Атака arp cache poisoning
Давайте на хвилину уявимо, що є два хоста "А" і "В". Вони дуже сильно дружать і хост "А" розповів всі свої секрети хосту "В". Тепер уявімо, що є ще хост "С" (зловмисник), який представився хостом "В". Можете уявити, що станеться? Правильно, хост "А" розповість всі свої секрети хосту "С", який в свою чергу може скористатися цими секретами на шкоду.
Якщо говорити не професійною мовою, то тільки що була описана атака ARP Cache Poisoning.
ARP протокол
Перш ніж говорити про атаку ARP Cache Poisoning. Давайте спочатку розберемося в тому, як працює протокол ARP. ARP протокол складається з наступних 4-х повідомлень:
Наслідки - ARP Cache Poisoning
Коли зловмисник бачить можливість здійснення ARP Cache Poisoning, він може застосовувати різні техніки для нанесення шкоди або для здійснення контролю над системою «жертвою». Давайте обговоримо деякі з них.
Denial of service (відмова в обслуговуванні)
Хакер може послати ARP-відповідь всім комп'ютерам в мережі. Ваші комп'ютери будуть вірити, що знають де знаходиться шлюз (gateway) за замовчуванням, але насправді вони будуть посилати будь-який пакет, шлях якого знаходитися не в локальному сегменті. В один момент хакер може "відрізати" локальну мережу від Інтернету.
Назва говорить сама за себе. Атакуючий може використовувати ARP Cache Poisoning для перехоплення трафіку між двома пристроями у вашій локальній мережі. Наприклад, хакер хоче перехопити весь трафік проходить між хостом "А" і хостом "В". Він буде посилати "зловмисні" ARP-відповіді (для якого немає попереднього запиту) хосту "В".
Тепер, кожного разу коли ви "йдете" в Інтернет, хост "А" буде посилати мережевий трафік на хост "С", після чого з хоста "С" на "В". Ви навіть не будите підозрювати про те, що весь трафік буде перехоплений і цілком можливо ваші паролі, які передаються у відкритому вигляді будуть вкрадені. Також можуть бути "викрадені" захищені Інтернет сесії.
Атака MAC Flooding націлена на комутатори (switch). Коли комутатори переобтяжені вони часто переходять в "Hub" режим. В "Hub" режимі, комутатор занадто зайнятий, щоб виконувати функції безпеки портів і отже передає весь трафік для кожного пристрою в мережі.
Страшно? Добре, страх хороша мотивація
Це дійсно страшні речі! Однак зверніть увагу на основні пом'якшувальні обставини: хакери можуть використовувати ARP уразливості тільки в локальній мережі. Їм або потрібно мати доступ до локальної мережі, що в принципі не складно з огляду на той факт, що Wi-Fi мережі використовуються в локальних мережах. ARP атаку можна зробити віддалено.
Нормальні системні адміністратори повинні / зобов'язані знати про ці атаках.
Оскільки атака ARP Cache Poisoning можна виконати завдяки відсутності безпеки в протоколі, який призначений для функціонування TCP / IP мереж. Ви ніяк не можете вплинути на безпеку ARP. Але ви можете допомогти запобігти ARP атаки використовуючи наступні стратегії.
Для не великих мереж
Проте введення ARP-запису досить складно підтримувати в великих мережах. Але якщо ви обслуговуйте мережу, в якій наприклад 20-30 машин, тоді ця стратегія буде для вас корисною.
Ваша кращий захист це розуміння, як відбувається ARP Poisoning і звичайно ж "моніторити" (monitoring) вашу мережу. Як інструмент ARP-монітора можна використовувати, наприклад ARPwatch, який буде інформувати вас, якщо ARP буде вести себе дивно / підозріло.
[Всього голосів: 1 Середній: 5/5]