ARP-väärennös

Wikipediasta
Siirry navigaatioon Siirry hakuun

ARP-väärennös tarkoittaa tavallisesti sitä, että laitteelle lähetetään ARP-vastaus, jota se ei ole pyytänyt. ARP-vastauksesta ilmenee, mikä MAC-osoite tietyllä IP-osoitteella on. Mikäli väärennetyn ARP-vastauksen saanut laite haluaa kommunikoida tälle IP-osoitteelle, liittää se lähetettävään pakettiin vastaanottajaksi ARP-väärennösviestissä olleen MAC-osoitteen. Tällöin liikenne ohjautuu haluttaessa laitteelle, josta liikennettä voidaan kuunnella tai muokata, ennen kuin alun perin haluttu vastaanottaja saa paketit.

Mikäli ARP-vastauksiin asetetaan olemattomia tai ristiriitaisia MAC-osoitteita, ei virheelliset vastaukset tallentanut laite pysty kommunikoimaan IP-osoitteisiin, joita ARP-väärennökset koskevat.

Kehittyneempi tapa tehdä ARP-väärennös on kuunnella ARP-kyselyitä. Tällöin väärentäjä vastaa ARP-kyselyyn haluamallaan MAC-osoitteella. Myös IP-osoitteen oikeasti omistava laite vastaa pyyntöön, jolloin ARP-kysyjä voi saada kaksi tai useampia vastauksia. Laitteen ominaisuuksista riippuu, tallennetaanko ARP-tauluun ensimmäiseksi vastaanotetun vai viimeisimmän ARP-vastauksen ilmoittama MAC-osoite.

Herkin kohta ARP-väärennökselle ethernetverkossa on oletusyhdyskäytävän (default-gateway) MAC-osoite. Mikäli oletusyhdyskäytävän MAC-osoite laitteen ARP-taulussa ei vastaa oikeaa, voidaan kaikki muihin verkkoihin menevä liikenne väärentää ja/tai salakuunnella.

Havaitseminen ja suojautuminen

[muokkaa | muokkaa wikitekstiä]

Verkossa laiteominaisuuksista riippuen kytkimet, palomuuri tai reititin voidaan asettaa havainnoimaan ARP-väärennöksiltä vaikuttavia muutoksia. Oletusyhdyskäytävän MAC-osoite voidaan kiinteästi määrittää porttiin, jossa se fyysisesti sijaitsee. Mikäli sama MAC-osoite havaitaan muualla, voidaan portti sulkea automaattisesti ja raportoida tapahtuma eteenpäin. Ilman automaattista havainnointia voidaan kytkimen MAC-tauluja selaamalla selvittää, missä portissa tietty MAC-osoite sijaitsee.

Tietokoneissa ARP-väärennökseltä voi suojautua uudehkolla palomuurilla. Yksinkertaisimmillaan palomuurin tapa torjua ARP-väärennökset on yhteyksien tilojen valvominen. Mikäli ARP-kyselyä tiettyä IP-osoitetta varten ei ole tehty, ei myöskään ARP-vastausta oteta vastaan.

Esimerkiksi päivittämätön Windows XP tallettaa kaikki sille kohdennetut ARP-vastaukset muistiinsa, jolloin sen liikenteen kuuntelu on helppoa. Uusimmissa verkkokorteissa voidaan ARP-huijauksia torjua jopa ajuritasolla.

Väärentyneet ARP-osoitteet käytännössä

[muokkaa | muokkaa wikitekstiä]

Tilanteessa, jossa verkossa on tai on ollut kaksi samalle IP-osoitteelle konfiguroitua laitetta, ilmenee ARP-väärennöksen tapaisia ongelmia. Mikäli sama IP-osoite on edelleen usealla laitteella, voidaan se havaita Linux-käyttöjärjestelmissä arping-komennolla. Mikäli arping-komento saa useita vastauksia, nähdään vastaajien MAC-osoitteet ja ylimääriänen IP-osoite voidaan paikallistaa.

Palomuureja syytetään usein viallisiksi verkko-ongelmista, varsinkin jos ongelmat ratkeavat palomuurin sammuttamisella. Palomuuri voi kuitenkin toimia oikein. Mikäli verkkopalvelun (virtualipalvelintekniikat) tai palvelimen (fyysinen verkkokortti) IP-osoite on vaihtunut, se ei ehkä enää vastaa palomuurin sille muistamaa MAC-osoitetta. Tällöin liikenteen läpipäästäminen merkitsisi ARP-väärennöksen sallimista.