ARP-spoofing. 4
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
ARP Cache poisoning est une attaque utilisée pour écouter un réseau construit sur des commutateurs.
ARP (anglais) Le protocole de résolution d'adresses (Address Resolution Protocol) est un protocole de bas niveau utilisé dans les réseaux informatiques pour déterminer l'adresse de la couche de liaison à partir d'une adresse de couche réseau connue.
L'essence de cette attaque est la suivante. L'attaquant envoie de faux paquets ARP pour convaincre l'ordinateur de la victime que l'ordinateur qui écoute est la destination finale. Ensuite, les paquets de l'ordinateur de la victime sont interceptés et transmis au destinataire réel, l'adresse MAC DE l'expéditeur est remplacée pour que les paquets de réponse passent également par l'ordinateur d'écoute. L'ordinateur d'écoute devient une "passerelle "pour le trafic de la victime, et les assaillants ont la possibilité d'écouter le trafic en effectuant une attaque"homme au milieu".
Il est à noter que lorsque vous essayez d'écouter le trafic de plusieurs ordinateurs qui communiquent activement et que, par conséquent, le dépassement des tables APR peut entraîner une surcharge et, par conséquent, une chute du réseau. Ceci, entre autres, est lourd de détecter l'attaque.
Il est également à noter que cette attaque ne peut être mise en œuvre que si vous avez accès au réseau local. Autrement dit, un attaquant qui se trouve à l'extérieur du réseau local ne peut pas effectuer ARP Spoofing. Pour mettre en œuvre cette attaque, il devra d'abord prendre le contrôle de l'une des machines situées sur le réseau local de l'entreprise, puis à partir de cette machine pour empoisonner le cache ARP. D'accord, pas le moyen le plus simple de mettre en œuvre l'attaque.
Faisons un petit travail pratique sur la mise en œuvre de l'usurpation ARP.
Alors, quelles sont les données brutes que nous aurons.
Plusieurs ordinateurs sont connectés au commutateur. On doit intercepter le trafic qui circule entre ces machines. Si on utilise l'utilitaire tcpdump décrit précédemment, on ne peut voir que les paquets venant de ou vers notre machine. D'accord, pas très instructif. Afin d'écouter le trafic vers d'autres hôtes, nous devons produire un «empoisonnement» du cache ARP. Pour régler ce problème, on va avoir besoin de snifers spéciaux.
Dans notre exemple, nous utiliserons l'utilitaire ettercap cette application a des éditions sous Windows et sous la plateforme *nix.
L'interception peut être effectuée de trois manières. Et si les options MAC et IP STANDARD ne nous intéressent pas particulièrement, alors ARP poisoning based sniffing est exactement la fonctionnalité dont nous avons besoin. Aucun effort n'est nécessaire pour l'appliquer : toute la configuration consiste à spécifier les machines à écouter dans destination et source.
En tant qu'intermédiaire, vous pouvez non seulement intercepter les paquets réseau, mais aussi, en utilisant les outils d'Ettercap, les supprimer ou même les modifier. Séparément, il convient de noter la fonction d'interception des mots de passe qui passent par les protocoles SSH1, SSH2 et SSL/HTTPS cryptés. Pour l'utiliser, vous devez exécuter un programme avec des filtres spéciaux (par exemple, pour ssh: ettercap-F etter.filter.ssh).
Maintenant, en fait, la pratique. Pour écouter le trafic que les machines 192.168.1.2 et 192.168.1.254 échangent, exécutez la commande suivante:
root@kali : # ettercap -T -M arp -L log /192.168.1.2/ /192.168.1.254/
Les options signifient :
- Utiliser l'interface texte (console) ;
- M arp-utiliser le module ARP-Spoofing pour effectuer une attaque;
- L log-écrire le journal d'interception dans des fichiers nommés log.*.
Les arguments sont les adresses IP des machines contre lesquelles l'attaque ARP-spoofing doit être exécutée.
Le résultat de cet utilitaire est affiché et écrit dans un fichier texte. Pour arrêter la journalisation, vous devez appuyer sur Q.
