Napad prisluškivanjem mrežnog prometa omogućava napadačima prikupljanje informacija za daljnje napade koji mogu rezultirati i potpunim preuzimanjem nadzora nad sustavom.
Najčešći propusti koje napadači iskorištavaju su oni u protokolu ARP (eng.Address Resolution Protocol) i DNS (eng. Domain Name System). Ovi napadi se zovu ARP, odnosno DNS trovanje jer se temelje na umetanju lažnih informacija u privremene ARP i DNS tablice.
Ovisno o tome koje podatke napadač umetne, moguće je prisluškivanje prometa, ali i izvođenje DoS (eng. Denial of Service) ili MITM (eng. man in the middle) napada. U dokumentu je objašnjen rad protokola ARP i DNS-a, načini izvođenja napada trovanjem ARP i DNS tablica te oblici zaštite od ovih napada.
Napad prisluškivanjem mrežnog prometa je moguć ukoliko napadač ima pristup komunikacijskom kanalu. Pri ovom napadu moguće je otkrivanje osjetljivih informacija poput korisničkih lozinki koje se mogu iskoristiti za kasnije napade. Najčešće se za prisluškivanje mrežnog prometa iskorištavaju sigurnosni propusti u protokolima ARP (eng.Address Resolution Protocol) i DNS (eng. Domain Name System).
ARP je protokol koji se koristi za pretvorbu IP (eng. Internet Protocol) adresa u MAC (eng. Media Access Control) adrese i obrnuto. Pri tome se koristi mehanizam upita i odgovora. Ranjivost ARP protokola postoji zbog toga što se ne provjerava autentičnost pošiljatelja odgovora. To omogućuje napadaču slanje lažnih ARP odgovora koje žrtve prihvaćaju i pohranjuju u svoju ARP privremenu tablicu. Time dolazi do ARP trovanja. Napadač može oblikovati ARP odgovor tako da preusmjeri sav promet s tog računala na svoje računalo te time dobije mogućnost prisluškivanja mrežnog prometa od žrtvinog računala do bilo kojeg drugog računala. Slanjem drugačije oblikovanih ARP odgovora moguće je izvesti i MITM (eng. man in the middle) ili DoS (eng. Denial of Service) napad.
Vrlo učinkovit način izbjegavanja ARP trovanja jer korištenje statičkih ARP tablica zbog kojih su ARP poruke suvišne. Nažalost, statičke ARP tablice nisu pogodne za velike mreže jer ih je teško održavati ako postoji veliki broj računala. Za velike mreže se preporuča korištenje alata poput ArpON ili ARPDefender koji prijavljuju sumnjive ARP poruke. U budućnosti će ARP protokol zamijeniti protokol NDP (eng. Neighbor Discovery Protocol) koji je sastavni dio protokola IPv6 (eng. Internet Protocol Version 6).
DNSse također koristi za pretvorbu adresa: on povezuje domenska imena s pripadajućim IP adresama. Također se temelji na mehanizmu upita i odgovora koji se šalju DNS poslužitelju. Zbog velikog broja DNS upita, jedan DNS poslužitelj ne bi bio dovoljan, pa se umjesto toga koristi hijerarhija DNS poslužitelja. Kod DNS-a, ranjivost je također uzrokovana nedovoljnim provjerama autentičnosti pošiljatelja odgovora. Provjere se temelje na provjerama identifikacijskog broja i priključnice (eng. port) u DNS odgovoru. Uz dovoljno vremena, napadač može saznati ove informacije i tako lažirati DNS odgovor, pretvarajući se da je pravi DNS poslužitelj. Jednom kada se lažnu IP adresu za neku domenu umetne u DNS priručnu memoriju, sav promet prema toj domeni će biti preusmjeren na lažnu IP adresu, najčešće IP adresu napadačeva poslužitelja. Nakon toga napadač dobiva uvid u promet namijenjen nekoj drugoj web stranici.
Kako bi se povećala sigurnost DNS-a, preporuča se odabirati broj priključnice i identifikacijski broj na slučajan način. Time napadaču treba više vremena kako bi otkrio prave vrijednosti i lažirao DNS odgovor. Ipak, pravo povećanje sigurnosti DNS-a će biti ostvareno tek uvođenjem DNSSEC-a (eng. Domain Name System Security Extensions). DNSSEC je skup proširenja DNS-a namijenjen povećanju sigurnosti DNS-a, a time i cijelog Interneta. Temelji na digitalnom potpisivanju i infrastrukturi javnog ključa. Prednost DNSSEC-a je digitalno potpisivanje DNS odgovora čime primatelj može utvrditi autentičnost pošiljatelja poruka. Time se uklanja uzrok ranjivosti DNS-a kod kojeg nije bilo moguće provjeriti tko šalje DNS odgovor: pravi DNS poslužitelj ili napadač.
Posljednje sigurnosne preporuke