ARP Poisoning adalah jenis serangan siber yang memanfaatkan kelemahan pada Address Resolution Protocol (ARP) yang banyak digunakan untuk mengganggu, mengarahkan, atau memantau lalu lintas jaringan. Dalam artikel ini, kita akan melihat sekilas mengapa Anda membutuhkan ARP, menganalisis kelemahannya yang memungkinkan keracunan ARP, dan apa yang dapat Anda lakukan untuk menjaga keamanan organisasi Anda.
Apa itu ARP?
ARP adalah untuk menentukan alamat MAC dari alamat IP komputer lain. ARP memungkinkan perangkat yang terhubung ke jaringan untuk menanyakan perangkat mana yang saat ini diberi alamat IP tertentu. Perangkat juga dapat mengomunikasikan tugas ini ke seluruh jaringan tanpa diminta. Untuk efisiensi, perangkat biasanya menyimpan respons ini dalam cache dan membuat daftar penetapan MAC-IP saat ini.
Apa itu Keracunan ARP?
Keracunan ARP (spoofing) adalah penggunaan kelemahan ARP untuk mengganggu penetapan MAC-IP ke perangkat lain di jaringan. Pada tahun 1982, ketika protokol ARP diperkenalkan, keamanan bukanlah perhatian utama, sehingga pengembang protokol tidak pernah menggunakan mekanisme otentikasi untuk memvalidasi pesan ARP. Perangkat apa pun di jaringan dapat merespons permintaan ARP, terlepas dari apakah itu penerima atau bukan. Misalnya, jika Komputer A meminta alamat MAC Komputer B, penyerang di Komputer C dapat merespons, dan Komputer A akan menerima respons sebagai valid. Karena kerentanan ini, sejumlah besar serangan dilakukan. Menggunakan alat yang tersedia, penyerang dapat meracuni cache ARP dari host lain di jaringan lokal, mengisinya dengan data yang salah.
Tahap Keracunan ARPRP
Tahapan keracunan ARP dapat bervariasi, tetapi biasanya daftar minimum adalah sebagai berikut:
- Penyerang Memilih Mesin atau Mesin Korban
Langkah pertama dalam merencanakan dan mengimplementasikan serangan ARP Poisoning adalah menargetkan. Ini bisa menjadi titik akhir tertentu pada jaringan, sekelompok titik akhir, atau perangkat jaringan seperti router. Router adalah target yang menarik karena keracunan ARP router yang berhasil dapat mengganggu lalu lintas untuk seluruh subnet. -
, ARP, . . ARP . -
ARP () - . , Β« Β», . .
ARP Poisoning
Ada dua cara utama untuk meracuni ARP: penyerang dapat menunggu permintaan ARP untuk target tertentu dan menanggapinya, atau menggunakan permintaan ARP yang tidak masuk akal. Jawaban pertama akan kurang terlihat di web, tetapi potensi dampaknya juga akan lebih kecil. Permintaan ARP yang diarahkan sendiri mungkin lebih efektif dan mempengaruhi lebih banyak korban, tetapi mereka memiliki kelemahan dalam menghasilkan banyak lalu lintas jaringan. Dengan kedua pendekatan tersebut, cache ARP yang rusak pada perangkat korban dapat digunakan untuk tujuan lebih lanjut:
Serangan Man-in-the-Middle
Serangan MiTM mungkin merupakan target keracunan ARP yang paling umum dan berpotensi paling berbahaya. Penyerang mengirimkan balasan ARP palsu ke alamat IP yang ditentukan (biasanya gateway default untuk subnet tertentu). Ini memaksa perangkat korban untuk mengisi cache ARP mereka dengan alamat MAC penyerang alih-alih alamat MAC router lokal. Perangkat korban kemudian salah meneruskan lalu lintas jaringan ke penyerang. Alat seperti Ettercap memungkinkan penyerang untuk bertindak sebagai proxy dengan melihat atau memodifikasi informasi sebelum mengirimkan lalu lintas ke tujuannya. Pada saat yang sama, korban mungkin tidak melihat adanya perubahan dalam pekerjaan. Keracunan
ARP dan Keracunan DNS Secara Bersamaan dapat secara signifikan meningkatkan efektivitas serangan MiTM. Dalam skenario ini, pengguna korban dapat memasukkan alamat situs yang sah (misalnya, google.com) dan mendapatkan alamat IP mesin penyerang alih-alih yang benar.
