ARP-bufferforgiftning , også kjent som ARP-spoofing , er en teknikk som brukes i nettverkssikkerhet for å fange opp data ved å sende feil ARP-meldinger (Address Resolution Protocol) til en måldatamaskin. Den lar en angriper knytte Media Access Control (MAC)-adressen sin til IP-adressen til en annen enhet, og i praksis etterligne den enheten på et nettverk.

Slik fungerer ARP-cacheforgiftning:

1. ARP-forespørsel: Angriperen sender en ARP-forespørsel til en måldatamaskin på nettverket, og ber om MAC-adressen knyttet til en spesifikk IP-adresse, vanligvis standard gateway.

2. ARP-svar: Angriperen sender et ondsinnet ARP-svar til måldatamaskinen, og knytter falskt sin egen MAC-adresse til IP-adressen til standardgatewayen.

3. Cacheforgiftning: Måldatamaskinens ARP-cache blir forgiftet når den lagrer angriperens MAC-adresse som standard gateway. Dette betyr at all trafikk ment for standard gateway vil bli feildirigert til angriperens datamaskin.

4. Trafikkavlytting: Angriperen kan nå avskjære og manipulere nettverkstrafikk som går gjennom datamaskinen deres, som kan inkludere sensitiv informasjon som brukernavn, passord og økonomiske transaksjoner. De kan også utføre andre ondsinnede aktiviteter, som for eksempel Denial-of-Service (DoS)-angrep, nettstedviderekoblinger eller man-in-the-middle-angrep.

ARP-bufferforgiftning kan være en betydelig sikkerhetstrussel, spesielt i lokale nettverk (LAN) der angripere har direkte tilgang til nettverkstrafikk. For å beskytte mot ARP-bufferforgiftning kan nettverksadministratorer implementere sikkerhetstiltak som statiske ARP-oppføringer, dynamisk ARP-inspeksjon, kryptering og sterke autentiseringsmekanismer.