Заражение протокола разрешения адресов (Address Resolution Protocol (ARP)) - это атака, которая включает в себя отправку поддельных сообщений ARP по локальной сети. Она также известна как ARP спуфинг, отравление/заражение ARP и отравление/заражение кэша ARP.
Эти атаки пытаются перенаправить трафик с первоначально запланированного хоста на злоумышленника. ARP отравление делает это, связывая адрес Media Access Control (MAC) злоумышленника с IP-адресом цели. Это работает только против сетей, которые используют ARP.
ARP отравление - это тип атаки «человек посередине» (man-in-the-middle), который может использоваться для остановки сетевого трафика, его изменения или перехвата. Данная техника часто используется, чтобы инициировать дальнейшие наступательные действия, такие как перехват сеанса или DoS атака (denial-of-service).
Что такое протокол разрешения адресов (Address Resolution Protocol (ARP))?
ARP - это протокол, который связывает данный IP-адрес с адресом канального уровня соответствующей физической машины. Поскольку
Ссылка скрыта от гостей
по-прежнему является наиболее часто используемым интернет-протоколом, ARP обычно устраняет разрыв между 32-разрядными адресами IPv4 и 48-разрядными MAC-адресами. Он работает в обоих направлениях.Связь между данным MAC-адресом и его IP-адресом хранится в таблице, известной как кэш ARP. Когда пакет, направляемый к узлу в
Ссылка скрыта от гостей
, попадает в шлюз, шлюз использует ARP, чтобы связать MAC-адрес или физический адрес узла с его коррелирующим IP-адресом.Затем хост выполняет поиск в своем кэше ARP. Если он находит соответствующий адрес, то адрес используется для преобразования формата и длины пакета. Если правильный адрес не найден, ARP отправит пакет запроса, который запрашивает другие машины в локальной сети, знают ли они правильный адрес. Если машина отвечает с помощью адреса, то кэш ARP обновляется в случае возникновения каких-либо будущих запросов из того же источника.
Что такое ARP отравление/заражение?
Теперь, когда вы понимаете больше о лежащем в основе данной статье протоколе, мы можем более подробно рассмотреть отравление ARP. Протокол ARP был разработан, чтобы быть эффективным и достаточно работоспособным, что привело к серьезной нехватке безопасности в его структуре. Это позволяет относительно легко проводить атаки, если они могут получить доступ к локальной сети своей цели.
Отравление ARP включает в себя отправку поддельных ответных пакетов ARP на шлюз по локальной сети. Злоумышленники обычно используют спуфинговые инструменты, такие как Arpspoof или Arppoison, чтобы упростить работу. Они устанавливают IP-адрес инструмента в соответствии с адресом своей цели. Затем инструмент сканирует целевую локальную сеть на предмет IP и MAC-адресов своих хостов.
Как только злоумышленник получает адреса хостов, он начинает отправлять поддельные пакеты ARP по локальной сети на хосты. Обманные сообщения пытаются донести до ведома получателей, что MAC-адрес злоумышленника должен быть связан с IP-адресом машины, на которую он нацелен.
Это приводит к тому, что получатели обновляют свой кэш ARP с помощью адреса атакующего. Когда получатели будут общаться с целью в будущем, их сообщения будут отправлены злоумышленнику.
На этом этапе злоумышленник втайне находится в центре связи и может использовать это положение для считывания трафика и кражи данных. Злоумышленник также может изменить сообщения, прежде чем они достигнут цели, или даже полностью прекратить связь.
Злоумышленники могут использовать эту информацию для организации дальнейших атак, таких как DoS атаки (denial-of-service) или захват сеанса (session hijacking):
-
Ссылка скрыта от гостей(DoS атака) – эти атаки могут связать несколько отдельных IP-адресов с MAC-адресом цели. Если достаточное количество адресов отправляет запросы к цели, она может быть перегружена трафиком, что нарушает ее службы и делает её непригодным для использования.
- Session Hijacking (Перехват сеанса) – спуфинг ARP можно использовать для кражи идентификаторов сеансов, которые хакеры используют для получения доступа к системам и учетным записям. Как только они получат доступ, они могут нанести ущерб своим целям.
Отравление/заражение ARP может быть обнаружено несколькими различными способами. Вы можете использовать командную строку Windows, анализатор пакетов с открытым исходным кодом, такой как
Ссылка скрыта от гостей
, или патентованные варианты, такие как
Ссылка скрыта от гостей
.Командная строка
Если вы подозреваете, что можете пострадать от отравления ARP, вы можете проверить это в командной строке. Сначала откройте командную строку от имени администратора. Самый простой способ - нажать клавишу Windows, чтобы открыть меню «Пуск». Введите «cmd», затем одновременно нажмите Crtl, Shift и Enter.
