Подмена ARP

В компьютерных сетях , ARP подмена отравление кэша ARP или токсичная маршрутизация ARP — это метод, с помощью которого злоумышленник отправляет ( подделывает ) протокола разрешения адресов сообщения (ARP) в локальную сеть . злоумышленника Как правило, цель состоит в том, чтобы связать MAC-адрес с IP-адресом другого хоста , например шлюза по умолчанию , в результате чего любой трафик, предназначенный для этого IP-адреса, будет отправлен злоумышленнику.

Подмена ARP может позволить злоумышленнику перехватить кадры данных в сети, изменить трафик или остановить весь трафик. Часто атака используется как возможность для других атак, таких как отказ в обслуживании , атака «человек посередине» или атаки перехвата сеанса . ^{[ 1 ]}

Атака может использоваться только в сетях, использующих ARP, и требует, чтобы злоумышленник имел прямой доступ к сегменту локальной сети . атакуемому ^{[ 2 ]}

ARP-уязвимости

Протокол разрешения адресов (ARP) — это широко используемый протокол связи для преобразования адресов интернет-уровня в адреса канального уровня .

Когда Интернет-протокола (IP) дейтаграмма отправляется с одного хоста на другой в локальной сети , IP-адрес назначения должен быть преобразован в MAC-адрес для передачи через уровень канала передачи данных . Когда известен IP-адрес другого хоста и требуется его MAC-адрес, широковещательный пакет в локальную сеть отправляется . Этот пакет известен как запрос ARP . Компьютер назначения с IP-адресом в запросе ARP затем отвечает ответом ARP , содержащим MAC-адрес для этого IP-адреса. ^{[ 2 ]}

ARP — это протокол без сохранения состояния . Сетевые узлы автоматически кэшируют все полученные ответы ARP, независимо от того, запрашивали ли их сетевые узлы. Даже записи ARP, срок действия которых еще не истек, будут перезаписаны при получении нового ответного пакета ARP. В протоколе ARP нет метода, с помощью которого хост мог бы аутентифицировать одноранговый узел, от которого исходил пакет. Такое поведение является уязвимостью, которая позволяет осуществлять подмену ARP. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]}

Анатомия атаки

Основной принцип подмены ARP заключается в использовании отсутствия аутентификации в протоколе ARP путем отправки поддельных сообщений ARP в локальную сеть. Атаки с подменой ARP могут быть запущены со скомпрометированного хоста в локальной сети или с компьютера злоумышленника, подключенного непосредственно к целевой локальной сети.

Злоумышленник, используя подмену ARP, замаскируется под хост для передачи данных в сети между пользователями. ^{[ 4 ]} Тогда пользователи не будут знать, что злоумышленник не является настоящим хостом в сети. ^{[ 4 ]}

Как правило, цель атаки — связать MAC-адрес хоста злоумышленника с IP-адресом целевого хоста , чтобы любой трафик, предназначенный для целевого хоста, пересылался на хост злоумышленника. Злоумышленник может проверить пакеты (шпионаж), перенаправив трафик в фактический пункт назначения по умолчанию, чтобы избежать обнаружения, изменить данные перед их пересылкой ( атака «человек посередине» ) или запустить отказ в обслуживании. атака , вызывающая отбрасывание некоторых или всех пакетов в сети.

Защита

Статические записи ARP

Самая простая форма сертификации — использование статических записей, доступных только для чтения, для критически важных служб в кэше ARP хоста. Сопоставления IP-адреса и MAC-адреса в локальном кэше ARP могут быть введены статически. Хостам не нужно передавать запросы ARP, если такие записи существуют. ^{[ 5 ]} Хотя статические записи обеспечивают некоторую защиту от подделки, они требуют усилий по обслуживанию, поскольку необходимо создавать и распространять сопоставления адресов для всех систем в сети. Это не масштабируется в большой сети, поскольку сопоставление должно быть установлено для каждой пары машин, в результате чего получается n ²- n записей ARP, которые необходимо настроить при n наличии компьютеров; На каждой машине должна быть запись ARP для каждой другой машины в сети; n-1 записей ARP на каждой из n машин.

