Wat is ARP Spoofing?
ARP Spoofing is een aanvalstechniek waarbij een aanvaller vervalste ARP-berichten verstuurt om het MAC-adres te koppelen aan het IP-adres van een ander apparaat. Hierdoor kan netwerkverkeer worden onderschept, omgeleid of gemanipuleerd.
In OT-netwerken kan ARP Spoofing leiden tot het overnemen van communicatie tussen bijvoorbeeld een PLC en SCADA-systeem — zonder dat de operator iets merkt.
🧠 Hoe werkt ARP (Address Resolution Protocol)?
- ARP vertaalt IP-adressen naar MAC-adressen (laag 3 naar laag 2)
- Elk apparaat bouwt een ARP-cache op met IP→MAC-koppelingen
- Deze tabellen zijn vertrouwensgebaseerd en kunnen eenvoudig worden overschreven
🎯 Wat is ARP Spoofing?
Bij ARP Spoofing doet een aanvaller zich voor als een ander apparaat op het netwerk:
- De aanvaller stuurt een ARP-reply naar een slachtoffer met:
- “IP van PLC = mijn MAC”
- Het slachtoffer stuurt nu zijn verkeer naar de aanvaller
- Deze voert een Man-In-The-Middle uit of verstoort het verkeer
⚠️ Gevolgen in OT-omgevingen
| Impact | Beschrijving |
|---|---|
| Vertrouwensverlies | Data van sensoren of PLC’s kan worden gemanipuleerd |
| Procesonderbreking | Verkeer kan worden onderbroken of vertraagd |
| Onzichtbare toegang | Aanvallers kunnen meeluisteren zonder sporen achter te laten |
| Verstoring van alarms/logs | Historian of SCADA krijgt foutieve data |
| Risico op escalatie | Aanvaller kan toegang verkrijgen tot beheerfuncties |
🔍 Hoe herken je ARP Spoofing?
| Detectiemethode | Beschrijving |
|---|---|
| Dynamic ARP Inspection (DAI) | Blokkeert ongewenste ARP-replies op basis van DHCP Snooping |
| ARP-tabellen vergelijken | Detectie van dubbele IP/MAC-combinaties |
| IDS of SIEM | Herkennen van afwijkend ARP-verkeer of herhaalde ARP-berichten |
| Netwerkmonitoring met Wireshark | Visualiseren van ARP-floods of manipulatiepogingen |
🛡️ Beschermingsmaatregelen
| Maatregel | Beschrijving |
|---|---|
| Dynamic ARP Inspection | Blokkeert spoofed ARP op untrusted poorten |
| DHCP Snooping | Bouwt de basisbinding voor ARP-validatie |
| IP Source Guard | Verifieert IP/MAC op poortniveau |
| MAC Binding + Port Security | Alleen bekende apparaten per poort toegestaan |
| VLAN-segmentatie | Beperk de impact van spoofing tot een klein deel van het netwerk |
| Zero Trust Architecture | Vertrouw geen intern verkeer zonder verificatie |
🧪 Simulatie en test
Wil je ARP Spoofing testen in een labomgeving?
- Tools:
arpspoof,ettercap,Bettercap - Observeer gedrag in Wireshark en bekijk ARP-tabel op slachtofferapparaat
- Gebruik test-VLAN’s — nooit in productie toepassen!
📌 Samengevat
ARP Spoofing is een onzichtbare maar gevaarlijke aanvalsmethode die OT-verkeer kan manipuleren. Bescherm je netwerk met laag-2-beveiliging zoals DAI, IP Source Guard en goede poortcontrole.