Атака путем подделки записей кэша arp что это

Ответы

Простите за тупость. но нашел причину.я совсем забыл про телевизор который тоже подключен к WiFi роутеру. По проводу у телевизора получаеться IP 192.168.1.93. Если же подключиться по WiFi то IP становиться 192.168.1.22 (как раз тот самый злополучный IP, который ESS настрыно блокирует). Стоит выключить телевизор или поменять способ подключения с WiFi на провод, по атака прекращаеться.

IP адрес WiFi роутера: 192.168.1.1.
IP андроид устройства: 192.168.1.6.
IP компьютера: 192.168.1.242.
IP телевизора по проводу: 192.168.1.93 МАК адрес СС:2D:8C:11:5C:9F
IP телевизора по WiFi: 192.168.1.22 МАК адрес 94:44:44:ЕС:48:8F

Получаеться, что при подключении по проводу в роутере регестрируется один IP 192.168.1.93 и соответственно один МАК адрес СС:2D:8C:11:5C:9F . Так как в этот момент работает только проводной интернет, а WiFi находится в выключеном состоянии.

При подключении по WiFi в роутере регестрируется 2 якобы телевизора с одинаковыми IP адресами, но разными МАК адресами (вот как это выглядит в роутере): 192.168.1.22 МАК адрес СС:2D:8C:11:5C:9F
192.168.1.22 МАК адрес 94:44:44:ЕС:48:8F
Это я так понял потому что одновременно работает WiFi и подключен провод к телевизору. Как это исправить пока не разобрался.

Понимаю это уже не важа забота, но все таки может вы подскажите как исправить ( кроме как в ESS добавить данный IP адрес в список исключений)?

Подделка записей кэша ARP

Протокол разрешения адресов (Address Resolution Protocol, ARP) преобразует адреса на канальном (MAC-адреса) и сетевом (IP-адреса) уровнях. Атака путем поделки записей кэша ARP позволяет злоумышленникам перехватывать обмен данными между сетевыми устройствами за счет повреждения таблиц ARP сети (сопоставлений MAC- и IP-адресов устройств).

На используемый по умолчанию сетевой шлюз злоумышленник отправляет фальшивое ответное сообщение ARP, которое информирует, что MAC-адрес связан с IP-адресом другого целевого объекта. Когда используемый по умолчанию шлюз получает это сообщение и транслирует данное изменение на все другие устройства в сети, весь трафик целевого объекта на любое другое сетевое устройство начинает проходить через компьютер злоумышленника. Это действие позволяет злоумышленнику проверять или изменять трафик перед его перенаправлением в надлежащее место назначения.

Отравление ARP: что это такое и как предотвратить ARP-спуфинг

«Отравление» ARP (ARP Poisoning) — это тип кибератаки, которая использует слабые места широко распространенного протокола разрешения адресов (Address Resolution Protocol, ARP) для нарушения или перенаправления сетевого трафика или слежения за ним. В этой статье мы вкратце рассмотрим, зачем нужен ARP, проанализируем его слабые места, которые делают возможным отравление ARP, а также меры, которые можно принять для обеспечения безопасности организации.

Что такое ARP?

ARP предназначен для определения MAC-адреса по IP-адресу другого компьютера. ARP позволяет подключенным к сети устройствам запрашивать, какому устройству в настоящее время назначен конкретный IP-адрес. Устройства также могут сообщать об этом назначении остальной части сети без запроса. В целях эффективности устройства обычно кэшируют эти ответы и создают список текущих назначений MAC-IP.

Что такое отравление ARP?

