Відповіді:
Так. Ось декілька:
ARP Spoofing.
Неправдиві повідомлення ARP надсилаються через локальну мережу, що призводить до зв'язку MAC-адреси зловмисника з IP-адресою законного комп'ютера або сервера в мережі.
Дивіться нижче для отримання додаткової інформації про підробку / отруєння ARP.
MAC Flooding.
Таблиця перекладів, яка відстежує, які MAC адреси є, на яких фізичних портах обмежений об'єм пам'яті. Це дозволяє використовувати перемикач затопленням таблиці перекладу. Примітивні комутатори, не знаючи, як обробити надлишки даних, будуть "виходити з ладу" і транслюватимуть усі мережеві кадри у всі порти.
Копіювання MAC.
У атаці копіювання MAC перемикач переплутаний у думку, що два порти мають однакову MAC-адресу. Оскільки дані будуть передані в обидва порти, переадресація IP не потрібна.
Безпека джерела протоколу роздільної здатності TCP / IP-адреси (ARP)
Він надає удосконалення та додаткові функції для IPv6.
Нижче див. Порівняння NDP та протоколів протоколу Resolution Protocol [ARP], ICMP Router Discovery [RDISC] та ICMP Redirect [ICMPv4].
Він використовує протокол безпечного виявлення сусіда (SEND). Криптографічно генеровані адреси гарантують, що заявлене джерело повідомлення NDP є власником заявленої адреси.
Однією з функцій протоколу виявлення сусідів IPv6 (NDP) є розв’язання адрес мережевого рівня (IP) до адрес рівня зв’язку (наприклад, Ethernet), функції, що виконується в IPv4 протоколом Resolution Address (ARP). Протокол захищеного відкриття безпечного сусіда (SEND) запобігає зловмиснику, який має доступ до сегменту широкомовної інформації, не зловживати NDP або ARP, щоб навести хостів на те, щоб відправити зловмисника трафік, призначений для когось іншого, методикою, відомою як отруєння ARP.
Для захисту від отруєння ARP та інших атак проти функцій NDP SEND слід розгорнути там, де запобігання доступу до сегменту широкомовної передачі неможливо.
SEND використовує пари ключів RSA для створення криптографічно генерованих адрес, визначених у RFC 3972, Криптографічно генеровані адреси (CGA). Це гарантує, що заявлене джерело повідомлення NDP є власником заявленої адреси.
Джерело Налаштування безпечного відкриття сусіда IPv6
ARP Spoofing також називають ARP Poison Routing (APR) або ARP Cache отравлення.
Підробка ARP - це тип атаки, при якій зловмисний актор надсилає фальсифіковані повідомлення ARP (Address Resolution Protocol) через локальну мережу. Це призводить до зв’язку MAC-адреси зловмисника з IP-адресою законного комп’ютера або сервера в мережі.
Після того, як MAC-адреса зловмисника буде підключена до справжньої IP-адреси, зловмисник почне отримувати будь-які дані, призначені для цієї IP-адреси.
Спуфінг ARP може дозволити зловмисним сторонам перехоплювати, змінювати або навіть зупиняти дані під час передачі. Атаки підробки підробки ARP можуть відбуватися лише в локальних мережах, які використовують протокол вирішення адреси.
Джерело Veracode ARP Spoofing
Кроки до атаки підробкою ARP зазвичай включають:
Зловмисник відкриває інструмент підробки ARP і встановлює IP-адресу інструменту, щоб відповідати IP-підмережі цілі. Приклади популярного програмного забезпечення для підробки ARP включають Arpspoof, Cain & Abel, Arpoison та Ettercap.
Зловмисник використовує інструмент підробки ARP для пошуку IP та MAC-адрес хостів у підмережі цілі.
Зловмисник вибирає свою ціль і починає надсилати пакети ARP через локальну мережу, які містять MAC-адресу зловмисника та IP-адресу цілі.
Оскільки інші хости в локальній мережі кешують підроблені пакети ARP, дані, які ці хости надсилають жертві, перейдуть замість цього зловмисника. Звідси зловмисник може вкрасти дані або розпочати більш складну подальшу атаку.
