ARP SPOOFING

ARPって

ツイッタランドである機器がARPSPOOFINGしてるんじゃねぇかと疑惑があがっていました。

しかも、セキュリティベンダーがだしている機器がです。

そもそも、ARPSPOOFINGが起きると何が問題なのか。

まずはARPを知る必要があります。

先日記載した、IPアドレスとMACアドレスの話になりますが、相手のMACアドレスがわからないと通信ができません。

PC:Aにおいて、PC:Bと通信したい場合に、IPアドレス（Z)がわかっているがMACアドレスがわからない状態のときにARPという機能が発生します。

PC:Aが全員（Broadcast）に（Z）のアドレスを持ってる人はだれですか、返事してくださいと要求をします。

（Z)のアドレスを持ってる人は私のMACアドレスは（ｚ）ですと返事しますが（Z)以外の人は無視します。

そうすることで、PC：Aの人は（ｚ）のMACアドレスを知ることになり通信ができるようになるわけです。

ARP　SPOOFING

PC:Bが返事した場合はPC:AはPC:Bと通信できるのでいいのですが、PC:Bとの通信を除きたいPC:CがPC:Bの代わりに返事した場合どうなるでしょうか。

そして、そのままPC:Cが何事もなかったようにPC:Bに通信を転送したらどうなるでしょうか。

PC:Aの通信がPC:Cにのぞかれることになります。

暗号化しているから大丈夫と思うかもしれませんが、共通鍵暗号化方式以外の場合は鍵交換しているとこまでしっかのぞかれているので意味ありません。

あなたの通信内容がのぞかれているのですね。

検査ではなくのぞきなので、それが問題になっており、想定される動作ではないのでしょう。

似たような攻撃としてSSIDを偽装したりする攻撃方法がありますが、別の話なので今回はおいておきます。

ARP SPOOFING対策について

基本的には家庭内では生じないです。

説明はしていませんが、ARP SPOOFINGを実施しようと思うとL2機器に接続しないと

いけませんので、まずは物理的な接続を防ぎます。

いろいろとありますが、shutdownが一番簡単でしょう。

CiscoだとDynamicArpInspectionがあります。

DHCP環境だとDHCP SPOOFINGと同じでSwitchにTrustの設定とUnTrustの設定をするだけです。

DHCP環境ではない場合はARPAccess-listを設定します。

一番厄介なのが公共の無線環境ですね。

防ぎようがないので基本的にはのぞかれてる前提で通信してください。

本当に他人に知られたくない通信に関してはモバイルルータやデザリングで通信してください。

総評

たまたま、ツイッタランドでみた攻撃っていうかよくない技術としてでてたのでメモとして記載しておきました。

何がだめなのかしっかり知っておく必要があります。

基礎を知らないと何が悪いのか何がいいのか判断はできないのでしっかりと学びましょう。

セキュリティベンダーの機器がしていいかどうかはどういう接続されるかとか、どういう通信するかによるのでしょうね。