Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

ARP-spoofing. 6

  • Печать
Обновлено 11.09.2025 04:33

 

Oleg Petukhov, advogado na área de Direito Internacional e proteção de dados pessoais, especialista em segurança da informação segurança, proteção de informações e dados pessoais.

Canal Telegram: https://t.me/protecaodaInformacao

Grupo Telegram: https://t.me/protecaodaInformacao1

Site: https://legascom.ru

E-mail: online@legascom.ru

 

#proteçãodaInformação #Segurançadainformação

ARP spoofing (ARP Cache poisoning) é um ataque usado para ouvir uma rede construída em switches.

ARP (em inglês). Address Resolution Protocol (protocolo de resolução de endereços) é um protocolo de baixo nível usado em redes de computadores para determinar o endereço de um nível de Link a partir de um endereço de nível de rede conhecido.

A essência deste ataque é a seguinte. O atacante envia falsos pacotes ARP para convencer o computador da vítima de que o computador que está ouvindo é o destinatário final. Em seguida, os pacotes do computador da vítima são interceptados e enviados para o destinatário real, e o endereço MAC do remetente é substituído para que os pacotes de resposta também passem pelo computador de escuta. O computador que escuta torna-se uma" porta de entrada "para o tráfego da vítima, e os invasores conseguem ouvir o tráfego realizando um ataque man-in-the-middle.

Vale a pena notar que, ao tentar ouvir o tráfego de vários computadores que se comunicam ativamente e, consequentemente, o estouro de tabelas APR resultante pode sobrecarregar e, como resultado, cair na rede. Isso, entre outras coisas, é repleto de detecção de ataque.

Também é importante notar que este ataque só pode ser implementado se você tiver acesso a uma rede local. Ou seja, um invasor fora da rede local não será capaz de executar o ARP Spoofing. Para realizar este ataque, ele terá que primeiro assumir o controle de uma das máquinas localizadas na rede local corporativa, e só então envenenar o cache ARP dessa máquina. Concordo, não é a maneira mais fácil de implementar um ataque.

Vamos fazer um pequeno trabalho prático sobre a implementação do ARP-spoofing.

Então, quais serão os dados iniciais.

Existem vários computadores conectados ao switch. Temos de interceptar o tráfego entre estas máquinas. Se usarmos o utilitário tcpdump descrito anteriormente, podemos ver apenas os pacotes que vêm de ou para a nossa máquina. Concordo, não muito informativo. Para ouvir o tráfego indo para outros hosts, precisamos fazer um" envenenamento " do cache ARP. Para resolver esse problema, precisaremos de snifadores especiais.

No nosso exemplo, vamos usar o utilitário ettercap este aplicativo tem edições para as plataformas Windows e *nix.

A intercepção pode ser realizada de três maneiras. E se as opções padrão de MAC e IP não são particularmente interessantes para nós, então o ARP poisoning based sniffing é exatamente o recurso que precisamos. Ao mesmo tempo, nenhum esforço é necessário para sua aplicação: toda a configuração se resume a especificar as máquinas a serem ouvidas no destination e source.

Como intermediário, você pode não apenas interceptar pacotes de rede, mas também usar as ferramentas do Ettercap para removê-los ou até mesmo modificá-los. Vale a pena notar a função de interceptar senhas que usam protocolos SSH1, SSH2 e SSL/HTTPS criptografados. Para usá-lo, é necessário executar um programa com filtros especiais (por exemplo, para ssh, da seguinte forma: ettercap-F etter.filter.ssh).

Agora, na verdade, a prática. Para ouvir o tráfego que as máquinas 192.168.1.2 e 192.168.1.254 trocam, você deve executar o seguinte comando:

root@kali : # ettercap -T -M arp -L log /192.168.1.2/ /192.168.1.254/

Opções significam:

- T-usar uma interface de texto (console);

- M arp-use o módulo ARP-spoofing para executar um ataque;

- L log-grava o log de captura em arquivos chamados log.*.

Os argumentos são os endereços IP das máquinas contra as quais o ataque ARP-spoofing deve ser executado.

O resultado do trabalho deste utilitário é exibido na tela e gravado em um arquivo de texto. Para parar o log, você deve pressionar Q.

Interromper o trabalho do utilitário por outros métodos (por exemplo, Ctrl-Z) é altamente indesejável, pois então as tabelas ARP dessas duas máquinas permanecerão envenenadas. E como o programa intermediário do ettercap não funcionará mais, a comunicação entre os hosts será perdida, o que parecerá muito suspeito.

Você pode usar o utilitário etterlog para visualizar o tráfego interceptado. O arquivo de log padrão é chamado log.eci.

Por exemplo, é assim que as credenciais interceptadas para uma caixa de correio de E-mail POP 3 podem parecer.

etterlog log.eci

etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Log file version : NG-0.7.3

Timestamp : Thu Jan 21 12:23:11 2012

Type : LOG_INFO

1698 tcp OS fingerprint

7587 mac vendor fingerprint

2183 known services

==================================================

IP address : 192.168.15.2

MAC address : 00:04:75:75:46:B1

...

MANUFACTURER : Sohoware

DISTANCE : 0

TYPE : LAN host

FINGERPRINT :

OPERATING SYSTEM : UNKNOWN

PORT : TCP 110 | pop-3 []

ACCOUNT : user

/ password

(192.168.15.2)

==================================================

Considere também o trabalho deste utilitário com uma interface gráfica. Para isso, é necessário executar o comando

ettercap –G

Em seguida, devemos escolher o tipo de tráfego de interceptação Unified ou Bridged. O primeiro realiza uma simples interceptação de tráfego, enquanto o segundo é projetado para interferir no processo de transmissão de tráfego. Escolha o unified. Em seguida, especifique a interface de rede usada. Você pode especificar uma opção com ou sem fio.

