Regisztráció

ARP Spoofing

ARP Spoofing (vagy ARP Poisoning – ARP-mérgezés) egy olyan hálózati támadási forma, amely során a támadó hamis ARP-üzeneteket küld a helyi Ethernet hálózatra.

A támadás célja, hogy a hálózaton lévő más eszközök (például egy áldozat számítógépe és a router) azt higgyék, hogy a támadó gépének fizikai MAC-címe tartozik egy legitim hálózati eszköz IP-címéhez. Ezzel a támadó képessé válik arra, hogy a két eszköz közötti adatforgalmat magához irányítsa, lehallgassa, módosítsa, vagy teljesen blokkolja.

Működése a tantermi hasonlattal

Az ARP és ARP Proxy osztálytermes példával, ahol a diákok és a tanár egymással kommunikálnak.

A tanár (a router) szeretne adni egy fontos, bizalmas üzenetet Kovács Péternek (az áldozat IP-címe). Elkiáltja magát: „Ki az a Kovács Péter?”

De a teremben ül egy csaló diák is (a támadó). Mielőtt az igazi Péter válaszolhatna, a csaló gyorsan felteszi a kezét, elváltoztatja a hangját, és azt hazudja: „Én vagyok Kovács Péter, ide dobhatja a papírt!” >

A tanár hiszékeny, nem ellenőrzi a személyazonosságot, ezért felírja a noteszébe, hogy Péter ott ül, ahol a csaló (megmérgeződik az ARP-tábla). Ezután minden bizalmas infót a csalónak ad át.

A csaló megteheti, hogy elolvassa a levelet, átírja a tartalmát, majd hátrapasszolja az igazi Péternek, aki így semmit sem vesz észre az egészből. Ez a klasszikus Man-in-the-Middle (Ember középen) támadás.

Alábbiak szerint történik az Ethernet hálózaton

A valóságban a folyamat automatizált szoftverekkel történik, és a hálózati kártyák hiszékenységét használja ki (mivel az ARP protokollnak nincs beépített hitelesítési mechanizmusa):

  1. A célpontok kiválasztása:

    A támadó kiválaszt két eszközt a hálózaton, amelyek forgalmára kíváncsi. Leggyakrabban ez az Áldozat PC-je és a hálózat Routere (átjárója).

  2. A hamis üzenetek kiküldése (The Poisoning):

    A támadó folyamatosan, kéretlenül (úgynevezett Gratuitous ARP csomagokkal) bombázza a hálózatot:

    • Az Áldozatnak azt hazudja: „Én vagyok a Router! Ha az internetre akarsz küldeni valamit, az én MAC-címemre küldd!”

    • A Routernek azt hazudja: „Én vagyok az Áldozat! Ha neki akarsz küldeni adatot az internetről, az én MAC-címemre küldd!”

  3. Az ARP-táblák megmérgezése:

    Mivel az eszközök gondolkodás nélkül frissítik az ARP-táblájukat, ha új információt kapnak, mind az Áldozat, mind a Router elmenti a hamis adatokat.

  4. A forgalom eltérítése (MitM: Man-in-the-Middle):

    Ettől a ponttól kezdve, ha az Áldozat megnyit egy weboldalt vagy beír egy jelszót, a csomagok nem a Routerhez mennek közvetlenül, hanem a támadó hálózati kártyájára. A támadó szoftvere rögzíti az adatokat, majd továbbítja a Router felé, hogy a kapcsolat ne szakadjon meg, és az áldozat ne gyanakodjon.

Mit lehet ezzel elérni? (A támadás következményei)

  • Adathalászat és lehallgatás (Sniffing): Titkosítatlan (HTTP, FTP stb.) forgalom esetén a támadó láthatja a jelszavakat, e-maileket, csevegéseket.

  • Adatmódosítás (Session Hijacking): A támadó bele tud nyúlni a letöltött fájlokba, kártékony kódot fecskendezhet a weboldalakba, amiket az áldozat látogat.

  • Szolgáltatásmegtagadás (DoS: Denial of Service): Ha a támadó egyszerűen eldobja a hozzá befutó csomagokat ahelyett, hogy továbbítaná őket, az áldozat számára teljesen megszűnik az internetelérés.

Vdekezési módszerek!

Mivel az alapszintű Ethernet/ARP hálózatok vakon megbíznak mindenkiben, a védekezéshez okosabb eszközökre van szükség:

  • Statikus ARP-táblák: Kisebb hálózatokon fixen be lehet égetni, hogy melyik IP-hez melyik MAC tartozik (így a gép figyelmen kívül hagyja a hamis üzeneteket).

  • DAI (Dynamic ARP Inspection): A menedzselt hálózati switchek képesek ellenőrizni az ARP-üzenetek valódiságát, és blokkolják a gyanús, hamis válaszokat.

  • VPN és HTTPS: Ha az adatforgalom titkosítva van, a támadó hiába téríti el a csomagokat az ARP Spoofinggal, nem tudja elolvasni vagy módosítani azok tartalmát.