Открыть сервис

ARP-спуфинг

ARP-спуфинг (англ. ARP spoofing, также ARP-кеш-отравление) — это вид атаки на компьютерные сети, при которой злоумышленник отправляет поддельные (сфабрикованные) протоколы разрешения адресов (ARP) в локальную сеть. Целью атаки является ассоциирование MAC-адреса злоумышленника с IP-адресом другого узла сети (например, шлюза или хоста жертвы), что приводит к перехвату, изменению или блокировке трафика между легитимными узлами. ARP-спуфинг относится к атакам типа «человек посередине» (Man-in-the-Middle, MITM) и эксплуатирует недостатки протокола ARP, не имеющего механизмов аутентификации.

Принцип работы

Протокол ARP используется в сетях Ethernet для сопоставления IP-адресов сетевого уровня с MAC-адресами канального уровня. Когда устройству необходимо отправить пакет на другой IP-адрес в одной подсети, оно отправляет широковещательный ARP-запрос («кто имеет IP X?»). Устройство с соответствующим IP-адресом отвечает ARP-ответом, содержащим свой MAC-адрес. Результат сохраняется в ARP-кеше узла для дальнейшего использования.

При ARP-спуфинге злоумышленник (устройство с MAC-адресом Attacker) отправляет поддельные ARP-ответы жертве (устройству Victim) и целевому узлу (например, шлюзу Router). В этих ответах утверждается, что IP-адрес шлюза соответствует MAC-адресу злоумышленника (для жертвы) и что IP-адрес жертвы соответствует MAC-адресу злоумышленника (для шлюза). В результате ARP-кеши жертвы и шлюза отравляются: жертва направляет трафик на MAC-адрес злоумышленника, думая, что это шлюз, а шлюз направляет трафик жертвы также на злоумышленника.

После установления таких поддельных записей злоумышленник может:

История

Протокол ARP был разработан в 1982 году (RFC 826) для использования в локальных сетях Ethernet. В то время безопасность сетей не была приоритетом, и протокол не предусматривал криптографических проверок. Первые упоминания об атаках на ARP появились в середине 1990-х годов. В 1995 году специалист по компьютерной безопасности Стив Белловин (Steve Bellovin) описал технику ARP-спуфинга в контексте атак на TCP/IP.

С развитием беспроводных сетей и ростом числа общественных Wi-Fi-точек ARP-спуфинг стал одним из распространённых методов атак в локальных сетях. В 2006 году был опубликован знаменитый инструмент «Ettercap», который автоматизировал проведение ARP-спуфинга и атак MITM. Позднее появились и другие инструменты, такие как «arpspoof» из пакета dsniff, а также встроенные возможности в Cain & Abel и BetterCap.

Классификация и виды

По целевому объекту

По способу реализации

По цели атаки

Последствия и риски

ARP-спуфинг представляет серьёзную угрозу для локальных сетей, особенно в средах, где отсутствуют средства защиты канального уровня. Последствия могут включать:

Атака особенно эффективна в общественных сетях (Wi-Fi в кафе, аэропортах, гостиницах), где все устройства находятся в одном широковещательном домене.

Обнаружение и защита

Обнаружение

Защита

Известные инструменты

Для проведения ARP-спуфинга существует множество инструментов как легитимного использования (тестирование на проникновение, обучение), так и вредоносного:

Правовой статус

Проведение ARP-спуфинга без явного согласия владельцев сети является незаконным в большинстве стран, так как квалифицируется как несанкционированный доступ к компьютерной информации и нарушение тайны переписки. В России ответственность за подобные действия предусмотрена статьёй 272 Уголовного кодекса («Неправомерный доступ к компьютерной информации») и статьёй 138 («Нарушение тайны переписки»). Использование этих инструментов для тестирования собственных сетей или при проведении authorised penetration testing (с разрешения) не является нарушением.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →