Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1557.002 - Отравление ARP-кэша

Техники:  T1557 , T1557.001 , T1557.002 , T1557.003 , T1557.004

Злоумышленники могут отравлять кэш протокола разрешения адресов (ARP), чтобы занять позицию между коммуникациями двух или более сетевых устройств. Эта деятельность может быть использована для последующего поведения, такого как Сетевой сниффинг или Манипуляция передаваемыми данными.

Протокол ARP используется для преобразования адресов IPv4 в адреса канального уровня, такие как MAC-адреса.(Цитата: RFC826 ARP) Устройства в сегменте локальной сети взаимодействуют друг с другом, используя адреса канального уровня. Если сетевое устройство не имеет адреса канального уровня конкретного сетевого устройства, оно может послать широковещательный ARP-запрос в локальную сеть для преобразования IP-адреса в MAC-адрес. Устройство с соответствующим IP-адресом напрямую отвечает своим MAC-адресом. Сетевое устройство, отправившее ARP-запрос, будет использовать и хранить эту информацию в своем ARP-кэше.

Злоумышленник может пассивно ждать ARP-запроса, чтобы отравить ARP-кэш запрашивающего устройства. Злоумышленник может ответить своим MAC-адресом, тем самым обманув жертву и заставив ее поверить, что она общается с предполагаемым сетевым устройством. Чтобы злоумышленник смог отравить ARP-кэш, его ответ должен быть быстрее, чем ответ законного владельца IP-адреса. Злоумышленники также могут отправлять безвозмездные ARP-ответы, которые злонамеренно объявляют о владении определенным IP-адресом всем устройствам в локальном сегменте сети.

Протокол ARP не имеет статусов и не требует аутентификации.Поэтому устройства могут ошибочно добавить или обновить MAC-адрес IP-адреса в своем ARP-кэше.(Цитата: Sans ARP Spoofing Aug 2003)(Цитата: Cylance Cleaver)

Злоумышленники могут использовать отравление ARP-кэша как средство перехвата сетевого трафика.Эта деятельность может быть использована для сбора и/или передачи данных, таких как учетные данные, особенно отправленные по небезопасному, незашифрованному протоколу.(Цитата: Sans ARP Spoofing Aug 2003)

https://attack.mitre.org/techniques/T1557/002

← Назад

Визуализация смежных техник для T1557.002

Отрасль:
 с подтехниками
Техника

Закрыть