Има много начини за получаване на достъп до система. ARP отравянето е насочено към начина, по който нашите устройства комуникират едно с друго.
Наличието на единна защита за киберсигурност не гарантира пълна сигурност, тъй като хакерите продължават да измислят нови начини за проникване. Те разбират, че стартирането на директни атаки вече не е толкова ефективно, тъй като усъвършенстваните механизми за сигурност могат лесно да ги открият. Скриването зад легитимни мрежи чрез техники като атаки с отравяне на ARP улеснява работата им.
С ARP отравяне, киберпрестъпник може да пренасочи вашия IP адрес и да прихване вашите комуникации по време на транзит без ваше знание. Ето как работи този метод на атака и как можете да го предотвратите.
Какво представлява ARP отравяща атака?
Протоколът за разрешаване на адреси (ARP) е процедура за свързване, която свързва интернет протокол (IP) адрес към статичния физически адрес на контрол на достъпа до медии (MAC) през локална мрежа (LAN). Тъй като адресите на IP и MAC са с различен състав, те не са съвместими. ARP съгласува тази разлика, за да гарантира, че и двата елемента са синхронизирани. Иначе нямаше да се познаят.
ARP отравяща атака е процес, при който нарушител изпраща злонамерено съдържание през локална мрежа (LAN), за да пренасочи връзката на легитимен IP адрес към своя MAC адрес. В хода на това нападателят измества оригиналния MAC адрес, който трябва да се свърже с IP адреса, позволявайки им достъп до съобщения, които хората изпращат до автентичния MAC адрес.
Как действа ARP атака с отравяне?
Няколко мрежи могат да функционират в една локална мрежа (LAN) едновременно. Всяка активна мрежа получава определен IP адрес, който служи като средство за идентификация и я отличава от другите. Когато данните от различните мрежи стигнат до шлюза, ARP ги сортира по съответния начин, така че всяка да отиде направо до предназначението си.
Нападателят създава и изпраща фалшиво ARP съобщение до профилираната система. Те добавят своя MAC адрес и IP адреса на целта в съобщението. При получаване и обработка на фалшивото ARP съобщение, системата синхронизира MAC адреса на нападателя с IP адреса.
След като LAN свърже IP адреса с MAC адреса на нарушителя, нарушителят започва да получава всички съобщения, предназначени за легитимния MAC адрес. Те могат да подслушват комуникацията, за да извлекат чувствителни данни в обмен, да променят комуникацията чрез вмъкване на злонамерено съдържание, за да подпомогне тяхното намерение, или дори изтриване на данните при пренос, така че получателят да не получи то.
Видове ARP атаки с отравяне
Киберпрестъпниците могат да стартират ARP атаки по два начина: подправяне и отравяне на кеша.
ARP спуфинг
ARP spoofing е процес, при който заплахата фалшифицира и изпраща ARP отговор до системата, към която е насочен. Един подправен отговор е всичко, което нарушителят трябва да изпрати, за да може въпросната система да добави своя MAC адрес към белия списък. Това прави ARP подправянето лесно за изпълнение.
Нападателите също използват ARP spoofing, за да извършват други видове атаки, като например отвличане на сесии, където те поемете вашите сесии за сърфиране и Man-in-the-Middle атакува там, където те прихващане на комуникации между две устройства свързан към мрежа.
ARP кеш отравяне
Отравянето при този вид ARP атака произтича от нападателя, който създава и изпраща множество подправени ARP отговори до целевата си система. Те правят това до точката, в която системата е затрупана с невалидни записи и не може да идентифицира легитимните си мрежи.
Киберпрестъпниците, които проектират трафика, ще се възползват от възможността да пренасочат IP адресите към собствените си системи и да прихванат комуникациите, преминаващи през тях. Актьорите на заплахи използват този метод на ARP атака, за да улеснят други форми на атаки като отказ от услуга (DoS) където те наводняват целевата система с неподходящи съобщения, за да причинят задръстване и след това пренасочват IP адреса адреси.
Как можете да предотвратите атака с отравяне с ARP?
Атаките с отравяне на ARP имат отрицателни въздействия върху вашата система, като например загуба на критични данни, пробив във вашата репутация поради излагането на вашите чувствителни данни и дори престой, ако нападателят се намеси в елементи, които управляват вашия мрежа.
Ако не искате да страдате от някое от горните последствия, ето начини за предотвратяване на атаки с отравяне с ARP.
1. Създаване на статични ARP таблици
ARP технологията не може автоматично да валидира легитимни IP адреси с техните MAC адреси. Това дава възможност на киберпрестъпниците да фалшифицират ARP отговори. Можете да поправите тази вратичка, като създадете статична ARP таблица, където картографирате всички автентични MAC адреси във вашата мрежа към техните законни IP адреси. И двата компонента ще се свързват и ще обработват само техните съвпадащи адреси, премахвайки възможността за нападателите да свържат своите MAC адреси към мрежата.
Изграждането на ARP статични таблици включва много ръчна работа, което отнема време. Но ако положите работа, ще предотвратите няколко атаки с отравяне на ARP.
2. Внедрете динамична ARP инспекция (DAI)
Dynamic ARP Inspection (DAI) е система за мрежова сигурност, която проверява ARP компонентите, присъстващи в мрежата. Той идентифицира връзки с нелегитимни MAC адреси, които се опитват да пренасочат или прихванат валидни IP адреси.
DAI инспекцията проверява всички заявки за ARP MAC към IP адрес в системата и потвърждава, че те са легитимни, преди да актуализира информацията им в ARP кеша и да ги предаде на правилните канали.
3. Сегментирайте вашата мрежа
Нападателите изпълняват атаки с отравяне на ARP, особено когато имат достъп до всички области на мрежата. Сегментирането на вашата мрежа означава, че различните компоненти ще бъдат в различни области. Дори когато нарушител получи достъп до една част, има ограничение на контрола, който има, тъй като някои елементи не присъстват.
Можете да затвърдите сигурността си, като създадете статична ARP таблица за всеки сегмент от вашата мрежа. По този начин за хакерите е по-трудно да проникнат в една област, да не говорим за всички области.
4. Шифровайте вашите данни
Шифроването може да няма голямо влияние при спирането на хакерите да проникнат във вашата мрежа с ARP отравящи атаки, но ще им попречи да променят вашите данни, ако се доберат до тях. И това е така, защото криптирането на данни не позволява нарушители да ги прочетат без валиден ключ за дешифриране.
Ако нападателите на данни, крадат от атака с отравяне на ARP, е безполезна за тях поради криптиране, те не могат да кажат, че атаката им е била успешна.
Предотвратете ARP атаки с отравяне с удостоверяване
ARP отравящите атаки процъфтяват, когато няма параметри за защита на вашата мрежова свързаност от проникване. Когато създадете бял списък с мрежи и устройства за одобрение, елементите, които не са в списъка, няма да преминат проверката за удостоверяване и няма да могат да влязат във вашата система.
По-добре е да предотвратите влизането на заплахи във вашата система, отколкото да се справяте с тях, когато вече са вътре. Те могат да причинят сериозни щети, преди да можете да ги овладеете.
