Qu’est-ce que l’empoisonnement à l’ARP ? Usurpation ARP avec exemple

Qu'est-ce que l'empoisonnement ARP (usurpation d'identité ARP)

ARP est l'acronyme de Address Resolution Protocol.. Il est utilisé pour convertir l'adresse IP en adresses physiques [adresse MAC] sur un commutateur. L'hôte envoie une diffusion ARP sur le réseau et l'ordinateur destinataire répond avec son adresse physique [adresse MAC]. L'adresse IP/MAC résolue est ensuite utilisée pour communiquer. L'empoisonnement ARP consiste à envoyer de fausses adresses MAC au commutateur afin qu'il puisse associer les fausses adresses MAC à l'adresse IP d'un véritable ordinateur sur un réseau et détourner le trafic.

Types d’attaques d’empoisonnement ARP

• L'homme au milieu attaque
• Interception du trafic
• Attaques par déni de service (DoS)

Comment prévenir les attaques d'empoisonnement ARP

Entrées ARP statiques: ceux-ci peuvent être définis dans le cache ARP local et le commutateur configuré pour ignorer tous les paquets de réponse ARP automatique. L'inconvénient de cette méthode est qu'elle est difficile à maintenir sur de grands réseaux. Le mappage des adresses IP/MAC doit être distribué à tous les ordinateurs du réseau.

Logiciel de détection d'empoisonnement ARP: ces systèmes peuvent être utilisés pour vérifier la résolution des adresses IP/MAC et les certifier s'ils sont authentifiés. Les résolutions d'adresses IP/MAC non certifiées peuvent alors être bloquées.

Operasécurité du système: cette mesure dépend du système d'exploitation utilisé. Voici les techniques de base utilisées par divers systèmes d'exploitation.

• Basé sur Linux: ceux-ci fonctionnent en ignorant les paquets de réponse ARP non sollicités.
• Microsoft Windows: le comportement du cache ARP peut être configuré via le registre. La liste suivante comprend certains des logiciels pouvant être utilisés pour protéger les réseaux contre le reniflage ;

• AntiARP– offre une protection contre le reniflement passif et actif
• Agnitum Outpost Firewall–offre une protection contre le reniflement passif
• XArp– offre une protection contre le reniflement passif et actif
• Mac OS: ArpGuard peut être utilisé pour assurer une protection. Il protège contre le reniflement actif et passif.

Activité de piratage : configurez les entrées ARP dans Windows

Nous utilisons Windows 7 pour cet exercice, mais les commandes devraient également pouvoir fonctionner sur d'autres versions de Windows.

Ouvrez l'invite de commande et entrez la commande suivante

arp –a

ICI,

• avr appelle le programme de configuration ARP situé dans Windows/Répertoire System32
• -a est le paramètre à afficher au contenu du cache ARP

Vous obtiendrez des résultats similaires à ceux suivants

Note: entrées dynamiques sont ajoutés et supprimés automatiquement lors de l'utilisation TCP / IP sessions avec des ordinateurs distants.

Entrées statiques sont ajoutés manuellement et sont supprimés au redémarrage de l'ordinateur et de la carte d'interface réseau ou à d'autres activités qui l'affectent.

Ajout d'entrées statiques

Ouvrez l'invite de commande puis utilisez la commande ipconfig /all pour obtenir l'adresse IP et MAC

L'adresse MAC est représentée à l'aide de l'adresse physique et l'adresse IP est IPv4Address

Entrez la commande suivante

arp –s  192.168.1.38 60-36-DD-A6-C5-43

Remarque : Les adresses IP et MAC seront différentes de celles utilisées ici. C'est parce qu'ils sont uniques.

Utilisez la commande suivante pour afficher le cache ARP

arp –a

Vous obtiendrez les résultats suivants

Notez que l'adresse IP a été résolue en adresse MAC que nous avons fournie et qu'elle est de type statique.

Suppression d'une entrée du cache ARP

Utilisez la commande suivante pour supprimer une entrée

arp –d 192.168.1.38

PS L'empoisonnement ARP fonctionne en envoyant de fausses adresses MAC au commutateur

Qu'est-ce que les adresses IP et MAC

L'adresse IP est l'acronyme d'adresse de protocole Internet. Une adresse de protocole Internet est utilisée pour identifier de manière unique un ordinateur ou un périphérique tel qu'une imprimante ou un disque de stockage sur un réseau informatique. Il existe actuellement deux versions d'adresses IP. IPv4 utilise des nombres 32 bits. En raison de la croissance massive d’Internet, IPv6 a été développé et utilise des nombres de 128 bits.

Les adresses IPv4 sont formatées en quatre groupes de nombres séparés par des points. Le nombre minimum est 0 et le nombre maximum est 255. Un exemple de IPv4 l'adresse ressemble à ceci ;

127.0.0.1

Les adresses IPv6 sont formatées en groupes de six chiffres séparés par des deux-points. Les numéros de groupe sont écrits sous forme de 4 chiffres hexadécimaux. Un exemple d'adresse IPv6 ressemble à ceci :

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Afin de simplifier la représentation des adresses IP au format texte, les zéros non significatifs sont omis et le groupe de zéros est complètement omis. L'adresse ci-dessus dans un format simplifié s'affiche sous la forme :

2001:db8:85a3:::8a2e:370:7334

L'adresse MAC est l'acronyme de l'adresse de contrôle d'accès aux médias. Adresses MAC sont utilisés pour identifier de manière unique les interfaces réseau pour la communication au niveau de la couche physique du réseau. Les adresses MAC sont généralement intégrées à la carte réseau.

Une adresse MAC est comme le numéro de série d'un téléphone tandis que l'adresse IP est comme le numéro de téléphone.

Exercises

Nous supposerons que vous utilisez Windows pour cet exercice. Ouvrez l'invite de commande.

Entrez la commande

ipconfig /all

Vous obtiendrez des informations détaillées sur toutes les connexions réseau disponibles sur votre ordinateur. Les résultats présentés ci-dessous concernent un modem haut débit pour afficher l'adresse MAC et le format IPv4 et un réseau sans fil pour afficher le format IPv6.