introduktion
med den massiva ökningen av användningen av datorer och nätverk för kommunikation har det skett en alarmerande ökning av antalet cyberbrott. Det finns ett ständigt hot om hackare och oetiska attacker på nätverk för att stjäla information och utlösa digital förödelse. ARP-spoofing, även kallad ARP-förgiftning, är en sådan metod som används av hackare för att fånga upp kommunikation mellan två enheter i samma lokala nätverk (LAN) för att utnyttja känslig data. I den här artikeln har vi utarbetat i detalj om ARP och ARP spoofing.
- Vad är Adressupplösningsprotokoll (ARP)?
- vad är ARP Spoofing?
- förebyggande av ARP-attacker
Vad är Address Resolution Protocol (ARP)?
för att förstå vad ARP-spoofing är måste man först förstå Adressupplösningsprotokollet och dess funktion. För kommunikation över ett lokalt nätverk (LAN) finns det ett behov av kartläggning av dynamiska internetprotokoll (IP) adresser till den fysiska permanenta adressen för enheten eller maskinen som är involverad i kommunikationsprocessen och det är här ARP spelar in. I enkla ord är ARP ett nätverksprotokoll som översätter 32-bitars IP-adresser till 48-bitars MAC-adresser (Media Access Control) för att möjliggöra effektiv kommunikation i ett lokalt nätverk.
därför skickar ARP ut sändningsförfrågningar till alla maskiner på LAN när det finns ett försök att kommunicera med en viss IP-adress, och maskinen som bär den IP-adressen svarar sedan på denna begäran med MAC-adressen (även kallad ett ARP-svar) som möjliggör fri och obegränsad dataöverföring och kommunikation. Problemet med ARP-attacker uppstår emellertid när ARP-svaret avlyssnas av hackare för att kapa information.
Vad är ARP Spoofing?
en ARP spoofing man in the middle attack (MitM), ibland kallad en ARP-förgiftningsattack, är en där angripare utnyttjar Adressupplösningsprotokollet (ARP) för att fånga upp all kommunikation mellan två enheter i samma nätverk. Det som främst gör ARP-spoofing möjligt är att protokollet inte var utformat för att vara en säkerhetsfunktion utan bara ett kommunikationsverktyg och det saknar därför ett verifieringsförfarande för att fastställa legitimiteten för ARP-svar som mottas över nätverket.
en angripare kan därför skicka ett Arp-svar på alla förfrågningar i nätverket som innehåller felaktig information för att manipulera ARP. Detta är vad ARP-förgiftning är. Detta är vad som utnyttjas av angripare eftersom enheten som försöker upprätta en kommunikationskanal accepterar alla ARP-svar och registrerar MAC-adressen för angriparens maskin för all framtida kommunikation med den IP-adressen. Från och med den tiden får individen som har initierat ARP-spoofingattacken full tillgång till all kommunikation mellan de två målenheterna.
följande är de steg som en angripare vanligtvis följer för att orkestrera en ARP-attack.
- angriparen får åtkomst till nätverket och identifierar IP-adressen för minst två enheter i samma nätverk.
- angriparen använder sedan ett ARP-spoofingverktyg för att skicka ut smidda ARP-svar på nätverket vilket leder till ARP-cache-förgiftning.
- det falska ARP-svaret övertygar båda enheterna om att MAC-adressen till angriparens system är den rätta och därmed slutar båda enheterna ansluta till det systemet istället för varandra.
- när de är anslutna uppdateras Arp-cacheposterna för all framtida kommunikation och angriparen får därmed tillgång till all kommunikation mellan de två enheterna.
om en angripare lyckas med en ARP-spoofing-attack har han ett brett utbud av alternativ som han kan stjäla eller avlyssna känslig kommunikation eller orsaka störningar i tjänster. Om inte datapaket krypteras kan angriparen enkelt kapa och stjäla information från all kommunikation mellan de två enheterna.
i vissa fall kan hackaren stjäla sessions-ID för en inloggad användare och efterlikna dem genom sessionskapningsmetoder. Hackaren kan också enkelt driva skadliga filer eller webbplatser till enheterna för att orsaka störningar eller för att underlätta datastöld. Eftersom det finns många sådana risker som kan uppstå från sådana attacker är det mycket viktigt för organisationer och individer att lära sig hur ARP-spoofing fungerar samt hur man försvarar sig mot ARP-spoofing.
förebyggande av ARP-attacker
när en angripare framgångsrikt har utfört en ARP-spoofing-attack är arp-cacheförgiftning resultatet som gör det möjligt för all framtida kommunikation att passera genom samma falska MAC-adress som har matats till ARP-protokollet och lagrats i ARP-cachen. Tack och lov finns det dock flera sätt på vilka man kan upptäcka en ARP-attack. Det första alternativet är att använda Kommandotolken som administratör på en Windows-dator och hämta ARP-cachen i Kommandotolken genom att ange ’arp -1’.
om två enheter med olika IP-adresser till synes delar samma MAC-adress är det mycket troligt att du genomgår en ARP-förgiftningsattack. Det finns också andra ARP spoofing Windows-verktyg och program tillgängliga som är utformade för att upptäcka eventuell förekomst av ARP-attacker och meddela användaren om detsamma. För att möjliggöra ett effektivt ARP-spoofingförsvar måste en organisation därför nödvändigtvis veta hur ARP-spoofing python-skript fungerar och hur man upptäcker ARP-spoofingattacker så tidigt som möjligt. Följande är några användbara sätt på vilka förebyggande av ARP-spoofing kan uppnås.
använda ett virtuellt privat nätverk (VPN): virtuella privata nätverkstjänster (VPN) är tillgängliga för rimliga och överkomliga priser. Dessa nätverk tillåter enheter att ansluta och kommunicera via internet via en säker och krypterad tunnel som gör alla försök att attackera ARP misslyckade. Detta beror på att ingen data kan stulas eller nås av angriparen.
paketfiltrering: Det finns vissa paketfilter som kan analysera alla datapaket som skickas via ett visst nätverk för att upptäcka och blockera alla paket som är skadliga eller har skickats från misstänkta IP-adresser. Filtren kan också upptäcka paket som ska skickas internt på ett lokalt nätverk (LAN) men kommer från en extern källa, vilket minskar risken för en framgångsrik ARP-attack.
använd statiska ARP-poster: Om möjligt kan enskilda ARP-poster läggas till varje enhet i ett lokalt nätverk och därför mappas enhetens MAC-och IP-adresser manuellt. När dessa adresser görs statiska ignorerar enheten alla ARP-svar eller svar som är nödvändiga för att utföra en spoofing-attack.
kryptering: Data kan krypteras med hjälp av vissa krypteringsprotokoll som gör det svårt för angriparen att stjäla och komma åt information som skickas via nätverket. SSH (Secure Shell) och HTTPS(Hypertext Transfer Protocol Secure) är några exempel på krypteringsprotokoll.
slutsats
ökningen av datoranvändning har gjort ARP-spoofing till ett oundvikligt problem. Ingen särskild försvarsmekanism mot ARP-spoofing kan dock betraktas som flerårig. Det finns alltid ett behov av ett bra och aktuellt system som måste finnas på plats för att hålla koll på sådana attacker när de inträffar. Dessa system måste vara utrustade för att upptäcka sådana attacker och måste vara snabba att stänga av dem för att i hög grad minimera skadorna.
om du letar efter en omfattande kurs i Cloud Computing, då 5.5-månaders Online Postgraduate Certificate Program i Cloud Computing som erbjuds av Jigsaw Academy kan vara till hjälp. Detta program hjälper intresserade elever att bli kompletta Molnproffs.