Dans cet article, nous mettons en oeuvre la très classique attaque ARP cache poisonning sur la couche 2.
Remarque: pour connaître notre adresse MAC, il suffit de faire:
Nous obtenons dans notre cas:
Les tables ont bien été modifiées. A présent l'intrus est situé en MAN IN THE MIDDLE entre le serveur et le client Windows..
En analysant les champs de l'une de ces requêtes:
Nous obtenons:
- le protocole ARP est un protocole de niveau 2 (couches OSI),
- la trame Ethernet est envoyée par le hub (192.168.0.1),
- elle est envoyée en broadcast ethernet
- elle permet au hub de se signaler à l'adresse IP 192.168.0.9 (ici non attribuée).
La faiblesse mise en évidence ici est l'absence d'authentification lors d'une requête ARP. Il est impossible, au niveau de la couche MAC, de savoir à qui nous avons affaire.
10) documentation ettercap ubuntu - http://doc.ubuntu-fr.org/ettercap
choix des cibles
| adresse IP | adresse physique | |
| serveur linux | 192.168.0.2 | 00:0C:29:35:6A:41 |
| client Windows | 192.168.0.10 | 00:0C:29:B9:D2:02 |
| intrus | 192.168.0.12 | 00:0C:29:22:93:12 |
Remarque: pour connaître notre adresse MAC, il suffit de faire:
intrus$ ifconfig eth1
caches ARP sur machines cibles
Nous « remplissons les tables ARP en faisant communiquer le client et le serveur:client Windows > ping 192.168.0.2Nous relevons le cache arp sur le serveur linux et le client windows:
client windows >arp -a
Interface : 192.168.0.10 --- 0x2
Adresse Internet Adresse physique Type
192.168.0.1 00-50-56-c0-00-08 dynamique
192.168.0.2 00-0c-29-35-6a-41 dynamique
192.168.0.12 00-0c-29-22-93-12 dynamique
ARP cache poisonning
A présent nous installons ettercap:intrus$ sudo apt-get install ettercap-gtkpuis nous appliquons le tutoriel cité en référence [10]
Nous obtenons dans notre cas:
résultats du ARP cache Poisonning
Puis en regardant à nouveau le cache ARP des cibles:client windows>ping 192.168.0.2
Envoi d'une requête 'ping' sur 192.168.0.2 avec 32 octets de données :
Réponse de 192.168.0.2 : octets=32 temps<1ms TTL=64
Statistiques Ping pour 192.168.0.2:
Paquets : envoyés = 2, reçus = 2, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms
Ctrl+C
client windows>arp -aDe même pour le serveur:
Interface : 192.168.0.10 --- 0x2
Adresse Internet Adresse physique Type
192.168.0.1 00-50-56-c0-00-08 dynamique
192.168.0.2 00-0c-29-22-93-12 dynamique
192.168.0.12 00-0c-29-22-93-12 dynamique
Les tables ont bien été modifiées. A présent l'intrus est situé en MAN IN THE MIDDLE entre le serveur et le client Windows..
le protocole ARP
En utilisant Wireshark, nous obtenons un grand nombre de requêtes ARP:En analysant les champs de l'une de ces requêtes:
Nous obtenons:
- le protocole ARP est un protocole de niveau 2 (couches OSI),
- la trame Ethernet est envoyée par le hub (192.168.0.1),
- elle est envoyée en broadcast ethernet
- elle permet au hub de se signaler à l'adresse IP 192.168.0.9 (ici non attribuée).
explication de l'attaque
Ettercap envoie continuement des trames ARP associant l'adresse IP de chacune des cibles avec l'adresse MAC de l'intrus. Ainsi, les cibles mettent à jour leur cache ARP avec les données que Ettercap leur fournit.La faiblesse mise en évidence ici est l'absence d'authentification lors d'une requête ARP. Il est impossible, au niveau de la couche MAC, de savoir à qui nous avons affaire.
références
9) tutoriel ettercap - http://openmaniak.com/ettercap_arp.php10) documentation ettercap ubuntu - http://doc.ubuntu-fr.org/ettercap
Aucun commentaire:
Enregistrer un commentaire