Address Resolution Protocol (ARP) och dess spoofing attacker är inget nytt i världen av hacking hot, men historien belyser varför dessa typer av attacker är så vanliga. ARP utvecklades först på 1980-talet för nätverk för att hantera anslutningar utan en enskild enhet ansluten till var och en. Även om detta kan göra det lättare för två maskiner att ansluta mer effektivt och fritt för att överföra information, lämnar det också dina data öppna för sårbarheter och stöld.
säkerhet är ett genomgripande problem när du använder ARP. Även känd som ARP-förgiftning, ARP-spoofing är en cyberattack som utförs över ett lokalt nätverk (LAN) som skickar skadliga ARP-paket till en standardgateway på ett LAN. Syftet är att angripare ska dölja var deras IP-adress kommer ifrån så att de kan attackera dina enheter för skadliga ändamål. Och eftersom de döljer vem de är är det inte alltid lätt att upptäcka den skadliga aktiviteten förrän det är för sent.
ta reda på om din webbplats är öppen för sådana attacker med Indusyce var Gratis webbplats Security Scan
men även om du vet ARP spoofing är ett genomgripande problem, hur man kan stoppa attacker i deras spår är inte alltid klart. Det finns vanligtvis inte en snabb lösning för att identifiera och bekämpa ARP-spoofing, men det finns sätt att skydda dig själv och vara proaktiv om din säkerhet. Så här kommer du igång.
- sätt att skydda mot ARP förgiftning
- förstå Spoofing processen
- identifiera Spoofing Attack
- lita på virtuella privata nätverk
- använd en statisk ARP
- få ett Detekteringsverktyg
- Undvik förtroendeförhållanden
- Set-Up paketfiltrering
- titta på dina inställningar för övervakning av skadlig programvara
- kör Spoofing attacker
sätt att skydda mot ARP förgiftning
förstå Spoofing processen
innan du kan identifiera och förhindra en fullskalig spoofing attack, måste du förstå processen och vad man ska leta efter för att bekämpa en framtida händelse.
när en hacker skickar ett falskt ARP-meddelande via ett lokalt nätverk kan de sedan länka till din MAC-adress med IP-adressen till en legitim dator eller server. I verkligheten ansluter de till din IP-adress under skadliga företeelser och kan börja ta emot data som var avsedda för den till synes legitima IP-adressen.
målet är att identifiera när en IP-adress är förfalskad och vad den angriparen gör. Du kan titta på onormal aktivitet på din server och försöka bestämma vilken information de riktar sig till. Detta kan också ge dig ledtrådar om vilken typ av data som kan vara sårbar för någon attack, inte bara ARP-spoofing.
identifiera Spoofing Attack
när du räkna ut hur ARP spoofing fungerar och vad man ska leta efter, det är också viktigt att identifiera vilken typ av attack riktar enheten. Även om varje ARP-spoofing-händelse följer en liknande attackprocess kan de variera i hur de kommer åt dina enheter. Att bestämma vilken attack du upplever kan hjälpa dig att identifiera den bästa kursen för förebyggande och lösning.
Veracode erbjuder en resurs som listar de tre huvudsakliga spoofing attackerna att se upp för:
- Denial-of-service-attacker: i en denial-of-service-attack (DoS) försöker en cyberhackare att störa tjänsten eller värdanslutningen för att göra din webbplats eller dina resurser otillgängliga för den avsedda publiken. Angriparen använder vanligtvis en dator och Internetanslutning för att överväldiga och översvämma ett offers system så att de kan komma åt sina data.
- Session kapning: Session kapning attacker kan använda ARP spoofing att stjäla en session ID och öppna dörren till dina privata data. Det är därför att använda offentlig WiFi i cafeer och upptagna flygplatser kan skapa en sårbar situation för dina data.
- man-in-the-middle-attacker: man-in-the-middle-attacker använder ARP-spoofing för att fånga inkommande trafik från en legitim användare och ändra den för att få tillgång till sessionen.
när du vet vilken typ av attack du har drabbats av och vad som händer i dina system kan du bestämma vilken åtgärd du ska vidta eller hur du bättre skyddar dina enheter och data.
lita på virtuella privata nätverk
ett sätt att förhindra att ARP-spoofing händer i första hand är att förlita sig på virtuella privata nätverk (VPN). När du ansluter till internet ansluter du vanligtvis först till en Internetleverantör (ISP) för att ansluta till en annan webbplats. Men när du använder en VPN använder du en krypterad tunnel som till stor del blockerar din aktivitet från ARP-spoofing-hackare. Både metoden med vilken du utför onlineaktiviteten och de data som går igenom den är krypterad.
