Varje datorklient kan skicka ett ARP-svar, kallat ”gratuitous ARP”. Detta görs ofta när en datorklient startar för att informera alla andra enheter på det lokala nätverket om sin MAC-adress. När en dator sänder ett gratuitous ARP lagrar andra nätverksenheter på delnätet MAC-adressen och IP-adressen som finns i det gratuitous ARP i sina ARP-tabeller.
Denna funktion hos ARP innebär också att vilken datorklient som helst kan påstå sig vara ägare till vilken IP- eller MAC-adress som helst. En hotaktör kan förgifta ARP-cacheminnet hos datorerna på det lokala nätverket, vilket skapar en MITM (Man-In-The-Middle)-attack för att omdirigera trafiken. Målet är att rikta in sig på ett offer, och få det att ändra sin standard gateway till hotaktörens enhet. Detta placerar hotaktören mellan offret och alla andra system utanför det lokala delnätet.
ARP Cache Poisoning
ARP Request – Figuren visar hur ARP cache poisoning fungerar. PC-A behöver MAC-adressen till sin standard gateway (R1); därför skickar den en ARP-förfrågan efter MAC-adressen till 192.168.10.1.
ARP-svar – I denna figur uppdaterar R1 sin ARP-cache med IP- och MAC-adresserna för PC-A. R1 skickar ett ARP-svar till PC-A, som sedan uppdaterar sin ARP-cache med IP- och MAC-adresserna för R1.
Förfalskade gratuitous ARP-svar – I figuren skickar hotaktören två förfalskade gratuitous ARP-svar med sin egen MAC-adress för de angivna destinations-IP-adresserna. PC-A uppdaterar sin ARP-cache så att dess standard gateway nu pekar mot hotaktörens värd-MAC-adress. R1 uppdaterar också sin ARP-cache så att IP-adressen för PC-A pekar mot hotaktörens MAC-adress.
Hotaktören genomför en ARP poisoning attack. ARP poisoning attacken kan vara passiv eller aktiv. Vid passiv ARP poisoning stjäl hotaktörer konfidentiell information. Vid aktiv ARP poisoning modifierar hotaktörer data under överföring eller injicerar skadlig data.
Notera: Det finns många verktyg tillgängliga på internet för att skapa ARP MITM-attacker inklusive dsniff, Cain & Abel, ettercap, Yersinia med flera.