В компьютерной сети , ARP спуфинга , отравление кэша ARP , или маршрутизации ядовитым ARP , является метод , с помощью которой злоумышленник посылает ( поддельный ) Address Resolution Protocol (ARP) сообщений на локальной сети . Как правило, цель состоит в том, чтобы связать MAC-адрес злоумышленника с IP-адресом другого хоста , такого как шлюз по умолчанию , в результате чего любой трафик, предназначенный для этого IP-адреса, вместо этого отправляется злоумышленнику.
Подмена ARP может позволить злоумышленнику перехватить фреймы данных в сети, изменить трафик или остановить весь трафик. Часто атака используется в качестве открытия для других атак, таких как отказ в обслуживании , человек посередине или атаки с захватом сеанса . [1]
Атака может быть использована только в сетях, использующих ARP, и требует, чтобы злоумышленник имел прямой доступ к сегменту локальной сети, который будет атакован. [2]
Уязвимости ARP
Address Resolution Protocol (ARP), широко используемый протокол связи для решения Интернета слоя адреса в канальном уровне адреса.
Когда дейтаграмма Интернет-протокола (IP) отправляется с одного хоста на другой в локальной сети , IP-адрес назначения должен быть преобразован в MAC-адрес для передачи через уровень канала данных . Когда известен IP-адрес другого хоста и необходим его MAC-адрес, в локальную сеть отправляется широковещательный пакет . Этот пакет известен как запрос ARP . Затем конечный компьютер с IP-адресом в ARP-запросе отвечает ARP-ответом, который содержит MAC-адрес для этого IP-адреса. [2]
ARP - это протокол без сохранения состояния . Сетевые узлы автоматически кэшируют любые полученные ARP-ответы независимо от того, запрашивали ли их сетевые узлы. Даже записи ARP, срок действия которых еще не истек, будут перезаписаны при получении нового пакета ответа ARP. В протоколе ARP нет метода, с помощью которого хост может аутентифицировать однорангового узла, от которого исходит пакет. Такое поведение является уязвимостью, которая позволяет спуфингу ARP. [1] [2] [3]
Анатомия атаки
Основной принцип спуфинга ARP заключается в использовании отсутствия аутентификации в протоколе ARP путем отправки поддельных сообщений ARP в локальную сеть. Атаки с подменой ARP могут быть запущены со скомпрометированного хоста в локальной сети или с машины злоумышленника, подключенной непосредственно к целевой локальной сети.
Злоумышленник, использующий спуфинг ARP, маскируется под хост для передачи данных в сети между пользователями. [4] Тогда пользователи не будут знать, что злоумышленник не является настоящим хостом в сети. [4]
Как правило, цель атаки - связать MAC-адрес хоста злоумышленника с IP-адресом целевого хоста , чтобы любой трафик, предназначенный для целевого хоста, был отправлен на хост злоумышленника. Злоумышленник может выбрать проверку пакетов (шпионаж), перенаправляя трафик в фактическое место назначения по умолчанию, чтобы избежать обнаружения, изменить данные перед их пересылкой ( атака человек посередине ) или запустить отказ в обслуживании. атака путем отбрасывания некоторых или всех пакетов в сети.
Оборона
Статические записи ARP
Самая простая форма сертификации - это использование статических записей только для чтения для критических служб в кэше ARP хоста. Сопоставления IP-адреса с MAC-адресом в локальном кэше ARP можно вводить статически. Хостам не нужно передавать запросы ARP, если такие записи существуют. [5] Хотя статические записи обеспечивают некоторую защиту от спуфинга, они требуют усилий по обслуживанию, поскольку сопоставления адресов для всех систем в сети должны быть сгенерированы и распределены. Это не масштабируется в большой сети, так как сопоставление должно быть установлено для каждой пары машин, что приводит к n 2 - n записям ARP, которые должны быть настроены при наличии n машин; На каждой машине должна быть запись ARP для каждой другой машины в сети; n-1 запись ARP на каждой из n машин.
