ARP spoofing

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

ARP spoofing je zneužití Address Resolution Protocolu (ARP), umožňující útočníkovi vydávat se v místní síti za jiný počítač.

Protokol ARP se používá v počítačových sítích s protokolem IP verze 4 k překladu síťové IP adresy na MAC adresu, označující fyzickou síťovou kartu, na niž je žádoucí data posílat.

Pokud v takové síti potřebuje počítač poslat data jinému stroji, u nějž zná jen IP adresu, protokolem ARP pošle všem uzlům v síti dotaz, významem odpovídající výzvě „Kdo má tuto IP adresu, nechť mi pošle svoji adresu MAC“. Princip ARP spoofingu, neboli podvržení MAC adresy, proto spočívá v neustálém zasílání „odpovědi“ se svou MAC adresou. Cíl si poté zaznamená falešnou adresu do svých vnitřních tabulek, a data bude posílat na ni.

Pokud chce útočník odposlouchávat komunikaci mezi dvěma uzly lokální sítě, stačí mu oběma z nich podstrčit svoji MAC adresu, a přijatá data posílat dál skutečným adresátům.

ARP spoofing je pro odposlech nutný v ethernetových sítích propojených přepínači (switchi), které se učí na kterém konci sítě jsou které MAC adresy, a směřují provoz jen na výstupy, na kterých se nachází jeho adresát. Starší rozbočovače (huby) posílají všechna data všem, proto odposlech libovolného provozu na jimi řízené síti ARP spoofing nevyžaduje.

Obranou proti ARP spoofingu je použití statických ARP tabulek (počítače se na MAC adresy neptají, ale mají je pevně zadané; tento způsob činí zapojování dalších uzlů do sítě poněkud nepraktickým) nebo zabezpečením jednotlivých portů switche pomocí protokolu IEEE 802.1X.

Obrana proti ARP spoofingu[editovat | editovat zdroj]

Statické ARP záznamy[editovat | editovat zdroj]

Přeložené IP adresy na MAC adresy můžou být staticky uloženy v lokální mezipaměti (ARP cache). V tomto případě mohou být počítače nastaveny tak, aby ignorovaly všechny pakety s ARP odpovědí. Zatímco statické záznamy budou poskytovat dokonalé zabezpečení proti falšování, operační systém musí na jejich údržbu vynaložit dvojnásobné úsilí. IP-MAC záznamy všech zařízení v síti musí být totiž distribuovány do všech ostatních počítačů.

Software detekující ARP spoofing[editovat | editovat zdroj]

Software, který detekuje ARP spoofing obecně závisí na nějaké formě certifikace nebo ověřování ARP odpovědí. Nepotvrzené ARP odpovědi jsou pak blokovány. Ve spolupráci s DHCP serverem můžou být certifikovány dynamické i statické IP adresy. Tato funkce může být realizována u jednotlivých hostitelů nebo mohou být integrovány do jiných síťových zařízení (Ethernet switch). Existence více IP adres spojených s jedinou MAC adresou může znamenat ARP spoofing, i když takovéto uspořádání může oprávněně nastat. V pasivnějším přístup k problematice poslouchá zařízení ARP odpovědi na síti a v případě změny pošle upozornění e-mailem.

Ochrana na úrovni OS[editovat | editovat zdroj]

Operační systémy reagují různě, např. Linux ignoruje nevyžádané odpovědi, ale na druhé straně využívá zachycené požadavky z jiných strojů k aktualizaci své mezipaměti. Solaris přijímá aktuální informace o položkách až po uplynutí časového limitu. V systému Microsoft Windows lze chování ARP mezipaměti konfigurovat pomocí několika záznamů v registru. Konkrétně HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, ArpCacheLife, ArpCacheMinReferenceLife, ArpUseEtherSNAP, ArpTRSingleRoute, ArpAlwaysSourceRoute, ArpRetryCount.