Джерело Veracode ARP Spoofing
Зловмисник може перевірити пакети (шпигунство), при цьому пересилаючи трафік до фактичного шлюзу за замовчуванням, щоб уникнути виявлення, змінити дані перед пересиланням (атака "людина-в-середині") або запустити відмову в сервісі. атака, спричиняючи скидання деяких або всіх пакетів у мережі.
Джерело Вікіпедія підробка ARP
Протокол IPv6 Neighbor Discovery відповідає комбінації протоколів IPv4-протоколу Resolution Protocol [ARP], ICMP Router Discovery [RDISC] та ICMP Redirect [ICMPv4].
У IPv4 взагалі немає узгодженого протоколу чи механізму виявлення сусідської недосяжності, хоча в документі про вимоги хостів [HR-CL] вказуються деякі можливі алгоритми виявлення мертвих шлюзів (підмножина проблем вирішення проблем виявлення сусідської недосяжності).
Протокол Neighbor Discovery пропонує безліч удосконалень щодо набору протоколів IPv4:
Маршрутизатор Discovery є частиною набору базових протоколів; немає необхідності в хостах "прослуховувати" протоколи маршрутизації.
Рекламні маршрутизатори містять адреси шару посилань; не потрібен додатковий обмін пакетами для вирішення адреси посилального рівня маршрутизатора.
Рекламні маршрутизатори містять префікси для посилання; не потрібно мати окремого механізму для налаштування "мережевої маски".
Рекламні маршрутизатори дозволяють автоматично налаштувати адресу.
Маршрутизатори можуть рекламувати MTU для хостів для використання по посиланню, гарантуючи, що всі вузли використовують однакове значення MTU на посиланнях, у яких відсутні чітко визначені MTU.
Багатоадресні адреси з роздільною здатністю "поширюються" на понад 16 мільйонів (2 ^ 24) багатоадресних адрес, що значно зменшує перерви, пов'язані з роздільною здатністю, на вузли, відмінні від цільових. Більше того, машини, які не містять IPv6, взагалі не повинні перебиватися.
Перенаправлення містять адресу шару посилання нового першого хопу; окремий дозвіл адреси не потрібен після отримання переадресації.
Кілька префіксів можуть бути пов’язані з одним і тим же посиланням. За замовчуванням хости вивчають усі префікси посилань із реклами маршрутизаторів. Однак маршрутизатори можуть бути налаштовані так, щоб опускати деякі або всі префікси з реклами маршрутизаторів. У таких випадках хости припускають, що пункти призначення не мають зв'язку та передають трафік маршрутизаторам. Потім маршрутизатор може видавати переадресації, якщо це доречно.
На відміну від IPv4, одержувач перенаправлення IPv6 припускає, що новий наступний перехід знаходиться у посилання. У IPv4 хост ігнорує переспрямування, вказуючи наступний перехід, який не є посиланням відповідно до мережевої маски посилання. Механізм перенаправлення IPv6 є аналогічним засобу XRedirect, визначеному в [SH-MEDIA]. Очікується, що це буде корисним для не трансляційних та загальнодоступних медіа-посилань, у яких вузлам небажано або неможливо знати всі префікси для напрямків призначення посилання.
Виявлення сусідської недосяжності є частиною основи, що значно покращує надійність доставки пакетів за наявності несправних маршрутизаторів, частково несправних або розділених посилань або вузлів, що змінюють адреси свого рівня посилання. Наприклад, мобільні вузли можуть переходити без відключення, не втрачаючи зв’язку через устарені кеші ARP.
На відміну від ARP, Neighbor Discovery виявляє збої на половинній лінії зв'язку (використовуючи функцію виявлення недосяжності сусідства) і уникає надсилання трафіку на сусідів, з якими двостороння зв'язок відсутня.
На відміну від IPv4 Router Discovery, повідомлення рекламодавця маршрутизатора не містять поля налаштування. Поле переваг не потрібне для обробки маршрутизаторів різної "стабільності"; виявлення сусідської недосяжності виявить мертві маршрутизатори та переключиться на робочий.
