On monia tapoja päästä käsiksi järjestelmään. ARP-myrkytys kohdistuu tapaan, jolla laitteemme kommunikoivat keskenään.
Yhden kyberturvallisuuden puolustaminen ei takaa täydellistä turvallisuutta, sillä hakkerit kehittävät jatkuvasti uusia tapoja murtautua läpi. He ymmärtävät, että suorien hyökkäysten käynnistäminen ei ole enää niin tehokasta, koska kehittyneet suojausmekanismit voivat havaita ne helposti. Laillisten verkkojen taakse piiloutuminen ARP-myrkytyshyökkäysten kaltaisten tekniikoiden avulla helpottaa heidän työtään.
ARP-myrkytyksellä kyberrikollinen voi ohjata IP-osoitteesi uudelleen ja siepata viestisi siirron aikana tietämättäsi. Näin tämä hyökkäysmenetelmä toimii ja kuinka voit estää sen.
Mikä on ARP-myrkytyshyökkäys?
Address Resolution Protocol (ARP) on yhteysmenettely, joka linkittää Internet-protokollan (IP) osoite Media Access Controlin (MAC) staattiseen fyysiseen osoitteeseen paikallisverkon kautta (LAN). Koska IP- ja MAC-osoitteet ovat erilaisia, ne eivät ole yhteensopivia. ARP sovittaa tämän eron varmistaakseen, että molemmat elementit ovat synkronoituja. Muuten he eivät tunnistaisi itseään.
ARP-myrkytyshyökkäys on prosessi, jossa tunkeilija lähettää haitallista sisältöä lähiverkon (LAN) kautta ohjatakseen laillisen IP-osoitteen yhteyden MAC-osoitteeseen. Tämän aikana hyökkääjä syrjäyttää alkuperäisen MAC-osoitteen, jonka pitäisi muodostaa yhteys IP-osoitteeseen, jolloin hän pääsee käsiksi viesteihin, jotka ihmiset lähettävät autenttiseen MAC-osoitteeseen.
Kuinka ARP-myrkytyshyökkäys toimii?
Useat verkot voivat toimia lähiverkossa (LAN) samanaikaisesti. Jokainen aktiivinen verkko saa tietyn IP-osoitteen, joka toimii sen tunnistamiskeinona ja erottaa sen muista. Kun tiedot eri verkoista saapuvat yhdyskäytävään, ARP lajittelee ne vastaavasti, jotta jokainen pääsee suoraan aiottuun kohteeseen.
Hyökkääjä luo ja lähettää väärän ARP-sanoman profiloituun järjestelmään. He lisäävät MAC-osoitteensa ja kohteen IP-osoitteensa viestiin. Vastaanotettuaan ja käsiteltyään väärän ARP-sanoman järjestelmä synkronoi hyökkääjän MAC-osoitteen IP-osoitteen kanssa.
Kun lähiverkko yhdistää IP-osoitteen tunkeilijan MAC-osoitteeseen, tunkeilija alkaa vastaanottaa kaikkia lailliseen MAC-osoitteeseen tarkoitetut viestit. He voivat salakuunnella viestintää hakeakseen arkaluontoisia tietoja vaihdossa, muokata viestintää lisäämällä haitallista sisältöä auttamaan heidän tarkoitustaan tai jopa poistamaan siirrettyjä tietoja, jotta vastaanottaja ei saa se.
ARP-myrkytyskohtausten tyypit
Kyberrikolliset voivat käynnistää ARP-hyökkäyksiä kahdella tavalla: huijauksella ja välimuistimyrkytyksellä.
ARP huijaus
ARP-huijaus on prosessi, jossa uhkatekijä väärentää ja lähettää ARP-vastauksen kohteena olevaan järjestelmään. Tunkeilijan on lähetettävä yksi väärennetty vastaus, jotta kyseinen järjestelmä lisää MAC-osoitteensa sallittujen luetteloon. Tämä tekee ARP-huijauksesta helppoa suorittaa.
Hyökkääjät käyttävät myös ARP-huijausta suorittaakseen muunlaisia hyökkäyksiä, kuten istuntojen kaappauksia ottaa haltuunsa selausistunnot ja Man-in-the-Middle hyökkää siellä missä he siepata kahden laitteen välistä viestintää kytketty verkkoon.
ARP-välimuistin myrkytys
Tämäntyyppisten ARP-hyökkäysten myrkytys johtuu siitä, että hyökkääjä luo ja lähettää useita väärennettyjä ARP-vastauksia kohdejärjestelmäänsä. He tekevät tämän niin pitkälle, että järjestelmä on täynnä virheellisiä merkintöjä, eikä se pysty tunnistamaan laillisia verkkojaan.
