Számos módja van a rendszerhez való hozzáférésnek. Az ARP-mérgezés azt a módot célozza, ahogyan eszközeink kommunikálnak egymással.
Az egyetlen kiberbiztonsági védelem nem garantálja a teljes biztonságot, mivel a hackerek továbbra is új módszereket dolgoznak ki a betörésre. Megértik, hogy a közvetlen támadások indítása már nem olyan hatékony, mivel a fejlett biztonsági mechanizmusok könnyen észlelhetik azokat. A törvényes hálózatok mögé bújó technikák, például ARP-mérgezési támadások révén megkönnyíti a munkájukat.
Az ARP-mérgezéssel a kiberbűnözők átirányíthatják az Ön IP-címét, és az Ön tudta nélkül elfoghatják a kommunikációját. Íme, hogyan működik ez a támadási módszer, és hogyan akadályozhatja meg.
Mi az ARP mérgezési támadás?
Az Address Resolution Protocol (ARP) egy kapcsolódási eljárás, amely összekapcsolja az Internet Protocolt (IP) címet a helyi hálózaton keresztüli Media Access Control (MAC) statikus fizikai címére (LAN). Mivel az IP és a MAC címei eltérő összetételűek, nem kompatibilisek. Az ARP kiegyenlíti ezt a különbséget annak érdekében, hogy mindkét elem szinkronban legyen. Különben nem ismernék fel magukat.
Az ARP-mérgezési támadás egy olyan folyamat, amelynek során a behatoló rosszindulatú tartalmat küld a helyi hálózaton (LAN) keresztül, hogy átirányítsa egy legitim IP-cím kapcsolatát a MAC-címére. Ennek során a támadó kiszorítja az eredeti MAC-címet, amelynek kapcsolódnia kell az IP-címhez, így hozzáférhet azokhoz az üzenetekhez, amelyeket az emberek a hiteles MAC-címre küldenek.
Hogyan működik az ARP mérgezési támadás?
Egy helyi hálózaton (LAN) egyszerre több hálózat is működhet. Minden aktív hálózat kap egy adott IP-címet, amely azonosítási eszközként szolgál, és megkülönbözteti a többitől. Amikor a különböző hálózatok adatai eljutnak az átjáróhoz, az ARP ennek megfelelően rendezi azokat, így mindegyik közvetlenül a kívánt célállomásra kerül.
A támadó hamis ARP-üzenetet hoz létre és küld a profilozott rendszernek. Hozzáadják a MAC-címüket és a cél IP-címét az üzenethez. A hamis ARP üzenet fogadása és feldolgozása után a rendszer szinkronizálja a támadó MAC-címét az IP-címmel.
Miután a LAN összekapcsolja az IP-címet a behatoló MAC-címével, a behatoló elkezdi megkapni az összes, a legitim MAC-címhez rendelt üzenetet. Lehallgathatják a kommunikációt, hogy cserébe érzékeny adatokat kérjenek le, és módosíthatják a kommunikációt rosszindulatú tartalom beszúrása szándékuk elősegítése érdekében, vagy akár törli az átvitel során lévő adatokat, hogy a vevő ne kapjon azt.
Az ARP-mérgezési támadások típusai
A kiberbűnözők kétféle módon indíthatnak ARP-támadásokat: hamisítás és gyorsítótár-mérgezés.
ARP hamisítás
Az ARP-hamisítás olyan folyamat, amelyben a fenyegetés szereplői hamisítanak és ARP-választ küldenek a megcélzott rendszernek. A behatolónak csak egy hamisított választ kell küldenie, hogy a kérdéses rendszer hozzáadja a MAC-címét az engedélyezőlistához. Ez megkönnyíti az ARP-hamisítás végrehajtását.
A támadók ARP-hamisítást is használnak más típusú támadások végrehajtására, például munkamenet-eltérítésre, ahol átveszi a böngészési munkameneteket és a Man-in-the-Middle ott támad, ahol elfogja a kommunikációt két eszköz között hálózathoz csatlakozik.
ARP gyorsítótár mérgezés
Az ilyen típusú ARP-támadások mérgezése abból fakad, hogy a támadó több hamis ARP-választ hoz létre és küld el a célrendszerüknek. Ezt addig a pontig teszik, amikor a rendszer túlterhelt érvénytelen bejegyzésekkel, és nem tudja azonosítani a legitim hálózatait.