Em seguida, precisamos decidir de quem queremos interceptar o tráfego. Para fazer isso, você precisa verificar a rede em busca de nós ativos. Para executar a verificação, selecione Hosts, em seguida, Scan for hosts. Obtenha uma lista de nós ativos com endereços IP e MAC. Selecione o nó desejado e pressione Add to Target 1. O botão Add to Target 2 também está disponível. Se quisermos interceptar apenas o tráfego entre dois nós específicos da lista, é necessário especificar um segundo nó e pressionar Add to Target 2. E se quisermos interceptar todo o tráfego para este nó, não é necessário selecionar o segundo nó.

Em seguida, execute a verificação pressionando Start, Start Sniffing. Em seguida, concluímos o processo de envenenamento ARP selecionando MITM / Poisoning ARP. A opção Sniff Remote Connections deve estar ativada.

Então, no Wireshark, você pode interceptar o tráfego da mesma maneira que fizemos anteriormente.

Após a conclusão da coleta de pacotes no Ettercap, você deve desativar o ARP poison pressionando Start / Stop sniffing.

Um invasor, uma vez na rede, pode realizar um ataque do tipo "man in the middle, MitM", isto é, tentar se tornar um intermediário entre os nós legítimos. Com o MitM, você pode implementar muitos ataques diferentes relacionados não apenas à escuta, mas também à modificação do tráfego que passa. Mas no contexto do tópico, implementamos a interceptação de senhas, ao mesmo tempo em que nos familiarizamos com alguns utilitários úteis da composição do Kali Linux.

Então, vamos supor que sabemos quais nós estão ativos na rede agora. Como a máquina do invasor atua como um intermediário, primeiro precisamos permitir o encaminhamento de pacotes IP (IP forwarding). Isso pode ser feito da seguinte maneira:

echo 1 > /proc/sys/net/ipv4/ip_forward

Agora você precisa implementar ARP spoofing (isto é, alterar endereços MAC para endereços IP específicos). A máquina do invasor será o intermediário entre o gateway padrão e a rede local. Se o endereço do gateway for 192.168.1.1 e nosso endereço for 192.168.1.100, então precisamos fazer o seguinte para substituir.

arpspoof –t 192.168.1.1 192.168.1.100

O arpspoof é um utilitário destinado a substituir endereços MAC.

Para que o ARP spoofing funcione corretamente, é necessário fazer uma substituição na direção oposta.

arpspoof –t 192.168.1.100 192.168.1.1

Em seguida, precisamos começar a interceptar o tráfego. No entanto, ao contrário dos exemplos anteriores, aqui vamos interceptar, ou melhor, exibir Não todo o tráfego, mas apenas senhas de vários aplicativos. Para fazer isso, vamos usar o utilitário dsniff.

root@kali:~# dsniff

---------------

05/21/00 10:49:10 bob -> unix-server (ftp)

USER bob

PASS dontlook

---------------

05/21/00 10:53:22 karen -> lax-cisco (telnet)

karen

supersecret

---------------

05/21/00 11:01:11 karen -> lax-cisco (snmp)

[version 1]

private

Como resultado do trabalho, interceptamos várias senhas.

Dsniff permite interceptar senhas enviadas por HTTP, dados POST, HTTP Basic and Digest authentications, FTP, IRC, POP, IMAP, SMTP, NTLMv1/v2 (HTTP, SMB, LDAP, etc.).

Você pode usar o arpwatch para evitar ARP-spoofing. Este utilitário permite que você bloqueie um ataque, mas deve ser executado em ambas as máquinas atacadas, caso contrário, o invasor pode tentar realizar um ataque unilateral. Além disso, o arpwatch só captura um ataque, mas não o impede. Scripts adicionais e manipuladores de eventos são necessários para evitar isso.

Uma maneira possível de se proteger é usando ARP estático. A tabela ARP pode ser gerada manualmente e não é vulnerável a ataques ARP. Para fazer isso, adicione os endereços MAC necessários à tabela.

Se você desativar o uso do ARP em interfaces de rede, somente os sistemas (1) cujos endereços MAC foram adicionados à tabela ARP de nosso host e (2) Nossos endereços MAC foram adicionados às tabelas ARP de nossos hosts estarão disponíveis,

com os quais o tráfego é trocado.

Se você não desabilitar o ARP em interfaces de rede, o endereço MAC definido estaticamente terá precedência. Se um endereço MAC para um endereço IP não for especificado, uma solicitação ARP será usada.

Outros métodos para combater o ARP-spoofing são o uso de criptografia, bem como o uso de VLAN.

O computador do atacante só pode usar ARP-spoofing contra o computador da vítima se eles estiverem na mesma rede de camada de link. No caso em que eles são separados por um roteador, o ataque não é possível (um ataque ao roteador é possível, mas isso é uma coisa completamente diferente).

As VLANs ajudam a segmentar uma rede-transformando uma única rede em vários fragmentos isolados na camada de enlace que são conectados entre si por um roteador. Um ataque ARP-spoofing só é possível entre computadores que estão no mesmo VLAN. no caso mais extremo, quando há apenas dois computadores em cada VLAN − o próprio computador e o roteador-um ataque ARP-spoofing torna-se impossível em princípio. Infelizmente, essa organização da rede é muito exigente nos recursos do roteador e raramente é usada.

Uma das principais razões para a impopularidade deste método de proteção é a necessidade de suporte de VLAN por switches, bem como a necessidade de gastar tempo para configurar equipamentos de rede adicionais.

 

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.