Denial of Service (DoS)
Serangan DoS adalah ketika satu atau lebih korban ditolak aksesnya ke sumber daya jaringan. Dalam kasus ARP, penyerang dapat mengirim respons ARP yang secara salah memberikan ratusan atau bahkan ribuan alamat IP ke satu alamat MAC, yang berpotensi membebani perangkat target. Jenis serangan ini, kadang-kadang disebut ARP flooding (ARP flooding), juga dapat menargetkan switch, yang berpotensi mempengaruhi kinerja seluruh jaringan.
Pembajakan sesi
Pembajakan sesi mirip dengan MiTM, kecuali bahwa penyerang tidak akan mengarahkan lalu lintas secara langsung dari mesin korban ke perangkat target. Sebagai gantinya, ia menangkap nomor urut atau cookie TCP asli korban dan menggunakannya untuk menyamar sebagai korban. Jadi dia bisa, misalnya, mendapatkan akses ke akun pengguna tertentu di jejaring sosial, jika dia masuk ke dalamnya.
Apa tujuan keracunan ARP?
Hacker selalu memiliki motif yang beragam, termasuk saat melakukan peracunan ARP, mulai dari spionase tingkat tinggi hingga kehebohan membuat kekacauan di jaringan. Dalam satu skenario yang mungkin, penyerang dapat menggunakan pesan ARP palsu untuk mengambil peran gateway default untuk subnet tertentu, secara efektif mengarahkan semua lalu lintas ke perangkat mereka alih-alih router lokal. Kemudian dia dapat memantau lalu lintas, mengubah atau membuangnya. Serangan-serangan ini βkerasβ karena meninggalkan bukti tetapi tidak selalu mempengaruhi pengoperasian jaringan. Jika target serangan adalah spionase, mesin penyerang hanya mengarahkan lalu lintas ke penerima asli, tidak memberinya alasan untuk curiga bahwa ada sesuatu yang berubah.
Target lainnya adalah gangguan jaringan yang signifikan. Misalnya, tidak jarang serangan DoS dilakukan oleh peretas yang kurang berpengalaman hanya untuk menikmati masalah yang mereka buat. Serangan orang dalam
adalah jenis keracunan ARP yang berbahaya . Pesan ARP palsu tidak keluar dari jaringan lokal, sehingga serangan harus datang dari perangkat lokal. Perangkat eksternal juga berpotensi memulai serangan ARP, tetapi pertama-tama perangkat tersebut perlu mengkompromikan sistem lokal dari jarak jauh dengan cara lain, sementara orang dalam hanya membutuhkan koneksi jaringan dan beberapa alat yang tersedia.
Spoofing ARP vs keracunan ARP
Istilah spoofing ARP dan keracunan ARP biasanya digunakan secara sinonim. Secara teknis, spoofing berarti penyerang memberikan alamatnya sebagai alamat MAC komputer lain, sedangkan keracunan (spoofing) mengacu pada kerusakan tabel ARP pada satu atau lebih mesin korban. Namun dalam praktiknya, ini adalah elemen dari serangan yang sama. Serangan ini juga kadang-kadang disebut sebagai "keracunan cache ARP" atau "korupsi tabel ARP".
Konsekuensi dari Serangan Keracunan ARP
Efek utama dari keracunan ARP adalah bahwa lalu lintas yang ditujukan untuk satu atau lebih host di jaringan lokal malah diarahkan ke perangkat pilihan penyerang. Konsekuensi spesifik dari serangan tergantung pada spesifiknya. Lalu lintas dapat diarahkan ke mesin penyerang atau ke lokasi yang tidak ada. Dalam kasus pertama, mungkin tidak ada efek nyata, sedangkan yang kedua, akses ke jaringan dapat diblokir.
Dengan sendirinya, keracunan cache ARP tidak memiliki dampak yang bertahan lama. Entri ARP di-cache dari beberapa menit di titik akhir hingga beberapa jam di sakelar. Segera setelah penyerang berhenti secara aktif menginfeksi tabel, catatan yang rusak akan kedaluwarsa, dan lalu lintas normal akan segera dilanjutkan. Dengan sendirinya, keracunan ARP tidak meninggalkan infeksi permanen atau pijakan pada mesin korban. Namun, tidak jarang peretas melakukan serangkaian serangan secara berantai, dan keracunan ARP dapat menjadi bagian dari serangan yang lebih besar.
Cara mendeteksi keracunan cache ARP
Ada banyak program sumber terbuka dan berbayar yang tersedia untuk mendeteksi keracunan cache ARP, tetapi Anda dapat memeriksa tabel ARP di komputer Anda bahkan tanpa menginstal perangkat lunak khusus. Pada sebagian besar sistem Windows, Mac, dan Linux, mengetik arp-a di terminal atau command prompt akan menampilkan penetapan alamat IP dan MAC mesin saat ini.
