ARP-förgiftning: Definition, Teknik, Försvar och Skydd

ARP-förgiftning (även kallad ARP-spoofing) är en cyberattack som utförs genom falska ARP-meddelanden.

En ARP-attack är svår att detektera och när den väl har inträffat kan man inte längre ignorera dess påverkan. 

En hackare som lyckas implementera antingen en ARP-förgiftning eller ARP-spoofing kan få kontroll över varje dokument i ditt nätverk. Du kan utsättas för spioneri eller din trafik kan avstanna tills du betalat en lösensumma. 

Vi ska visa dig hur en ARP-attack fungerar och ge dig några lösningar som du direkt kan införa för att hålla din server skyddad.

 

ARP-förgiftning/Spoofing

 

Vad är ARP?

År 2001 införde utvecklare ARP (address resolution protocol) till Unix-utvecklare. Då beskrevs det som en "arbetshäst" som kunde etablera IP-nivåkopplingar till nya värdar. 

Arbetet är avgörande, särskilt om ditt nätverk växer hela tiden och du behöver ett sätt att lägga till nya funktioner utan att själv behöva auktorisera varje begäran. 

Grunden för ARP är MAC-adresser (Media Access Control). Enligt experterna är MAC den unika maskinvarukodade adressen för ett nätverkskort för Ethernet, ett NIC (Network Interface Card). Denna adress sätts på fabriken men kan ändras med programvara.

Teoretisk sett ska en ARP kunna:

  • Acceptera anrop. En ny enhet vill ansluta till ett LAN (Local Area Network) och ger en IP-adress. 
  • Översätta. Enheter på LAN kommunicerar inte via IP-adresser. ARP översätter IP-adresser till MAC-adresser. 
  • Göra anrop. Om ARP inte känner till vilken MAC-adress som ska användas för en IP-adress skickar den en ARP-paketbegäran som frågan andra maskiner i nätverket för att få det som saknas. 

Denna funktion sparar mycket tid för nätverkens administratörer. En begäran sker i bakgrunden och nätverket sköter all nödvändig upprensning. Men det finns faror.

ARP-attacker: Viktiga definitioner

En farlig utvecklare som hoppas på att få tillgång till viktiga data kan utnyttja sårbarheterna och smyga sig in utan att du någonsin kan se vad som hänt. 

Det finns två typer av ARP-attacker.

  • ARP spoofing: En hackare skickar falska ARP-paket som länkar angriparens MAC-adress med en IP-adress som redan finns i LAN. 
  • ARP-förgiftning: Efter en lyckad ARP-spoofing ändrar hackaren företagets ARP-tabell så att den innehåller förfalskade MAC-kartor. Smittan sprids.

Målet är att länka hackarens MAC-adress till LAN. Det innebär att all trafik som skickas till ett smittat LAN istället går till hackaren.

Slutresultatet av ett lyckat angrepp är att hackaren kan:

  • Kapa. Någon kan se allt som är på väg till LAN innan det släpps igenom. 
  • Stoppa allt. Någon kan kräva en lösensumma för att släppa igenom något från ett smittat LAN.
  • Sitta som "man-i-mitten". Någon som utför en man-i-mitten-attack kan göra nästan vad som helst såsom förändra dokument, både inkommande och utgående, innan de skickas vidare. Dessa attacker hotar både sekretess och minskar användarnas tillit. De är en av de farligaste attackerna som någon kan utföra. 

Om en hackare vill ta över en värd så måste det ske snabbt. ARP-processer går ut inom ca 60 sekunder. Men på ett nätverk kan en begäran ligga kvar i upp till 4 timmar. Det ger en hackare gott om tid för att både överväga och utföra en attack.

Kända ARP-sårbarheter 

Hastighet, funktionalitet och autonomi var målen när ARP utvecklades. Protokollet gjordes inte med tanke på säkerheten och det är bevisligen mycket enkelt att lura och förändra för illasinnade syften. 

En hackare behöver bara några få verktyg för att få en attack att lyckas.

  • Anslutning: Angriparen behöver ha kontroll över en LAN-ansluten maskin. Ännu bättre är det om hackaren redan är direkt ansluten till LAN.
  • Kunskap om kodning: Hackaren måste veta hur man skriver ARP-paket som omedelbart accepteras eller lagras i systemet. 
  • Externa verktyg: En hackare kan använda ett spoofing-verktyg såsom Arpspoof för att skicka falska eller på annat sätt oäkta ARP-svar. 
  • Tålamod. Vissa hackare stormar in snabbt i systemen. Men andra måste skicka dussintals eller till och med hundratals förfrågningar innan de lyckas lura ett LAN.