Interrompre le travail de l'utilitaire par d'autres moyens (par exemple, Ctrl-Z) est hautement indésirable, car alors les tables ARP de ces deux machines resteront empoisonnées. Et puisque le programme intermédiaire ettercap ne fonctionnera plus, la communication entre les hôtes disparaîtra, ce qui semblera très suspect.
Vous pouvez utiliser etterlog pour afficher le trafic intercepté. Le fichier journal par défaut s'appelle log.eci.
C'est ainsi, par exemple, que les informations d'identification interceptées d'une boîte aux lettres de messagerie POP 3 peuvent ressembler.
etterlog log.eci
etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Log file version : NG-0.7.3
Timestamp : Thu Jan 21 12:23:11 2012
Type : LOG_INFO
1698 tcp OS fingerprint
7587 mac vendor fingerprint
2183 known services
==================================================
IP address : 192.168.15.2
MAC address : 00:04:75:75:46:B1
...
MANUFACTURER : Sohoware
DISTANCE : 0
TYPE : LAN host
FINGERPRINT :
OPERATING SYSTEM : UNKNOWN
PORT : TCP 110 | pop-3 []
ACCOUNT : user
/ password
(192.168.15.2)
==================================================
Considérons aussi le travail de cet utilitaire avec une interface graphique. Pour ce faire, exécutez la commande
ettercap –G
Ensuite, on doit choisir le type d'interception du trafic Unified ou Bridged. Le premier produit une simple interception du trafic, tandis que le second est conçu pour interférer avec le processus de transfert du trafic. Choisissez unified. Ensuite, précisez l'interface réseau utilisée. Vous pouvez spécifier l'option filaire et sans fil.
Ensuite, on doit décider de qui on veut intercepter le trafic. Pour ce faire, vous devez analyser le réseau à la recherche de nœuds actifs. Pour lancer l'analyse, sélectionnez Hosts, puis Scan for hosts. Nous obtenons une liste des hôtes actifs avec des adresses IP et MAC. Sélectionnez le nœud souhaité et cliquez sur Ajouter à la cible 1. Dans cette fenêtre, il y a toujours un bouton Ajouter à la cible 2. Si nous voulons intercepter uniquement le trafic entre deux nœuds spécifiques de la liste, nous devons spécifier le deuxième nœud et cliquer sur Ajouter à la cible 2. Et si nous voulons intercepter tout le trafic pour ce nœud, alors le deuxième nœud ne doit pas être sélectionné.
Ensuite, lancez l'analyse en appuyant sur Start, Start Sniffing. Ensuite, on termine le processus d'empoisonnement ARP en sélectionnant MITM / ARP Poisoning. L'option Connexions à distance Sniff doit être activée.
Ensuite, dans Wireshark, vous pouvez intercepter le trafic de la même manière que nous l'avons fait précédemment.
Lorsque vous avez terminé de collecter les paquets dans Ettercap, vous devez désactiver ARP poison en appuyant sur Démarrer / Stop sniffing.
Un attaquant, une fois sur le réseau, peut effectuer une attaque de type « homme au milieu, MitM », c'est-à-dire essayer de devenir un intermédiaire entre les nœuds légaux. Avec MitM, vous pouvez implémenter de nombreuses attaques différentes impliquant non seulement l'écoute, mais aussi la modification du trafic en transit. Mais dans le contexte du sujet, nous implémentons l'interception des mots de passe, en même temps, nous avons rencontré quelques autres utilitaires utiles de la composition de Kali Linux.
Donc, supposons qu'on sait quels nœuds sont présentement actifs sur le réseau. Étant donné que la machine de l'attaquant agit comme intermédiaire, nous devons d'abord autoriser le transfert de paquets IP (ip forwarding). Vous pouvez le faire comme suit:
echo 1 > /proc/sys/net/ipv4/ip_forward
Maintenant, vous devez implémenter ARP spoofing (c'est-à-dire l'usurpation d'adresse MAC pour certaines adresses IP). La machine de l'attaquant serait un intermédiaire entre la passerelle par défaut et le réseau local. Si l'adresse de la passerelle est 192.168.1.1 et que notre adresse est 192.168.1.100, nous devons effectuer les opérations suivantes pour l'usurpation.
arpspoof –t 192.168.1.1 192.168.1.100
L'utilitaire arpspoof est conçu pour usurper les adresses MAC.
