ARP spoofing attack
(ARP spoofing szócikkből átirányítva)
Főnév
ARP spoofing attack (tsz. ARP spoofing attacks)
- (informatika) Az ARP spoofing (vagy más néven ARP poisoning) egy veszélyes és gyakori hálózati támadás, amely az Address Resolution Protocol (ARP) sebezhetőségét használja ki. Ennek során a támadó hamis ARP üzeneteket küld a hálózat eszközeinek, hogy meggyőzze őket arról, hogy az ő MAC-címe tartozik egy másik – jellemzően fontos – IP-címhez (pl. gateway vagy szerver). Ezzel a támadó elfoghatja, módosíthatja vagy továbbíthatja az adatforgalmat – tehát man-in-the-middle (MITM) támadást hajthat végre.
🧠 Mi az az ARP?
ARP = Address Resolution Protocol
- Feladata: összekapcsolni az IP-címeket a MAC-címekkel a helyi hálózaton (LAN).
- Például: ha a
192.168.1.10IP-címet szeretném elérni, akkor ARP lekérdezéssel megtudom, hogy ehhez az IP-hez melyik MAC-cím tartozik. - Az ARP válaszokat a rendszer cache-ben (ARP-táblában) tárolja.
- Sajnos az ARP nem hitelesít – bármely eszköz küldhet választ.
🧨 Hogyan működik az ARP spoofing támadás?
- A támadó hamis ARP válaszokat küld az áldozat és a gateway (pl. router) felé.
- Az áldozat úgy gondolja, hogy a gateway MAC-címe megváltozott → támadó MAC-címét tárolja hozzá.
- A router is megkapja a hamis választ: az áldozat IP-címéhez szintén a támadó MAC-címét tárolja.
- Kétirányú forgalom átmegy a támadón, aki:
- továbbíthatja változatlanul (láthatatlanul, passzív lehallgatás),
- módosíthatja (pl. DNS válaszokat, jelszavakat),
- el is dobhatja (DoS támadás).
🔍 Illusztráció
[Victim] <---> [Attacker] <---> [Gateway]
Az áldozat azt hiszi, hogy a router MAC-címe a támadóé, a router pedig azt, hogy az áldozat MAC-címe a támadóé.
⚙️ Eszközök ARP spoofinghoz
| Eszköz | Funkció |
|---|---|
arpspoof (dsniff) |
Egyszerű ARP poisoning |
ettercap |
Teljes MITM + manipuláció |
bettercap |
Modern, interaktív eszköz |
mitmproxy |
Forgalom módosítása (HTTP/S) |
wireshark |
Forgalom megfigyelés, elemzés |
🛠️ Támadás kivitelezése (Linux példával)
sudo arpspoof -i eth0 -t 192.168.1.100 192.168.1.1
sudo arpspoof -i eth0 -t 192.168.1.1 192.168.1.100
Ez a két parancs: - az áldozatot meggyőzi, hogy a router MAC-címe a támadóé, - a routert meggyőzi, hogy az áldozat MAC-címe a támadóé.
Következmény: az összes forgalom átmegy a támadón.
🔐 Védekezés ARP spoofing ellen
1. Static ARP entries
- Manuálisan beállított IP-MAC párosítások.
- Hatékony, de nem skálázható nagy hálózatban.
arp -s 192.168.1.1 00:11:22:33:44:55
2. ARP Inspection (DAI) Cisco eszközökön
- DHCP snooping segítségével ellenőrzi, hogy a MAC-IP párosok helyesek-e.
- Csak megbízható portokon engedélyez forgalmat.
3. VPN, HTTPS, SSH
- Titkosított protokollok, amik ARP támadás esetén is megvédik az adatokat.
4. IDS/IPS (Intrusion Detection/Prevention)
- Felismeri az ARP táblában hirtelen változásokat.
- Pl. Snort, Suricata.
5. Korlátozott fizikai hozzáférés
- A támadónak a hálózatban kell lennie, hogy ARP spoofingot indítson.
🧪 Támadás jelei
| Jel | Leírás |
|---|---|
| Gyakori ARP válaszok látszanak snifferrel | Pl. ugyanarra az IP-re más MAC-cím jön |
| Weboldalak nem töltődnek be vagy nem biztonságosként jelennek meg | Lehet, hogy a támadó manipulál |
| IP-címhez több MAC-cím váltogatva társul | Gyanús ARP flapping |
| Wireshark-ban ismeretlen eszköz küld ARP válaszokat | ARP poisoning tipikus jele |
📚 Való életbeli forgatókönyv
Egy nyilvános Wi-Fi hálózatban (pl. kávézóban) a támadó csatlakozik a hálózatra. Indít egy ARP spoofing támadást, és minden forgalmat a gépén keresztül vezet. Ha nincs titkosítás (HTTP helyett HTTPS), akkor jelszavakat, banki adatokat is láthat.
📉 Különbség más támadásokkal szemben
| Támadás | Módszer | Cél |
|---|---|---|
| MAC spoofing | Más MAC-cím beállítása | Hozzáférés |
| MAC flooding | Switch túlterhelése | Broadcast erőltetése |
| ARP spoofing | IP–MAC páros manipulálása | Forgalom elfogása, MITM |
💡 Védekezési stratégia vállalati környezetben
- DAI + DHCP snooping kötelező a Layer 2 switch-eken.
- ACL-ek az eszközszintű hozzáférések szabályozásához.
- Napi ARP logok mentése és figyelése.
- 802.1X hitelesítés: csak ellenőrzött eszköz csatlakozhat.
- Privát VLAN-ok: eszközök ne kommunikálhassanak egymással közvetlenül.
🧠 Összefoglalás
| Fogalom | Jelentés |
|---|---|
| ARP spoofing | Hálózati támadás, amely hamis ARP válaszokkal forgalmat térít el |
| Cél | Man-in-the-middle, lehallgatás, manipuláció |
| Eszközök | arpspoof, bettercap, ettercap, mitmproxy |
| Védekezés | DAI, VPN, HTTPS, IDS, static ARP |
| Támadás jelei | Gyakori ARP válaszok, MAC-cím váltakozás, nem biztonságos kapcsolatok |
| Kockázat | Magas – jelszavak, személyes adatok kompromittálódhatnak |
A ARP spoofing az egyik legerősebb, de legismertebb hálózati manipulációs technika, amely ellen rétegezett védekezés szükséges – technikai eszközökkel és felhasználói tudatossággal.
- ARP spoofing attack - Szótár.net (en-hu)
- ARP spoofing attack - Sztaki (en-hu)
- ARP spoofing attack - Merriam–Webster
- ARP spoofing attack - Cambridge
- ARP spoofing attack - WordNet
- ARP spoofing attack - Яндекс (en-ru)
- ARP spoofing attack - Google (en-hu)
- ARP spoofing attack - Wikidata
- ARP spoofing attack - Wikipédia (angol)