Використання локальних адрес посилань для однозначної ідентифікації маршрутизаторів (для повідомлень реклами маршрутизаторів та перенаправлення) дає змогу хостам підтримувати асоціації маршрутизаторів у випадку перенумерування сайту для використання нових глобальних префіксів.
Встановивши ліміт переходу на 255, Neighbor Discovery не захищений від відправників, що відключаються, які випадково або навмисно надсилають повідомлення ND. У IPv4 відправники, що відключаються, можуть надсилати як перенаправлення ICMP, так і рекламні маршрутизатори.
Розміщення роздільної здатності адреси на рівні ICMP робить протокол більш медіа-незалежним, ніж ARP, і дає можливість використовувати загальні механізми аутентифікації на рівні IP-адреси та механізми захисту.
Джерело RFC 4861 Сусідне відкриття в IPv6
NDP має більше функцій, ніж ARP , включаючи:
Через NDP пристрої в мережі можуть визначати адресу рівня MAC / посилання (така ж функція, як ARP).
Використовуючи NDP, пристрої в мережі можуть знайти шлях до іншого пристрою у зовнішній мережі, розмістивши найкращий маршрутизатор до пристрою призначення.
NDP дозволяє автоматично конфігурувати адреси IPv6.
Порівнюючи його з ARP, механізм відрізняється:
ARP використовує широкомовні повідомлення, тоді як NDP використовує багатоадресні повідомлення ICMPv6.
Пристрій надсилає багатоадресне повідомлення під назвою "Повідомлення ICMP прохання про сусіди" або NS . Пристрій призначення відповідає "ICMP повідомленням сусідньої реклами" або NA .
У повідомленні NS використовується спеціальна адреса призначення багатоадресної розсилки, яка називається адресована багатоадресна адреса вузла, яка представляє всіх хостів з однаковими останніми 24 бітами їх IPv6-адрес. Використання багатоадресної передачі замість трансляції зменшує потік зайвого трафіку в мережі.
Впровадження NDP замість ARP здебільшого було зумовлене прагненням консолідувати протоколи управління навколо IP. IPv4 користується декількома протоколами управління, такими як ICMP, IGMP та ARP / RARP. Із IPv6 NDP (наступник ARP), так і MLD (наступник IGMP) були розроблені як підпротоколи ICMPv6, так що існує лише один протокол управління. Для цього не було жодних причин безпеки, ND так само схильний до підробки, як ARP, і ND не був розроблений для безпеки.
У перші дні розвитку IPv6 IPsec розглядається якзагальний захід безпеки і, таким чином, був обов'язковим. Ця вимога, однак, була знижена до рекомендації (RFC 6434, я вважаю, в основному завдяки вбудованим пристроям та IoT, які просто не здатні проводити обчислення з відкритим ключем, плюс вони розглядають питання PKI будь-якого типу у будь-якому випадку) і не працює добре (чемно кажучи) для забезпечення ND. SeND було введено для забезпечення безпеки на ND, але, як і для всіх попередніх спроб розробки програмного забезпечення зворотної безпеки, результат був, скажімо, менш оптимальним. Оскільки досі не існує реалізацій SeND, крім деяких експериментальних, SeND для всіх практичних цілей не існує. Більше того, є підстави вважати, що SeND - принаймні у нинішньому вигляді - ніколи не зніметься.
Навпаки, SAVI виглядає більш перспективно, але вимагає змін в комутаційній інфраструктурі, а обладнання, що підтримує SAVI, не дуже низькі, тому воно також не збирається швидко поширюватися. SAVI працює на тій підставі, що в межах веб-сайту слід «знати», які відображення між HW-адресами (тобто MAC-адресою) та IP-адресами є законними, і таким чином слід мати можливість ідентифікувати та видалити підроблені повідомлення NDP.
Найкращі рецепти є найпростішими, але часто їх не помічають: розбийте великі локальні мережі на більш дрібні, для ARP- та ND-спуфінгу працюють лише цілі в одній локальній мережі. Тому просто розміщення ненадійних пристроїв у власних сегментах локальної мережі (не потрібні правила брандмауера / фільтрації) значно зменшить атакуючу поверхню.