az Address Resolution Protocol (Arp) és annak spoofing támadásai nem újdonságok a hacker fenyegetések világában, de a történelem rávilágít arra, hogy miért olyan gyakoriak az ilyen típusú támadások. Az ARP-t először az 1980-as években fejlesztették ki a hálózatok számára a kapcsolatok kezelésére anélkül, hogy mindegyikhez külön eszköz lenne csatlakoztatva. Bár ez megkönnyítheti két gép számára, hogy hatékonyabban és szabadon csatlakozzanak az információk továbbításához, az adatok széles körben nyitva állnak a sebezhetőségek és a lopások előtt.
a biztonság átfogó probléma az ARP használatakor. ARP-mérgezésként is ismert, az ARP-hamisítás egy számítógépes támadás, amelyet egy helyi hálózaton (LAN) hajtanak végre, amely rosszindulatú ARP-csomagokat küld a LAN alapértelmezett átjárójára. A cél az, hogy a támadók álcázzák, honnan származik az IP-címük, így rosszindulatú célokra támadhatják meg eszközeit. És mivel eltitkolják, hogy kik ők, nem mindig könnyű felismerni a rosszindulatú tevékenységet, amíg túl késő.
Tudja meg, hogy webhelye nyitott-e ilyen támadásokra az Indusface ingyenes Webhelybiztonsági vizsgálat volt
azonban még akkor is, ha tudja, hogy az ARP-hamisítás átható probléma, nem mindig világos, hogyan lehet megállítani a támadásokat a nyomukban. Általában nincs gyors javítás az ARP-hamisítás azonosításához és leküzdéséhez, de vannak módok arra, hogy megvédje magát, és proaktív maradjon a biztonságával kapcsolatban. Itt van, hogyan kell elkezdeni.
- ways to Protect from ARP mérgezés
- értsd meg a Spoofing folyamatot
- azonosítsa a hamisító támadást
- támaszkodjon virtuális Magánhálózatokra
- statikus ARP használata
- Get a Detection Tool
- kerülje a bizalmi kapcsolatokat
- Csomagszűrés beállítása
- nézze meg a Malware Monitoring beállításait
- spoofing támadások futtatása
ways to Protect from ARP mérgezés
értsd meg a Spoofing folyamatot
mielőtt beazonosítanád és megakadályoznád a teljes körű spoofing támadást, meg kell értened a folyamatot és azt, hogy mit kell keresned egy jövőbeli esemény leküzdése érdekében.
amikor egy hacker hamis ARP üzenetet küld egy helyi hálózaton keresztül, akkor képesek összekapcsolni az Ön MAC-címét egy törvényes számítógép vagy szerver IP-címével. A valóságban rosszindulatú ürüggyel csatlakoznak az Ön IP-címéhez, és elkezdhetik fogadni azokat az adatokat, amelyeket a látszólag legitim IP-címnek szántak.
a cél annak azonosítása, hogy mikor hamisítják meg az IP-címet, és mit csinál a támadó. Megnézheti a rendellenes tevékenységet a szerveren, és megpróbálhatja meghatározni, hogy milyen információkat céloz meg. Ez arra is utalhat, hogy milyen típusú adatok lehetnek sebezhetők bármilyen támadással szemben, nem csak az ARP-hamisítás.
azonosítsa a hamisító támadást
miután kitalálta, hogyan működik az ARP hamisítás, és mit kell keresni, az is fontos, hogy azonosítsa, milyen támadás célozza meg az eszközt. Bár minden ARP-hamisítási esemény hasonló támadási folyamatot követ, ezek változhatnak abban, hogy miként férnek hozzá az eszközeihez. Annak meghatározása, hogy melyik támadást tapasztalja, segíthet meghatározni a megelőzés és a megoldás legjobb útját.
a Veracode olyan erőforrást kínál, amely felsorolja a három fő spoofing támadást, amelyekre figyelni kell:
- szolgáltatásmegtagadási támadások: a szolgáltatásmegtagadási támadás (dos) során egy számítógépes hacker megpróbálja megzavarni a szolgáltatás vagy a gazdagép kapcsolatát, hogy webhelyét vagy erőforrásait elérhetetlenné tegye a tervezett közönség számára. A támadó általában egy számítógépet és internetkapcsolatot használ az áldozat rendszerének elárasztására és elárasztására, hogy hozzáférhessen adataihoz.
