stringtranslate.com

Подмена ARP

Успешная атака подмены (отравления) ARP позволяет злоумышленнику изменить маршрутизацию в сети, что эффективно позволяет провести атаку «человек посередине».

В компьютерных сетях подмена ARP , отравление кэша ARP или токсичная маршрутизация ARP — это метод, с помощью которого злоумышленник отправляет ( подделывает ) сообщения протокола разрешения адресов (ARP) в локальную сеть . Как правило, цель состоит в том, чтобы связать MAC-адрес злоумышленника с IP-адресом другого хоста , например шлюза по умолчанию , в результате чего любой трафик, предназначенный для этого IP-адреса, будет отправлен злоумышленнику.

Подмена ARP может позволить злоумышленнику перехватывать кадры данных в сети, изменять трафик или останавливать весь трафик. Часто атака используется как возможность для других атак, таких как отказ в обслуживании , атака «человек посередине » или атаки перехвата сеанса . [1]

Атака может использоваться только в сетях, использующих ARP, и требует, чтобы злоумышленник имел прямой доступ к атакуемому сегменту локальной сети . [2]

ARP-уязвимости

Протокол разрешения адресов (ARP) — это широко используемый протокол связи для преобразования адресов интернет-уровня в адреса канального уровня .

Когда дейтаграмма Интернет-протокола (IP) отправляется с одного хоста на другой в локальной сети , IP-адрес назначения должен быть преобразован в MAC-адрес для передачи через уровень канала передачи данных . Когда известен IP-адрес другого хоста и требуется его MAC-адрес, в локальную сеть отправляется широковещательный пакет . Этот пакет известен как запрос ARP . Компьютер назначения с IP-адресом в запросе ARP затем отвечает ответом ARP , содержащим MAC-адрес для этого IP-адреса. [2]

ARP — это протокол без сохранения состояния . Сетевые узлы автоматически кэшируют все полученные ответы ARP, независимо от того, запрашивали ли их сетевые узлы. Даже записи ARP, срок действия которых еще не истек, будут перезаписаны при получении нового ответного пакета ARP. В протоколе ARP нет метода, с помощью которого хост мог бы аутентифицировать одноранговый узел, от которого исходил пакет. Такое поведение является уязвимостью, которая позволяет осуществлять подмену ARP. [1] [2] [3]

Анатомия атаки

Основной принцип подмены ARP заключается в использовании отсутствия аутентификации в протоколе ARP путем отправки поддельных сообщений ARP в локальную сеть. Атаки с подменой ARP могут быть запущены со скомпрометированного хоста в локальной сети или с компьютера злоумышленника, подключенного непосредственно к целевой локальной сети.

Злоумышленник, используя подмену ARP, замаскируется под хост для передачи данных в сети между пользователями. [4] Тогда пользователи не будут знать, что злоумышленник не является настоящим хостом в сети. [4]

Как правило, цель атаки состоит в том, чтобы связать MAC-адрес хоста злоумышленника с IP-адресом целевого хоста , чтобы любой трафик, предназначенный для целевого хоста, пересылался на хост злоумышленника. Злоумышленник может проверить пакеты (шпионаж), перенаправляя трафик в фактический пункт назначения по умолчанию, чтобы избежать обнаружения, изменить данные перед их пересылкой ( атака «человек посередине» ) или запустить отказ в обслуживании. атака , вызывающая отбрасывание некоторых или всех пакетов в сети.

Защита

Статические записи ARP

Самая простая форма сертификации — использование статических записей, доступных только для чтения, для критически важных служб в кэше ARP хоста. Сопоставления IP-адреса и MAC-адреса в локальном кэше ARP могут быть введены статически. Хостам не нужно передавать запросы ARP, если такие записи существуют. [5] Хотя статические записи обеспечивают некоторую защиту от подделки, они требуют усилий по обслуживанию, поскольку необходимо создавать и распространять сопоставления адресов для всех систем в сети. Это не масштабируется в большой сети, поскольку сопоставление должно быть установлено для каждой пары компьютеров, в результате чего получается n 2 ​​- n записей ARP, которые необходимо настроить при наличии n компьютеров; На каждой машине должна быть запись ARP для каждой другой машины в сети; n-1 записей ARP на каждой из n машин.