Alat seperti arpwatch dan X-ARP memungkinkan pemantauan jaringan secara terus-menerus dan dapat memperingatkan administrator ketika tanda-tanda keracunan cache ARP terdeteksi. Namun, kemungkinan positif palsu cukup tinggi.
Bagaimana mencegah keracunan ARP
Ada beberapa metode untuk mencegah keracunan ARP:
Tabel ARP statis
Anda dapat menetapkan semua alamat MAC di jaringan secara statis ke alamat IP yang sesuai. Ini sangat efektif dalam mencegah keracunan ARP, tetapi sangat padat karya. Setiap perubahan dalam jaringan akan memerlukan pembaruan tabel ARP secara manual di semua host, dan oleh karena itu, untuk sebagian besar organisasi besar, penggunaan tabel ARP statis tidak praktis. Namun dalam situasi di mana keamanan adalah yang terpenting, mengalokasikan segmen jaringan terpisah untuk tabel ARP statis dapat membantu melindungi informasi penting.
Perlindungan sakelar
Sebagian besar sakelar Ethernet yang dikelola dilengkapi dengan fitur pencegahan serangan Keracunan ARP. Fitur-fitur ini, yang dikenal sebagai Dynamic ARP Inspection (DAI), mengevaluasi validitas setiap pesan ARP dan membuang paket yang tampak mencurigakan atau berbahaya. DAI juga dapat membatasi kecepatan pesan ARP melewati sakelar, yang secara efektif mencegah serangan DoS.
DAI dan fungsi serupa pernah tersedia secara eksklusif untuk peralatan jaringan berkinerja tinggi, tetapi sekarang hadir di hampir semua sakelar kelas bisnis, termasuk yang digunakan di perusahaan kecil. Biasanya disarankan untuk mengaktifkan DAI di semua port kecuali yang terhubung ke sakelar lain. Fitur ini tidak memiliki dampak kinerja yang signifikan; pada saat yang sama, bersamaan dengan itu, Anda mungkin perlu mengaktifkan fungsi lain, misalnya, DHCP Snooping.
Mengaktifkan keamanan port pada sakelar juga dapat membantu meminimalkan efek keracunan cache ARP. Keamanan port dapat dikonfigurasi untuk mengizinkan hanya satu alamat MAC pada port switch, sehingga penyerang tidak mungkin menggunakan beberapa ID jaringan.
Perlindungan fisik
Kontrol yang memadai atas akses fisik ke tempat kerja pengguna juga akan membantu mencegah serangan Keracunan ARP. Pesan ARP tidak keluar dari jaringan lokal, sehingga penyerang potensial harus secara fisik dekat dengan jaringan korban atau sudah memiliki kendali atas mesin di jaringan. Perhatikan bahwa dalam kasus jaringan nirkabel, kedekatan tidak selalu berarti akses fisik langsung: sinyal yang mencapai halaman atau tempat parkir mungkin cukup. Terlepas dari jenis koneksi (kabel atau nirkabel), menggunakan teknologi seperti 802.1x dapat memastikan bahwa hanya perangkat tepercaya dan/atau terkelola yang terhubung ke jaringan.
Isolasi jaringan
Jaringan yang tersegmentasi dengan baik mungkin kurang rentan terhadap keracunan cache ARP secara umum, karena serangan pada satu subnet tidak memengaruhi perangkat di subnet lainnya. Mengkonsentrasikan sumber daya penting pada segmen jaringan khusus dengan langkah-langkah keamanan yang lebih ketat dapat secara signifikan mengurangi potensi dampak serangan Keracunan ARP.
Enkripsi
Meskipun enkripsi tidak mencegah serangan ARP, enkripsi dapat mengurangi potensi kerusakan. Sebelumnya, target populer serangan MiTM adalah untuk mendapatkan kredensial login, yang pernah dikirimkan dalam teks biasa. Dengan menjamurnya enkripsi SSL / TLS, serangan ini menjadi lebih sulit untuk dilakukan.
Hanya satu dari banyak ancaman
Meskipun teknologi keracunan ARP muncul jauh lebih awal daripada banyak malware modern seperti virus ransomware , Keracunan ARP masih merupakan ancaman yang harus dilawan. Seperti semua ancaman siber lainnya, ini paling baik dilakukan secara komprehensif. Solusi deteksi dan respons ancaman membantu Anda memahami tingkat keamanan keseluruhan organisasi Anda. Dan solusi seperti Varonis Edge dapat mendeteksi tanda-tanda kebocoran data setelah keracunan ARP.