«Отравление» (подмена) ARP заключается в использовании слабых сторон ARP для нарушения назначений MAC-IP для других устройств в сети. В 1982 году, когда был представлен протокол ARP, обеспечение безопасности не было первостепенной задачей, поэтому разработчики протокола никогда не использовали механизмы аутентификации для проверки сообщений ARP. Любое устройство в сети может ответить на запрос ARP, независимо от того, является ли оно адресатом данного запроса. Например, если компьютер A запрашивает MAC-адрес компьютера B, ответить может злоумышленник на компьютере C, и компьютер A примет этот ответ как достоверный. За счет этой уязвимости было проведено огромное количество атак. Используя легкодоступные инструменты, злоумышленник может «отравить» кэш ARP других хостов в локальной сети, заполнив его неверными данными.

Этапы отравления ARP

Этапы отравления ARP могут различаться, но обычно их минимальный перечень таков:

1. Злоумышленник выбирает машину или машины жертвы
   Первым шагом в планировании и реализации атаки ARP Poisoning является выбор цели. Это может быть конкретная конечная точка в сети, группа конечных точек или сетевое устройство, такое как маршрутизатор. Маршрутизаторы являются привлекательными целями, поскольку успешное отравление ARP маршрутизатора может нарушить трафик для всей подсети.
2. Злоумышленник запускает инструменты и начинает атаку
   Всем злоумышленникам, желающим выполнить отравление ARP, легко доступен широкий спектр инструментов. После запуска выбранного инструмента и настройки соответствующих параметров злоумышленник начинает атаку. Он может незамедлительно начать рассылку сообщений ARP или дождаться получения запроса.
3. Злоумышленник выполняет определенные действия с некорректно направленным трафиком
   После повреждения кэша ARP на устройстве (устройствах) жертвы злоумышленник обычно выполняет какие-то действия с некорректно направленным трафиком. Он может просматривать или изменять его, либо создать «черную дыру», чтобы данные никогда не доходили до адресата. Выбор действий зависит от мотивов злоумышленника.

Типы атак ARP Poisoning

Имеется два основных способа отравления ARP: злоумышленник может либо дождаться запроса ARP в отношении конкретной цели и дать на него ответ, либо использовать самообращённые запросы (gratuitous ARP). Первый вариант ответа будет менее заметен в сети, но его потенциальное влияние также будет меньшим. Cамообращенные запросы ARP могут быть более эффективными и затронуть большее количество жертв, но они имеют обратную сторону — генерирование большого объема сетевого трафика. При любом подходе поврежденный кэш ARP на устройствах-жертвах может быть использован для дальнейших целей:

Атаки Man-in-the-Middle

Атаки MiTM, вероятно, являются наиболее распространенной и потенциально наиболее опасной целью отравления ARP. Злоумышленник отправляет ложные ответы ARP по заданному IP-адресу (обычно это шлюз по умолчанию для конкретной подсети). Это заставляет устройства-жертвы заполнять свой кэш ARP MAC-адресом машины злоумышленника вместо MAC-адреса локального маршрутизатора. Затем устройства-жертвы некорректно пересылают сетевой трафик злоумышленнику. Такие инструменты, как Ettercap, позволяют злоумышленнику выступать в роли прокси-сервера, просматривая или изменяя информацию перед отправкой трафика по назначению. Жертва при этом может не заметить каких-либо изменений в работе.
Одновременное отравление ARP и отравление DNSможет значительно повысить эффективность атаки MiTM. В этом сценарии пользователь-жертва может ввести адрес легитимного сайта (например, google.com) и получить IP-адрес машины злоумышленника вместо корректного адреса.

Отказ в обслуживании (Denial of Service, DoS)

DoS-атака заключается в том, что одной или нескольким жертвам отказывается в доступе к сетевым ресурсам. В случае ARP, злоумышленник может отправить ответ ARP, который ложно назначает сотни или даже тысячи IP-адресов одному MAC-адресу, что потенциально может привести к перегрузке целевого устройства. Атака этого типа, иногда называемая «лавинной рассылкой ARP» (ARP-флудингом), также может быть нацелена на коммутаторы, что потенциально может повлиять на производительность всей сети.