Программное обеспечение для обнаружения и предотвращения

Программное обеспечение, обнаруживающее подмену ARP, обычно использует ту или иную форму сертификации или перекрестной проверки ответов ARP. Несертифицированные ответы ARP затем блокируются. Эти методы можно интегрировать с DHCP-сервером , чтобы сертифицировать как динамические , так и статические IP- адреса. Эта возможность может быть реализована на отдельных хостах или может быть интегрирована в коммутаторы Ethernet или другое сетевое оборудование. Существование нескольких IP-адресов, связанных с одним MAC-адресом, может указывать на подмену ARP, хотя существуют законные варианты использования такой конфигурации. При более пассивном подходе устройство прослушивает ответы ARP в сети и отправляет уведомление по электронной почте при изменении записи ARP. [6]

AntiARP [7] также обеспечивает защиту от спуфинга на уровне ядра Windows. ArpStar — это модуль Linux для ядра 2.6 и маршрутизаторов Linksys, который отбрасывает недействительные пакеты, нарушающие сопоставление, и содержит возможность повторного отравления или исправления.

Некоторые виртуализированные среды, такие как KVM, также предоставляют механизмы безопасности для предотвращения подмены MAC-адресов между гостями, работающими на одном хосте. [8]

Кроме того, некоторые адаптеры Ethernet обеспечивают функции защиты от спуфинга MAC и VLAN. [9]

OpenBSD пассивно отслеживает хосты, выдающие себя за локальный хост, и уведомляет в случае любой попытки перезаписать постоянную запись [10]

безопасность ОС

Операционные системы реагируют по-разному. Linux игнорирует нежелательные ответы, но, с другой стороны, использует ответы на запросы других машин для обновления своего кэша. Solaris принимает обновления записей только по истечении времени ожидания. В Microsoft Windows поведение кэша ARP можно настроить с помощью нескольких записей реестра в разделах HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount. [11]

Законное использование

Методы, используемые при подмене ARP, также могут использоваться для реализации избыточности сетевых служб. Например, некоторое программное обеспечение позволяет резервному серверу выдавать необоснованный запрос ARP , чтобы заменить неисправный сервер и прозрачно обеспечить избыточность. [12] [13] Circle [14] и CUJO — две компании, которые коммерциализировали продукты, основанные на этой стратегии.

Подмена ARP часто используется разработчиками для отладки IP-трафика между двумя хостами, когда используется коммутатор: если хост A и хост B обмениваются данными через коммутатор Ethernet, их трафик обычно будет невидим для третьего контролирующего хоста M. Разработчик настраивает A, чтобы иметь MAC-адрес M для B, и B, чтобы иметь MAC-адрес M для A; а также настраивает M для пересылки пакетов. Теперь M может отслеживать трафик точно так же, как при атаке «человек посередине».

Инструменты

Защита

Подмена

Некоторые инструменты, которые можно использовать для проведения атак с подменой ARP:

