Υπάρχουν πολλοί τρόποι για να αποκτήσετε πρόσβαση σε ένα σύστημα. Η δηλητηρίαση ARP στοχεύει έναν τρόπο με τον οποίο οι συσκευές μας επικοινωνούν μεταξύ τους.
Η ύπαρξη ενιαίας άμυνας στον κυβερνοχώρο δεν εγγυάται απόλυτη ασφάλεια, καθώς οι χάκερ συνεχίζουν να επινοούν νέους τρόπους για να διεισδύσουν. Κατανοούν ότι η εκτόξευση άμεσων επιθέσεων δεν είναι πλέον τόσο αποτελεσματική, καθώς οι προηγμένοι μηχανισμοί ασφαλείας μπορούν να τις εντοπίσουν εύκολα. Η απόκρυψη πίσω από νόμιμα δίκτυα μέσω τεχνικών όπως οι επιθέσεις δηλητηρίασης ARP διευκολύνει τη δουλειά τους.
Με τη δηλητηρίαση ARP, ένας κυβερνοεγκληματίας μπορεί να ανακατευθύνει τη διεύθυνση IP σας και να υποκλέψει τις επικοινωνίες σας κατά τη μεταφορά χωρίς να το γνωρίζετε. Δείτε πώς λειτουργεί αυτή η μέθοδος επίθεσης και πώς μπορείτε να την αποτρέψετε.
Τι είναι μια επίθεση δηλητηρίασης ARP;
Το Πρωτόκολλο Ανάλυσης Διεύθυνσης (ARP) είναι μια διαδικασία συνδεσιμότητας που συνδέει ένα Πρωτόκολλο Διαδικτύου (IP) διεύθυνση στη στατική φυσική διεύθυνση ενός Media Access Control (MAC) μέσω ενός τοπικού δικτύου (LAN). Δεδομένου ότι οι διευθύνσεις IP και MAC είναι διαφορετικής σύνθεσης, δεν είναι συμβατές. Το ARP συμβιβάζει αυτή τη διαφορά για να διασφαλίσει ότι και τα δύο στοιχεία είναι συγχρονισμένα. Διαφορετικά, δεν θα αναγνώριζαν τον εαυτό τους.
Μια επίθεση δηλητηρίασης ARP είναι μια διαδικασία κατά την οποία ένας εισβολέας στέλνει κακόβουλο περιεχόμενο μέσω ενός τοπικού δικτύου (LAN) για να ανακατευθύνει τη σύνδεση μιας νόμιμης διεύθυνσης IP στη διεύθυνση MAC του. Κατά τη διάρκεια αυτού, ο εισβολέας εκτοπίζει την αρχική διεύθυνση MAC που θα πρέπει να συνδεθεί με τη διεύθυνση IP, επιτρέποντάς τους να έχουν πρόσβαση στα μηνύματα που στέλνουν οι άνθρωποι στην αυθεντική διεύθυνση MAC.
Πώς λειτουργεί μια επίθεση δηλητηρίασης ARP;
Πολλά δίκτυα μπορούν να λειτουργούν ταυτόχρονα σε ένα τοπικό δίκτυο (LAN). Κάθε ενεργό δίκτυο λαμβάνει μια συγκεκριμένη διεύθυνση IP που χρησιμεύει ως μέσο αναγνώρισής του και το διαφοροποιεί από άλλα. Όταν τα δεδομένα από τα διάφορα δίκτυα φτάνουν στην πύλη, το ARP τα ταξινομεί ανάλογα, έτσι το καθένα πηγαίνει κατευθείαν στον προορισμό του.
Ο εισβολέας δημιουργεί και στέλνει ένα ψευδές μήνυμα ARP στο σύστημα με προφίλ. Προσθέτουν τη διεύθυνση MAC τους και τη διεύθυνση IP του στόχου στο μήνυμα. Με τη λήψη και την επεξεργασία του ψευδούς μηνύματος ARP, το σύστημα συγχρονίζει τη διεύθυνση MAC του εισβολέα με τη διεύθυνση IP.