Перехват сеанса

Перехват сеанса по своей природе похож на MiTM за исключением того, что злоумышленник не будет напрямую перенаправлять трафик с машины жертвы на целевое устройство. Вместо этого он захватывает подлинный порядковый номер TCP или файл cookie жертвы и использует его, чтобы выдавать себя за жертву. Так он может, к примеру, получить доступ к учетной записи данного пользователя в соцсети, если тот в нее вошел.

Какова цель отравления ARP?

У хакеров всегда самые разные мотивы, в том числе при осуществлении отравления ARP, начиная от шпионажа высокого уровня и заканчивая азартом создания хаоса в сети. В одном из возможных сценариев злоумышленник может использовать ложные сообщения ARP, чтобы взять на себя роль шлюза по умолчанию для данной подсети, эффективно направляя весь трафик на свое устройство вместо локального маршрутизатора. Затем он может следить за трафиком, изменять или сбрасывать его. Такие атаки являются «громкими», поскольку оставляют за собой улики, но при этом не обязательно влияют на работу сети. Если целью атаки является шпионаж, машина злоумышленника просто перенаправляет трафик изначальному адресату, не давая ему оснований подозревать, что что-то изменилось.

Другой целью может быть значительное нарушение работы сети. Например, довольно часто DoS-атаки выполняются не очень опытными хакерами просто для получения удовольствия от созданных проблем.

Опасным типом отравления ARP являются инсайдерские атаки. Поддельные сообщения ARP не выходят за пределы локальной сети, поэтому атака должна исходить от локального устройства. Внешнее устройство также потенциально может инициировать ARP-атаку, но сначала ему нужно удаленно скомпрометировать локальную систему другими способами, в то время как инсайдеру требуется только подключение к сети и некоторые легкодоступные инструменты.

ARP-спуфинг vs отравление ARP

Термины «ARP-спуфинг» и «отравление ARP» обычно используются как синонимы. Технически под спуфингом понимается выдача злоумышленником своего адреса за MAC-адрес другого компьютера, в то время как отравлением (подменой) называют повреждение ARP-таблиц на одной или нескольких машинах-жертвах. Однако на практике это элементы одной и той же атаки. Также эту атаку иногда называют «отравлением кэша ARP» или «повреждением ARP-таблицы».

Последствия атак ARP Poisoning

Основной эффект отравления ARP заключается в том, что трафик, предназначенный для одного или нескольких хостов в локальной сети, вместо этого направляется на устройство, выбранное злоумышленником. Конкретные последствия атаки зависят от ее специфики. Трафик может направляться на машину злоумышленника или в несуществующее место. В первом случае заметного эффекта может не быть, в то время как во втором может быть заблокирован доступ к сети.

Само по себе отравление кэша ARP не оказывает длительного воздействия. Записи ARP кэшируются от нескольких минут на конечных устройствах до нескольких часов на коммутаторах. Как только злоумышленник перестает активно заражать таблицы, поврежденные записи просто устаревают, и вскоре возобновляется нормальный поток трафика. Само по себе отравление ARP не оставляет постоянной инфекции или «точек опоры» на машинах-жертвах. Однако нередко хакеры совершают ряд атак по цепочке, и отравление ARP может быть элементом более масштабной атаки.

Как обнаружить отравление кэша ARP

Существует множество платных программ и программ с открытым исходным кодом для обнаружения отравления кэша ARP, однако проверить ARP-таблицы на своем компьютере можно даже без установки специального ПО. В большинстве систем Windows, Mac и Linux ввод команды arp-a в терминале или командной строке отобразит текущие назначения IP-адресов и MAC-адресов машины.

Такие инструменты, как arpwatch и X-ARP, позволяют осуществлять непрерывный мониторинг сети и могут предупредить администратора о выявлении признаков отравления кэша ARP. Однако достаточно высока вероятность ложных срабатываний.

