Что такое ARP-спуфинг и как от него защититься?

Немного про протокол ARP и его подмену

Чтобы понимать метод работы ARP-спуфинга, нам понадобятся базовые знания о протоколе ARP.

ARP – протокол связи, соединяющий динамический IP-адрес с MAC-адресом устройства и поток данных в локальной сети. Например, хост A в компьютерной сети хочет соединить свой IP-адрес с MAC-адресом хоста B. Для этого он посылает ARP-запрос всем другим хостам в локальной сети. После этого запроса он получает ARP-ответ от хоста B с его MAC-адресом. Затем запрашивающий хост сохраняет этот адрес в своем ARP-кэше, похожем на список контактов.

Именно здесь и вступают в дело злоумышленники. Выдавая себя за хост B, они отправляют сообщения на хост A. В итоге адрес хакера сохраняется в ARP-кэше как адрес хоста B и будет получать предназначенные для хоста сообщения.

Для чего же используется ARP-спуфинг?

Для шпионажа, проведения MITM и DoS-атак. Кратко разберем каждую из задач:

• Шпионаж – хакеры просто просматривают поток данных между хостами A и B, не меняя его;
• MITM-атака или атака посредника – злоумышленники меняют информацию перед ее отправкой на целевой узел;
• DoS-атака – киберпреступники блокируют передачу данных между двумя и более узлами.

Врага нужно знать в лицо: кто пользуется ARP-спуфингом?

Методом подмены ARP пользуются не только хакеры. Он помогает разработчикам отлаживать сетевой трафик, а также используется пентестерами для имитации отравления ARP-кэша.

Последствия атак с использованием ARP-спуфинга

Если злоумышленники шпионят за жертвой, проводят MITM-атаку или планируют другие атаки в будущем, то жертва может даже и не заметить каких-либо последствий от подмены ARP. Но как только конечная цель хакеров будет достигнута, они могут попробовать перегрузить компьютер с помощью вредоносного ПО или заразить систему программой-вымогателем.

Почему ARP-спуфинг опасен?

С помощью ARP-спуфинга хакеры получают доступ к личным данным жертв. К тому же, эти атаки могут быть использованы для внедрения вредоносного ПО.

А как определить подмену ARP?

Чтобы проверить, подвергся ли ваш ARP спуфингу, найдите кэш ARP-протокола. Для этого подойдет любая программа для управления конфигурацией устройства. Если в вашем ARP-кэше будут два IP-адреса с одинаковыми MAC-адресами, то вы могли стать жертвой атаки. Хакеры обычно используют поддельное программное обеспечение, которое отправляет сообщения о том, что его адрес является адресом шлюза по умолчанию.

Еще можно просмотреть ARP-трафик на предмет незапрашиваемых сообщений, претендующих на владение IP или MAC-адресом вашего маршрутизатора. Такие сообщения почти всегда являются сигналом об атаке с подменой ARP.

Как защититься от ARP-спуфинга?

Для защиты от ARP-спуфинга существуют несколько инструментов:

• Статические ARP-записи – самый простой способ защиты от ARP-спуфинга. Такая запись вводится вручную, не давая устройству автоматически изменить ARP-кэш. Помните, этот метод можно использовать только для некоторых записей (например, стандартных адресов шлюзов), а клиентские узлы все так же остаются уязвимы к атаке.
• ПО для проверки ARP-запросов. Оно сертифицирует IP/MAC адреса и блокирует несертифицированные ответы. Есть другая версия такого ПО, сообщающая хосту об изменениях в ARP-кэше.
• Брандмауэры с фильтрацией пакетов. Они определяют попытки маскировки хакеров под другой хост, отмечая пакеты, отправленные с повторяющихся адресов.
• Шифрование. Это самый важный способ защиты от ARP-атаки. Оно значительно усложняет взлом ARP и не дает хакеру прочитать сообщения после их перехвата.
• VPN. При подключении к VPN все ваши данные будут проходить через зашифрованный туннель, гарантированно защищающий от любых хакерских атак.

Лучшая защита – нападение?

В конце хотелось бы упомянуть необычный способ защиты – имитацию ARP-спуфинга в своей сети для нахождения брешей в системах безопасности. Инструменты для пентеста широко доступны и просты в использовании, поэтому такая стратегия защиты от ARP-атак имеет полное право на существование.