Программное обеспечение для обнаружения и предотвращения

Программное обеспечение, обнаруживающее подмену ARP, обычно использует ту или иную форму сертификации или перекрестной проверки ответов ARP. Несертифицированные ответы ARP затем блокируются. Эти методы можно интегрировать с DHCP-сервером, чтобы как динамические , так и статические IP- сертифицировать адреса. Эта возможность может быть реализована на отдельных хостах или может быть интегрирована в коммутаторы Ethernet или другое сетевое оборудование. Существование нескольких IP-адресов, связанных с одним MAC-адресом, может указывать на подмену ARP-атаки, хотя существуют законные варианты использования такой конфигурации. При более пассивном подходе устройство прослушивает ответы ARP в сети и отправляет уведомление по электронной почте при изменении записи ARP. ^{[ 6 ]}

АнтиАРП ^{[ 7 ]} также обеспечивает защиту от спуфинга на базе Windows на уровне ядра. ArpStar — это модуль Linux для ядра 2.6 и маршрутизаторов Linksys, который отбрасывает недействительные пакеты, нарушающие сопоставление, и содержит возможность повторного отравления или исправления.

Некоторые виртуализированные среды, такие как KVM, также предоставляют механизмы безопасности для предотвращения подмены MAC-адресов между гостями, работающими на одном хосте. ^{[ 8 ]}

Кроме того, некоторые адаптеры Ethernet предоставляют функции защиты от спуфинга MAC и VLAN. ^{[ 9 ]}

OpenBSD пассивно отслеживает хосты, выдающие себя за локальный хост, и уведомляет в случае любой попытки перезаписать постоянную запись. ^{[ 10 ]}

безопасность ОС

Операционные системы реагируют по-разному. Linux игнорирует нежелательные ответы, но, с другой стороны, использует ответы на запросы других машин для обновления своего кэша. Solaris принимает обновления записей только по истечении времени ожидания. В Microsoft Windows поведение кэша ARP можно настроить с помощью нескольких записей реестра в разделах HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount. ^{[ 11 ]}

Законное использование

Методы, используемые при подмене ARP, также могут использоваться для реализации избыточности сетевых служб. Например, некоторое программное обеспечение позволяет резервному серверу выдавать безвозмездный запрос ARP , чтобы заменить неисправный сервер и прозрачно обеспечить избыточность. ^{[ 12 ]} ^{[ 13 ]} Круг ^{[ 14 ]} и CUJO — две компании, которые коммерциализировали продукты, основанные на этой стратегии.

Подмена ARP часто используется разработчиками для отладки IP-трафика между двумя хостами, когда используется коммутатор: если хост A и хост B обмениваются данными через коммутатор Ethernet, их трафик обычно будет невидим для третьего контролирующего хоста M. Разработчик настраивает A, чтобы иметь MAC-адрес M для B, и B, чтобы иметь MAC-адрес M для A; а также настраивает M для пересылки пакетов. Теперь M может отслеживать трафик точно так же, как при атаке «человек посередине».