Это вызовет командную строку, хотя вам, возможно, придется нажать «Да», чтобы дать приложению разрешение вносить изменения. В командной строке введите:
Код:
arp -1
* Адреса на изображении выше были частично затемнены из соображений конфиденциальности.*
В таблице показаны IP-адреса в левом столбце и MAC-адреса в середине. Если таблица содержит два разных IP-адреса с одинаковым MAC-адресом, то вы, вероятно, подвергаетесь атаке отравления ARP.
В качестве примера предположим, что ваша таблица ARP содержит несколько разных адресов. Когда вы просматриваете его, вы можете заметить, что два IP-адреса имеют одинаковый физический адрес. Вы можете увидеть что-то подобное в своей таблице ARP, если вы на самом деле подверглись данного рода атаке:
Интернет адрес Физический адрес
Код:
192.168.0.1 00-17-31-dc-39-ab
192.168.0.105 40-d4-48-cr-29-b2
192.168.0.106 00-17-31-dc-39-abДругие варианты
Wireshark можно использовать для обнаружения отравления ARP путем анализа пакетов, хотя эти шаги выходят за рамки этого руководства и, вероятно, лучше оставить их для тех, кто имеет опыт работы с программой.
Коммерческие детекторы ARP отравления, такие как XArp, облегчают процесс. Они могут предупредить вас, когда начинается заражение ARP, что означает, что атаки обнаруживаются раньше, и ущерб может быть сведен к минимуму.
Каким образом можно предотвратить ARP отравление/заражение
Вы можете использовать несколько методов для предотвращения отравления ARP, каждый из которых имеет свои плюсы и минусы. К ним относятся статические ARP записи, шифрование, VPN и анализ пакетов.
Статические ARP записи
Это решение связано с большими административными затратами и рекомендуется только для небольших сетей. Он включает добавление ARP записи для каждого компьютера в сети на каждый отдельный компьютер.
Сопоставление компьютеров с наборами статических IP-адресов и MAC-адресов помогает предотвратить спуфинговые атаки (spoofing attacks), поскольку компьютеры могут игнорировать ответы ARP. К сожалению, это решение может защитить вас только от простых атак.
Шифрование
Протоколы, такие как HTTPS и SSH, также могут помочь уменьшить вероятность успешной атаки отравления ARP. Когда трафик зашифрован, злоумышленнику придется предпринять дополнительный шаг, чтобы обмануть браузер цели и заставить его принять незаконный сертификат. Однако любые данные, передаваемые за пределы этих протоколов, будут по-прежнему уязвимы.
VPN
Ссылка скрыта от гостей
может быть разумной защитой для частных лиц, но данный вариант обычно не подходят для крупных организаций. Если только один человек устанавливает потенциально опасное соединение, например, использует публичный Wi-Fi в аэропорту, то VPN зашифрует все данные, которые передаются между клиентом и сервером выхода. Это помогает обеспечить их безопасность, потому что злоумышленник сможет увидеть только зашифрованный текст.Тем не менее, это менее осуществимое решение на организационном уровне, поскольку между каждым компьютером и каждым сервером должны быть установлены VPN-соединения. Это будет не только сложно настроить и поддерживать, но шифрование и дешифрование в таких масштабах также будет влиять на производительность сети.
Фильтры пакетов
Эти фильтры анализируют каждый пакет, отправляемый по сети. Они могут отфильтровывать и блокировать вредоносные пакеты, а также те, чьи IP-адреса являются подозрительными. Фильтры пакетов также могут сообщать о том, поступает ли пакет из внутренней сети, когда он фактически исходит извне, что, в свою очередь помогает снизить вероятность успеха атаки.
Защитите свою сеть от отравления/заражения ARP
Если вы хотите, чтобы ваша сеть была защищена от угрозы отравления ARP, лучший вариант для вас - это комбинация вышеупомянутых инструментов предотвращения и обнаружения. Методы предотвращения, как правило, имеют недостатки в определенных ситуациях, поэтому даже самая безопасная среда может оказаться под угрозой.
Если у вас также имеются активные средства обнаружения, вы сразу же узнаете об отравлении ARP, как только оно начнется. Если ваш сетевой администратор действует действительно быстро после получения оповещения, вы сможете решительно прекратить эти атаки, прежде чем будет нанесен большой ущерб.