Μόλις το LAN συνδέσει τη διεύθυνση IP με τη διεύθυνση MAC του εισβολέα, ο εισβολέας αρχίζει να λαμβάνει όλα τα μηνύματα που προορίζονται για τη νόμιμη διεύθυνση MAC. Μπορούν να κρυφακούσουν την επικοινωνία για να ανακτήσουν ευαίσθητα δεδομένα σε ανταλλαγή, να τροποποιήσουν την επικοινωνία με εισαγωγή κακόβουλου περιεχομένου για να βοηθήσει την πρόθεσή τους ή ακόμα και να διαγράψει τα δεδομένα κατά τη μεταφορά, έτσι ώστε ο δέκτης να μην λάβει το.
Τύποι επιθέσεων δηλητηρίασης ARP
Οι εγκληματίες του κυβερνοχώρου μπορούν να εξαπολύσουν επιθέσεις ARP με δύο τρόπους: Spoofing και Cache Poisoning.
ARP Spoofing
Η πλαστογράφηση ARP είναι μια διαδικασία όπου ένας παράγοντας απειλής πλαστογραφεί και στέλνει μια απάντηση ARP στο σύστημα που στοχεύει. Μια πλαστή απάντηση είναι το μόνο που πρέπει να στείλει ο εισβολέας στο εν λόγω σύστημα για να προσθέσει τη διεύθυνση MAC του στη λίστα επιτρεπόμενων. Αυτό κάνει την πλαστογράφηση ARP εύκολη στην εκτέλεση.
Οι εισβολείς χρησιμοποιούν επίσης πλαστογράφηση ARP για να εκτελέσουν άλλα είδη επιθέσεων, όπως η πειρατεία συνεδρίας όπου αναλάβει τις συνεδρίες περιήγησής σας και ο Man-in-the-Middle επιτίθεται όπου αυτοί παρεμποδίζει την επικοινωνία μεταξύ δύο συσκευών συνδεδεμένο σε δίκτυο.
ARP Cache Poisoning
Η δηλητηρίαση σε αυτό το είδος επίθεσης ARP προέρχεται από τον εισβολέα που δημιουργεί και στέλνει πολλαπλές πλαστές απαντήσεις ARP στο σύστημα-στόχο του. Το κάνουν αυτό σε σημείο που το σύστημα κατακλύζεται από μη έγκυρες καταχωρήσεις και δεν μπορεί να αναγνωρίσει τα νόμιμα δίκτυά του.
Ο κυβερνοεγκληματικός μηχανικός της κυκλοφοριακής ταραχής θα αδράξει την ευκαιρία να ανακατευθύνει τις διευθύνσεις IP στα δικά τους συστήματα και να υποκλέψει τις επικοινωνίες που διέρχονται από αυτά. Οι φορείς απειλών χρησιμοποιούν αυτήν τη μέθοδο επίθεσης ARP για να διευκολύνουν άλλες μορφές επιθέσεων όπως το Denial of Service (DoS) όπου πλημμυρίζουν το σύστημα στόχο με άσχετα μηνύματα για να προκαλέσουν μποτιλιάρισμα και μετά ανακατευθύνουν την IP διευθύνσεις.
Πώς μπορείτε να αποτρέψετε μια επίθεση δηλητηρίασης ARP;
Οι επιθέσεις δηλητηρίασης ARP έχουν αρνητικές επιπτώσεις στο σύστημά σας, όπως η απώλεια κρίσιμων δεδομένων, ένα βαθούλωμα στη φήμη σας λόγω της έκθεσης των ευαίσθητων δεδομένων σας, ακόμη και λόγω του χρόνου διακοπής λειτουργίας, εάν ο εισβολέας παραβιάσει στοιχεία που σας οδηγούν δίκτυο.
Εάν δεν θέλετε να υποστείτε καμία από τις παραπάνω συνέπειες, ακολουθούν τρόποι για να αποτρέψετε τις επιθέσεις δηλητηρίασης ARP.
1. Δημιουργία στατικών πινάκων ARP
Η τεχνολογία ARP δεν μπορεί να επικυρώσει αυτόματα τις νόμιμες διευθύνσεις IP με τις διευθύνσεις MAC τους. Αυτό δίνει στους εγκληματίες του κυβερνοχώρου την ευκαιρία να πλαστογραφήσουν απαντήσεις ARP. Μπορείτε να διορθώσετε αυτό το κενό δημιουργώντας έναν στατικό πίνακα ARP όπου αντιστοιχίζετε όλες τις αυθεντικές διευθύνσεις MAC στο δίκτυό σας με τις νόμιμες διευθύνσεις IP τους. Και τα δύο στοιχεία θα συνδέονται και θα επεξεργάζονται μόνο τις αντίστοιχες διευθύνσεις τους, αφαιρώντας την ευκαιρία για τους εισβολείς να συνδέσουν τις διευθύνσεις MAC τους στο δίκτυο.
