ARP-vergiftiging / spoofing: hoe het te detecteren en te voorkomen

ARP poisoning_spoofingARP-vergiftiging (Address Resolution Protocol) is een aanval waarbij spoofed ARP-berichten via een lokaal netwerk worden verzonden. Het is ook bekend als ARP-spoofing, ARP-gifroutering en ARP-cachevergiftiging.


Deze aanvallen proberen in plaats daarvan verkeer van de oorspronkelijk beoogde host naar een aanvaller te leiden. ARP-vergiftiging doet dit door het MAC-adres (Media Access Control) van de aanvaller te associëren met het IP-adres van het doelwit. Het werkt alleen tegen netwerken die ARP gebruiken.

ARP-vergiftiging is een soort man-in-the-middle-aanval die kan worden gebruikt stop netwerkverkeer, verander het of onderschep het. De techniek wordt vaak gebruikt om verdere offensieven te initiëren, zoals sessie kaping of denial-of-service.

Wat is het Address Resolution Protocol (ARP)?

De ARP is een protocol dat een bepaald IP-adres koppelt aan het koppelingslaagadres van de relevante fysieke machine. Aangezien IPv4 nog steeds het meest gebruikte internetprotocol is, ARP overbrugt in het algemeen de kloof tussen 32-bit IPv4-adressen en 48-bit MAC-adressen. Het werkt in beide richtingen.

De relatie tussen een bepaald MAC-adres en het IP-adres wordt bewaard in een tabel die de ARP-cache wordt genoemd. Wanneer een pakket op weg naar een host op een LAN de gateway bereikt, gebruikt de gateway ARP om het MAC- of fysieke hostadres te associëren met het bijbehorende IP-adres.

De host doorzoekt vervolgens zijn ARP-cache. Als het het overeenkomstige adres lokaliseert, wordt het adres gebruikt om het formaat en de pakketlengte om te zetten. Als het juiste adres niet wordt gevonden, stuurt ARP een aanvraagpakket dat andere machines op het lokale netwerk vraagt ​​of ze het juiste adres kennen. Als een machine antwoordt met het adres, wordt de ARP-cache hiermee bijgewerkt voor het geval er toekomstige aanvragen van dezelfde bron zijn.

Wat is ARP-vergiftiging?

Nu u meer weet over het onderliggende protocol, kunnen we ARP-vergiftiging dieper ingaan. Het ARP-protocol is ontwikkeld om efficiënt te zijn, wat heeft geleid tot een serieuze gebrek aan beveiliging in zijn ontwerp. Dit maakt het relatief gemakkelijk voor iemand om deze aanvallen te monteren, zolang ze toegang hebben tot het lokale netwerk van hun doelwit.

ARP-vergiftiging omvat verzenden vervalste ARP-antwoordpakketten naar een gateway via het lokale netwerk. Aanvallers gebruiken meestal spoofing-tools zoals Arpspoof of Arppoison om het werk gemakkelijk te maken. Ze stellen het IP-adres van de tool in op het adres van hun doel. De tool scant vervolgens het doel-LAN op de IP- en MAC-adressen van zijn hosts.

Zodra de aanvaller de adressen van de hosts heeft, beginnen ze vervalste ARP-pakketten via het lokale netwerk naar de hosts te verzenden. De frauduleuze berichten vertellen de ontvangers dat het MAC-adres van de aanvaller moet zijn verbonden met het IP-adres van de machine waarop ze zich richten.

Dit leidt ertoe dat de ontvangers hun ARP-cache bijwerken met het adres van de aanvaller. Wanneer de ontvangers in de toekomst met het doel communiceren, hun berichten worden in plaats daarvan daadwerkelijk naar de aanvaller gestuurd.

Op dit punt bevindt de aanvaller zich in het geheim in de communicatie en kan deze positie gebruiken om het verkeer te lezen en gegevens te stelen. De aanvaller kan ook berichten wijzigen voordat ze het doel bereiken, of zelfs de communicatie volledig stoppen.

Aanvallers kunnen deze informatie gebruiken om verdere aanvallen te activeren, zoals denial-of-service of sessie-kaping:

  • Denial-of-service - Deze aanvallen kunnen een aantal afzonderlijke IP-adressen koppelen aan het MAC-adres van een doel. Als er voldoende adressen verzoeken naar het doel verzenden, kan het worden overbelast door verkeer, waardoor de service wordt verstoord en het onbruikbaar wordt.
  • Sessiekaping - ARP-spoofing kan worden gebruikt om sessie-ID's te stelen, waarmee hackers toegang krijgen tot systemen en accounts. Als ze eenmaal toegang hebben, kunnen ze allerlei ravage aanrichten tegen hun doelen.

Hoe ARP-vergiftiging te detecteren

ARP-vergiftiging kan op verschillende manieren worden gedetecteerd. U kunt de opdrachtprompt van Windows, een open-source pakketanalysator zoals Wireshark, of eigen opties zoals XArp gebruiken.

Opdrachtprompt

Als u vermoedt dat u lijdt aan een ARP-vergiftigingsaanval, kunt u de opdrachtprompt inchecken. Open eerst de opdrachtprompt als beheerder. De eenvoudigste manier is om op te drukken Windows-toets om het startmenu te openen. Typ in "cmd”En druk vervolgens op Crtl, Verschuiving en invoeren tegelijkertijd.

