Address Resolution Protocol (ARP) Spoofing

هکرها از Address Resolution Protocol (ARP) spoofing یا ARP poisoning، برای رهگیری و جاسوسی از داده‌ها استفاده می‌کنند. هکر، در این حمله، دستگاه را فریب می‌دهد تا پیام‌های خود را به‌جای مقصد واقعی، به او ارسال کند. این اقدام باعث می‌شود هکر به‌راحتی، به اطلاعات حساس مانند رمزعبور یا اطلاعات کارت اعتباری، دسترسی پیدا کند. خوشبختانه، جای نگرانی نیست؛ چراکه می‌توانید با استفاده از روش‌های کاربردی، از اطلاعات خودتان، در برابر این حمله‌ها محافظت کنید.

پروتکل ARP و ARP Poisoning

ARP Spoofing، در یک شبکۀ محلی (LAN)، با به کار بردن یک ARP انجام می‌شود. ARP، یک پروتکل ارتباطی است که آدرس IP (پروتکل اینترنتی) پویا را با MAC (آدرس فیزیکی ماشین) مرتبط می‌کند. در واقع، پروتکل ARP، هدایت‌کنندۀ ارتباطات در شبکۀ محلی است.

هر دستگاه شبکه، هم‌زمان یک آدرس IP و یک MAC دارد. میزبان‌های شبکه، لازم است برای ارسال و دریافت پیام‌ها، از آدرس‌های دیگران در آن شبکه اطلاع داشته باشند. یک میزبان، به‌طور معمول یک آدرس IP پویا را به یک MAC متصل ‌می‌کند. به‌عنوان مثال، میزبان A، در یک شبکۀ کامپیوتری، به دنبال این است که آدرس IP خود را به MAC میزبان B متصل کند؛ پس یک درخواست ARP را به میزبان‌های دیگر، در شبکۀ محلی ارسال می‌کند. سپس از میزبان B، یک پاسخ ARP دریافت می‌کند که شامل MAC می‌شود و همان میزبان که درخواست را ارسال کرده، آدرس دریافت‌شده را که مشابه فهرست مخاطبان است، در حافظۀ پنهان (Cache) ARP خود ذخیره می‌کند. این حافظۀ پنهان که گاهی به‌عنوان جدول ARP شناخته می‌شود، آدرس‌ها را به‌صورت جدول ذخیره می‌کند.

ARP Spoofing، به حمله‌ای تقلبی اشاره دارد که در آن مهاجم، با دسترسی به شبکۀ محلی، خود را به‌عنوان میزبان B معرفی می‌کند. مهاجم، پیام‌هایی را به میزبان A ارسال می‌کند تا با فریب دادن میزبان A، آدرس مهاجم را به‌عنوان آدرس میزبان B، در حافظۀ پنهان ARP میزبان A ذخیره کند و مخاطب بعدی پیام‌های میزبان A باشد. به عبارت دیگر، مهاجم به‌عنوان یک واسطه، میان میزبان A و میزبان B قرار می‌گیرد و هر بار که میزبان A با میزبان B ارتباط برقرار می‌کند، در واقع با مهاجم، در ارتباط است. به‌طور معمول، میزبان B می‌تواند روتر یا Default gateway شبکه باشد.

هدف حملۀ ARP Spoof

حملۀ ARP Spoof ممکن است دارای اهداف مختلفی باشد. مهاجمان می‌توانند از ARP Spoofing برای جاسوسی، حمله‌های مرد میانی (man-in-the-middle) یا حمله‌های سایبری دیگری، مثل حمله‌های انکار سرویس (Denial-of-Service) استفاده کنند.

جاسوسی و حمله‌های انکار سرویس چیست؟

جاسوسی زمانی اتفاق می‌افتد که مهاجم، ارتباطات بین میزبان A و میزبان B را تغییر نمی‌دهد، بلکه فقط آن‌ها را می‌خواند و سپس به میزبان مد نظر ارسال می‌کند. مهاجم، در حملۀ مرد میانی، اطلاعات را قبل از ارسال به میزبان مقصد تغییر می‌دهد؛ هرچند این اعمال جاسوسی و دست‌کاری پیام‌ها، بخشی از یک حملۀ سایبری پیچیده، همراه با Lateral Movement هستند. یکی از حمله‌های انکار سرویس، به این صورت است که مهاجم، مانع برقراری ارتباط بین دو یا چند میزبان می‌شود. همچنین ممکن است کاربران، فایل‌های مخرب را بین میزبان‌ها ارسال کنند.