Kyberrikollistekniikka, liikenteen hälinä, tarttuu tilaisuuteen ohjata IP-osoitteet omiin järjestelmiinsä ja siepata niiden kautta kulkevaa viestintää. Uhkatoimijat käyttävät tätä ARP-hyökkäysmenetelmää helpottaakseen muita hyökkäyksiä, kuten palvelunestoa (DoS) jossa ne täyttävät kohdejärjestelmän asiaankuulumattomilla viesteillä aiheuttaakseen liikenneruuhkan ja ohjaavat sitten IP-osoitteen uudelleen osoitteita.
Kuinka voit estää ARP-myrkytyshyökkäyksen?
ARP-myrkytyshyökkäyksillä on kielteisiä vaikutuksia järjestelmääsi, kuten kriittisten tietojen menetys, maineesi kolhu arkaluonteisten tietojesi paljastumisen ja jopa seisokkien vuoksi, jos hyökkääjä peukaloi sinua ohjaavia elementtejä verkkoon.
Jos et halua kärsiä mistään yllä olevista seurauksista, tässä on tapoja estää ARP-myrkytyshyökkäykset.
1. Luo staattisia ARP-taulukoita
ARP-tekniikka ei voi automaattisesti vahvistaa laillisia IP-osoitteita MAC-osoitteillaan. Tämä antaa kyberrikollisille mahdollisuuden väärentää ARP-vastauksia. Voit korjata tämän porsaanreiän luomalla staattisen ARP-taulukon, jossa yhdistät kaikki verkkosi autenttiset MAC-osoitteet niiden laillisiin IP-osoitteisiin. Molemmat komponentit muodostavat yhteyden vain vastaaviin osoitteisiin ja käsittelevät niitä, mikä poistaa hyökkääjiltä mahdollisuuden yhdistää MAC-osoitteensa verkkoon.
ARP-staattisten taulukoiden rakentaminen vaatii paljon manuaalista työtä, mikä vie aikaa. Mutta jos teet töitä, estät useita ARP-myrkytyshyökkäyksiä.
2. Ota käyttöön dynaaminen ARP-tarkastus (DAI)
Dynamic ARP Inspection (DAI) on verkon suojausjärjestelmä, joka tarkistaa verkossa olevat ARP-komponentit. Se tunnistaa yhteydet laittomiin MAC-osoitteisiin, jotka yrittävät ohjata uudelleen tai siepata kelvollisia IP-osoitteita.
DAI-tarkastus tarkistaa kaikki järjestelmän ARP MAC-IP-osoitepyynnöt ja vahvistaa, että ne ovat oikeutettuja, ennen kuin päivittää tietonsa ARP-välimuistiin ja välittää ne oikeille kanaville.
3. Segmentoi verkkosi
Hyökkääjät suorittavat ARP-myrkytyshyökkäyksiä, varsinkin kun heillä on pääsy verkon kaikille alueille. Verkon segmentointi tarkoittaa, että eri komponentit ovat eri alueilla. Vaikka tunkeilija pääsee käsiksi johonkin osaan, heidän hallussaan on rajansa, koska jotkin elementit eivät ole läsnä.
Voit vahvistaa tietoturvaasi luomalla staattisen ARP-taulukon jokaiselle verkon segmentille. Tällä tavalla hakkereiden on vaikeampaa murtautua yhdelle alueelle, puhumattakaan kaikista alueista.
4. Salaa tietosi
Salauksella ei välttämättä ole paljon vaikutusta estämään hakkereita tunkeutumasta verkkoosi ARP-myrkytyshyökkäyksillä, mutta se estää heitä muokkaamasta tietojasi, jos he saavat sen haltuunsa. Ja se johtuu siitä Tietojen salaus estää tunkeilijoita lukemasta niitä ilman kelvollista salauksenpurkuavainta.
Jos ARP-myrkytyshyökkäyksestä varastavat tietohyökkääjät ovat heille hyödyttömiä salauksen vuoksi, he eivät voi sanoa, että hyökkäys oli onnistunut.
Estä ARP-myrkytyshyökkäykset todennuksen avulla
ARP-myrkytyshyökkäykset menestyvät, kun ei ole parametreja, jotka suojaavat verkkoyhteyttäsi tunkeutumiselta. Kun luot sallittujen verkkojen ja laitteiden luettelon hyväksyttäviksi, kohteet, jotka eivät ole luettelossa, eivät läpäise todennustarkistusta eivätkä pääse järjestelmääsi.
On parempi estää uhkatekijöitä pääsemästä järjestelmääsi kuin käsitellä niitä, kun he ovat jo sisällä. Ne voivat aiheuttaa vakavia vahinkoja, ennen kuin pystyt hillitsemään niitä.
