que são capazes de analisar todos os pacotes de dados que são enviados através de uma rede específica para detectar e bloquear todos os pacotes que são maliciosos ou foram enviados a partir de endereços IP suspeitos. Os filtros também são capazes de detectar pacotes que devem ser enviados internamente em uma rede local (LAN), mas são originários de uma fonte externa, reduzindo assim as chances de um ataque ARP bem-sucedido.
use entradas ARP estáticas: Se possível, entradas ARP individuais podem ser adicionadas a cada dispositivo em uma rede local e, portanto, os endereços MAC e IP do dispositivo são mapeados manualmente. Quando esses endereços são estáticos, o dispositivo ignora todas e quaisquer respostas ou respostas ARP necessárias para executar um ataque de falsificação. Criptografia: os dados podem ser criptografados usando certos protocolos de criptografia que tornam difícil para o invasor roubar e acessar informações que estão sendo enviadas pela rede. SSH (Secure Shell) e HTTPS (Hypertext Transfer Protocol Secure) são alguns exemplos de protocolos de criptografia.
conclusão
o aumento no uso do computador tornou a falsificação de ARP um problema inevitável. No entanto, nenhum mecanismo de defesa particular contra spoofing ARP pode ser considerado perene. Há sempre a necessidade de um sistema bom e atualizado que precisa estar no lugar para manter um controle sobre tais ataques quando eles ocorrem. Esses sistemas devem estar equipados para detectar tais ataques e devem ser rápidos em desligá-los para minimizar muito os danos causados.
se você está procurando um curso extenso em computação em nuvem, então o 5.Programa de Certificado de Pós-Graduação on-line de 5 meses em computação em nuvem oferecido pela Jigsaw Academy pode ser de Ajuda. Este programa ajuda os alunos interessados a se tornarem profissionais completos da nuvem.