Инструменты

Оборона

Имя	ТЫ	графический интерфейс	Бесплатно	Защита	Для каждого интерфейса	Активный/пассивный	Примечания
Распознанный брандмауэр Outpost	Окна	Да	Нет	Да	Нет	пассивный
АнтиАРП	Окна	Да	Нет	Да	Нет	активный+пассивный
Противоядие ^{[ 15 ]}	Линукс	Нет	Да	Нет	?	пассивный	Демон Linux, отслеживает сопоставления, необычно большое количество пакетов ARP.
Арп_Антидот ^{[ 16 ]}	Линукс	Нет	Да	Нет	?	пассивный	Патч ядра Linux для версий 2.4.18 – 2.4.20, отслеживает сопоставления и может определять действия, которые необходимо предпринять.
Арпалерт	Линукс	Нет	Да	Нет	Да	пассивный	Предопределенный список разрешенных MAC-адресов, предупреждение, если MAC-адрес отсутствует в списке.
АрпОН	Линукс	Нет	Да	Да	Да	активный+пассивный	Портативный демон-обработчик для защиты ARP от спуфинга, отравления кэша или атак с использованием маршрутизации в статических, динамических и гибридных сетях.
АрпГард	Мак	Да	Нет	Да	Да	активный+пассивный
АрпСтар	Линукс	Нет	Да	Да	?	пассивный
Арпвотч	Линукс	Нет	Да	Нет	Да	пассивный	Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал и электронную почту.
АрпвотчНГ	Линукс	Нет	Да	Нет	Нет	пассивный	Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал и электронную почту.
Коласофт Капса	Окна	Да	Нет	Нет	Да	нет обнаружения, только анализ с ручной проверкой
cSploit ^{[ 17 ]}	Android (только рутированный)	Да	Да	Нет	Да	пассивный
ЭлмоКут ^{[ 18 ]}	Окна	Да	Да	Нет	?	пассивный	Спуфер EyeCandy ARP для Windows
Прелюдия IDS	?	?	?	?	?	?	Плагин ArpSpoof, базовая проверка адресов.
Панда Секьюрити	Окна	?	?	Да	?	Активный	Выполняет базовые проверки адресов.
переделка	Линукс	Нет	Да	Нет	Нет	пассивный
Фыркать	Windows/Линукс	Нет	Да	Нет	Да	пассивный	Препроцессор Snort Arpspoof выполняет базовые проверки адресов.
Винарпвотч	Окна	Нет	Да	Нет	Нет	пассивный	Сохраняйте сопоставления пар IP-MAC, сообщайте об изменениях через системный журнал и электронную почту.
Ксарп ^{[ 19 ]}	Винда, Линукс	Да	Да (+про версия)	Да (Linux, профессиональная версия)	Да	активный + пассивный	Расширенное обнаружение подмены ARP, активное зондирование и пассивные проверки. Два пользовательских интерфейса: обычный вид с предопределенными уровнями безопасности, профессиональный вид с индивидуальной настройкой модулей обнаружения и активной проверкой. Windows и Linux, на основе графического интерфейса.
Секонфигурация XP	Только Windows 2000/XP/2003	Да	Да	Да	Нет	активирует только защиту, встроенную в некоторые версии Windows
ЗАНТИ	Android (только рутированный)	Да	Да	Нет	?	пассивный
Платформа NetSec	Линукс	Нет	Да	Нет	Нет	активный
анти-арпсуф ^{[ 20 ]}	Окна	Да	Да	?	?	?
ЗащититьARP: ^{[ 21 ]}	?	?	?	?	?	?	Инструмент мониторинга и защиты таблицы ARP на базе хоста, предназначенный для использования при подключении к общедоступному Wi-Fi. DefendARP обнаруживает атаки по отравлению ARP, исправляет отравленную запись и определяет MAC и IP-адрес злоумышленника.
NetCutDefender: ^{[ 22 ]}	Окна	?	?	?	?	?	Графический интерфейс для Windows, способный защитить от атак ARP

Подмена

Некоторые инструменты, которые можно использовать для проведения атак с подменой ARP:

Arpspoof (часть DSniff ) набора инструментов
Ароизон
Уловка ^{[ 23 ]}
Эттеркап
Шприц ^{[ 24 ]}
ARP-ЗАПОЛНЕНИЕ -V0.1 ^{[ 25 ]}
арп -ск -v0.0.15 ^{[ 25 ]}
АРПОк-v1.13 ^{[ 25 ]}
арпалерт -v0.3.2 ^{[ 25 ]}
арпинг -v2.04 ^{[ 25 ]}
арпмитм -v0.2 ^{[ 25 ]}
отрава -v0.5 ^{[ 25 ]}
ArpSpyX -v1.1 ^{[ 25 ]}
АрпТоксин -v 1.0 ^{[ 25 ]}
Каин и Авель -v 4.3
cSploit -v 1.6.2 ^{[ 17 ]}
SwitchSniffer ^{[ 25 ]}
APE — механизм отравления ARP ^{[ 26 ]}
Симсанг ^{[ 27 ]}
заНТИ -v2
ЭлмоКут ^{[ 18 ]}
Платформа NetSec -v1
Минарий ^{[ 28 ]}
НетКут ^{[ 29 ]} (Также есть функция защиты)
АРПпиШЕАР ^{[ 30 ]}

См. также

Ссылки

^ Перейти обратно: ^а ^б Рамачандран, Вивек и Нанди, Сукумар (2005). «Обнаружение подмены ARP: активный метод» . В Джаджодиа, Сучил и Мазумдар, Чандан (ред.). Безопасность информационных систем: первая международная конференция ICISS 2005, Калькутта, Индия, 19–21 декабря 2005 г.: материалы . Биркгаузер. п. 239. ИСБН 978-3-540-30706-8 .
^ Перейти обратно: ^а ^б ^с Локхарт, Эндрю (2007). Взломы сетевой безопасности . О'Рейли. п. 184 . ISBN 978-0-596-52763-1 .
^ Стив Гибсон (11 декабря 2005 г.). «Отравление ARP-кэша» . ГРЦ .
^ Перейти обратно: ^а ^б Мун, Тэсон; Ли, Джэ Дон; Чон, Ён-Сик; Пак, Чон Хёк (19 декабря 2014 г.). «RTNSS: система сетевой безопасности на основе трассировки маршрутизации для предотвращения атак с подменой ARP» . Журнал суперкомпьютеров . 72 (5): 1740–1756. дои : 10.1007/s11227-014-1353-0 . ISSN 0920-8542 . S2CID 18861134 . Архивировано из оригинала 23 января 2021 г. Проверено 23 января 2021 г.
^ Локхарт, Эндрю (2007). Взломы сетевой безопасности . О'Рейли. п. 186 . ISBN 978-0-596-52763-1 .
^ «Подход к безопасности для предотвращения отравления ARP и защитные инструменты» . Исследовательские ворота . Архивировано из оригинала 3 мая 2019 г. Проверено 22 марта 2019 г.
↑ AntiARP. Архивировано 6 июня 2011 г., в Wayback Machine.
^ «Дэниел П. Берранже» Архив блога » Подмена гостевого MAC-адреса отказа в обслуживании и предотвращение его с помощью libvirt и KVM» . Архивировано из оригинала 9 августа 2019 г. Проверено 9 августа 2019 г.
^ «Архивная копия» . Архивировано из оригинала 03 сентября 2019 г. Проверено 9 августа 2019 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
^ «Arp(4) — страницы руководства OpenBSD» . Архивировано из оригинала 9 августа 2019 г. Проверено 9 августа 2019 г.
^ «Протокол разрешения адресов» . 18 июля 2012 г. Архивировано из оригинала 23 января 2021 г. Проверено 26 августа 2017 г.
^ «Страница руководства OpenBSD для CARP (4)» . Архивировано из оригинала 05 февраля 2018 г. Проверено 4 февраля 2018 г. , получено 4 февраля 2018 г.
^ Саймон Хорман. «Ultra Monkey: захват IP-адреса» . Архивировано из оригинала 18 ноября 2012 г. Проверено 4 января 2013 г. , получено 4 января 2013 г.
^ Барретт, Брайан. «Круг с Диснеем блокирует детские устройства издалека» . Проводной . Архивировано из оригинала 12 октября 2016 г. Проверено 12 октября 2016 г. , получено 12 октября 2016 г.
^ «Противоядие» . Архивировано из оригинала 13 марта 2012 г. Проверено 7 апреля 2014 г.
^ "Арп_Антидот" . Архивировано из оригинала 14 января 2012 г. Проверено 2 августа 2011 г.
^ Перейти обратно: ^а ^б «cSploit» . tux_mind. Архивировано из оригинала 12 марта 2019 г. Проверено 17 октября 2015 г.
^ Перейти обратно: ^а ^б «elmoCut: спуфер EyeCandy ARP (домашняя страница GitHub)» . Гитхаб .
^ «ХАрп» . Архивировано из оригинала 16 июня 2020 г. Проверено 23 января 2021 г.
↑ anti-arpspoof. Архивировано 31 августа 2008 г. в Wayback Machine.
^ «Защитные сценарии | Отравление ARP» . Архивировано из оригинала 22 января 2013 г. Проверено 8 июня 2013 г.
^ «Защитник Netcut | Arcai.com» . Архивировано из оригинала 08 апреля 2019 г. Проверено 7 февраля 2018 г.
^ «Проект подлости» . Архивировано из оригинала 27 апреля 2016 г. Проверено 18 ноября 2013 г.
^ «Seringe — статически скомпилированный инструмент отравления ARP» . Архивировано из оригинала 16 сентября 2016 г. Проверено 3 мая 2011 г.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж «Уязвимости ARP: Полная документация» . l0T3K. Архивировано из оригинала 5 марта 2011 г. Проверено 3 мая 2011 г.
^ «Инструмент отравления ARP-кэша для Windows» . Архивировано из оригинала 9 июля 2012 года . Проверено 13 июля 2012 г.
^ «Симсанг» . Архивировано из оригинала 4 марта 2016 г. Проверено 25 августа 2013 г.
^ «Минарий» . Архивировано из оригинала 08 апреля 2019 г. Проверено 10 января 2018 г.
^ «НетКут» . Архивировано из оригинала 12 ноября 2020 г. Проверено 23 января 2021 г.
^ «ARPpySHEAR: инструмент отравления кэша ARP, который будет использоваться в атаках MITM» . Гитхаб . Архивировано из оригинала 13 октября 2020 г. Проверено 11 ноября 2019 г.

