ARPポイズニング：それは何であり、ARPスプーフィングを防ぐ方法

ARPポイズニングは、広く使用されているアドレス解決プロトコル（ARP）の弱点を悪用して、ネットワークトラフィックを中断、リダイレクト、または監視するサイバー攻撃の一種です。この記事では、ARPが必要な理由、ARPポイズニングを可能にする弱点、および組織を安全に保つためにできることを簡単に説明します。

ARPとは何ですか？

ARPは、別のコンピュータのIPアドレスからMACアドレスを決定するためのものです。ARPを使用すると、ネットワークに接続されているデバイスは、現在特定のIPアドレスが割り当てられているデバイスを照会できます。デバイスは、プロンプトを表示せずに、この割り当てをネットワークの残りの部分に通信することもできます。効率を上げるために、デバイスは通常、これらの応答をキャッシュし、現在のMAC-IP割り当てのリストを作成します。

ARPポイズニングとは何ですか？

ARPポイズニング（スプーフィング）は、ARPの弱点を利用して、ネットワーク上の他のデバイスへのMAC-IP割り当てを妨害することです。 1982年にARPプロトコルが導入されたとき、セキュリティは主要な関心事ではなかったため、プロトコル開発者は認証メカニズムを使用してARPメッセージを検証することはありませんでした。ネットワーク上のすべてのデバイスは、要求の受信者であるかどうかに関係なく、ARP要求に応答できます。たとえば、コンピュータAがコンピュータBのMACアドレスを要求した場合、コンピュータCの攻撃者は応答でき、コンピュータAはその応答を有効なものとして受け入れます。この脆弱性のために、膨大な数の攻撃が実行されました。攻撃者は、すぐに利用できるツールを使用して、ローカルネットワーク上の他のホストのARPキャッシュを汚染し、誤ったデータで埋めることができます。

ARP中毒段階

ARP中毒の段階はさまざまですが、通常、最小リストは次のとおりです。

1. 攻撃者が被害者のマシンを選択
   
   するARPポイズニング攻撃を計画および実装する最初のステップは、ターゲットを絞ることです。これは、ネットワーク上の特定のエンドポイント、エンドポイントのグループ、またはルーターなどのネットワークデバイスの場合があります。ルーターのARPポイズニングが成功すると、サブネット全体のトラフィックが中断される可能性があるため、ルーターは魅力的なターゲットです。
2. 
   
   , ARP, . . ARP .
3. 
   
   ARP () - . , « », . .

ARP Poisoning

ARPをポイズニングする主な方法は2つあります。攻撃者は特定のターゲットに対するARP要求を待ってそれに応答するか、無償のARP要求を使用することができます。最初の答えはウェブ上では見えにくくなりますが、その潜在的な影響も少なくなります。自己送信型ARP要求は、より効果的でより多くの被害者に影響を与える可能性がありますが、大量のネットワークトラフィックを生成するという欠点があります。どちらのアプローチでも、被害者のデバイス上の破損したARPキャッシュを、次の目的で使用できます。

中間者攻撃

MiTM攻撃は、おそらくARP中毒の最も一般的で、潜在的に最も危険な標的です。攻撃者は、指定されたIPアドレス（通常は特定のサブネットのデフォルトゲートウェイ）に偽のARP応答を送信します。これにより、被害者のデバイスは、ローカルルーターのMACアドレスではなく、攻撃者のMACアドレスをARPキャッシュに入力するように強制されます。被害者のデバイスは、ネットワークトラフィックを攻撃者に誤って転送します。 Ettercapなどのツールを使用すると、攻撃者は、トラフィックを宛先に送信する前に情報を表示または変更することで、プロキシとして機能できます。同時に、被害者は仕事の変化に気付かないかもしれません。

同時ARPポイズニングと DNSポイズニングMiTM攻撃の効果を大幅に向上させることができます。このシナリオでは、被害者のユーザーは正当なサイト（たとえば、google.com）のアドレスを入力し、正しいアドレスではなく、攻撃者のマシンのIPアドレスを取得できます。