Pour le bon fonctionnement du spoofing ARP, il faut faire une substitution et dans la direction opposée.
arpspoof –t 192.168.1.100 192.168.1.1
Ensuite, on doit commencer à intercepter le trafic. Cependant, contrairement aux exemples précédents, nous allons intercepter, ou plutôt afficher non pas tout le trafic, mais seulement les mots de passe de diverses applications. Pour ce faire, nous utiliserons l'utilitaire dsniff.
root@kali:~# dsniff
---------------
05/21/00 10:49:10 bob -> unix-server (ftp)
USER bob
PASS dontlook
---------------
05/21/00 10:53:22 karen -> lax-cisco (telnet)
karen
supersecret
---------------
05/21/00 11:01:11 karen -> lax-cisco (snmp)
[version 1]
private
À la suite du travail, on a intercepté plusieurs mots de passe.
Dsniff vous permet d'intercepter les mots de passe envoyés par la méthode HTTP, les données POST, HTTP Basic and Digest authentifications, FTP, IRC, POP, IMAP, SMTP, NTLMv1/v2 (HTTP, SMB, LDAP, ETC.).
Pour empêcher ARP-spoofing, vous pouvez utiliser l'utilitaire arpwatch. Cet utilitaire vous permet de capturer l'attaque, mais il doit être exécuté sur les deux machines attaquées, sinon un attaquant pourrait tenter une attaque à sens unique. De plus, arpwatch ne capture que l'attaque, mais ne l'empêche pas. Vous devez développer des scripts et des gestionnaires d'événements supplémentaires pour éviter cela.
Un moyen de protection possible est d'utiliser un ARP statique. Une table ARP peut être générée manuellement et n'est pas vulnérable aux attaques ARP. Pour ce faire, vous devez ajouter les adresses MAC requises à la table.
Si vous désactivez l'utilisation d'ARP sur les interfaces réseau, seuls les systèmes (1) dont l'adresse MAC est ajoutée à la table ARP de notre hôte et (2) dont l'adresse MAC est ajoutée à la table ARP des hôtes sont disponibles,
avec lesquels le trafic est échangé.
Si vous ne désactivez pas l'utilisation d'ARP sur les interfaces réseau, l'adresse MAC définie statiquement est prioritaire. Si aucune adresse MAC n'est spécifiée pour une adresse IP, une requête ARP est utilisée.
D'autres méthodes de lutte contre le Spoofing ARP sont l'utilisation du cryptage, ainsi que l'utilisation de VLAN.
L'ordinateur d'un attaquant ne peut utiliser ARP-spoofing contre l'ordinateur de la victime que s'il se trouve sur le même réseau de couche de canal. Dans le cas où ils sont séparés par le routeur, l'attaque n'est pas possible (une attaque sur le routeur est possible, mais c'est tout à fait différent).
Les VLAN aident à segmenter le réseau − transformer un réseau en un ensemble de fragments isolés au niveau du canal, qui sont reliés entre eux par un routeur. L'attaque ARP-spoofing n'est possible qu'entre les ordinateurs situés dans le même VLAN'E. dans le cas le plus extrême, quand il n'y a que deux ordinateurs dans chaque VLAN: l'ordinateur lui-même et le routeur-l'attaque ARP-spoofing devient impossible en principe. Malheureusement, une telle organisation du réseau est très exigeante sur les ressources du routeur et est rarement utilisée.
L'une des principales raisons de l'impopularité de cette méthode de protection est la nécessité de prendre en charge les commutateurs VLAN, ainsi que la nécessité de consacrer du temps à la configuration supplémentaire du matériel réseau.
