ARP spoofing

 

ARP spoofing je zneužití Address Resolution Protocolu (ARP), umožňující útočníkovi vydávat se v místní síti za jiný počítač.

Protokol ARP se používá v počítačových sítích s protokolem IP verze 4 k překladu síťové IP adresy na MAC adresu, označující fyzickou síťovou kartu, na niž je žádoucí data posílat.

Pokud v takové síti potřebuje počítač poslat data jinému stroji, u nějž zná jen IP adresu, protokolem ARP pošle všem uzlům v síti dotaz, významem odpovídající výzvě „Kdo má tuto IP adresu, nechť mi pošle svoji adresu MAC“. Princip ARP spoofingu, neboli podvržení MAC adresy, proto spočívá v neustálém zasílání „odpovědi“ se svou MAC adresou. Cíl si poté zaznamená falešnou adresu do svých vnitřních tabulek, a data bude posílat na ni.

Pokud chce útočník odposlouchávat komunikaci mezi dvěma uzly lokální sítě, stačí mu oběma z nich podstrčit svoji MAC adresu, a přijatá data posílat dál skutečným adresátům.

ARP spoofing je pro odposlech nutný v ethernetových sítích propojených přepínači (switch), které se učí na kterém konci sítě jsou které MAC adresy, a směřují provoz jen na výstupy, na kterých se nachází jeho adresát. Starší rozbočovače (huby) posílají všechna data všem, proto odposlech libovolného provozu na jimi řízené síti ARP spoofing nevyžaduje.

Obranou proti ARP spoofingu je použití statických ARP tabulek (počítače se na MAC adresy neptají, ale mají je pevně zadané; tento způsob činí zapojování dalších uzlů do sítě poněkud nepraktickým) nebo zabezpečením jednotlivých portů switche pomocí protokolu IEEE 802.1X.