הרעלת ARP

# הבנת מתקפת הרעלת פרוטוקול ניתוב כתובות (ARP)

הרעלת ARP היא טכניקת תקיפה נפוצה ברשת שיכולה להוביל למתקפות “אדם-באמצע” ‏(MITM), יירוט נתונים, שיבוש שירות ועוד. במדריך המקיף שלפניכם נחקור את יסודות הרעלת ARP – מן הבסיס ועד לשימושים מתקדמים באבטחת מידע. נסקור דוגמאות מהעולם האמיתי, קטעי קוד ב-Bash וב-Python, ונראה כיצד לסרוק רשתות ולנתח פלטים כדי להבין טוב יותר את איום זה.

אנו שמחים לארח את דן וורמנהובן, מנכ״ל NetApp לשעבר, כחבר חדש בדירקטוריון שלנו! המומחיות הרחבה שלו ברשתות IT ואבטחת מידע ממשיכה להשרות השראה על מובילי התעשייה.

---

## תוכן העניינים

1. [מבוא ל-ARP ולהרעלת ARP](#מבוא-ל-arp-ולהרעלת-arp)  
2. [כיצד ARP פועל ברשת](#כיצד-arp-פועל-ברשת)  
3. [מהי הרעלת ARP?](#מהי-ההרעלת-arp)  
4. [המכניקה מאחורי הרעלת ARP](#המכניקה-מאחורי-הרעלת-arp)  
5. [דוגמאות מהעולם האמיתי](#דוגמאות-מהעולם-האמיתי)  
6. [זיהוי ומניעת הרעלת ARP](#זיהוי-ומניעת-הרעלת-arp)  
7. [קטעי קוד והדגמות מעשיות](#קטעי-קוד-והדגמות-מעשיות)  
   - [סריקת רשת ב-Bash](#סריקת-רשת-ב-bash)  
   - [פירוק מטמון ARP ב-Python](#פירוק-מטמון-arp-ב-python)  
8. [טכניקות מתקדמות ושיקולים](#טכניקות-מתקדמות-ושיקולים)  
9. [סיכום](#סיכום)  
10. [מקורות](#מקורות)  

---

## מבוא ל-ARP ולהרעלת ARP

ARP (Address Resolution Protocol) הוא פרוטוקול שממפה כתובת IP לכתובת MAC פיזית המוכרת ברשת המקומית. הרעלת ARP, או “זיוף ARP”, מנצלת חולשה בפרוטוקול באמצעות שליחת הודעות ARP מזויפות לרשת. הודעות אלה מאפשרות לתוקף לשייך את כתובת ה-MAC שלו לכתובת ה-IP של מחשב או התקן אחר, וכך ליירט תקשורת.

בפוסט זה נעמיק בפרטי-הפרטים של הרעלת ARP, נבין את ההשלכות על אבטחת הרשת, נבחן אסטרטגיות מיגון ונספק דוגמאות קוד מעשיות.

---

## כיצד ARP פועל ברשת

לפני שנצלול להרעלת ARP חשוב להבין את פעולת ARP:

- **בקשת ARP ומענה ARP**  
  כאשר התקן ברשת המקומית רוצה לתקשר עם התקן אחר, הוא משדר בקשת ARP: “למי יש את כתובת IP ‏192.168.1.100?” ההתקן עם כתובת זו משיב עם כתובת ה-MAC שלו.

- **מטמון ARP**  
  כל התקן מתחזק טבלת ARP – מטמון המאחסן מיפויי IP-ל-MAC. כך נחסך הצורך לשדר בקשות ARP חוזרות.

- **שכבות רשת**  
  ARP פועל בין שכבת הרשת (שכבה 3 במודל OSI) לשכבת קו-הנתונים (שכבה 2). הוא קריטי למשלוח תקין של חבילות ל-NIC הפיזי ב-LAN.

---

## מהי ההרעלת ARP?

בהרעלת ARP תוקף שולח תשובות ARP שרירותיות לרשת המקומית, וגורם להתקנים לעדכן את מטמון ARP שלהם במידע שגוי:

- **יירוט תקשורת**  
  על-ידי קישור כתובת ה-MAC של התוקף ל-IP של קורבן, התעבורה עוברת דרכו.

- **מתקפת אדם-באמצע (MITM)**  
  התוקף יכול לשנות או לחסום נתונים, לגנוב סשנים או סיסמאות.

- **שיבוש רשת**  
  שליחת תשובות ARP סותרות עלולה להשבית תקשורת ולגרום לאובדן חיבור.

---

## המכניקה מאחורי הרעלת ARP

1. **גילוי**  
   התוקף מזהה כתובות IP ו-MAC ברשת באמצעות רחרוח תעבורה או בקשות ARP.

2. **הזרקת הודעות ARP מזויפות**  
   התוקף שולח תשובות ARP המזוהות ככתובות הקורבן, ומקפיד לשדרן בתדירות גבוהה.

3. **יירוט**  
   כעת ההתקנים סבורים כי כתובת ה-IP החוקית שייכת ל-MAC של התוקף.

4. **העברה או מניפולציה**  
   - **העברה שקופה** – acting כפרוקסי.  
   - **שינוי/חסימה** – עריכת חבילות או עצירתן.