Как предотвратить отравление ARP

Cуществует несколько методов предотвращения отравления ARP:

Статические ARP-таблицы

Можно статически назначить все MAC-адреса в сети соответствующим IP-адресам. Это очень эффективно для предотвращения отравления ARP, но требует огромных трудозатрат. Любое изменение в сети потребует ручного обновления ARP-таблиц на всех хостах, в связи с чем для большинства крупных организаций использование статических ARP-таблиц является нецелесообразным. Но в ситуациях, когда безопасность имеет первостепенное значение, выделение отдельного сегмента сети для статических ARP-таблиц может помочь защитить критически важную информацию.

Защита коммутатора

Большинство управляемых коммутаторов Ethernet оснащены функциями предотвращения атак ARP Poisoning. Эти функции, известные как динамическая проверка ARP (Dynamic ARP Inspection, DAI), оценивают достоверность каждого сообщения ARP и отбрасывают пакеты, которые выглядят подозрительными или вредоносными. С помощью DAI также можно ограничить скорость прохождения сообщений ARP через коммутатор, эффективно предотвращая DoS-атаки.

DAI и аналогичные функции когда-то были доступны исключительно для высокопроизводительного сетевого оборудования, но теперь они представлены практически на всех коммутаторах бизнес-класса, в том числе используемых в небольших компаниях. Обычно рекомендуется включать DAI на всех портах, кроме подключенных к другим коммутаторам. Эта функция не оказывает значительного влияния на производительность; при этом, вместе с ней может понадобиться включение других функций, например DHCP Snooping.

Включение защиты порта на коммутаторе также может помочь минимизировать последствия отравления кэша ARP. Защиту порта можно настроить таким образом, чтобы разрешить использование только одного MAC-адреса на порте коммутатора, что лишает злоумышленника возможности применять несколько сетевых идентификаторов.

Физическая защита

Предотвратить атаки ARP Poisoning также поможет надлежащий контроль физического доступа к рабочему месту пользователей. Сообщения ARP не выходят за пределы локальной сети, поэтому потенциальные злоумышленники должны находиться в физической близости к сети жертвы или уже иметь контроль над машиной в сети. Обратите внимание, что в случае беспроводной сети территориальная близость не обязательно означает прямой физический доступ: может быть достаточно сигнала, который достигает двора или парковки. Независимо от типа соединения (проводное или беспроводное), использование технологии наподобие 802.1x может гарантировать подключение к сети только доверенных и/или управляемых устройств.

Сетевая изоляция

Хорошо сегментированная сеть может быть менее восприимчива к отравлению кэша ARP в целом, поскольку атака в одной подсети не влияет на устройства в другой. Концентрация важных ресурсов в выделенном сегменте сети с более строгими мерами безопасности может значительно снизить потенциальное влияние атаки ARP Poisoning.

Шифрование

Хотя шифрование не предотвращает ARP-атаку, оно может снизить потенциальный ущерб. Раньше популярной целью атак MiTM было получение учетных данных для входа в систему, которые когда-то передавались в виде обычного текста. Благодаря распространению шифрования SSL/TLS совершать такие атаки стало сложнее.

Что такое ARP-спуфинг и как от него защититься?

Подмена протокола разрешения адресов (ARP) или ARP-спуфинг – это сетевая атака, которую хакеры используют для перехвата данных. Проведя эту атаку, злоумышленник обманывает устройство и перехватывает сообщения. Как защититься от такой атаки? Давайте разбираться!

Немного про протокол ARP и его подмену

Чтобы понимать метод работы ARP-спуфинга, нам понадобятся базовые знания о протоколе ARP.

ARP – протокол связи, соединяющий динамический IP-адрес с MAC-адресом устройства и поток данных в локальной сети. Например, хост A в компьютерной сети хочет соединить свой IP-адрес с MAC-адресом хоста B. Для этого он посылает ARP-запрос всем другим хостам в локальной сети. После этого запроса он получает ARP-ответ от хоста B с его MAC-адресом. Затем запрашивающий хост сохраняет этот адрес в своем ARP-кэше, похожем на список контактов.