du bör överväga en VPN om du reser ofta eller använder offentliga WiFi-hotspots när du arbetar med känslig information eller data. Du kan också överväga att använda en mobil internetenhet som kan bidra till att minska risken för att någon arbetar sig in i ditt system via offentlig WiFi utan inloggnings-eller lösenordskrav. Även om VPN kan vara ett säkrare sätt att använda internet, kan det ibland sakta ner din onlineåtkomst på grund av kryptering och dekryptering av processorkraft.
använd en statisk ARP
att skapa en statisk ARP-post på din server kan bidra till att minska risken för förfalskning. Om du har två värdar som regelbundet kommunicerar med varandra skapar en statisk ARP-post en permanent post i din ARP-cache som kan hjälpa till att lägga till ett lager av skydd mot förfalskning.
en CISCO-router kan hjälpa till att undersöka ARP-informationen för att övervaka huruvida en ARP-spoofing-händelse inträffar eller inte. Det kan ta lite avancerad kunskap för att verkligen förstå hur man använder en statisk ARP och ställer in den på lämpligt sätt. Se till att vilken metod du använder körs korrekt eller så kan du sluta med en falsk känsla av säkerhet om din ARP.
få ett Detekteringsverktyg
även med ARP-kunskap och tekniker på plats är det inte alltid möjligt att upptäcka en spoofing-attack. Hackare blir alltmer smygande på återstående oupptäckta och använda ny teknik och verktyg för att ligga steget före sina offer. Istället för att strikt fokusera på förebyggande, se till att du har en detekteringsmetod på plats. Att använda ett tredjepartsdetekteringsverktyg kan hjälpa dig att se när en spoofingattack händer så att du kan arbeta med att stoppa den i dess spår.
ett tredjepartsverktyg som XArp kan hjälpa till att upptäcka om du attackeras av ARP-spoofing. Men det är bara det första steget till Arp-spoofingskydd. Förutom att använda rätt verktyg bör du också överväga ett robust övervakningsverktyg eller tjänst.
Undvik förtroendeförhållanden
vissa system är beroende av IP-förtroendeförhållanden som automatiskt ansluter till andra enheter för att överföra och dela information. Du bör dock helt undvika att förlita dig på IP-förtroendeförhållanden i ditt företag. När dina enheter bara använder IP-adresser för att verifiera en annan maskin eller användares identitet är det lätt för en hackare att infiltrera och förfalska din ARP.
en annan lösning är att förlita sig på privata inloggningar och lösenord för att identifiera användare. Oavsett vilket system du väljer för att validera dina användare behöver du etablerade skyddspolicyer i din organisation. Denna enkla teknik kan skapa ett extra lager av skydd och hålla reda på vem som försöker komma åt dina system.
Set-Up paketfiltrering
vissa Arp-angripare skickar ARP-paket över LAN som innehåller en angripares MAC-adress och offrets IP-adress. När paketen har skickats kan en angripare börja ta emot data eller vänta och förbli relativt oupptäckt när de ramper upp för att starta en uppföljningsattack. Och när ett skadligt paket har infiltrerat ditt system kan det vara svårt att stoppa en uppföljningsattack och se till att ditt system är rent.
paketfiltrering och inspektion kan hjälpa till att fånga förgiftade paket innan de når sin destination. Det kan filtrera och blockera skadliga paket som visar motstridiga källinformation.
titta på dina inställningar för övervakning av skadlig programvara
antivirus-och malware-verktygen du redan använder kan erbjuda viss användning mot ARP-spoofing. Titta på dina inställningar för övervakning av skadlig programvara och leta efter kategorier och val som övervakar misstänkt ARP-trafik från slutpunkter. Du bör också aktivera alla alternativ för förebyggande av ARP-förfalskning och stoppa alla slutpunktsprocesser som skickar misstänkt ARP-trafik.
även om du kan öka ditt skydd mot ARP-spoofing med malware-verktyg är det fortfarande viktigt att använda andra tekniker som inkluderar upptäckt. Annars kanske du inte inser att en hackare har kringgått dina skadliga verktyg och infiltrerat dina data trots dina bästa säkerhetsverktyg.
kör Spoofing attacker
identifiering och förebyggande är nyckeln till att förhindra spoofing attacker. Du kan dock öka dina chanser att vara säkra och skydda dina data genom att köra dina egna spoofingattacker. Arbeta med din säkerhetsansvarig eller IT-team för att köra en spoofing attack för att se om de tekniker du använder är tillräckliga för att hålla ditt system och data säkra.
när du upptäcker nya sårbarheter dokumenterar du dina tester och tekniker för att hålla reda på vad som fungerar och vad som har misslyckats. Kör dina egna spoofingattacker en gång i kvartalet, eller till och med en gång i månaden, för att ligga steget före hackare och deras utvecklande strategier. När du blir mer bekväm och flytande i processen, kör workshops med anställda om vad du ska leta efter i attacker och skapa en säkerhetskultur i ditt företag.