ARP är gränslöst och nätverk brukar spara ARP-svar. Ju längre de väntar desto farligare blir de. Ett kvarglömt svar kan användas i nästa attack som leder till ARP-förgiftning. 

Ingen metod för att verifiera identiteter finns i traditionella ARP-system. Värden kan inte avgöra om ett paket är äkta eller inte och de kan inte heller se varifrån det kom.

Förebygga attack av ARP-förgiftning

Hackare använder ett förutsägbart antal steg för att ta över ett LAN. De skickar ett falskt ARP-paket, de skickar en begäran som kopplar till det falska paketet och tar sedan över. Denna begäran skickas till alla LAN-anslutna datorer varefter kontrollen är total.

Nätverksadministratörer kan använda två tekniker för att detektera ARP-spoofing.

  1. Passiv: Övervaka ARP-trafiken och leta efter misstänkt mappning. 
  2. Aktiv: Skicka falska ARP-paket till nätverket. En spoofing-attack som denna hjälper dig att identifiera svaga punkter i systemet. Åtgärda dem snabbt så kan du stoppa en pågående attack. 

Vissa utvecklare försöker skriva sin egen kod för att detektera en spoofing-attack men det medför risker. Om protokollet är för strikt så kommer många falsklarm att göra åtkomsten långsammare. Om protokollet är alltför tillåtande så kan pågående attacker ignoreras och du får en falsk trygghetskänsla. 

Kryptering kan hjälpa. Om hackaren kommer in i ditt system och bara ser krypterade tecken utan att kunna dekryptera så blir skadan begränsad. Men du måste ha en genomgående kryptering för att få fullt skydd. 

Användning av VPN kan vara en exceptionell källa för skydd. Enheter ansluter via en krypterad tunnel och all kommunikation krypteras omedelbart.

Skyddsverktyg att överväga

Många företag har övervakningsprogram som du kan använda för att kontrollera nätverk och hitta ARP-problem. 

Vanliga lösningar är följande:

  • Arpwatch: Övervakar Ethernet-aktivitet såsom ändrade IP- och MAC-adresser via detta Linux-verktyg Kontrollerar loggar dagligen och kan se tidsstämplar när eventuella attacker har inträffat.
     
  • ARP-GUARD: Visar en grafisk översikt av ditt befintliga nätverk såsom illustrationer av dataväxlar och routrar. Gör att programmet lär sig vilka enheter som finns i nätverket och kan bygga upp regler för framtida anslutningar.
     
  • XArp: Använd detta verktyg för att detektera attacker som sker innan de passerat brandväggen. Meddelar dig så snart en attack har börjat och kan avgöra vilka åtgärder som ska vidtas.
     
  • Wireshark: Använd detta verktyg för att få en grafisk representation av alla enheter i nätverket. Detta verktyg är kraftfullt men du behöver kanske avancerade kunskaper för att kunna använda det.
     
  • Paketfiltrering: Använd denna brandväggsteknik för att hantera åtkomst av nätverket genom övervakning av inkommande och utgående IP-paket. Paket tillåts eller stoppas baserat på IP-adressers källa och destination, portar och protokoll.
     
  • Statiska ARP: Dessa ARP har lagts till cachen och ligger där permanent. De kommer fungera som en permanent mappning mellan MAC- och IP-adresser. 

Arbeta med Okta

Vi vet att du måste hålla dina system säkra och skyddade. Vi vet också att du kanske inte vet var du ska börja och vilka steg du ska ta just nu. Vi kan hjälpa till.Upptäck hur Okta kan hjälpa till att förhindra attacker med ARP-förgiftning.

Referenser

ARP Networking Tricks, (oktober 2001). Computerworld. 

Domain 4: Communication and Network Security (Designing and Protecting Network Security), (2016). CISSP Study Guide (Third Edition). 

Fact Sheet: Man-in-the-Middle Attacks, (mars 2020). Internet Society. 

On Investigating ARP Spoofing Security Solutions, (april 2010). International Journal of Internet Protocol Technology. 

Traditional ARP, (januari 2017). Practical Networking. 

Address Resolution Protocol Spoofing Attacks and Security Approaches: A Survey, (december 2018). Security and Privacy. 

ARP Attack Detection Limitations. Security the Infosec Bag. 

Arpwatch Tool to Monitor Ethernet Activity in Linux, (april 2013). TecMint. 

ARP-GUARD Datablad. ARP-GUARD. 

Hem. XArp. 

Hem. Wireshark.