چه‌ کسانی از ARP Spoofing استفاده می‌کنند؟

هکرها از دهۀ ۱۹۸۰ به بعد، از ARP Spoofing استفاده می‌کنند. حمله‌های هکرها ممکن است برنامه‌ریزی‌شده یا فرصت‌طلبانه باشد. به‌عنوان مثال حمله‌های برنامه‌ریزی‌شده شامل حمله‌های انکار سرویس می‌شود؛ در‌حالی‌که سرقت اطلاعات از شبکۀ عمومی WI-FI، نمونه‌ای از فرصت‌طلبی است. این حمله‌ها قابل پیشگیری هستند؛ اما به‌دلیل سادگی در اجرا و نیاز نداشتن به منابع مالی، همچنان استفاده می‌شوند و کاربرد بالایی دارند. با وجود این، از ARP Spoofing ممکن است برای اهداف ارزشمند استفاده شود. توسعه‌دهندگان نیز از ARP Spoofing برای اشکال‌زدایی در ترافیک شبکه استفاده می‌کنند؛ به‌گونه‌ای که عمداً، یک واسطه میان دو میزبان قرار می‌دهند. هکرهای قانونمند نیز حمله‌های ARP Spoofing را شبیه‌سازی می‌کنند تا از ایمن بودن شبکه‌ها، در برابر چنین حمله‌هایی مطمئن شوند.

اثرات ARP Spoofing

ARP Spoofing، اثرات مشابهی با انواع Spoofing، مانند Email Spoofing دارد. اثرات ARP Spoofing ممکن است متفاوت باشد؛ به این معنی که اگر هکر، حملۀ انکار سرویس را انجام دهد، این اثرات ممکن است از هیچ‌چیز تا قطع کامل اتصال به شبکه، متغیر باشد. اینکه آیا اثرات حمله مشاهده می‌شود یا خیر، به اهداف هکر بستگی دارد. اگر آن‌ها فقط در پی جاسوسی یا دست‌کاری اطلاعات بین میزبان‌ها باشند، ممکن است به‌طور محسوس، اقدامات خود را انجام دهند. اما اگر هدف مهاجم، اجرای حمله‌های بعدی باشد (که اغلب در حمله‌های ARP Spoofing رایج است)، معمولاً سعی می‌کنند از شناسایی شدن جلوگیری کنند. با‌این‌حال، چنین حمله‌هایی پس از رسیدن به هدف نهایی آن‌ها، شناسایی می‌شوند. به‌عنوان مثال، سیستم شما ممکن است با ارتباطات بدافزار، بارگذاری‌ شده یا با باج‌افزار آلوده شده باشد.

چرا ARP Spoofing خطرناک است؟

ARP Spoofing، به دلایل مختلفی خطرناک است. بیشترین تهدید، این است که باعث می‌شود هکرها بتوانند به اطلاعات شخصی دسترسی پیدا کنند. سپس از این دسترسی، برای اهداف شرورانه‌ای مانند دسترسی به پسوردها، اطلاعات هویتی یا اطلاعات کارت اعتباری استفاده کنند. این حمله‌ها ممکن است سرآغاز یک حملۀ باج‌افزاری باشد.

چطور پی ببریم آیا کسی علیه شما ARP Spoofing انجام می‌دهد؟

برای پی بردن به اینکه، آیا شما مورد Spoof قرار گرفته‌اید یا خیر، باید برنامۀ مدیریت پیکربندی و اتوماسیون کاری خود را بررسی کنید. اگر دو آدرس IP با یک MAC وجود داشته باشد، ممکن است قربانی یک حمله شده باشید. مهاجمان به‌طور معمول، از یک نرم‌افزار برای پیاده‌سازی حمله استفاده می‌کنند تا پیام‌هایی را ارسال کنند که آدرس آن، به‌عنوان درگاه پیش‌فرض تنظیم شده است. با‌این‌حال، این نرم‌افزار می‌تواند قربانی را گمراه کند و MAC درگاه پیش‌فرض را با MAC خود جایگزین کند. در این صورت، باید ترافیک ARP خود را بررسی کنید و هر‌‌‌‌چیز غیرمعمول را شناسایی کنید. ترافیک غیر‌معمول، شامل پیام‌های ناخواسته‌ای است که ادعا می‌کنند مربوط به MAC یا IP روتر هستند؛ بنابراین پیام‌های ناخواسته، ممکن است نشانه‌ای از حملۀ ARP Spoofing باشد.

مهاجمان چطور تلاش می‌کنند مخفی بمانند؟

مهاجمان ARP Spoofing، به‌طور معمول می‌خواهند ناشناس بمانند. به‌این‌ترتیب، می‌توانند اطلاعات را جمع‌آوری کنند یا سطح دسترسی خود را در شبکه‌ای که هستند، افزایش دهند و یک حملۀ بزرگ‌تر را شروع کنند. اگر میزبان‌ها، در شبکه پی ببرند که درخواست‌های ARP دریافت‌شده‌ی آن‌ها نادرست هستند، می‌تواند موجب شناسایی حملۀ ARP Spoof در شبکه شود. قربانیان معمولاً متوجه نمی‌شوند که هدف حملۀ ARP Spoofing قرار گرفته‌اند. آن‌ها به‌طور معمول، به دریافت ارتباطات خود ادامه می‌دهند. مهاجم، این ارتباطات ارسال‌شده از طریق پروتکل ARP، مانند نام کاربری و رمز‌عبور قربانیان را رهگیری می‌کند.