Внешние ссылки

Стефани Рейнс (07 октября 2014 г.). «Очистка кэша ARP в Linux» . Глаз кодера. Архивировано из оригинала 08 апреля 2019 г. Проверено 5 марта 2018 г.

[Ramachandran-2005-p239-1] Перейти обратно: ^а ^б Рамачандран, Вивек и Нанди, Сукумар (2005). «Обнаружение подмены ARP: активный метод» . В Джаджодиа, Сучил и Мазумдар, Чандан (ред.). Безопасность информационных систем: первая международная конференция ICISS 2005, Калькутта, Индия, 19–21 декабря 2005 г.: материалы . Биркгаузер. п. 239. ИСБН 978-3-540-30706-8 .

[Lockhart-2007-p184-2] Перейти обратно: ^а ^б ^с Локхарт, Эндрю (2007). Взломы сетевой безопасности . О'Рейли. п. 184 . ISBN 978-0-596-52763-1 .

[GRC-3] Стив Гибсон (11 декабря 2005 г.). «Отравление ARP-кэша» . ГРЦ .

[:0-4] Перейти обратно: ^а ^б Мун, Тэсон; Ли, Джэ Дон; Чон, Ён-Сик; Пак, Чон Хёк (19 декабря 2014 г.). «RTNSS: система сетевой безопасности на основе трассировки маршрутизации для предотвращения атак с подменой ARP» . Журнал суперкомпьютеров . 72 (5): 1740–1756. дои : 10.1007/s11227-014-1353-0 . ISSN 0920-8542 . S2CID 18861134 . Архивировано из оригинала 23 января 2021 г. Проверено 23 января 2021 г.

[Lockhart-2007-p186-5] Локхарт, Эндрю (2007). Взломы сетевой безопасности . О'Рейли. п. 186 . ISBN 978-0-596-52763-1 .

