Техника на mitre.org

T1557.002: Отравление ARP-кэша

Злоумышленники могут "отравить" (подменить) ARP-кэш, чтобы вмешаться в соединение между двумя или более узлами сети. Отравление может предшествовать применению таких техник, как Прослушивание сетевого трафика или Манипуляции с передаваемыми данными.

Протокол ARP используется для разрешения IPv4-адресов в адреса канального уровня, такие как MAC-адреса. Адреса канального уровня используются для взаимодействия устройств друг с другом в одном сегменте локальной сети. Если у сетевого устройства нет адреса канального уровня другого сетевого устройства, оно может отправить широковещательный ARP-запрос в локальную сеть для преобразования IP-адреса в MAC-адрес. Устройство с соответствующим IP-адресом пришлет ему ответ со своим MAC-адресом, после чего сетевое устройство, отправившее ARP-запрос, сохранит эти данные в своем ARP-кэше.

Злоумышленник может пассивно ожидать ARP-запроса, чтобы отравить ARP-кэш запрашивающего устройства. Получив запрос, злоумышленник может ответить своим MAC-адресом, при этом жертва будет считать, что взаимодействует с запрошенным сетевым устройством. Отравить ARP-кэш удастся только в том случае, если злоумышленник ответит на запрос быстрее, чем легитимный владелец IP-адреса. Злоумышленники могут, не дожидаясь ARP-запроса, отправить всем устройствам в сегменте локальной сети широковещательное сообщение о том, что определенный IP-адрес принадлежит им.

Протокол ARP не сохраняет данные о состоянии и не требует аутентификации. Поэтому устройства могут ошибочно добавить или обновить MAC-адрес соответствующего IP-адреса в своем ARP-кэше.

Техника отравления ARP-кэша может использоваться для перехвата сетевого трафика — с ее помощью злоумышленники могут собирать и (или) ретранслировать учетные и другие данные, особенно если они передаются по незащищенному незашифрованному протоколу.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

eltex: PT-CR-2342: Eltex_ARP_Spoofing: Атака ARP-spoofing

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте сетевой трафик на наличие необычного ARP-трафика — ничем не обусловленные ARP-ответы могут выглядеть подозрительно. По возможности собирайте изменения в кэше ARP на конечных системах для выявления признаков отравления ARP-кэша. Например, если несколько IP-адресов сопоставлены с одним MAC-адресом, это может указывать на то, что кэш ARP отравлен.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте сетевой трафик на наличие необычного ARP-трафика — ничем не обусловленные ARP-ответы могут выглядеть подозрительно. По возможности собирайте изменения в кэше ARP на конечных системах для выявления признаков отравления ARP-кэша. Например, если несколько IP-адресов сопоставлены с одним MAC-адресом, это может указывать на то, что кэш ARP отравлен.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP.

Меры противодействия

ID	M1017	Название	Обучение пользователей	Описание	Научите пользователей с подозрением относиться к ошибкам в сертификатах. Злоумышленники могут перехватить HTTPS-трафик через свои собственные сертификаты. Ошибки сертификатов могут возникать, когда сертификат приложения и требуемый сертификат узла не совпадают.

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, которые способны выявлять модели трафика, указывающие на атаки типа "злоумышленник посередине", могут использоваться для противодействия этим атакам на сетевом уровне.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Создайте статические записи ARP для сетевых устройств. Реализация статических записей ARP может быть нецелесообразной для больших сетей.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	По возможности включите DHCP Snooping и Dynamic ARP Inspection на коммутаторах, чтобы создать сопоставления между IP-адресами, запрашиваемыми через DHCP и ARP-таблицы, и привязать эти значения к порту коммутатора, который может блокировать фиктивный трафик.

ID	M1041	Название	Шифрование важной информации	Описание	Проследите, чтобы весь проводной и беспроводной трафик был зашифрован соответствующим образом. Используйте лучшие практики для протоколов аутентификации, таких как Kerberos, и проследите, чтобы веб-трафик, который может содержать учетные данные, был защищен SSL/TLS.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	По возможности отключите обновление ARP-кэша при получении беспричинных ARP-ответов.

ID	Название	Описание
M1017	Обучение пользователей	Научите пользователей с подозрением относиться к ошибкам в сертификатах. Злоумышленники могут перехватить HTTPS-трафик через свои собственные сертификаты. Ошибки сертификатов могут возникать, когда сертификат приложения и требуемый сертификат узла не совпадают.
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, которые способны выявлять модели трафика, указывающие на атаки типа "злоумышленник посередине", могут использоваться для противодействия этим атакам на сетевом уровне.
M1035	Ограничение доступа к ресурсам по сети	Создайте статические записи ARP для сетевых устройств. Реализация статических записей ARP может быть нецелесообразной для больших сетей.
M1037	Фильтрация сетевого трафика	По возможности включите DHCP Snooping и Dynamic ARP Inspection на коммутаторах, чтобы создать сопоставления между IP-адресами, запрашиваемыми через DHCP и ARP-таблицы, и привязать эти значения к порту коммутатора, который может блокировать фиктивный трафик.
M1041	Шифрование важной информации	Проследите, чтобы весь проводной и беспроводной трафик был зашифрован соответствующим образом. Используйте лучшие практики для протоколов аутентификации, таких как Kerberos, и проследите, чтобы веб-трафик, который может содержать учетные данные, был защищен SSL/TLS.
M1042	Отключение или удаление компонента или программы	По возможности отключите обновление ARP-кэша при получении беспричинных ARP-ответов.