サービス拒否（DoS）

DoS攻撃とは、1人以上の被害者がネットワークリソースへのアクセスを拒否された場合です。ARPの場合、攻撃者は1つのMACアドレスに数百または数千ものIPアドレスを誤って割り当てるARP応答を送信し、ターゲットデバイスに過負荷をかける可能性があります。このタイプの攻撃は、ARPフラッディング（ARPフラッディング）と呼ばれることもあり、スイッチを標的にして、ネットワーク全体のパフォーマンスに影響を与える可能性があります。

セッションハイジャック

セッションハイジャックは、攻撃者が被害者のマシンからターゲットデバイスにトラフィックを直接リダイレクトしないことを除いて、本質的にMiTMに似ています。代わりに、被害者の本物のTCPシーケンス番号またはCookieをキャプチャし、それを使用して被害者になりすます。そのため、たとえば、ソーシャルネットワークにログインしている場合、そのユーザーのアカウントにアクセスできます。

ARP中毒の目的は何ですか？

ハッカーには、高レベルのスパイ活動からネットワーク上に混乱を引き起こす興奮まで、ARP中毒を実行するときを含め、常にさまざまな動機があります。考えられるシナリオの1つでは、攻撃者は偽のARPメッセージを使用して、特定のサブネットのデフォルトゲートウェイの役割を引き受け、すべてのトラフィックをローカルルーターではなくデバイスに効果的に転送する可能性があります。次に、トラフィックを監視し、変更またはダンプできます。これらの攻撃は証拠を残しますが、必ずしもネットワークの運用に影響を与えるとは限らないため、「大音量」です。攻撃の標的がスパイである場合、攻撃者のマシンはトラフィックを元の受信者にリダイレクトするだけであり、何かが変更されたと疑う理由はありません。



もう1つのターゲットは、重大なネットワークの中断である可能性があります。たとえば、経験の浅いハッカーが、作成した問題を楽しむためだけにDoS攻撃を実行することは珍しくありません。 インサイダー攻撃



は危険なタイプのARP中毒 です。なりすましARPメッセージはローカルネットワークの外部に送信されないため、攻撃はローカルデバイスから送信される必要があります。外部デバイスもARP攻撃を開始する可能性がありますが、最初に他の方法でローカルシステムをリモートで侵害する必要がありますが、インサイダーはネットワーク接続といくつかのすぐに利用できるツールのみを必要とします。

ARPスプーフィングとARPポイズニング

ARPスプーフィングとARPポイズニングという用語は一般的に同義語として使用されます。技術的には、なりすましとは、攻撃者が自分のアドレスを別のコンピュータのMACアドレスとして提供することを意味し、中毒（なりすまし）とは、1台以上の被害者のマシン上のARPテーブルへの損傷を指します。ただし、実際には、これらは同じ攻撃の要素です。この攻撃は、「ARPキャッシュポイズニング」または「ARPテーブル破損」と呼ばれることもあります。

ARP中毒攻撃の結果

ARPポイズニングの主な影響は、ローカルネットワーク上の1つ以上のホスト宛てのトラフィックが、代わりに攻撃者が選択したデバイスに送信されることです。攻撃の具体的な結果は、その詳細によって異なります。トラフィックは、攻撃者のマシンまたは存在しない場所に転送される可能性があります。前者の場合、目立った影響がない可能性がありますが、後者の場合、ネットワークへのアクセスがブロックされる可能性があります。



それ自体では、ARPキャッシュポイズニングは永続的な影響を及ぼしません。ARPエントリは、エンドポイントでの数分からスイッチでの数時間までキャッシュされます。攻撃者がテーブルへの積極的な感染を停止するとすぐに、破損したレコードは単に期限切れになり、通常のトラフィックがすぐに再開されます。ARP中毒は、それ自体では、被害者のマシンに永続的な感染や足場を残すことはありません。ただし、ハッカーが連鎖的に一連の攻撃を実行することは珍しくなく、ARP中毒はより大きな攻撃の一部になる可能性があります。