A kiberbűnöző mérnökök, a forgalmi zűrzavar megragadja a lehetőséget, hogy az IP-címeket saját rendszereikre irányítsa, és elfogja a rajtuk áthaladó kommunikációt. A fenyegetés szereplői ezt az ARP támadási módszert használják a támadások más formáinak, például a szolgáltatásmegtagadás (DoS) elősegítésére. ahol elárasztják a célrendszert irreleváns üzenetekkel, hogy forgalmi dugót okozzanak, majd átirányítják az IP-t címek.
Hogyan előzhető meg az ARP mérgezési támadás?
Az ARP-mérgező támadások negatív hatással vannak a rendszerére, például kritikus adatok elvesztésével vagy hírnevének csorbulásával kényes adatainak nyilvánosságra hozatala miatt, és akár leállás miatt is, ha a támadó megzavarja az Önt meghajtó elemeket hálózat.
Ha nem szeretné elszenvedni a fenti következmények egyikét sem, itt találhat módszereket az ARP-mérgezési támadások megelőzésére.
1. Statikus ARP-táblázatok létrehozása
Az ARP technológia nem tudja automatikusan érvényesíteni a legitim IP-címeket a MAC-címeikkel. Ez kihasználja a kiberbűnözők lehetőségét az ARP-válaszok hamisítására. Kijavíthatja ezt a kiskaput egy statikus ARP-tábla létrehozásával, amelyben a hálózaton található összes hiteles MAC-címet leképezi a legitim IP-címeikre. Mindkét összetevő csak az egyező címekhez csatlakozik és azokat dolgozza fel, így a támadók nem csatlakozhatnak a hálózathoz MAC-címeiket.
Az ARP statikus táblák készítése sok kézi munkát igényel, ami időigényessé teszi. De ha belefektet, több ARP-mérgezési támadást is megelőzhet.
2. Dynamic ARP Inspection (DAI) megvalósítása
A Dynamic ARP Inspection (DAI) egy hálózati biztonsági rendszer, amely ellenőrzi a hálózaton lévő ARP-összetevőket. Azonosítja az illegitim MAC-címekkel rendelkező kapcsolatokat, amelyek érvényes IP-címeket próbálnak átirányítani vagy elfogni.
A DAI-ellenőrzés ellenőrzi az összes ARP MAC-IP-címre vonatkozó kérést a rendszeren, és megerősíti, hogy azok jogosak, mielőtt frissítené az ARP-gyorsítótárban lévő információkat és továbbítaná azokat a megfelelő csatornáknak.
3. Szegmentálja hálózatát
A támadók ARP-mérgező támadásokat hajtanak végre, különösen akkor, ha a hálózat minden területéhez hozzáférnek. A hálózat szegmentálása azt jelenti, hogy a különböző összetevők különböző területeken lesznek. Még akkor is, ha egy behatoló hozzáfér egy részhez, a vezérlésnek korlátozottak a lehetőségei, mivel bizonyos elemek nincsenek jelen.
Megerősítheti biztonságát, ha statikus ARP-táblázatot hoz létre a hálózat minden szegmenséhez. Így a hackerek nehezebben tudnak betörni egyetlen területre, nemhogy az összes területre.
4. Titkosítsa adatait
A titkosításnak nincs nagy hatása abban, hogy megakadályozza a hackerek behatolását a hálózatba ARP-mérgező támadásokkal, de megakadályozza őket abban, hogy módosítsák az Ön adatait, ha megfogják azokat. És ez azért van az adatok titkosítása megakadályozza, hogy a behatolók elolvassák azokat érvényes visszafejtési kulcs nélkül.
Ha az ARP-mérgező támadásból ellopott adattámadók a titkosítás miatt használhatatlanok számukra, akkor nem mondhatják, hogy a támadásuk sikeres volt.
Az ARP-mérgezési támadások megelőzése hitelesítéssel
Az ARP-mérgező támadások akkor gyarapodnak, ha nincsenek olyan paraméterek, amelyek megvédik a hálózati kapcsolatot a behatolástól. Amikor létrehozza a jóváhagyandó hálózatok és eszközök engedélyezési listáját, a listán nem szereplő elemek meghiúsulnak a hitelesítési ellenőrzésen, és nem tudnak belépni a rendszerbe.
Jobb megakadályozni a fenyegetés szereplőinek bejutását a rendszerbe, mint kezelni őket, amikor már bent vannak. Súlyos károkat okozhatnak, mielőtt visszatarthatná őket.