Программное обеспечение для обнаружения и предотвращения
Программное обеспечение, обнаруживающее спуфинг ARP, обычно полагается на какую-либо форму сертификации или перекрестной проверки ответов ARP. Затем несертифицированные ответы ARP блокируются. Эти методы могут быть интегрированы с DHCP-сервером, чтобы сертифицировались как динамические, так и статические IP- адреса. Эта возможность может быть реализована на отдельных хостах или может быть интегрирована в коммутаторы Ethernet или другое сетевое оборудование. Наличие нескольких IP-адресов, связанных с одним MAC-адресом, может указывать на атаку с подменой ARP, хотя существуют законные способы использования такой конфигурации. При более пассивном подходе устройство прослушивает ответы ARP в сети и отправляет уведомление по электронной почте при изменении записи ARP. [6]
AntiARP [7] также обеспечивает предотвращение спуфинга на основе Windows на уровне ядра. ArpStar - это модуль Linux для ядра 2.6 и маршрутизаторов Linksys, который отбрасывает недопустимые пакеты, нарушающие сопоставление, и содержит параметр для повторного отравления / лечения.
Некоторые виртуализированные среды, такие как KVM, также предоставляют механизмы безопасности для предотвращения подмены MAC-адресов между гостевыми компьютерами, работающими на одном хосте. [8]
Кроме того, некоторые адаптеры Ethernet предоставляют функции защиты от спуфинга MAC и VLAN. [9]
OpenBSD пассивно наблюдает за хостами, олицетворяющими локальный хост, и уведомляет в случае любой попытки перезаписать постоянную запись [10]
Безопасность ОС
Операционные системы реагируют по-разному. Linux игнорирует нежелательные ответы, но, с другой стороны, использует ответы на запросы от других машин для обновления своего кеша. Solaris принимает обновления записей только после тайм-аута. В Microsoft Windows поведение кэша ARP можно настроить с помощью нескольких записей реестра в разделе HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpouterySourceRoute. [11]
Законное использование
Методы, которые используются при спуфинге ARP, также могут использоваться для реализации избыточности сетевых сервисов. Например, некоторое программное обеспечение позволяет серверу резервного копирования выдавать бесплатный запрос ARP , чтобы заменить неисправный сервер и прозрачно предложить избыточность. [12] [13] На сегодняшний день известны две компании, которые пытались коммерциализировать продукты, основанные на этой стратегии: Circle [14] и CUJO. Последний недавно столкнулся с серьезными проблемами со своей стратегией ARP-спуфинга в домах потребителей; теперь они полностью удалили эту возможность и заменили ее стратегией на основе DHCP .
Подмена ARP часто используется разработчиками для отладки IP-трафика между двумя узлами при использовании коммутатора: если узел A и узел B обмениваются данными через коммутатор Ethernet, их трафик обычно невидим для третьего узла мониторинга M. Разработчик настраивает A должен иметь MAC-адрес M для B, а B должен иметь MAC-адрес M для A; а также настраивает M для пересылки пакетов. M теперь может отслеживать трафик точно так же, как при атаке «злоумышленник посередине».
Инструменты
Защита
Имя | Операционные системы | GUI | Бесплатно | Защита | На интерфейс | Активный пассивный | Заметки |
---|---|---|---|---|---|---|---|
Межсетевой экран Agnitum Outpost | Окна | да | Нет | да | Нет | пассивный | |
AntiARP | Окна | да | Нет | да | Нет | активный + пассивный | |
Противоядие [15] | Linux | Нет | да | Нет | ? | пассивный | Демон Linux, отслеживает сопоставления, необычно большое количество пакетов ARP. |
Арп_Антидот [16] | Linux | Нет | да | Нет | ? | пассивный | Патч ядра Linux для версий 2.4.18–2.4.20, отслеживает сопоставления, может определить действие, которое нужно предпринять, когда. |
