25-09-2021, 16:10
ARP Spoofing nədir?
Bloq
ARP Spoofing nədir?
ARP Spoofing nədir? MitM (Man in the Middle) kimi riskli kiber hücumları asanlaşdırmaq üçün bir kanal kimi fəaliyyət göstərən bir növ kiber təhlükə sualın cavablarında gizlidir.
Tam sinonim olmayan ARP saxtakarlığı haqqında təfərrüatlara girməzdən əvvəl ARP -nin nə demək olduğunu aydınlaşdırmaq vacibdir.
Ünvan Həll Protokolu nədir?
Ünvan Çözümleme Protokolunu ifadə edən ARP, bir cihaz Yerli Şəbəkə və ya Ethernetdə başqa bir cihazla əlaqə qurmaq istədikdə istifadə olunan bir protokoldur. ARP İnternet Protokolu (IP) ünvanlarını Media Giriş Nəzarəti (MAC) ünvanına çevirir.
Bu xəritələşdirmə proseduru vacibdir, çünki IP və MAC ünvanları fərqli uzunluqlara malikdir və sistemlərin bir -birini tanıması üçün tərcüməyə ehtiyac var. Ən çox istifadə olunan IP; IPv4 (IP versiyası 4) və bir IP ünvanı 32 bit uzunluğundadır. Bununla birlikdə, MAC ünvanları 48 bit uzunluğundadır. ARP 32 bitlik bir ünvanı 48-ə çevirir və əksinə.
Açıq Sistemlər Bağlantısı modeli olaraq bilinən və ilk dəfə 1970 -ci illərin sonunda inkişaf etdirilən OSI şəbəkə modeli, müəyyən bir şəbəkə sistemində nələrin baş verdiyini göstərmək üçün təbəqələrdən istifadə edir. şəbəkənin təsiri və bu təbəqənin idarə edilməsindən hansı İT mütəxəssisinin məsul olduğu.
Məlumat ötürülməsinin həyata keçirilməsi ilə fiziki olaraq əlaqəli olan iki cihaz arasında bir əlaqə quran və sonlandıran MAC ünvanı, məlumat bağlantısı təbəqəsi (məlumat əlaqələndirmə qatı) məlumdur. IP ünvanı eyni zamanda şəbəkə təbəqəsi və ya fərqli marşrutlaşdırıcılar vasitəsilə məlumat paketlərinin ötürülməsindən məsul olan qat adlanır.
ARP, OSI modelinin 2 -ci qatında (data link layer) işləyir. Məlumat bağlantısı təbəqəsi fiziki təbəqə ilə şəbəkə təbəqəsi arasındakı boşluğu bağlayır (IPv4, IPv6, ICMP…). ARP, 2 -ci təbəqə ünvanlarını 3 -cü ünvanlara uyğunlaşdırmaqdan məsuldur . Layer 2 cihazları, bu eşlemeyi, keçidin müəyyən bir IP ünvanına bağlı trafiki doğru keçid limanına yönləndirmək üçün istifadə etdiyi "ARP önbelleklerinde" saxlayır.
ARP önbelleği, hər bir IP ünvanı və uyğun MAC ünvanının siyahısını saxlayır. ARP önbelleği dinamikdir, lakin şəbəkədəki istifadəçilər IP ünvanlarını və MAC ünvanlarını ehtiva edən statik ARP cədvəlini də konfiqurasiya edə bilərlər. ARP önbellekleri, IPv4 Ethernet şəbəkəsindəki bütün əməliyyat sistemlərində saxlanılır.
ARP -də bir doğrulama mexanizmi olmadığı üçün ARP hücumlarının aşkarlanması və qarşısının alınması strategiyalarına diqqət yetirmək vacibdir.
ARP Zəhərlənməsi nədir?
ARP zəhərlənməsi və ya ARP saxtakarlığı, kiber cinayətkarların MAC ünvanını şəbəkədəki qanuni bir cihazın və ya serverin IP ünvanı ilə əlaqələndirmək üçün hədəf LAN -a saxta ARP mesajları göndərdiyi bir hücum növüdür. Təcavüzkarın məlumat çərçivələrini qaçırmasına, trafikin yönləndirilməsinə və ya şəbəkədəki bütün trafikə müdaxilə etməsinə icazə verə bilər.