چگونه از سیستم خود، در برابر ARP Spoofing محافظت کنیم؟

خوشبختانه، می‌توانید به‌عنوان بخشی از طرح پاسخ به رخداد خود، روش‌ها و ابزارهای متعددی را برای جلوگیری از ARP Spoofing پیاده‌سازی کنید. این روش‌ها، شامل تأیید درخواست‌های Packet-filtering ،ARP، نرم‌افزار Anti-ARP Spoofing و رمزنگاری است.

ابزارهایی برای تأیید درخواست‌های ARP

تنظیم ARP به‌صورت ایستا، ساده‌ترین روش برای تأیید MAC و آدرس‌های IP هستند. ورودی‌های ARP ایستا، به‌صورت دستی وارد یا پذیرفته می‌شوند؛ بنابراین دستگاه نمی‌تواند به‌صورت خودکار، حافظۀ پنهان ARP خود را بعد از پروتکل ARP تغییر دهد. این وضعیت ممکن است در بعضی موارد (مانند آدرس درگاه پیش‌فرض) انجام شود؛ در‌حالی‌که بقیۀ موارد به‌صورت پویا باقی بمانند. بیشتر آدرس‌ها، به‌ احتمال زیاد‌ باید به‌صورت پویا باقی بمانند؛ زیرا نگهداری حافظۀ پنهان به‌طور ثابت، در بسیاری از شبکه‌ها بسیار سخت است.

نرم‌افزارهایی نیز برای تأیید درخواست‌هایARP و کمک به محافظت در برابر ARP Spoofing وجود دارند. این نرم‌افزارها، آدرس IP و MAC را تأیید می‌کنند و به‌صورت فعال، پاسخ‌های تأیید‌نشده را مسدود می‌کنند. نرم‌افزارهای دیگری نیز وجود دارند که میزبان را، هنگام تغییر ورودی جدول ARP مطلع می‌کنند. در اینجا، گزینه‌های نرم‌افزاری بسیاری وجود دارد که عملکرد برخی از آن‌ها، در سطح کرنل است؛ در‌حالی‌که باقی موارد، ممکن است بخشی از IP میزبان یا سوئیچ شبکه باشند.

ابزارهای پیشگیری از ARP Spoofing

یک راه به‌نسبت ساده برای محافظت در برابر ARP Spoofing، استفاده از فایروال‌های Packet-filtering است. فایروال‌های Packet-filtering، داده‌هایی را که از یک آدرس دو بار در شبکه پیدا شوند، مشخص می‌کنند؛ زیرا این تکرار نشان‌دهندۀ حضور کسی است که خود را به‌عنوان یک میزبان مجاز معرفی می‌کند. رمزنگاری، مهم‌ترین راه برای محافظت در برابر حمله‌های ARP است. امروزه، به‌دلیل استفادۀ گسترده‌ از پروتکل‌های ارتباطی رمزگذاری‌شده‌، بهره‌برداری از این حمله بسیار سخت‌تر شده است. به‌عنوان مثال، بیشتر ترافیک وب‌سایت‌ها، با استفاده از HTTPS رمزنگاری می‌شود که از خواندن پیام‌ها توسط هکر، جلوگیری می‌کند؛ در نتیجه، مهم‌ترین راه برای کاهش چنین حمله‌هایی، اجتناب از ارسال داده‌های رمزنگاری‌نشده است. نرم‌افزار نیز به شما کمک می‌کند تا از حفاظت مطمئن شوید. بسیاری از نرم‌افزارهای حفاظت سایبری، به کاربران اطلاع می‌دهند که در سایتی هستند که داده‌ها رمزنگاری نشده‌اند. ابزار رمزنگاری دیگری که ممکن است درخور توجه باشد، VPN (شبکۀ خصوصی مجازی) است. هنگامی که به یک VPN متصل می‌شوید، تمام داده‌های شما، از طریق یک تونل رمزنگاری‌شده وارد می‌شوند.

در نهایت، شناسایی این حمله کاملاً وابسته به «ابزار» نیست و می‌توانید ARP Spoofing را در شبکۀ خود شبیه‌سازی کنید تا به دنبال نقاط ضعف احتمالی در سیستم امنیتی خود بگردید. در واقع، بیشتر ابزارهای مورد استفاده برای آغاز این حمله‌ها، به‌طور گسترده‌ای در دسترس هستند و به‌‌آسانی می‌توان از آن‌ها استفاده کرد و هک قانونمند را به‌عنوان یک استراتژی عملی، برای محافظت در برابر چنین حمله‌هایی پیاده‌سازی کرد.

 

این مقاله، ترجمه‌ای از سایت CrowdStrike است.