- Session hijacking: a Session hijacking támadások az ARP spoofing használatával ellophatnak egy session ID-t, és megnyithatják az ajtót a személyes adatokhoz. Ez az oka annak, hogy a nyilvános WiFi használata kávézókban és forgalmas repülőtereken kiszolgáltatott helyzetet teremthet az adatai számára.
- Man-in-the-middle támadások: Man-in-the-middle támadások ARP spoofing használatával elfogják a bejövő forgalmat egy törvényes felhasználótól, és módosítják, hogy hozzáférjenek a munkamenethez.
miután megtudta, hogy milyen támadás érte, és mi történik a rendszereiben, meghatározhatja, hogy milyen lépéseket tegyen, vagy hogyan védheti jobban eszközeit és adatait.
támaszkodjon virtuális Magánhálózatokra
az ARP-hamisítás megakadályozásának egyik módja a virtuális Magánhálózatokra (VPN) való támaszkodás. Amikor csatlakozik az internethez, általában először egy internetszolgáltatóhoz (ISP) csatlakozik, hogy csatlakozzon egy másik webhelyhez. Ha azonban VPN-t használ, akkor titkosított alagutat használ, amely nagyrészt blokkolja tevékenységét az ARP-hamisító hackerek ellen. Mind a módszer, amellyel az online tevékenységet végzi, mind az azon áthaladó adatok titkosítva vannak.
fontolja meg a VPN-t, ha gyakran utazik, vagy nyilvános WiFi hotspotokat használ, miközben érzékeny információkkal vagy adatokkal dolgozik. Fontolóra veheti egy olyan mobil internetes eszköz használatát is, amely segíthet csökkenteni annak esélyét, hogy valaki nyilvános WiFi-n keresztül bejusson a rendszerébe, bejelentkezési vagy jelszókövetelmények nélkül. Bár a VPN-ek biztonságosabb módja lehet az internet használatának, néha lelassíthatja az online hozzáférést a titkosító és dekódoló feldolgozási teljesítmény miatt.
statikus ARP használata
statikus ARP bejegyzés létrehozása a kiszolgálón segíthet csökkenteni a hamisítás kockázatát. Ha két gazdagépe van, amelyek rendszeresen kommunikálnak egymással, egy statikus ARP-bejegyzés beállítása állandó bejegyzést hoz létre az ARP-gyorsítótárban, amely segíthet egy védelmi réteg hozzáadásában a hamisítás ellen.
a CISCO router segíthet megvizsgálni az ARP-információkat annak ellenőrzésére, hogy ARP-hamisítási esemény történik-e vagy sem. Szükség lehet némi fejlett tudásra ahhoz, hogy valóban megértsük, hogyan kell használni a statikus ARP-t, és megfelelően beállítsuk. Győződjön meg arról, hogy bármilyen módszert is használ, helyesen hajtják végre, különben hamis biztonságérzetet okozhat az ARP-vel kapcsolatban.
Get a Detection Tool
még az ARP ismereteivel és technikáival sem mindig lehetséges a spoofing támadás észlelése. A hackerek egyre inkább lopakodnak, hogy észrevétlenek maradjanak, és új technológiákat és eszközöket használjanak, hogy megelőzzék áldozataikat. Ahelyett, hogy szigorúan a megelőzésre összpontosítana, ellenőrizze, hogy van-e észlelési módszere. Egy harmadik féltől származó észlelési eszköz segítségével láthatja, hogy mikor történik egy hamisító támadás,így dolgozhat annak megállításán.
