Постоји много начина за приступ систему. АРП тровање циља на начин на који наши уређаји комуницирају једни са другима.
Поседовање јединствене сајбер безбедности не гарантује потпуну безбедност јер хакери настављају да смишљају нове начине да пробију. Они схватају да покретање директних напада више није толико ефикасно јер их напредни безбедносни механизми могу лако открити. Скривање иза легитимних мрежа кроз технике као што су напади тровања АРП-ом олакшава њихов посао.
Са тровањем АРП-ом, сајбер криминалац може да преусмери вашу ИП адресу и пресреће вашу комуникацију у транзиту без вашег знања. Ево како функционише овај метод напада и како га можете спречити.
Шта је напад тровања АРП-ом?
Аддресс Ресолутион Протоцол (АРП) је процедура повезивања која повезује Интернет Протоцол (ИП) адреса на статичку физичку адресу контроле приступа медијима (МАЦ) преко локалне мреже (ЛАН). Пошто су ИП и МАЦ адресе различите композиције, нису компатибилне. АРП усклађује ову разлику како би осигурао да су оба елемента синхронизована. Иначе се не би препознали.
Напад тровања АРП-ом је процес у коме уљез шаље злонамерни садржај преко локалне мреже (ЛАН) да преусмери везу легитимне ИП адресе на своју МАЦ адресу. У току овога, нападач замењује оригиналну МАЦ адресу која треба да се повеже са ИП адресом, омогућавајући им да приступе порукама које људи шаљу на аутентичну МАЦ адресу.
Како функционише напад тровања АРП-ом?
Неколико мрежа може истовремено да функционише на локалној мрежи (ЛАН). Свака активна мрежа добија одређену ИП адресу која јој служи као средство идентификације и која је разликује од других. Када подаци из различитих мрежа стигну до гејтвеја, АРП их сортира у складу са тим, тако да свака иде право на своје одредиште.
Нападач креира и шаље лажну АРП поруку профилисаном систему. Они додају своју МАЦ адресу и ИП адресу циља у поруку. Након пријема и обраде лажне АРП поруке, систем синхронизује МАЦ адресу нападача са ИП адресом.
Када ЛАН повеже ИП адресу са МАЦ адресом уљеза, уљез почиње да прима све поруке намењене легитимној МАЦ адреси. Они могу да прислушкују комуникацију да би добили осетљиве податке у замену, да модификују комуникацију тако што убацивање злонамерног садржаја да би се помогло њиховој намери, или чак брисање података у транзиту, тако да прималац не добије то.
Врсте напада тровања АРП-ом
Сајбер криминалци могу покренути АРП нападе на два начина: лажирање и тровање кеша.
АРП лажирање
АРП лажирање је процес у којем актер претње кривотвори и шаље АРП одговор систему на који циља. Један фалсификовани одговор је све што уљез мора да пошаље да би систем у питању додао своју МАЦ адресу на белу листу. Ово чини АРП лажирање лаким за извођење.
Нападачи такође користе АРП лажирање за извођење других врста напада, као што је отмица сесије тамо где су преузети ваше сесије прегледања и Човек у средини напада где су пресретање комуникације између два уређаја повезан на мрежу.
АРП кеш тровање
Тровање у овој врсти АРП напада произилази из тога што нападач креира и шаље више фалсификованих АРП одговора свом циљном систему. Они то раде до тачке у којој је систем претрпан неважећим уносима и не може да идентификује своје легитимне мреже.
Сајбер-криминални инжењеринг гужве у саобраћају ће искористити прилику да преусмери ИП адресе на сопствене системе и пресретне комуникације које пролазе кроз њих. Актери претњи користе овај метод АРП напада да би олакшали друге облике напада као што је ускраћивање услуге (ДоС) где преплављују циљни систем нерелевантним порукама да изазову саобраћајну гужву, а затим преусмеравају ИП адресе.
Како можете спречити напад тровања АРП-ом?
Напади тровања АРП-ом имају негативне утицаје на ваш систем, као што је губитак критичних података, нарушавање ваше репутације због излагања ваших осетљивих података, па чак и застоја у случају да нападач мења елементе који покрећу ваше мреже.
Ако не желите да трпите било коју од горе наведених импликација, ево начина да спречите нападе тровања АРП-ом.
1. Креирајте статичке АРП табеле
АРП технологија не може аутоматски да потврди легитимне ИП адресе са њиховим МАЦ адресама. Ово пружа сајбер криминалцима прилику да кривотворе АРП одговоре. Ову рупу можете поправити тако што ћете креирати статичку АРП табелу у којој мапирате све аутентичне МАЦ адресе на вашој мрежи на њихове легитимне ИП адресе. Обе компоненте ће се само повезати и обрадити своје адресе које се подударају, уклањајући могућност нападачима да повежу своје МАЦ адресе са мрежом.
Прављење АРП статичких табела укључује много ручног рада што га чини дуготрајним. Али ако се потрудите, спречићете неколико напада тровања АРП-ом.
2. Примените динамичку АРП инспекцију (ДАИ)
Динамичка АРП инспекција (ДАИ) је систем безбедности мреже који проверава АРП компоненте присутне на мрежи. Он идентификује везе са нелегитимним МАЦ адресама које покушавају да преусмере или пресретну важеће ИП адресе.
ДАИ инспекција проверава све захтеве АРП МАЦ-то-ИП адреса на систему и потврђује да су они легитимни пре него што ажурирају своје информације у АРП кешу и проследе их правим каналима.
3. Сегментирајте своју мрежу
Нападачи изводе нападе тровања АРП-ом, посебно када имају приступ свим деловима мреже. Сегментирање ваше мреже значи да ће различите компоненте бити у различитим областима. Чак и када уљез добије приступ једном делу, постоји ограничење контроле коју има јер неки елементи нису присутни.
Можете учврстити своју сигурност креирањем статичке АРП табеле за сваки сегмент ваше мреже. На тај начин, хакерима је теже да провале у једну област, а камоли у све области.
4. Шифрујте своје податке
Шифровање можда неће имати много утицаја на спречавање хакера да се инфилтрирају у вашу мрежу са нападима тровања АРП-ом, али ће их спречити да модификују ваше податке ако их ухвате. И то зато што шифровање података спречава уљезе да их прочитају без важећег кључа за дешифровање.
Ако је нападач података који краду од напада тровања АРП-ом бескорисан за њих због шифровања, не могу рећи да је њихов напад био успешан.
Спречите нападе тровања АРП-ом са аутентификацијом
Напади тровања АРП напредују када не постоје параметри који би заштитили вашу мрежну повезаност од упада. Када креирате белу листу мрежа и уређаја за одобравање, ставке које нису на листи неће проћи проверу аутентификације и неће моћи да уђу у ваш систем.
Боље је спречити актере претњи да уђу у ваш систем него се бавити њима када су већ унутра. Могу изазвати озбиљну штету пре него што их можете задржати.