ARPキャッシュポイズニングを検出する方法

ARPキャッシュポイズニングを検出するために利用できる有料のオープンソースプログラムはたくさんありますが、特別なソフトウェアをインストールしなくても、コンピューター上のARPテーブルを確認できます。ほとんどのWindows、Mac、およびLinuxシステムでは、端末またはコマンドプロンプトでarp-aと入力すると、マシンの現在のIPおよびMACアドレスの割り当てが表示されます。



arpwatchやX-ARPなどのツールを使用すると、ネットワークを継続的に監視でき、ARPキャッシュポイズニングの兆候が検出されたときに管理者に警告できます。ただし、誤検知の可能性は非常に高くなります。

ARP中毒を防ぐ方法

ARP中毒を防ぐにはいくつかの方法があります。

静的ARPテーブル

ネットワーク上のすべてのMACアドレスを対応するIPアドレスに静的に割り当てることができます。これはARP中毒を防ぐのに非常に効果的ですが、非常に労働集約的です。ネットワークを変更すると、すべてのホストでARPテーブルを手動で更新する必要があるため、ほとんどの大規模な組織では、静的ARPテーブルを使用することは現実的ではありません。ただし、セキュリティが最優先される状況では、静的ARPテーブルに個別のネットワークセグメントを割り当てると、重要な情報を保護するのに役立ちます。

スイッチ保護

ほとんどのマネージドイーサネットスイッチには、ARPポイズニング攻撃防止機能が装備されています。動的ARP検査（DAI）と呼ばれるこれらの機能は、各ARPメッセージの有効性を評価し、疑わしいまたは悪意があると思われるパケットを破棄します。 DAIは、ARPメッセージがスイッチを通過する速度を制限して、DoS攻撃を効果的に防止することもできます。



DAIおよび同様の機能は、かつては高性能ネットワーク機器専用でしたが、現在では、中小企業で使用されているものを含め、ほぼすべてのビジネスクラスのスイッチに搭載されています。一般に、他のスイッチに接続されているポートを除くすべてのポートでDAIを有効にすることをお勧めします。この機能によるパフォーマンスへの大きな影響はありません。同時に、DHCPスヌーピングなどの他の機能を有効にする必要がある場合があります。



スイッチでポートセキュリティを有効にすると、ARPキャッシュポイズニングの影響を最小限に抑えることもできます。ポートセキュリティは、スイッチポートで1つのMACアドレスのみを許可するように構成できるため、攻撃者が複数のネットワークIDを使用することはできません。

物理的保護

ユーザーの職場への物理的アクセスを適切に制御することも、ARPポイズニング攻撃の防止に役立ちます。ARPメッセージはローカルネットワークの外部に送信されないため、潜在的な攻撃者は被害者のネットワークに物理的に近いか、ネットワーク上のマシンをすでに制御している必要があります。ワイヤレスネットワークの場合、近接は必ずしも直接の物理的アクセスを意味するわけではないことに注意してください。中庭または駐車場に到達する信号で十分な場合があります。接続のタイプ（有線または無線）に関係なく、802.1xなどのテクノロジーを使用すると、信頼できるデバイスや管理対象のデバイスのみがネットワークに接続できるようになります。

ネットワークの分離

十分にセグメント化されたネットワークは、一方のサブネットへの攻撃が他方のデバイスに影響を与えないため、一般にARPキャッシュポイズニングの影響を受けにくい可能性があります。より厳格なセキュリティ対策を講じた専用ネットワークセグメントに重要なリソースを集中させることで、ARPポイズニング攻撃の潜在的な影響を大幅に減らすことができます。

暗号化

暗号化はARP攻撃を防ぐことはできませんが、潜在的な損害を減らすことができます。以前は、MiTM攻撃の一般的な標的は、かつてプレーンテキストで送信されていたログイン資格情報を取得することでした。SSL / TLS暗号化の急増に伴い、これらの攻撃の実行はより困難になっています。

多くの脅威の1つにすぎません

ARPポイズニング技術は、ランサムウェアウイルスなどの多くの最新のマルウェアよりもはるかに早く登場しましたが 、ARPポイズニングは依然として対処しなければならない脅威です。他のすべてのサイバー脅威と同様に、これは包括的な方法で行うのが最善です。脅威の検出と対応のソリューションは、組織の全体的なセキュリティレベルを理解するのに役立ちます。また、Varonis Edgeのようなソリューションは 、ARPポイズニング後のデータ漏洩の兆候を検出できます。