egy harmadik féltől származó eszköz, mint például az XArp, segíthet felismerni, ha ARP-hamisítás támad. Ez azonban csak az első lépés az ARP hamisítás elleni védelemhez. A megfelelő eszközök használata mellett fontolóra kell vennie egy robusztus felügyeleti eszközt vagy szolgáltatást is.
kerülje a bizalmi kapcsolatokat
egyes rendszerek IP bizalmi kapcsolatokra támaszkodnak, amelyek automatikusan csatlakoznak más eszközökhöz az információk továbbítása és megosztása érdekében. Teljesen el kell kerülnie, hogy vállalkozásában az IP-bizalmi kapcsolatokra támaszkodjon. Amikor az eszközök csak egy másik gép vagy felhasználó személyazonosságának igazolására használják az IP-címeket, a hackerek könnyen beszivároghatnak és meghamisíthatják az ARP-t.
egy másik megoldás a privát bejelentkezések és jelszavak használata a felhasználók azonosításához. Bármelyik rendszert is választja a felhasználók érvényesítéséhez, a szervezetében létrehozott védelmi házirendekre van szükség. Ez az egyszerű technika hozzáadott védelmi réteget hozhat létre, és nyomon követheti, hogy ki próbál hozzáférni a rendszereihez.
Csomagszűrés beállítása
egyes ARP-támadók ARP-csomagokat küldenek a helyi hálózaton keresztül, amelyek tartalmazzák a támadó MAC-címét és az áldozat IP-címét. A csomagok elküldése után a támadó megkezdheti az adatok fogadását, vagy várhat, és viszonylag észrevétlen maradhat, amikor felugrik, hogy nyomon követési támadást indítson. És amikor egy rosszindulatú csomag beszivárgott a rendszerbe, nehéz lehet megállítani a nyomon követési támadást, és biztosítani kell, hogy a rendszer tiszta legyen.
a Csomagszűrés és-ellenőrzés segíthet elkapni a mérgezett csomagokat, mielőtt azok célba érnének. Képes kiszűrni és blokkolni azokat a rosszindulatú csomagokat, amelyek ellentmondó forrásadatokat mutatnak.
nézze meg a Malware Monitoring beállításait
a már használt víruskereső és malware eszközök némi segítséget nyújthatnak az ARP spoofing ellen. Nézze meg a rosszindulatú programok megfigyelési beállításait, és keressen olyan kategóriákat és kijelöléseket, amelyek figyelik a gyanús ARP-forgalmat a végpontokról. Engedélyeznie kell az ARP-hamisítás megelőzésére szolgáló beállításokat is, és le kell állítania minden olyan végpontfolyamatot, amely gyanús ARP-forgalmat küld.
bár növelheti az ARP-hamisítás elleni védelmet a rosszindulatú programok eszközeivel, még mindig fontos más technikákat használni, amelyek magukban foglalják az észlelést is. Ellenkező esetben előfordulhat, hogy nem veszi észre, hogy egy hacker megkerülte a rosszindulatú programokat, és a legjobb biztonsági eszközök ellenére beszivárgott az adataiba.
spoofing támadások futtatása
az azonosítás és a megelőzés kulcsfontosságú a spoofing támadások megelőzésében. Azonban növelheti annak esélyét, hogy biztonságban maradjon és megvédje adatait saját hamisító támadások futtatásával. Működj együtt a biztonsági tiszteddel vagy az informatikai csapatoddal, hogy lefuttass egy hamisító támadást, hogy megtudd, az általad használt technikák elegendőek-e a rendszer és az adatok biztonságának megőrzéséhez.
amikor új sebezhetőségeket észlel, dokumentálja tesztjeit és technikáit, hogy nyomon kövesse, mi működik és mi nem sikerült. Futtassa saját hamisító támadásait negyedévente, vagy akár havonta egyszer, hogy egy lépéssel a hackerek és a fejlődő stratégiáik előtt maradjon. Ahogy kényelmesebbé és folyékonyabbá válik a folyamatban, futtasson workshopokat az alkalmazottakkal arról, hogy mit kell keresni a támadásokban, és hozzon létre egy biztonsági kultúrát a vállalatában.