[6] «Подход к безопасности для предотвращения отравления ARP и защитные инструменты» . Исследовательские ворота . Архивировано из оригинала 3 мая 2019 г. Проверено 22 марта 2019 г.

[7] AntiARP. Архивировано 6 июня 2011 г., в Wayback Machine.

[8] «Дэниел П. Берранже» Архив блога » Подмена гостевого MAC-адреса отказа в обслуживании и предотвращение его с помощью libvirt и KVM» . Архивировано из оригинала 9 августа 2019 г. Проверено 9 августа 2019 г.

[9] «Архивная копия» . Архивировано из оригинала 03 сентября 2019 г. Проверено 9 августа 2019 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )

[10] «Arp(4) — страницы руководства OpenBSD» . Архивировано из оригинала 9 августа 2019 г. Проверено 9 августа 2019 г.

[11] «Протокол разрешения адресов» . 18 июля 2012 г. Архивировано из оригинала 23 января 2021 г. Проверено 26 августа 2017 г.

[12] «Страница руководства OpenBSD для CARP (4)» . Архивировано из оригинала 05 февраля 2018 г. Проверено 4 февраля 2018 г. , получено 4 февраля 2018 г.

[13] Саймон Хорман. «Ultra Monkey: захват IP-адреса» . Архивировано из оригинала 18 ноября 2012 г. Проверено 4 января 2013 г. , получено 4 января 2013 г.

[14] Барретт, Брайан. «Круг с Диснеем блокирует детские устройства издалека» . Проводной . Архивировано из оригинала 12 октября 2016 г. Проверено 12 октября 2016 г. , получено 12 октября 2016 г.

[15] «Противоядие» . Архивировано из оригинала 13 марта 2012 г. Проверено 7 апреля 2014 г.

[16] "Арп_Антидот" . Архивировано из оригинала 14 января 2012 г. Проверено 2 августа 2011 г.

[csploit-17] Перейти обратно: ^а ^б «cSploit» . tux_mind. Архивировано из оригинала 12 марта 2019 г. Проверено 17 октября 2015 г.

[elmocut-18] Перейти обратно: ^а ^б «elmoCut: спуфер EyeCandy ARP (домашняя страница GitHub)» . Гитхаб .

[XArp-19] «ХАрп» . Архивировано из оригинала 16 июня 2020 г. Проверено 23 января 2021 г.

[20] ti-arpspoof. Архивировано 31 августа 2008 г. в Wayback Machine.

[21] «Защитные сценарии | Отравление ARP» . Архивировано из оригинала 22 января 2013 г. Проверено 8 июня 2013 г.

[22] «Защитник Netcut | Arcai.com» . Архивировано из оригинала 08 апреля 2019 г. Проверено 7 февраля 2018 г.

[23] «Проект подлости» . Архивировано из оригинала 27 апреля 2016 г. Проверено 18 ноября 2013 г.

[24] «Seringe — статически скомпилированный инструмент отравления ARP» . Архивировано из оригинала 16 сентября 2016 г. Проверено 3 мая 2011 г.

[l0t3k-25] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж «Уязвимости ARP: Полная документация» . l0T3K. Архивировано из оригинала 5 марта 2011 г. Проверено 3 мая 2011 г.

[26] «Инструмент отравления ARP-кэша для Windows» . Архивировано из оригинала 9 июля 2012 года . Проверено 13 июля 2012 г.

[27] «Симсанг» . Архивировано из оригинала 4 марта 2016 г. Проверено 25 августа 2013 г.

[28] «Минарий» . Архивировано из оригинала 08 апреля 2019 г. Проверено 10 января 2018 г.

[29] «НетКут» . Архивировано из оригинала 12 ноября 2020 г. Проверено 23 января 2021 г.

[30] «ARPpySHEAR: инструмент отравления кэша ARP, который будет использоваться в атаках MITM» . Гитхаб . Архивировано из оригинала 13 октября 2020 г. Проверено 11 ноября 2019 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]