Смотрите также

Рекомендации

  1. ^ аб Рамачандран, Вивек и Нанди, Сукумар (2005). «Обнаружение подмены ARP: активный метод». В Джаджодиа, Сучил и Мазумдар, Чандан (ред.). Безопасность информационных систем: первая международная конференция ICISS 2005, Калькутта, Индия, 19–21 декабря 2005 г.: материалы . Биркгаузер. п. 239. ИСБН 978-3-540-30706-8.
  2. ^ abc Локхарт, Эндрю (2007). Взломы сетевой безопасности . О'Рейли. п. 184. ИСБН 978-0-596-52763-1.
  3. ^ Стив Гибсон (11 декабря 2005 г.). «Отравление ARP-кэша». ГРЦ .
  4. ^ Аб Мун, Тэсон; Ли, Джэ Дон; Чон, Ён-Сик; Пак, Чон Хёк (19 декабря 2014 г.). «RTNSS: система сетевой безопасности на основе трассировки маршрутизации для предотвращения атак спуфинга ARP». Журнал суперкомпьютеров . 72 (5): 1740–1756. дои : 10.1007/s11227-014-1353-0. ISSN  0920-8542. S2CID  18861134. Архивировано из оригинала 23 января 2021 г. Проверено 23 января 2021 г.
  5. ^ Локхарт, Эндрю (2007). Взломы сетевой безопасности . О'Рейли. п. 186. ИСБН 978-0-596-52763-1.
  6. ^ «Подход к безопасности для предотвращения отравления ARP и защитных инструментов» . Исследовательские ворота . Архивировано из оригинала 3 мая 2019 г. Проверено 22 марта 2019 г.
  7. AntiARP. Архивировано 6 июня 2011 г., в Wayback Machine.
  8. ^ «Дэниел П. Берранже» Архив блога » Подмена гостевого MAC-адреса отказа в обслуживании и предотвращение его с помощью libvirt и KVM» . Архивировано из оригинала 9 августа 2019 г. Проверено 9 августа 2019 г.
  9. ^ «Архивная копия». Архивировано из оригинала 03 сентября 2019 г. Проверено 9 августа 2019 г.{{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  10. ^ «Arp(4) — страницы руководства OpenBSD» . Архивировано из оригинала 9 августа 2019 г. Проверено 9 августа 2019 г.
  11. ^ «Протокол разрешения адресов» . 18 июля 2012 г. Архивировано из оригинала 23 января 2021 г. Проверено 26 августа 2017 г.
  12. ^ «Справочная страница OpenBSD для CARP (4)» . Архивировано из оригинала 05 февраля 2018 г. Проверено 4 февраля 2018 г., получено 4 февраля 2018 г.
  13. ^ Саймон Хорман. «Ultra Monkey: захват IP-адреса». Архивировано из оригинала 18 ноября 2012 г. Проверено 4 января 2013 г., получено 4 января 2013 г.
  14. ^ Барретт, Брайан. «Круг с Диснеем блокирует детские устройства издалека». Проводной . Архивировано из оригинала 12 октября 2016 г. Проверено 12 октября 2016 г., получено 12 октября 2016 г.
  15. ^ «Противоядие». Архивировано из оригинала 13 марта 2012 г. Проверено 7 апреля 2014 г.
  16. ^ "Арп_Антидот". Архивировано из оригинала 14 января 2012 г. Проверено 2 августа 2011 г.
  17. ^ AB "cSploit". tux_mind. Архивировано из оригинала 12 марта 2019 г. Проверено 17 октября 2015 г.
  18. ^ ab «elmoCut: спуфер EyeCandy ARP (домашняя страница GitHub)» . Гитхаб .
  19. Ссылки _ Архивировано из оригинала 16 июня 2020 г. Проверено 23 января 2021 г.
  20. anti-arpspoof. Архивировано 31 августа 2008 г., в Wayback Machine.
  21. ^ «Защитные сценарии | Отравление ARP» . Архивировано из оригинала 22 января 2013 г. Проверено 8 июня 2013 г.
  22. ^ "Защитник Netcut | Arcai.com" . Архивировано из оригинала 08 апреля 2019 г. Проверено 7 февраля 2018 г.
  23. ^ «Проект уловок». Архивировано из оригинала 27 апреля 2016 г. Проверено 18 ноября 2013 г.
  24. ^ «Seringe — статически скомпилированный инструмент отравления ARP» . Архивировано из оригинала 16 сентября 2016 г. Проверено 3 мая 2011 г.
  25. ^ abcdefghij «Уязвимости ARP: Полная документация». l0T3K. Архивировано из оригинала 5 марта 2011 г. Проверено 3 мая 2011 г.
  26. ^ «Инструмент отравления ARP-кэша для Windows» . Архивировано из оригинала 9 июля 2012 года . Проверено 13 июля 2012 г.
  27. ^ "Симсанг". Архивировано из оригинала 4 марта 2016 г. Проверено 25 августа 2013 г.
  28. ^ "Минари". Архивировано из оригинала 08 апреля 2019 г. Проверено 10 января 2018 г.
  29. ^ "НетКут". Архивировано из оригинала 12 ноября 2020 г. Проверено 23 января 2021 г.
  30. ^ «ARPpySHEAR: инструмент отравления кэша ARP, который будет использоваться в атаках MITM» . Гитхаб . Архивировано из оригинала 13 октября 2020 г. Проверено 11 ноября 2019 г.

Внешние ссылки