web-dev-qa-db-ja.com

このタイプのARPポイズニング攻撃は可能ですか?

偽のARP応答パケットの束を送信することによってネットワークを麻痺させることが可能かどうか疑問に思っています。

いくつかの根拠:私は最近、ARPとARPポイズニングがどのように機能するかについて中程度に詳細な説明を読みました(つまり herepdf )。 ARPポイズニングがどのように機能するかは、少なくともその記事で提示されている詳細レベルで理解していると思います。

私の質問は、異なるタイプのARP中毒についてです。すべてのトラフィックを攻撃しているコンピューターに向けるARP応答パケットを送信する代わりに、デバイスが被害者のデバイスのARPキャッシュをごちゃ混ぜにしてしまうARPパケットを送信する可能性はありますか?攻撃しているデバイスが見つけることができるすべてのIPに間違ったMACアドレスを与える多くのパケットをネットワーク上の各デバイスに送信しますか?

このタイプの攻撃は可能ですか?それに対してどのような対策がありますか?これらの対策は一般的に使用されていますか?

追加の質問:ARPパケットには、ネットワークの管理者が非表示のワイヤレス攻撃デバイスを特定できる情報が含まれていますか?デバイスをネットワークから切断する方法はありますか?

networkattacksattack-preventionprotocolsdenial-of-service
8
Grady S

ローカルネットワークのサービス拒否攻撃はまれですが、問題のデバイスが簡単に取り外される可能性があるためです。

ランダムなARPトラフィックを確認するのではなく、 Proxy ARP に設定されたデバイスを確認し、すべてのネットワークトラフィックを盗みます。ほとんどのルーターにはすでに機能が組み込まれているため、これはさらに簡単な攻撃です。

しかし、繰り返しになりますが、ローカルネットワークへのDOS攻撃は珍しいことです。通常、これは設定ミスの問題です。

編集:追加の質問への回答:

ARPパケットには、送信者MAC、宛先MAC、およびターゲットIPアドレス(およびいくつかの簿記)が含まれています。すべてのネットワークパケットと同様に、最後のすべてのビットがスプーフィングされる可能性があります。悪意のあるものは何もないと想定すると、少なくとも送信者のMACアドレスを取得できます。その最初の数バイトはベンダー固有であり、ネットワークアダプターを製造したベンダーを特定するために検索できます。これは、デバイスの識別に役立ちます。もちろん、なりすましの可能性があるので、それに依存しないでください。

WiFiネットワークに関しては、「オープンな」暗号化されていないネットワークは、セキュリティに関する限り、「何でもあり」の環境の一種であるため、セキュリティで保護することはほとんど価値がありません。ただし、暗号化のいずれかの形式が有効になっている場合、個々のクライアントはのみピアツーピアではなくルーターと通信できます。つまり、ルーターはこのようなノイズを除去できます。

5
tylerl

これは実際にはARPフラッディングと呼ばれます。感染したシステム/悪意のあるユーザーが、ネットワークに接続されているすべてのシステムにARP応答を送信し、不正なARPエントリを入力します。これにより、システムはMACおよびIPアドレスを解決できなくなり、システムはネットワーク内の他のシステムに接続できなくなります。

6
Bassec

「利用可能な対策」という質問に対処するために、dot1x認証はおそらくネットワークの物理層を保護する最良の方法です。これにより、ホストにデータの送信を許可する前にネットワークへの認証を要求することにより、これらのタイプの物理およびデータリンク層攻撃を防ぐことができます。スイッチは依然として攻撃者からの不正なMACアドレスを認識しますが、ネットワーク上の他のスイッチや他のホストには到達しないため、実行できる被害は大幅に軽減されます。つまり、デフォルトゲートウェイを引き継いでMITMなどを行うことはできません。

5
Paul Ackerman

これを防ぐには、1つのスイッチポートに登録できるMACアドレスの数をフィルタリングします。シスコではこれをポートセキュリティと呼んでいますが、HPとジュニパーには同等のものがあります。 mac-addressテーブルにリストできるmacアドレスの数を制限することで(そして多すぎることに応じてポートをシャットダウンすることで)、手に負えなくなる前にこれを止めることができます。

別のオプション(デバイスが重要なコンポーネントである場合)は、Ciscoスイッチでmac-address-table staticコマンドを使用することです。これにより、スイッチがデバイスに別のMACアドレスを登録できなくなります。これと組み合わせて、静的ARPエントリを設定してarpポイズニングを防止できます(少なくとも隣接ゲートウェイに対して)。これはGPO WindowsまたはLinuxではDHCPフックを介して)デプロイできます。静的arpエントリは、動的に受信されたエントリよりも優先されます。

ワイヤレスでは、初めてネットワークにアクセスするときはゲートウェイarpを本当に信頼することはできません。そのため、可能であれば、ゲートウェイのMACアドレスをarpテーブルにハードコーディングします。

警告:この種のことをしているとき、MACアドレスが浮かんでいるのには正当な理由があります。クラスター環境、VMWareゲスト、移動するラップトップ。 arpおよびmac-addressテーブルのタイムアウトに注意してください。この場合、それらを低に設定すると、ネットワークトラフィックはわずかに増加しますが、間違いなく役立ちます。

4
Ori