Arp spoofing

Un article de SeRoM - Wiki.

Sommaire 1 Description 2 Installation 3 Mise en oeuvre 3.1 Description de l'exemple 3.2 Réalisation 4 Problème 5 Solutions 5.1 MAJ auto du cache ARP 5.2 Supprimer cache ARP 5.3 ARP cache poisoning

Description

L'usurpation d'adresse ARP est une technique utilisée en informatique pour attaquer un réseau Ethernet. Cette technique peut permettre à l'attaquant d'écouter les flux transitant sur un réseau local switché, ou de bloquer son trafic.

Installation

apt-get install dsniff

Il faut activer l'ip_forwarding pour que cela fonctionne:

echo 1 > /proc/sys/net/ipv4/ip_forward

Mise en oeuvre

Description de l'exemple

Soit la machine cible (victime) 192.168.2.257, sa gateway 192.168.2.1 et la machine du pirate 192.168.2.129. Le pirate accède au réseau local via sa carte réseau sans fil, étant eth2 dans son cas.

Réalisation

Le cache ARP de la machine cible est:

# arp

Address            HWtype        HWAddress                Flags Mask       Iface
192.168.2.1         ether         00:C0:49:5B:6D:3E        C                eth2
192.168.2.129       ether         00:12:F0:9B:C7:18        C                eth2

Le pirate lance alors:

arpspoof i -eth2 -t 192.168.2.157 192.168.2.1

En n'utilisant pas le paramètre -t et l'adresse IP de la cible, les paquets ARP seront envoyés à tout le monde. Pratique pour empoisonner entièrement tout un LAN facilement.

Les paquets envoyés sont des paquets ARP empoisonnant le cache ARP de la machine 192.168.2.157 avec des ARP Reply indiquant que l'adresse MAC associée à 192.168.2.1 est maintenant celle du pirate.

le cache ARP de la machine cible est maintenant:

# arp

Address           HWtype        HWAddress                Flags Mask       Iface
192.168.2.1        ether        00:12:F0:9B:C7:18        C                eth2
192.168.2.129      ether        00:12:F0:9B:C7:18        C                eth2

Le pirate est désormais capable de sniffer le trafic de la machine 192.168.2.157 vers 192.168.2.1.

Problème

De cette manière, le pirate aura beau envoyer un packet ARP au LAN entier (où à une cible précise), si la machine ciblée a déjà dans son cache ARP une entrée concernant l'adresse 192.168.2.1 (celle qu'on souhaite rediriger donc), le cache ARP ne se mettra pas à jour.

Solutions

MAJ auto du cache ARP

Un cache ARP permet de ne pas saturé le réseau de requêtes constamment. Une fois une machine détectée, on enregistre la relation IP - MAC, et on la garde un certain temps. Après un labs de temps, le cache ARP se met à jour, il interroge les machines dans son cache et vérifie le tout. C'est à ce moment que le pirate devra attaquer, en injectant ses packets ARP empoisonnés à l'aide de arpspoof.

Supprimer cache ARP

Cette solution n'est pas vraiment ... recommandée. Elle implique que le pirate a un accès physique au réseau qu'il souhaite infecté (ou la machine). Il faut que chaque machine a infectée, supprime son cache arp, et qu' ensuite le pirate envoie ses packets ARP avec arpspoof. La commande pour supprimer le cache est:

 arp -d

ARP cache poisoning

Voir cette page.