ARP (Protocolo de Resolução de Endereço) spoofing é um tipo de ataque cibernético baseado no envio de pacotes ARP maliciosos por invasores para o gateway padrão através da rede local (LAN), usá-lo de forma a associar seu próprio endereço MAC ao endereço IP do dispositivo gateway.
Tipicamente, o objetivo de associar o endereço MAC de um invasor ao endereço IP de outro host, como o gateway padrão, é chamar qualquer tráfego projetado para enviar esse endereço IP através de um invasor. ARP a falsificação permite que um agressor obtenha quadros de dados na rede e modifique ou interrompa todo o tráfego. Geralmente, é usado para abrir outros ataques baseados em rede, como ataques de sequestro de sessão, Ataques MITM, ou negação de serviço.
É importante notar que apenas redes que utilizam ARP pode usar esse ataque. Como resultado, o invasor terá acesso direto ao segmento de rede. Além disso, ARP é de fato um protocolo comumente usado cujos algoritmos convertem endereços da camada Internet para a camada de enlace.
Não importa se solicitado pelo host da rede ou não, qualquer ARP as respostas recebidas serão automaticamente armazenadas em cache. Quando recebe uma nova resposta ARP, todos os registros, incluindo aqueles que não expiraram, será sobrescrito. Protocolo ARP não é possível autenticar o par de onde o pacote foi enviado porque não possui método. Esta é a vulnerabilidade que é possível Falsificação de ARP.
Ataque de falsificação de ARP
Porque o Protocolo ARP não possui autenticação, isso permite falsificar ARP enviando mensagens ARP falsificadas dentro da rede local. Esses ataques serão executados a partir de um host infectado na rede local ou do dispositivo do invasor., que deve estar conectado à mesma rede que o alvo.
A tarefa de tal ataque é associar o endereço MAC do invasor ao endereço IP do host alvo, de modo que todo o tráfego que vai para o host alvo passe pelo host do invasor..
Um invasor pode inspecionar o tráfego (espionagem) e continue enviando para o host de destino sem se revelar, modificar o conteúdo antes de encaminhar (ataque man-in-the-middle), ou lançar um ataque que interrompa parcial ou totalmente a transferência de pacotes na rede.
Detecte e evite falsificação de ARP
Software especializado em detectando falsificação de ARP normalmente usa uma forma específica de certificação ou verificação cruzada de respostas ARP. Assim não certificado ARP as respostas estão bloqueadas. Tipicamente, esses métodos são integrados a um servidor DHCP para certificar endereços IP dinâmicos e estáticos.
Um ARP O indicador de ataque falsificado pode ser a presença de vários endereços IP vinculados ao mesmo endereço MAC, embora às vezes o uso de tal esquema seja legítimo. O dispositivo analisa as respostas ARP e envia uma notificação por e-mail se o ARP o registro é alterado em uma abordagem mais passiva.
Como me proteger de um ataque de falsificação de ARP?
👉 Não use relacionamento de confiança
O relacionamento de confiança usa endereços IP para autenticação, não use esse método. Em vez de, você precisa criar um login e senha pessoais para identificar os usuários através de políticas de segurança.
👉 Use filtragem de pacotes
A filtragem de pacotes é a forma como um firewall monitora os pacotes de entrada e saída. Isso é conseguido separando redes internas confiáveis de redes públicas inseguras. Também, um firewall pode filtrar pacotes por protocolo, fonte, e números de porta de destino, ou endereços de rede de origem e destino.
👉 Use ARP estático
Se você tiver dois hosts, usar estático ARP para adicionar um registro permanente no cache. Isto proporcionará um nível adicional de spoofing protection.