Kiber cinayətkarların ARP -dəki zəifliklərdən istifadə etdikləri, IP/MAC ünvan eşlemeleriyle maskalandıqları bu cür hücum çox təhlükəlidir, çünki həssas məlumatlar qurbanlar bilmədən kompüterlər arasında ötürülə bilər.
Təcavüzkarlar MAC ünvanları ilə IP ünvanları arasındakı əlaqəni manipulyasiya etdikdə, ARP saxtakarlıq hücumları yalnız məlumatlarınızın oğurlanmasına deyil, həm də sessiya qaçırılmasına və şəbəkə çökməsinə səbəb ola bilər. Hətta hakerlərin LAN-dakı ünsiyyəti kəsə və dəyişdirə biləcəyi ortada adam hücumunda (MitM) ilk addım ola bilərlər. Eyni zamanda paylanmış xidmətdən imtina (DDoS) hücumlarına da səbəb ola bilərlər.
ARP saxtakarlığı, DNS saxtakarlığı kimi "önbellek zəhərlənməsi" texnikasından istifadə edir. DNS serverlərindəki zəifliklərdən istifadə edən DNS önbelleği zəhərlənməsi hücumları üçün DNS Spoofing nədir? Məqaləmizə baxın.
ARP -nin yalançı hücumunu necə həyata keçirmək olar?
Bir ARP aldatma hücumunda, kiber cinayətkarlar yerli şəbəkəni saxta ARP paketləri ilə doldurur. Bu manipulyasiyadan sonra, bütün trafik nəzərdə tutulan yerə çatmamış təcavüzkarın kompüterinə yönləndirilir. Bunun üzərinə təcavüzkar, məlumatı korlaya bilər və ya real alıcıya ötürməzdən əvvəl bütün şəbəkə əlaqələrini dayandıra bilər.
Bu hücumlar ümumiyyətlə aşağıdakı yolu izləyir:
•Yerli şəbəkəyə daxil olduqdan sonra, təcavüzkar cihazların IP ünvanlarını axtarır.
•Cihazın IP ünvanı qurbanın IP alt şəbəkəsinə uyğun olaraq qurulub.
•Təcavüzkarın MAC ünvanı, ARP paketlərindəki qurbanın IP ünvanı ilə birləşdirilərək marşrutlaşdırıcının və PC -nin bir -birinin əvəzinə təcavüzkara qoşulmasına səbəb olur.
•Nəticədə, ARP önbelleği yenilənir, kompüter və yönləndirici təcavüzkarla ünsiyyət qurmağa davam edir. İndi digər ev sahibləri təcavüzkarın saxta ARP önbellek girişlərini gördükləri üçün məlumatları təcavüzkara ötürürlər.
ARP saxtakarlığını necə aşkar etmək olar?
Üçüncü tərəf cihaz tətbiqləri, ARP aldatma hücumlarını aşkar etmək üçün istifadə olunan fərqli üsullardan biridir. Bütün şəbəkə trafikinizi görməyə, problemi həll etməyə və təhlil etməyə imkan verən Wireshark kimi şəbəkə vasitələri bu məqsədlə istifadə olunur. Xüsusilə ARP fırıldaqçılıq hücumları üçün şəbəkəni aktiv şəkildə taramaq üçün hazırlanmış XArp kimi proqramlar da tövsiyə olunur.
Əlavə olaraq, əməliyyat sisteminin daxili xüsusiyyətləri ARP fırıldaqçılığını aşkar etmək üçün istifadə edilə bilər, lakin böyük bir şəbəkə ilə işləyərkən bir əmr istəyi istifadə etmək çətin və çətin olacaq.
ARP zəhərlənməsinin qarşısını necə almaq olar?
DDoS hücumları üçün başlatma paneli rolunu oynaya bilən ARP zəhərlənməsi ehtimalını azaltmaq üçün istifadə olunan üsulları sadalaya bilərik:
•Məlumat Kodlaşdırma və Doğrulama: Hər hansı bir mesajda məlumat göndərənin kimliyini yoxlamaq zərərli hücumların qarşısını alır.
•Şifrələmə: Məlumatların məxfiliyini və bütövlüyünü təmin etmək üçün bütün şəbəkə trafiki sona qədər şifrələnməlidir. TLS/SSL və SSH kimi kriptoqrafik şəbəkə protokollarından istifadə edərək tranzit məlumatların şifrələnməsi tövsiyə olunur.
•Paket süzgəci: Paket süzgəci, paketlərin ziddiyyətli mənbə detallarını ehtiva etdiyini və qüsurlu paketlərin digər istifadəçilərə çatmasını maneə törətməklə işləyir. Paket filtrləri, şəbəkə üzərindən göndərilən bütün paketləri təhlil etmələri və tez -tez firewall tətbiqləri ilə istifadə edilmələri baxımından auditorlara bənzəyir.
•ARP Statik : ARP, hər bir IP ünvanı üçün statik girişlərin hazırlanmasına imkan verir. Statik bir ARP girişindən istifadə edərək hər kəsin bu ünvan üçün ARP cavablarını dinləməsini maneə törədə bilərsiniz. Alt şəbəkə maşınları üçün əvvəlcədən təyin edilmiş ARP, yaxşı işləyən bu ənənəvi üsulda dəyişiklik ehtimalını aradan qaldırmaq üçün əllə konfiqurasiya edilmişdir. Ancaq böyük bir şəbəkə üçün bu üsul tövsiyə edilmir, çünki çoxlu statik ARP olacaq və hər hansı bir kiçik dəyişiklik şəbəkə administratoru üçün çox çətinliyə səbəb olacaq.
•VPN: VPN -lər ARP saxtakarlıq hücumlarından qorunmağın ən etibarlı yollarından biridir, çünki VPN -lər yalnız məlumat ötürülməsi üçün şifrəli bir tuneldən istifadə etmir, həm də oradan keçən məlumatları da şifrələyir.
•Anti-ARP Proqramı: Anti-ARP proqramı müdaxilələri müəyyən etmək və dayandırmaq üçün təsirli ola bilər. Bu tip proqramlar, məlumatları göndərilənə qədər yoxlamaq və yoxlamaqla, həmçinin saxta çıxışlardan məlumatları bloklamaqla işləyir.
Ayrıca LAN girişini idarə etmək başqa bir qarşısının alınması üsuludur və Şəbəkə Girişinə Nəzarət (NAC) və ya MAC süzgəcindən istifadə edərək sadə liman təhlükəsizliyi kimi vasitələr təsirli ola bilər. Şəbəkə trafikini izləmək və xəbərdar etmək, ehtimal ki, ən təsirli aşkarlama üsulu deyil, çünki ARP zəhərlənmə hücumlarının aşkarlanmasında yanlış pozitivlər çox ola bilər. Xüsusilə DHCP şəbəkə seqmentlərində bəzi yanlış pozitivlərə sahib olsa da, ARP önbelleklerini izləmək və təkrarlanan MAC girişləri barədə xəbərdar etmək daha təsirli ola bilər.
Xülasə
ARP, IP ünvanını MAC ünvanı ilə əlaqələndirmək üçün istifadə olunan bir protokoldur. Şəbəkədəki IP münaqişəsinin qarşısını almaq və əlaqələri hər hansı bir şəkildə bloklamaq və ya dayandırmaq üçün istifadə olunur. Doğrulama olmadığından, ARP kiber hücumlar baxımından zəiflik yaradır və təcavüzkarların həssas məlumatlara icazəsiz giriş əldə etməsinə səbəb olur.
ARP saxtakarlıq hücumlarında, kiber cinayətkarların MAC ünvanı bir IP ünvanına bağlandıqda, təcavüzkar qanuni MAC ünvanına yönəlmiş hər hansı bir mesajı qəbul edə, dəyişdirə və ya blok edə bilər.
Arp zəhərlənməsinin aşkarlanması və qarşısının alınması ilə bağlı araşdırma və ARP spoofing nədir? Sualı ilə ən müasir tədbirlərə diqqət yetirmək tövsiyə olunur.