Arpalert | Linux | Нет | да | Нет | да | пассивный | Предопределенный список разрешенных MAC-адресов, предупреждение, если MAC-адрес отсутствует в списке. |
АрпОН | Linux | Нет | да | да | да | активный + пассивный | Демон портативного обработчика для защиты ARP от спуфинга, отравления кеша или атак маршрутизации в статических, динамических и гибридных сетях. |
ArpGuard | Mac | да | Нет | да | да | активный + пассивный | |
ArpStar | Linux | Нет | да | да | ? | пассивный | |
Arpwatch | Linux | Нет | да | Нет | да | пассивный | Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал, электронную почту. |
ArpwatchNG | Linux | Нет | да | Нет | Нет | пассивный | Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал, электронную почту. |
Коласофт Капса | Окна | да | Нет | Нет | да | без обнаружения, только анализ с ручной проверкой | |
cSploit [17] | Android (только рутированный) | да | да | Нет | да | пассивный | |
elmoCut [18] | Окна | да | да | Нет | ? | пассивный | Спуфер EyeCandy ARP для Windows |
Prelude IDS | ? | ? | ? | ? | ? | ? | Плагин ArpSpoof, базовые проверки адресов. |
Панда Безопасность | Окна | ? | ? | да | ? | Активный | Выполняет базовую проверку адресов |
перестраивать | Linux | Нет | да | Нет | Нет | пассивный | |
Фырканье | Windows / Linux | Нет | да | Нет | да | пассивный | Препроцессор Snort Arpspoof, выполняет базовые проверки адресов |
Winarpwatch | Окна | Нет | да | Нет | Нет | пассивный | Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал, электронную почту. |
XArp [19] | Windows, Linux | да | Да (+ про версия) | Да (Linux, про) | да | активный + пассивный | Расширенное обнаружение спуфинга ARP, активное зондирование и пассивные проверки. Два пользовательских интерфейса: нормальный вид с предопределенными уровнями безопасности, профессиональный вид с индивидуальной конфигурацией модулей обнаружения и активная проверка. Windows и Linux, на основе графического интерфейса. |
Seconfig XP | Только Windows 2000 / XP / 2003 | да | да | да | Нет | активирует только защиту, встроенную в некоторые версии Windows | |
Занти | Android (только рутированный) | да | да | Нет | ? | пассивный | |
NetSec Framework | Linux | Нет | да | Нет | Нет | активный | |
анти-арпспуф [20] | Окна | да | да | ? | ? | ? | |
DefendARP: [21] | ? | ? | ? | ? | ? | ? | Инструмент для мониторинга и защиты таблиц ARP на основе хоста, предназначенный для использования при подключении к общедоступной сети Wi-Fi. DefendARP обнаруживает атаки отравления ARP, исправляет зараженную запись и определяет MAC и IP-адрес злоумышленника. |
NetCutDefender: [22] | Окна | ? | ? | ? | ? | ? | Графический интерфейс для Windows, защищающий от ARP-атак |
Спуфинг
Некоторые из инструментов, которые можно использовать для проведения атак с подменой ARP:
- Arpspoof (часть набора инструментов DSniff )
- Арпуазон
- Уловка [23]
- Ettercap
- Серинге [24]
- ARP-FILLUP -V0.1 [25]
- arp-sk -v0.0.15 [25]
- ARPOc -v1.13 [25]
- arpalert -v0.3.2 [25]
- arping -v2.04 [25]
- arpmitm -v0.2 [25]
- arpoison -v0.5 [25]
- ArpSpyX -v1.1 [25]
- ArpToXin -v 1.0 [25]
- Каин и Авель -v 4.3
- cSploit -v 1.6.2 [17]
- SwitchSniffer [25]
- APE - механизм отравления ARP [26]
- Симсанг [27]
- zANTI -v2
- elmoCut [18]
- NetSec Framework -v1
- Минари [28]
- NetCut [29] (также имеет функцию защиты)
- ARPpySHEAR [30]
Смотрите также
- Отравление кеша
- Подмена DNS
- Подмена IP-адреса
- Подмена MAC
- Прокси-ARP
Рекомендации
- ^ a b Рамачандран, Вивек и Нанди, Сукумар (2005). «Обнаружение спуфинга ARP: активный метод» . В Джаджодиа, Сучил и Мазумдар, Чандан (ред.). Безопасность информационных систем: первая международная конференция ICISS 2005, Калькутта, Индия, 19–21 декабря 2005 г .: материалы . Бирхаузер. п. 239. ISBN. 978-3-540-30706-8.
- ^ а б в Локхарт, Эндрю (2007). Взломы сетевой безопасности . О'Рейли. п. 184 . ISBN 978-0-596-52763-1.
