什么是 ARP 欺骗?(以开发人员为中心的定义)
ARP 欺骗是指攻击者发送虚假的网络信息,诱使设备误以为恶意设备是受信任的设备,例如您的路由器或其他开发设备。攻击者会伪装成网络上的另一个 IP,这样您的设备就会将流量发送给攻击者。
这篇文章是关于预防的。 它旨在帮助开发人员和 DevSecOps 团队识别和防御 ARP 欺骗攻击,而不是执行此类攻击。我们专注于本地开发、 CI/CD 跑步者和共享网络。
可以这样想:您正在本地或共享网络上进行开发和测试,突然您的 HTTP 请求、工件下载或机密信息无法到达服务器;您认为它们正在通过攻击者控制的假路由器。 这就是为什么 ARP 欺骗不仅仅是网络工程师的担忧。它可能会危害自托管的运行器、本地开发环境以及你的 CI/CD pipeline尤其是在咖啡店 Wi-Fi 或远程办公室进行开发时。了解什么是 ARP 欺骗有助于预防这些无声威胁。
ARP欺骗实践:工作原理以及对开发人员的重要性
正常协议行为
设备询问“谁拥有这个 IP?”并将 IP(例如,192.168.0.10)映射到 MAC(例如,AA:BB:CC:DD:EE:FF)。
计算机将这些缓存在 ARP 表中,以便有效地路由数据包。
ARP欺骗风险
如果恶意设备错误地声称拥有关键 IP 地址,您的机器可能会通过错误的设备路由流量。
由于 ARP 没有内置验证,因此可以默默接受欺骗的回复。
这为拦截流量、篡改下载或泄露机密打开了方便之门。这就是 ARP 欺骗攻击的本质。
现实世界风险示例
想象一下,一位开发人员正在使用公共 Wi-Fi 工作。如果恶意攻击者冒充网关,他们就能悄无声息地拦截 HTTP 流量、替换依赖项或收集传输中的 API 令牌。被篡改的库可能会被编译到生产环境中。机密信息甚至可能在被发现之前就被泄露。在这种情况下,识别什么是 ARP 欺骗对您的安全态势至关重要。
开发者方面的主要风险:
- 秘密盗窃:令牌、cookie、API 密钥
- 构建注入:恶意库或二进制文件
- CI 泄露:悄悄上传被盗数据
- HTTP 请求劫持
- 通过未加密的流量泄漏会话令牌
开发人员最容易在哪里遭受 ARP 欺骗攻击?
本地开发机器
威胁:在咖啡馆使用共享 Wi-Fi 会使开发人员面临被冒充路由器的攻击者窃取令牌或凭证的风险。这是 ARP 欺骗攻击的首要条件。
自托管 CI/CD 跑人
威胁:家庭 CI 运行者可能会被误导,通过恶意网关进行路由,从而面临文物被操纵或机密被窃取的风险。
共享办公室或联合办公网络
威胁:共享网络上的攻击者可以拦截测试流量、捕获凭据或注入恶意代码。
开发人员的 ARP 欺骗风险缓解策略 Pipelines
确保本地开发实践
预防提示:
- 在公共 Wi-Fi 上使用 VPN
- 仅使用 HTTPS;避免 HTTP 回退
- 使用校验和验证下载 sha256sum
- 绝大部分储备使用 gpg –验证 对于签名文件
- 固定依赖关系并强制执行签名的工件
示例代码片段:完整性验证。 对于基于浏览器的方法,您可以使用 SubtleCrypto API 验证下载文件的哈希值。此处提供了一个带注释的简短示例: 使用 JS 验证文件哈希
保护自托管运行器和 CI Pipelines
预防提示:
- 将跑步者保持在专用 VLAN 或受信任的 LAN 中
- 使用签名验证所有工件
- 不要在暴露的家庭网络上运行敏感作业
- 使用 Cosign 或 Sigstore 等工具对容器和工件进行签名
网络监控和异常检测
预防提示:
- 使用以下方式监控 ARP 条目 IP邻居 检测可疑变化
- 绝大部分储备使用 arpwatch 记录并提醒 ARP 表更新
- 实施 Snort 或 Zeek 来检测欺骗尝试
- 注意频繁更改 MAC 地址的设备
Xygeni 的作用:防止网络级攻击对供应链造成损害
工件和依赖项保护
Xygeni 会在依赖项被拉入构建时对其进行扫描。如果依赖项哈希值突然与已知的正常版本不同,则会发出警报,提示该文件可能已被修改,这是 ARP 欺骗攻击的常见症状。
CI/CD Pipeline 硬化
Xygeni 检查 pipeline 实时行为。如果一个作业突然注入了未跟踪的依赖项或执行了来自未经验证的来源的代码,它会标记并暂停 pipeline 如果需要的话。
机密监控
如果 API 密钥或令牌出现在新位置(例如,新 IP 或域),Xygeni 会提醒您的团队并自动撤销密钥以最大限度地减少损失。
运营可见性
Xygeni 提供详细的审计跟踪,涵盖工件、依赖项和执行路径。如果网络异常触发了意外行为(例如从未注册的注册表中提取数据),则会在您的 CI 日志中标记,并 dashboard,这可能表明发生了 ARP 欺骗事件。
为什么 ARP 欺骗等网络级威胁在 AppSec 中仍然存在?
现在您知道什么是 ARP 欺骗了:一个实际存在的威胁。它会影响您的工作流程、构建和机密信息。 善待每一位开发者和 pipeline 网络作为实时威胁面:
- 使用加密传输
- 验证每一个工件
- 假设公共 Wi-Fi 受到威胁
像工具一样 西吉尼 帮助确保中间地带的安全,防止 ARP 欺骗攻击者趁虚而入。因为当您的流量被假路由器重新路由时,一次缺失的完整性检查就可能造成重大漏洞。不要只问什么是 ARP 欺骗,而要问您目前是如何防范它的。 下次开始构建时,请假设您的网络处于敌对状态。验证您的下载。锁定您的依赖项。运行您的 CI,就像有人在监视一样。
专注 SAST/SCA 供应链滥用工具
当提到这样的工具时 SAST or SCA确保它们与检测供应链操纵(例如,意外的依赖行为)相关,而不是一般的代码扫描。这样可以保持对网络风险和工件验证的关注。