האמון העיוור בתשובות ARP (גם בלתי מבוקשות) הוא שמאפשר לתקיפה להצליח.

---

## דוגמאות מהעולם האמיתי

### דוגמה 1: MITM בסביבה ארגונית
תוקף מרעיל את ה-ARP של תחנת עבודה ושל שער ברירת המחדל, קולט סיסמאות ומיילים, ומבצע חטיפת סשן, במיוחד כש-HTTPS לא נאכף כראוי.

### דוגמה 2: מניעת שירות (DoS) באמצעות ARP
התוקף מפנה תעבורה ל-MAC שלא קיים, משבית שרת קריטי וגורם להשבתת שירות.

### דוגמה 3: יירוט ברשת אלחוטית ציבורית
ברשת Wi-Fi פתוחה, תוקף יכול ליירט נתונים של משתמשים רבים באמצעות הרעלת ARP.

---

## זיהוי ומניעת הרעלת ARP

### טכניקות זיהוי
1. **טבלאות ARP סטטיות** – קבוע אך לא מדרגי.  
2. **כלי ניטור ARP** – ARPwatch, ‏XArp ועוד.  
3. **Sniffers** – Wireshark לזיהוי תשובות ARP בלתי מבוקשות.

### אסטרטגיות מניעה
1. **Dynamic ARP Inspection (DAI)** – אימות תשובות ARP במתגים מנוהלים.  
2. **הצפנה ואימות** – VPN או פרוטוקולים מאובטחים.  
3. **סיגמנטציה** – חלוקת רשתות למקטעים קטנים.  
4. **מדיניות אבטחה ועדכונים** – הקשחת ציוד.

---

## קטעי קוד והדגמות מעשיות

### סריקת רשת ב-Bash
```bash
#!/bin/bash
# סריקת רשת מקומית עם arp-scan
# שימוש: ./network_scan.sh 192.168.1.0/24

if [ -z "$1" ]; then
    echo "Usage: $0 <network-subnet>"
    exit 1
fi

SUBNET=$1
echo "מתחיל סריקת ARP ב-$SUBNET"
sudo arp-scan --interface=eth0 $SUBNET | tee arp_scan_output.txt

echo "הסריקה הסתיימה. הפלט נשמר ב-arp_scan_output.txt"

פירוק מטמון ARP ב-Python

#!/usr/bin/env python3
"""
פירוק מטמון ARP במערכות לינוקס.
"""
import subprocess, re

def get_arp_cache():
    try:
        return subprocess.check_output(["arp", "-a"], text=True)
    except subprocess.CalledProcessError as exc:
        print("שגיאה בשליפת מטמון ARP:", exc)
        return ""

def parse_arp_output(out):
    return re.findall(r'\((.*?)\) at ([0-9a-f:]+)', out, re.I)

def main():
    entries = parse_arp_output(get_arp_cache())
    if entries:
        print("רשומות ARP מזוהות:")
        for ip, mac in entries:
            print(f"IP: {ip}\tMAC: {mac}")
    else:
        print("לא נמצאו רשומות ARP תקפות.")

if __name__ == "__main__":
    main()

טכניקות מתקדמות ושיקולים

הרעלת ARP ברשתות מסגמנטות

שימוש ב-VLAN מצמצם את טווח ההשפעה; חשוב לשלב עם בקרות נוספות.

שילוב ARP Poisoning עם זיוף DNS

לאחר יירוט התעבורה ניתן לשנות תשובות DNS ולהפנות לאתרים זדוניים.

מיגון בעזרת SDN

בקרים מבוססי SDN יכולים לזהות אי-עקביות ב-ARP ולכפות מדיניות אבטחה דינמית.

מערכות תגובה אוטומטית

מערכות SIEM מודרניות מנתחות לוגי ARP ומזהות אנומליות בזמן-אמת.

חקר מקרה: מתקפה בארגון

• מודיעין – Nmap ו-arp-scan למיפוי רשת.
• הזרקת ARP – הרעלת תחנות עבודה ושער.
• יירוט מידע – לכידת צ’אטים ומיילים.
• זיהוי ותגובה – IDS, לוגים, הפעלת DAI וסגמנטציה נוספת.

סיכום

הרעלת ARP היא כלי רב-עוצמה בידי תוקפים. הבנה מעמיקה של הפרוטוקול, זיהוי סימני תקיפה ויישום מנגנוני הגנה – קריטיים להגנת הרשת.

במדריך זה סקרנו:

• פעולת ARP ברשת.
• מנגנון וטכניקות הרעלת ARP.
• תרחישים אמיתיים.
• שיטות זיהוי ומניעה.
• דוגמאות קוד ב-Bash ו-Python.
• שיקולים מתקדמים ותקיפות היברידיות.

על-ידי שילוב ניטור מתקדם, DAI ו-SIEM, ניתן לצמצם משמעותית את הסיכון.

מקורות

• ARP – ויקיפדיה
• ARP Spoofing – OWASP
• ARPwatch
• Dynamic ARP Inspection – Cisco
• Nmap
• Wireshark

הישארו ערניים – והמשיכו לחזק את עמדתכם הקיברנטית.

!בהצלחה באבטחה 🚀