- ^ Стив Гибсон (11 декабря 2005 г.). «Отравление кэша ARP» . GRC .
- ^ а б Мун, Дэсон; Ли, Джэ Донг; Чон, Ён-Сик; Пак, Чон Хёк (2014-12-19). «RTNSS: система сетевой безопасности на основе трассировки для предотвращения атак с подменой ARP» . Журнал суперкомпьютеров . 72 (5): 1740–1756. DOI : 10.1007 / s11227-014-1353-0 . ISSN 0920-8542 . S2CID 18861134 . Архивировано 23 января 2021 года . Проверено 23 января 2021 .
- ^ Локхарт, Эндрю (2007). Взломы сетевой безопасности . О'Рейли. п. 186 . ISBN 978-0-596-52763-1.
- ^ «Подход к безопасности для предотвращения отравления ARP и защитные инструменты» . ResearchGate . Архивировано 03 мая 2019 года . Проверено 22 марта 2019 .
- ^ AntiARP архивации 6 июня 2011, в Wayback Machine
- ^ «Архивная копия» . Архивировано 9 августа 2019 года . Проверено 9 августа 2019 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ «Архивная копия» . Архивировано 3 сентября 2019 года . Проверено 9 августа 2019 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ «Архивная копия» . Архивировано 9 августа 2019 года . Проверено 9 августа 2019 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ «Протокол разрешения адресов» . Архивировано 23 января 2021 года . Проверено 26 августа 2017 .
- ^ "Справочная страница OpenBSD для CARP (4)" . Архивировано 05 февраля 2018 года . Проверено 4 февраля 2018 ., получено 04.02.2018
- ^ Саймон Хорман. «Ультра Обезьяна: захват IP-адреса» . Архивировано 18 ноября 2012 года . Проверено 4 января 2013 ., получено 04.01.2013
- ^ "Круг с Диснеем блокирует детские устройства издалека" . Архивировано 12 октября 2016 года . Проверено 12 октября 2016 ., дата обращения 12.10.2016
- ^ «Противоядие» . Архивировано 13 марта 2012 года . Проверено 7 апреля 2014 .
- ^ «Арп_Антидот» . Архивировано из оригинала на 2012-01-14 . Проверено 2 августа 2011 .
- ^ а б «cSploit» . tux_mind. Архивировано 12 марта 2019 года . Проверено 17 октября 2015 .
- ^ а б "elmoCut: EyeCandy ARP Spoofer (домашняя страница GitHub)" .
- ^ «XArp» . Архивировано 16 июня 2020 года . Проверено 23 января 2021 .
- ^ Анти-Arpspoof архивного 31 августа 2008 года на Wayback Machine
- ^ "Сценарии защиты | Отравление ARP" . Архивировано 22 января 2013 года . Проверено 8 июня 2013 .
- ^ «Архивная копия» . Архивировано 8 апреля 2019 года . Проверено 7 февраля 2018 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ «Уловка» . Архивировано 27 апреля 2016 года . Проверено 18 ноября 2013 .
- ^ "Seringe - Статически скомпилированный инструмент отравления ARP" . Архивировано 16 сентября 2016 года . Проверено 3 мая 2011 .
- ^ Б с д е е г ч я J «Уязвимости ARP: полная документация» . l0T3K. Архивировано из оригинала на 2011-03-05 . Проверено 3 мая 2011 .
- ^ «Инструмент отравления кеша ARP для Windows» . Архивировано из оригинала 9 июля 2012 года . Проверено 13 июля 2012 .
- ^ «Симсанг» . Архивировано из оригинала на 2016-03-04 . Проверено 25 августа 2013 .
- ^ «Минари» . Архивировано 8 апреля 2019 года . Проверено 10 января 2018 .
- ^ «NetCut» . Архивировано 12 ноября 2020 года . Проверено 23 января 2021 .
- ^ «ARPpySHEAR: инструмент заражения кэша ARP, который будет использоваться в атаках MITM» . Архивировано 13 октября 2020 года . Проверено 11 ноября 2019 .
Внешние ссылки
- Стефани Рейнс (2014-10-07). «Очистка кеша ARP в Linux» . Coders Eye . Проверено 5 марта 2018 .