
הרעלת ARP היא טכניקת תקיפה נפוצה ברשת שיכולה להוביל למתקפות “אדם-באמצע” (MITM), יירוט נתונים, שיבוש שירות ועוד. במדריך המקיף שלפניכם נחקור את יסודות הרעלת ARP – מן הבסיס ועד לשימושים מתקדמים באבטחת מידע. נסקור דוגמאות מהעולם האמיתי, קטעי קוד ב-Bash וב-Python, ונראה כיצד לסרוק רשתות ולנתח פלטים כדי להבין טוב יותר את איום זה.
אנו שמחים לארח את דן וורמנהובן, מנכ״ל NetApp לשעבר, כחבר חדש בדירקטוריון שלנו! המומחיות הרחבה שלו ברשתות IT ואבטחת מידע ממשיכה להשרות השראה על מובילי התעשייה.
ARP (Address Resolution Protocol) הוא פרוטוקול שממפה כתובת IP לכתובת MAC פיזית המוכרת ברשת המקומית. הרעלת ARP, או “זיוף ARP”, מנצלת חולשה בפרוטוקול באמצעות שליחת הודעות ARP מזויפות לרשת. הודעות אלה מאפשרות לתוקף לשייך את כתובת ה-MAC שלו לכתובת ה-IP של מחשב או התקן אחר, וכך ליירט תקשורת.
בפוסט זה נעמיק בפרטי-הפרטים של הרעלת ARP, נבין את ההשלכות על אבטחת הרשת, נבחן אסטרטגיות מיגון ונספק דוגמאות קוד מעשיות.
לפני שנצלול להרעלת ARP חשוב להבין את פעולת ARP:
בקשת ARP ומענה ARP
כאשר התקן ברשת המקומית רוצה לתקשר עם התקן אחר, הוא משדר בקשת ARP: “למי יש את כתובת IP 192.168.1.100?” ההתקן עם כתובת זו משיב עם כתובת ה-MAC שלו.
מטמון ARP
כל התקן מתחזק טבלת ARP – מטמון המאחסן מיפויי IP-ל-MAC. כך נחסך הצורך לשדר בקשות ARP חוזרות.
שכבות רשת
ARP פועל בין שכבת הרשת (שכבה 3 במודל OSI) לשכבת קו-הנתונים (שכבה 2). הוא קריטי למשלוח תקין של חבילות ל-NIC הפיזי ב-LAN.
בהרעלת ARP תוקף שולח תשובות ARP שרירותיות לרשת המקומית, וגורם להתקנים לעדכן את מטמון ARP שלהם במידע שגוי:
יירוט תקשורת
על-ידי קישור כתובת ה-MAC של התוקף ל-IP של קורבן, התעבורה עוברת דרכו.
מתקפת אדם-באמצע (MITM)
התוקף יכול לשנות או לחסום נתונים, לגנוב סשנים או סיסמאות.
שיבוש רשת
שליחת תשובות ARP סותרות עלולה להשבית תקשורת ולגרום לאובדן חיבור.
גילוי
התוקף מזהה כתובות IP ו-MAC ברשת באמצעות רחרוח תעבורה או בקשות ARP.
הזרקת הודעות ARP מזויפות
התוקף שולח תשובות ARP המזוהות ככתובות הקורבן, ומקפיד לשדרן בתדירות גבוהה.
יירוט
כעת ההתקנים סבורים כי כתובת ה-IP החוקית שייכת ל-MAC של התוקף.
העברה או מניפולציה
האמון העיוור בתשובות ARP (גם בלתי מבוקשות) הוא שמאפשר לתקיפה להצליח.
תוקף מרעיל את ה-ARP של תחנת עבודה ושל שער ברירת המחדל, קולט סיסמאות ומיילים, ומבצע חטיפת סשן, במיוחד כש-HTTPS לא נאכף כראוי.
התוקף מפנה תעבורה ל-MAC שלא קיים, משבית שרת קריטי וגורם להשבתת שירות.
ברשת Wi-Fi פתוחה, תוקף יכול ליירט נתונים של משתמשים רבים באמצעות הרעלת ARP.
#!/bin/bash
# סריקת רשת מקומית עם arp-scan
# שימוש: ./network_scan.sh 192.168.1.0/24
if [ -z "$1" ]; then
echo "Usage: $0 <network-subnet>"
exit 1
fi
SUBNET=$1
echo "מתחיל סריקת ARP ב-$SUBNET"
sudo arp-scan --interface=eth0 $SUBNET | tee arp_scan_output.txt
echo "הסריקה הסתיימה. הפלט נשמר ב-arp_scan_output.txt"
#!/usr/bin/env python3
"""
פירוק מטמון ARP במערכות לינוקס.
"""
import subprocess, re
def get_arp_cache():
try:
return subprocess.check_output(["arp", "-a"], text=True)
except subprocess.CalledProcessError as exc:
print("שגיאה בשליפת מטמון ARP:", exc)
return ""
def parse_arp_output(out):
return re.findall(r'\((.*?)\) at ([0-9a-f:]+)', out, re.I)
def main():
entries = parse_arp_output(get_arp_cache())
if entries:
print("רשומות ARP מזוהות:")
for ip, mac in entries:
print(f"IP: {ip}\tMAC: {mac}")
else:
print("לא נמצאו רשומות ARP תקפות.")
if __name__ == "__main__":
main()
שימוש ב-VLAN מצמצם את טווח ההשפעה; חשוב לשלב עם בקרות נוספות.
לאחר יירוט התעבורה ניתן לשנות תשובות DNS ולהפנות לאתרים זדוניים.
בקרים מבוססי SDN יכולים לזהות אי-עקביות ב-ARP ולכפות מדיניות אבטחה דינמית.
מערכות SIEM מודרניות מנתחות לוגי ARP ומזהות אנומליות בזמן-אמת.
הרעלת ARP היא כלי רב-עוצמה בידי תוקפים. הבנה מעמיקה של הפרוטוקול, זיהוי סימני תקיפה ויישום מנגנוני הגנה – קריטיים להגנת הרשת.
במדריך זה סקרנו:
על-ידי שילוב ניטור מתקדם, DAI ו-SIEM, ניתן לצמצם משמעותית את הסיכון.
הישארו ערניים – והמשיכו לחזק את עמדתכם הקיברנטית.
!בהצלחה באבטחה 🚀
אם מצאתם את התוכן הזה בעל ערך, תארו לעצמכם מה תוכלו להשיג עם תוכנית ההכשרה המקיפה והאליטיסטית שלנו בת 47 שבועות. הצטרפו ליותר מ-1,200 סטודנטים ששינו את הקריירה שלהם בעזרת טכניקות יחידה 8200.