Перейти к содержанию

ARP spoofing

Атака типа MITM заключаящаяся в том, что злоумышленник находясь в одном broadcast домене с машинами жертв, выдает себя за каждую из них, становясь таким образом между ними и пропуская трафик через себя. Суть заключается в том, что согласно протокола ARP каждое устройство может в любой момент времени отправить ARP request о своем IP адресе, даже если на это не было запроса.

Инструменты:

Любые сниферы, а в особенности те, которые имеют предварительные конфигурации для ARP spoofing'a (aka APR poisoning), например Ettercap.

Способы борьбы
  1. Использование Dynamic ARP inspection на всех access портах свитчей.
  2. Меры физической защиты оборудования, в том числе использование port security, 802.1х
  3. Микросегментация - не решит кардинально проблему, но ограничит broadcast домены
  4. Шифрование передаваемых данных - так же дополнительная мера, направленная в первую очередь на предотвращение перехвата информации передаваемой в plain text. Следует добавить, что шифрование данных не позволит в полной мере использовать инструменты типа NTA (Network trafic Analyzer) которые являются одним из трёх главных инструментов SOC.