ARP-cacheförgiftning , även känd som
ARP-spoofing , är en teknik som används inom nätverkssäkerhet för att fånga upp data genom att skicka felaktiga ARP-meddelanden (Address Resolution Protocol) till en måldator. Det gör att en angripare kan associera sin Media Access Control-adress (MAC) med IP-adressen för en annan enhet, vilket i praktiken utger sig för att vara den enheten i ett nätverk.
Så här fungerar ARP-cacheförgiftning:
1. ARP-begäran: Angriparen skickar en ARP-förfrågan till en måldator i nätverket och frågar efter den MAC-adress som är associerad med en specifik IP-adress, vanligtvis standardgatewayen.
2. ARP-svar: Angriparen skickar ett skadligt ARP-svar till måldatorn och associerar felaktigt sin egen MAC-adress med IP-adressen för standardgatewayen.
3. Cacheförgiftning: Måldatorns ARP-cache blir förgiftad när den lagrar angriparens MAC-adress som standardgateway. Detta innebär att all trafik avsedd för standardgatewayen kommer att felriktas till angriparens dator.
4. Trafikavlyssning: Angriparen kan nu fånga upp och manipulera nätverkstrafik som passerar genom deras dator, vilket kan inkludera känslig information som användarnamn, lösenord och finansiella transaktioner. De kan också utföra andra skadliga aktiviteter, såsom Denial-of-Service (DoS)-attacker, webbplatsomdirigeringar eller man-in-the-middle-attacker.
ARP-cacheförgiftning kan vara ett betydande säkerhetshot, särskilt i lokala nätverk (LAN) där angripare har direkt tillgång till nätverkstrafik. För att skydda mot ARP-cacheförgiftning kan nätverksadministratörer implementera säkerhetsåtgärder som statiska ARP-poster, dynamisk ARP-inspektion, kryptering och starka autentiseringsmekanismer.