Dit zal de opdrachtprompt oproepen, hoewel u misschien moet klikken Ja om de app toestemming te geven om wijzigingen aan te brengen. Voer op de opdrachtregel in:

arp -1

Dit geeft je de ARP-tabel:

arp-vergiftiging-1

* De adressen in de bovenstaande afbeelding zijn om privacyredenen gedeeltelijk zwart gemaakt.*

De tabel toont de IP-adressen in de linkerkolom en MAC-adressen in het midden. Als de tabel twee verschillende IP-adressen bevat die hetzelfde MAC-adres delen, ondergaat u waarschijnlijk een ARP-vergiftigingsaanval.

Laten we bijvoorbeeld zeggen dat uw ARP-tabel een aantal verschillende adressen bevat. Wanneer u er doorheen scant, merkt u mogelijk dat twee van de IP-adressen hetzelfde fysieke adres hebben. Je ziet zoiets als dit in je ARP-tabel als je daadwerkelijk wordt vergiftigd:

Internetadres Fysiek adres

192.168.0.1 00-17-31-dc-39-ab

192.168.0.105 40-d4-48-cr-29-b2

192.168.0.106 00-17-31-dc-39-ab

Zoals u ziet, komen zowel het eerste als het derde MAC-adres overeen. Dit geeft aan dat de eigenaar van het 192.168.0.106 IP-adres hoogstwaarschijnlijk de aanvaller is.

Andere opties

Wireshark kan worden gebruikt om ARP-vergiftiging te detecteren door de pakketten te analyseren, hoewel de stappen buiten het bereik van deze zelfstudie vallen en waarschijnlijk het beste worden overgelaten aan degenen die ervaring hebben met het programma.

Commerciële ARP-vergiftigingsmelders zoals XArp maken het proces eenvoudiger. Ze kunnen u waarschuwingen geven wanneer ARP-vergiftiging begint, wat betekent dat aanvallen eerder worden gedetecteerd en schade kan worden geminimaliseerd.

Hoe ARP-vergiftiging te voorkomen

U kunt verschillende methoden gebruiken om ARP-vergiftiging te voorkomen, elk met zijn eigen positieve en negatieve punten. Deze omvatten statische ARP-vermeldingen, codering, VPN's en snuiven van pakketten.

Statische ARP-vermeldingen

Deze oplossing brengt veel administratieve overhead met zich mee en wordt alleen aanbevolen voor kleinere netwerken. Het omvat het toevoegen van een ARP-ingang voor elke machine op een netwerk aan elke individuele computer.

Het in kaart brengen van de machines met sets van statische IP- en MAC-adressen helpt spoofing-aanvallen te voorkomen, omdat de machines ARP-antwoorden kunnen negeren. helaas, deze oplossing kan u alleen beschermen tegen eenvoudiger aanvallen.

Encryption

Protocollen zoals HTTPS en SSH kunnen ook helpen om de kansen op een succesvolle ARP-vergiftigingsaanval te verkleinen. Wanneer verkeer wordt gecodeerd, moet de aanvaller naar de extra stap gaan om de browser van het doel te misleiden om een ​​onwettig certificaat te accepteren. Echter, alle gegevens die buiten deze protocollen worden verzonden, blijven kwetsbaar.

VPN's

Een VPN kan een redelijke verdediging zijn voor individuen, maar ze zijn over het algemeen niet geschikt voor grotere organisaties. Als het slechts een enkele persoon is die een potentieel gevaarlijke verbinding maakt, zoals openbare wifi op een luchthaven, dan is een VPN codeert alle gegevens die tussen de client en de exit-server worden verzonden. Dit helpt om ze veilig te houden, omdat een aanvaller alleen de cijfertekst kan zien.

Het is een minder haalbare oplossing op organisatieniveau, omdat er VPN-verbindingen zouden moeten zijn tussen elke computer en elke server. Dit zou niet alleen ingewikkeld zijn om in te stellen en te onderhouden, maar codering en decodering op die schaal zou ook de prestaties van het netwerk belemmeren.

Pakketfilters

Deze filters analyseren elk pakket dat via een netwerk wordt verzonden. Ze kunnen filter en blokkeer kwaadaardige pakketten, evenals degenen wier IP-adressen verdacht zijn. Pakketfilters kunnen ook zien of een pakket beweert afkomstig te zijn van een intern netwerk wanneer het daadwerkelijk extern afkomstig is, waardoor de kans op een succesvolle aanval wordt verkleind.

Uw netwerk beschermen tegen ARP-vergiftiging

Als u wilt dat uw netwerk beveiligd is tegen de dreiging van ARP-vergiftiging, is het beste plan een combinatie van de bovengenoemde preventie- en detectietools. De preventiemethoden hebben de neiging om in bepaalde situaties fouten te bevatten, dus zelfs de meest veilige omgeving kan worden aangevallen.

Als er ook actieve detectietools aanwezig zijn, weet u wat ARP-vergiftiging is zodra het begint. Zolang uw netwerkbeheerder snel reageert nadat hij is gewaarschuwd, kunt u dit over het algemeen doen stop deze aanvallen voordat er veel schade is aangericht.

Beeldontwerp gebaseerd op ARP Spoofing van 0x55534C onder CC3.0

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

+ 73 = 80