Η κατασκευή στατικών πινάκων ARP περιλαμβάνει πολλή χειρωνακτική εργασία που την καθιστά χρονοβόρα. Αλλά αν βάλετε τη δουλειά, θα αποτρέψετε πολλές επιθέσεις δηλητηρίασης ARP.
2. Εφαρμογή δυναμικής επιθεώρησης ARP (DAI)
Το Dynamic ARP Inspection (DAI) είναι ένα σύστημα ασφάλειας δικτύου που επαληθεύει τα στοιχεία ARP που υπάρχουν σε ένα δίκτυο. Προσδιορίζει συνδέσεις με μη νόμιμες διευθύνσεις MAC που προσπαθούν να ανακατευθύνουν ή να υποκλέψουν έγκυρες διευθύνσεις IP.
Η επιθεώρηση DAI ελέγχει όλα τα αιτήματα διεύθυνσης ARP MAC-to-IP στο σύστημα και επιβεβαιώνει ότι είναι νόμιμες πριν ενημερώσει τις πληροφορίες τους στην κρυφή μνήμη ARP και τις διαβιβάσει στα σωστά κανάλια.
3. Τμηματοποιήστε το δίκτυό σας
Οι εισβολείς εκτελούν επιθέσεις δηλητηρίασης ARP, ειδικά όταν έχουν πρόσβαση σε όλες τις περιοχές ενός δικτύου. Η τμηματοποίηση του δικτύου σας σημαίνει ότι τα διάφορα στοιχεία θα βρίσκονται σε διαφορετικές περιοχές. Ακόμη και όταν ένας εισβολέας αποκτά πρόσβαση σε ένα μέρος, υπάρχει ένα όριο στον έλεγχο που μπορεί να έχει, καθώς ορισμένα στοιχεία δεν υπάρχουν.
Μπορείτε να ενισχύσετε την ασφάλειά σας δημιουργώντας έναν στατικό πίνακα ARP για κάθε τμήμα του δικτύου σας. Με αυτόν τον τρόπο, είναι πιο δύσκολο για τους χάκερ να εισβάλουν σε μια ενιαία περιοχή, πόσο μάλλον σε όλες τις περιοχές.
4. Κρυπτογράφηση των Δεδομένων σας
Η κρυπτογράφηση μπορεί να μην έχει μεγάλο αντίκτυπο στο να εμποδίσει τους χάκερ να διεισδύσουν στο δίκτυό σας με επιθέσεις δηλητηρίασης ARP, αλλά θα τους αποτρέψει από το να τροποποιήσουν τα δεδομένα σας εάν τα καταλάβουν. Και αυτό γιατί Η κρυπτογράφηση δεδομένων εμποδίζει τους εισβολείς να τα διαβάσουν χωρίς το έγκυρο κλειδί αποκρυπτογράφησης.
Εάν οι εισβολείς δεδομένων που κλέβουν από μια επίθεση δηλητηρίασης ARP είναι άχρηστος για αυτούς λόγω κρυπτογράφησης, δεν μπορούν να πουν η επίθεσή τους ήταν επιτυχής.
Αποτρέψτε τις επιθέσεις δηλητηρίασης ARP με έλεγχο ταυτότητας
Οι επιθέσεις δηλητηρίασης ARP ευδοκιμούν όταν δεν υπάρχουν παράμετροι που να προστατεύουν τη συνδεσιμότητα του δικτύου σας από εισβολή. Όταν δημιουργείτε μια λίστα επιτρεπόμενων δικτύων και συσκευών προς έγκριση, τα στοιχεία που δεν περιλαμβάνονται στη λίστα θα αποτύχουν στον έλεγχο ταυτότητας και δεν θα μπορούν να εισέλθουν στο σύστημά σας.
Είναι καλύτερα να αποτρέψετε τους παράγοντες απειλών να εισέλθουν στο σύστημά σας παρά να τους αντιμετωπίσετε όταν είναι ήδη μέσα. Μπορεί να προκαλέσουν σοβαρή ζημιά προτού μπορέσετε να τα περιορίσετε.
