DHCP attacker          Andra LAN attacker

I ett lokalt nätverk används ARP (Address Resolution Protocol) för att översätta IP-adresser till MAC-adresser. När en klient behöver MAC-adressen för en viss IPv4-adress, skickar den en ARP-förfrågan som broadcast. Alla enheter på nätverket tar emot förfrågan, men endast enheten med den matchande IPv4-adressen svarar med sin MAC-adress. Detta sker ofta när en klient söker MAC-adressen till nätverkets default gateway.

Enligt ARP-standarden kan en enhet också skicka en ”gratuitous ARP”, ett oombett ARP-meddelande som inte svarar på en förfrågan. Gratuitous ARP används för att informera andra enheter om en MAC- och IP-kombination. När andra enheter tar emot detta meddelande uppdaterar de sina ARP-tabeller.

Problemet uppstår när en angripare utnyttjar gratuitous ARP för att skicka falsk information. Angriparen skickar ett ARP-meddelande med en förfalskad MAC-adress, vilket lurar switchen att uppdatera sin MAC-tabell med felaktiga uppgifter. Detta gör att angriparen framstår som ägare till en viss IP- och MAC-adress.

Angriparen kan sedan utföra en ARP spoofing attack genom att skicka falska ARP-svar till andra enheter. Dessa svar påstår att angriparens MAC-adress tillhör nätverkets default gateway. Som resultat börjar nätverkstrafiken, som egentligen är avsedd för gatewayen, dirigeras till angriparen. Detta möjliggör man-in-the-middle-attacker, där angriparen kan avlyssna eller manipulera trafiken.

Det finns många verktyg som underlättar ARP spoofing och ARP poisoning, till exempel dsniff, Cain & Abel, ettercap och Yersinia.

Skydd mot ARP attacker

Medan IPv6 använder ICMPv6 Neighbor Discovery Protocol, som har inbyggda skydd mot spoofing, är IPv4-nätverk fortfarande sårbara för ARP-attacker. För att skydda IPv4-nätverk används tekniker som Dynamic ARP Inspection (DAI), vilket verifierar ARP-meddelanden mot kända och betrodda källor.

Här nedan förklaras ARP spoofing och ARP poisoning stegvis.

DHCP attacker          Andra LAN attacker