Именно здесь и вступают в дело злоумышленники. Выдавая себя за хост B, они отправляют сообщения на хост A. В итоге адрес хакера сохраняется в ARP-кэше как адрес хоста B и будет получать предназначенные для хоста сообщения.

Для чего же используется ARP-спуфинг?

Для шпионажа, проведения MITM и DoS-атак. Кратко разберем каждую из задач:

• Шпионаж – хакеры просто просматривают поток данных между хостами A и B, не меняя его;
• MITM-атака или атака посредника – злоумышленники меняют информацию перед ее отправкой на целевой узел;
• DoS-атака – киберпреступники блокируют передачу данных между двумя и более узлами.

Врага нужно знать в лицо: кто пользуется ARP-спуфингом?

Методом подмены ARP пользуются не только хакеры. Он помогает разработчикам отлаживать сетевой трафик, а также используется пентестерами для имитации отравления ARP-кэша.

Последствия атак с использованием ARP-спуфинга

Если злоумышленники шпионят за жертвой, проводят MITM-атаку или планируют другие атаки в будущем, то жертва может даже и не заметить каких-либо последствий от подмены ARP. Но как только конечная цель хакеров будет достигнута, они могут попробовать перегрузить компьютер с помощью вредоносного ПО или заразить систему программой-вымогателем.

Почему ARP-спуфинг опасен?

С помощью ARP-спуфинга хакеры получают доступ к личным данным жертв. К тому же, эти атаки могут быть использованы для внедрения вредоносного ПО.

А как определить подмену ARP?

Чтобы проверить, подвергся ли ваш ARP спуфингу, найдите кэш ARP-протокола. Для этого подойдет любая программа для управления конфигурацией устройства. Если в вашем ARP-кэше будут два IP-адреса с одинаковыми MAC-адресами, то вы могли стать жертвой атаки. Хакеры обычно используют поддельное программное обеспечение, которое отправляет сообщения о том, что его адрес является адресом шлюза по умолчанию.

Еще можно просмотреть ARP-трафик на предмет незапрашиваемых сообщений, претендующих на владение IP или MAC-адресом вашего маршрутизатора. Такие сообщения почти всегда являются сигналом об атаке с подменой ARP.

Как защититься от ARP-спуфинга?

Для защиты от ARP-спуфинга существуют несколько инструментов:

• Статические ARP-записи – самый простой способ защиты от ARP-спуфинга. Такая запись вводится вручную, не давая устройству автоматически изменить ARP-кэш. Помните, этот метод можно использовать только для некоторых записей (например, стандартных адресов шлюзов), а клиентские узлы все так же остаются уязвимы к атаке.
• ПО для проверки ARP-запросов. Оно сертифицирует IP/MAC адреса и блокирует несертифицированные ответы. Есть другая версия такого ПО, сообщающая хосту об изменениях в ARP-кэше.
• Брандмауэры с фильтрацией пакетов. Они определяют попытки маскировки хакеров под другой хост, отмечая пакеты, отправленные с повторяющихся адресов.
• Шифрование. Это самый важный способ защиты от ARP-атаки. Оно значительно усложняет взлом ARP и не дает хакеру прочитать сообщения после их перехвата.
• VPN. При подключении к VPN все ваши данные будут проходить через зашифрованный туннель, гарантированно защищающий от любых хакерских атак.

Лучшая защита – нападение?

В конце хотелось бы упомянуть необычный способ защиты – имитацию ARP-спуфинга в своей сети для нахождения брешей в системах безопасности. Инструменты для пентеста широко доступны и просты в использовании, поэтому такая стратегия защиты от ARP-атак имеет полное право на существование.

Дверь в завтра открывается сегодня: пройдите через портал последних технологий с нами!