szó jelentését keresi. A DICTIOUS-ban nem csak a
szó összes szótári jelentését megtalálod, hanem megismerheted az etimológiáját, a jellemzőit és azt is, hogyan kell a
szót egyes és többes számban mondani. Minden, amit a
szóról tudni kell, itt található. A
szó meghatározása segít abban, hogy pontosabban és helyesebben fogalmazz, amikor beszélsz vagy írsz. A
és más szavak definíciójának ismerete gazdagítja a szókincsedet, és több és jobb nyelvi forráshoz juttat.
Főnév
ARP spoofing attack (tsz. ARP spoofing attacks)
- (informatika) Az ARP spoofing (vagy más néven ARP poisoning) egy veszélyes és gyakori hálózati támadás, amely az Address Resolution Protocol (ARP) sebezhetőségét használja ki. Ennek során a támadó hamis ARP üzeneteket küld a hálózat eszközeinek, hogy meggyőzze őket arról, hogy az ő MAC-címe tartozik egy másik – jellemzően fontos – IP-címhez (pl. gateway vagy szerver). Ezzel a támadó elfoghatja, módosíthatja vagy továbbíthatja az adatforgalmat – tehát man-in-the-middle (MITM) támadást hajthat végre.
🧠 Mi az az ARP?
ARP = Address Resolution Protocol
- Feladata: összekapcsolni az IP-címeket a MAC-címekkel a helyi hálózaton (LAN).
- Például: ha a
192.168.1.10
IP-címet szeretném elérni, akkor ARP lekérdezéssel megtudom, hogy ehhez az IP-hez melyik MAC-cím tartozik.
- Az ARP válaszokat a rendszer cache-ben (ARP-táblában) tárolja.
- Sajnos az ARP nem hitelesít – bármely eszköz küldhet választ.
🧨 Hogyan működik az ARP spoofing támadás?
- A támadó hamis ARP válaszokat küld az áldozat és a gateway (pl. router) felé.
- Az áldozat úgy gondolja, hogy a gateway MAC-címe megváltozott → támadó MAC-címét tárolja hozzá.
- A router is megkapja a hamis választ: az áldozat IP-címéhez szintén a támadó MAC-címét tárolja.
- Kétirányú forgalom átmegy a támadón, aki:
- továbbíthatja változatlanul (láthatatlanul, passzív lehallgatás),
- módosíthatja (pl. DNS válaszokat, jelszavakat),
- el is dobhatja (DoS támadás).
🔍 Illusztráció
<---> <--->
Az áldozat azt hiszi, hogy a router MAC-címe a támadóé, a router pedig azt, hogy az áldozat MAC-címe a támadóé.
⚙️ Eszközök ARP spoofinghoz
Eszköz
|
Funkció
|
arpspoof (dsniff)
|
Egyszerű ARP poisoning
|
ettercap
|
Teljes MITM + manipuláció
|
bettercap
|
Modern, interaktív eszköz
|
mitmproxy
|
Forgalom módosítása (HTTP/S)
|
wireshark
|
Forgalom megfigyelés, elemzés
|
🛠️ Támadás kivitelezése (Linux példával)
sudo arpspoof -i eth0 -t 192.168.1.100 192.168.1.1
sudo arpspoof -i eth0 -t 192.168.1.1 192.168.1.100
Ez a két parancs: - az áldozatot meggyőzi, hogy a router MAC-címe a támadóé, - a routert meggyőzi, hogy az áldozat MAC-címe a támadóé.
Következmény: az összes forgalom átmegy a támadón.
🔐 Védekezés ARP spoofing ellen
1. Static ARP entries
- Manuálisan beállított IP-MAC párosítások.
- Hatékony, de nem skálázható nagy hálózatban.
arp -s 192.168.1.1 00:11:22:33:44:55
2. ARP Inspection (DAI) Cisco eszközökön
- DHCP snooping segítségével ellenőrzi, hogy a MAC-IP párosok helyesek-e.
- Csak megbízható portokon engedélyez forgalmat.
3. VPN, HTTPS, SSH
- Titkosított protokollok, amik ARP támadás esetén is megvédik az adatokat.
4. IDS/IPS (Intrusion Detection/Prevention)
- Felismeri az ARP táblában hirtelen változásokat.
- Pl. Snort, Suricata.
5. Korlátozott fizikai hozzáférés
- A támadónak a hálózatban kell lennie, hogy ARP spoofingot indítson.
🧪 Támadás jelei
Jel
|
Leírás
|
Gyakori ARP válaszok látszanak snifferrel
|
Pl. ugyanarra az IP-re más MAC-cím jön
|
Weboldalak nem töltődnek be vagy nem biztonságosként jelennek meg
|
Lehet, hogy a támadó manipulál
|
IP-címhez több MAC-cím váltogatva társul
|
Gyanús ARP flapping
|
Wireshark-ban ismeretlen eszköz küld ARP válaszokat
|
ARP poisoning tipikus jele
|
📚 Való életbeli forgatókönyv
Egy nyilvános Wi-Fi hálózatban (pl. kávézóban) a támadó csatlakozik a hálózatra. Indít egy ARP spoofing támadást, és minden forgalmat a gépén keresztül vezet. Ha nincs titkosítás (HTTP helyett HTTPS), akkor jelszavakat, banki adatokat is láthat.
📉 Különbség más támadásokkal szemben
Támadás
|
Módszer
|
Cél
|
MAC spoofing
|
Más MAC-cím beállítása
|
Hozzáférés
|
MAC flooding
|
Switch túlterhelése
|
Broadcast erőltetése
|
ARP spoofing
|
IP–MAC páros manipulálása
|
Forgalom elfogása, MITM
|
💡 Védekezési stratégia vállalati környezetben
- DAI + DHCP snooping kötelező a Layer 2 switch-eken.
- ACL-ek az eszközszintű hozzáférések szabályozásához.
- Napi ARP logok mentése és figyelése.
- 802.1X hitelesítés: csak ellenőrzött eszköz csatlakozhat.
- Privát VLAN-ok: eszközök ne kommunikálhassanak egymással közvetlenül.
🧠 Összefoglalás
Fogalom
|
Jelentés
|
ARP spoofing
|
Hálózati támadás, amely hamis ARP válaszokkal forgalmat térít el
|
Cél
|
Man-in-the-middle, lehallgatás, manipuláció
|
Eszközök
|
arpspoof , bettercap , ettercap , mitmproxy
|
Védekezés
|
DAI, VPN, HTTPS, IDS, static ARP
|
Támadás jelei
|
Gyakori ARP válaszok, MAC-cím váltakozás, nem biztonságos kapcsolatok
|
Kockázat
|
Magas – jelszavak, személyes adatok kompromittálódhatnak
|
A ARP spoofing az egyik legerősebb, de legismertebb hálózati manipulációs technika, amely ellen rétegezett védekezés szükséges – technikai eszközökkel és felhasználói tudatossággal.