ARP-спуфинг и MITM: как работает и как защититься

Урок объясняет, откуда берётся атака человек посередине внутри сегмента и какие меры её обезвреживают.

MITM (man-in-the-middle) — атака, при которой нарушитель встаёт между двумя сторонами и видит/изменяет их трафик; в локальной сети частый способ — подмена ARP.

Почему ARP уязвим

Чтобы отправить пакет соседу по сегменту, хост спрашивает: «у кого IP 192.168.1.1, сообщите MAC». Протокол ARP не проверяет, кто отвечает. Любой хост в сегменте может ответить «это я» — и трафик пойдёт к нему. На этом доверии и строится атака. Мы разбираем механизм концептуально, чтобы понять защиту.

Норма:
  Жертва --ARP?--> Шлюз (отвечает шлюз)

Атака (концепт):
  Жертва --ARP?--> ... <--ложный ответ-- Нарушитель
  Теперь трафик жертвы идёт через нарушителя -> шлюз

Чем это опасно

Встав посередине, нарушитель может читать открытый трафик (нарушение конфиденциальности) и подменять его (нарушение целостности). Это бьёт сразу по двум свойствам CIA.

Как защититься

Как работает под капотом

DHCP Snooping запоминает, какой IP/MAC коммутатор выдал на каждый порт. DAI затем сверяет каждый ARP-ответ с этой таблицей: если хост на порту 5 пытается сказать, что у него MAC шлюза, ответ отбрасывается. Так доверие к ARP заменяется проверкой на коммутаторе.

Второй рубеж — шифрование. Даже если нарушитель встал посередине, TLS обеспечивает, что без приватного ключа он видит только шифртекст, а подмена ломает целостность и обрывает соединение.

Частые ошибки

• Полагаться только на шифрование и игнорировать защиту коммутатора — метаданные и факт соединения всё равно видны.
• Не включать DHCP Snooping, без которого DAI не на чем строить доверие.
• Считать, что MITM возможен только в публичном Wi-Fi — внутри офиса тоже.

Итоги

• ARP-спуфинг работает, потому что ARP не проверяет, кто отвечает.
• Защита — DHCP Snooping + Dynamic ARP Inspection на коммутаторе.
• Шифрование — второй рубеж: данные остаются закрыты даже при MITM.