mercredi 10 mars 2010

basics 3 - tutoriel ARP cache poisonning

Dans cet article, nous mettons en oeuvre la très classique attaque ARP cache poisonning sur la couche 2.



choix des cibles


adresse IPadresse physique
serveur linux192.168.0.200:0C:29:35:6A:41
client Windows192.168.0.1000:0C:29:B9:D2:02
intrus192.168.0.1200:0C:29:22:93:12

Remarque: pour connaître notre adresse MAC, il suffit de faire:
intrus$ ifconfig eth1

caches ARP sur machines cibles

Nous « remplissons les tables ARP en faisant communiquer le client et le serveur:

client Windows > ping 192.168.0.2
Nous relevons le cache arp sur le serveur linux et le client windows:

client windows >arp -a

Interface : 192.168.0.10 --- 0x2
Adresse Internet Adresse physique Type
192.168.0.1 00-50-56-c0-00-08 dynamique
192.168.0.2 00-0c-29-35-6a-41 dynamique
192.168.0.12 00-0c-29-22-93-12 dynamique

ARP cache poisonning

A présent nous installons ettercap:
intrus$ sudo apt-get install ettercap-gtk
puis nous appliquons le tutoriel cité en référence [10]

Nous obtenons dans notre cas:


résultats du ARP cache Poisonning

Puis en regardant à nouveau le cache ARP des cibles:
client windows>ping 192.168.0.2

Envoi d'une requête 'ping' sur 192.168.0.2 avec 32 octets de données :
Réponse de 192.168.0.2 : octets=32 temps<1ms TTL=64
Statistiques Ping pour 192.168.0.2:
Paquets : envoyés = 2, reçus = 2, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms
Ctrl+C
client windows>arp -a

Interface : 192.168.0.10 --- 0x2
Adresse Internet Adresse physique Type
192.168.0.1 00-50-56-c0-00-08 dynamique
192.168.0.2 00-0c-29-22-93-12 dynamique
192.168.0.12 00-0c-29-22-93-12 dynamique
De même pour le serveur:

Les tables ont bien été modifiées. A présent l'intrus est situé en MAN IN THE MIDDLE entre le serveur et le client Windows..

le protocole ARP

En utilisant Wireshark, nous obtenons un grand nombre de requêtes ARP:

En analysant les champs de l'une de ces requêtes:

Nous obtenons:
- le protocole ARP est un protocole de niveau 2 (couches OSI),
- la trame Ethernet est envoyée par le hub (192.168.0.1),
- elle est envoyée en broadcast ethernet
- elle permet au hub de se signaler à l'adresse IP 192.168.0.9 (ici non attribuée).

explication de l'attaque

Ettercap envoie continuement des trames ARP associant l'adresse IP de chacune des cibles avec l'adresse MAC de l'intrus. Ainsi, les cibles mettent à jour leur cache ARP avec les données que Ettercap leur fournit.

La faiblesse mise en évidence ici est l'absence d'authentification lors d'une requête ARP. Il est impossible, au niveau de la couche MAC, de savoir à qui nous avons affaire.

références

9) tutoriel ettercap - http://openmaniak.com/ettercap_arp.php
10) documentation ettercap ubuntu - http://doc.ubuntu-fr.org/ettercap

Aucun commentaire:

Publier un commentaire