Qu’est-ce que l’empoisonnement à l’ARP ? Usurpation ARP avec exemple

Qu'est-ce que l'empoisonnement ARP (usurpation d'identité ARP)

ARP est l'acronyme de Address Resolution Protocol.. Il est utilisé pour convertir l'adresse IP en adresses physiques [adresse MAC] sur un commutateur. L'hôte envoie une diffusion ARP sur le réseau et l'ordinateur destinataire répond avec son adresse physique [adresse MAC]. L'adresse IP/MAC résolue est ensuite utilisée pour communiquer. L'empoisonnement ARP consiste à envoyer de fausses adresses MAC au commutateur afin qu'il puisse associer les fausses adresses MAC à l'adresse IP d'un véritable ordinateur sur un réseau et détourner le trafic.

Types d’attaques d’empoisonnement ARP

  • L'homme au milieu attaque
  • Interception du trafic
  • Attaques par déni de service (DoS)

Comment prévenir les attaques d'empoisonnement ARP

Entrées ARP statiques: ceux-ci peuvent être définis dans le cache ARP local et le commutateur configuré pour ignorer tous les paquets de réponse ARP automatique. L'inconvénient de cette méthode est qu'elle est difficile à maintenir sur de grands réseaux. Le mappage des adresses IP/MAC doit être distribué à tous les ordinateurs du réseau.

Logiciel de détection d'empoisonnement ARP: ces systèmes peuvent être utilisés pour vérifier la résolution des adresses IP/MAC et les certifier s'ils sont authentifiés. Les résolutions d'adresses IP/MAC non certifiées peuvent alors être bloquées.

Sécurité du système d'exploitation: cette mesure dépend du système d'exploitation utilisé. Le suiviwing sont les techniques de base utilisées par divers systèmes d'exploitation.

  • Basé sur Linux: ceux-ci fonctionnent en ignorant les paquets de réponse ARP non sollicités.
  • Microsoft Windows: le comportement du cache ARP peut être configuré via le registre. Le suiviwing la liste comprend certains des logiciels qui peuvent être utilisés pour protéger les réseaux contre le reniflage ;
  • AntiARP– offre une protection contre le reniflement passif et actif
  • Agnitum Outpost Firewall–offre une protection contre le reniflement passif
  • XArp– offre une protection contre le reniflement passif et actif
  • Mac OS: ArpGuard peut être utilisé pour assurer une protection. Il protège contre le reniflement actif et passif.

Hacking Activity: Configure ARP Entries in Windows

Nous utilisons Windows 7 for this exercise, but the commands should be able to work on other versions of windows également.

Ouvrez l'invite de commande et entrez ce qui suitwing commander

arp –a

ICI,

  • avrcalls the ARP configure program located in Windows/System32 directory
  • -a est le paramètre à afficher au contenu du cache ARP

Vous obtiendrez des résultats similaires à ceux suivantswing

Configure ARP Entries in Windows

Notes: entrées dynamiques sont ajoutés et supprimés automatiquement lors de l'utilisation TCP / IP sessions avec des ordinateurs distants.

Entrées statiques sont ajoutés manuellement et sont supprimés au redémarrage de l'ordinateur et de la carte d'interface réseau ou à d'autres activités qui l'affectent.

Ajout d'entrées statiques

Ouvrez l'invite de commande puis utilisez la commande ipconfig /all pour obtenir l'adresse IP et MAC

Ajout d'entrées statiques

L'adresse MAC est représentée à l'aide de l'adresse physique et l'adresse IP est IPv4Address

Entrez le suiviwing commander

arp –s  192.168.1.38 60-36-DD-A6-C5-43

Ajout d'entrées statiques

Remarque : Les adresses IP et MAC seront différentes de celles utilisées ici. C'est parce qu'ils sont uniques.

Utilisez le suivantwing commande pour afficher le cache ARP

arp –a

Vous obtiendrez le suiviwing de projets

Ajout d'entrées statiques

Notez que l'adresse IP a été résolue en adresse MAC que nous avons fournie et qu'elle est de type statique.

Suppression d'une entrée du cache ARP

Utilisez le suivantwing commande pour supprimer une entrée

arp –d 192.168.1.38

Suppression d'une entrée de cache ARP

PS L'empoisonnement ARP fonctionne en envoyant de fausses adresses MAC au commutateur

Qu'est-ce que les adresses IP et MAC

L'adresse IP est l'acronyme d'adresse de protocole Internet. Une adresse de protocole Internet est utilisée pour identifier de manière unique un ordinateur ou un périphérique tel qu'une imprimante ou un disque de stockage sur un réseau informatique. Il existe actuellement deux versions d'adresses IP. IPv4 utilise des nombres 32 bits. En raison de la croissance massive d’Internet, IPv6 a été développé et utilise des nombres de 128 bits.

Les adresses IPv4 sont formatées en quatre groupes de nombres séparés par des points. Le nombre minimum est 0 et le nombre maximum est 255. Un exemple de IPv4 l'adresse ressemble à ceci ;

127.0.0.1

Les adresses IPv6 sont formatées en groupes de six chiffres séparés par des deux-points. Les numéros de groupe sont écrits sous forme de 4 chiffres hexadécimaux. Un exemple d'adresse IPv6 ressemble à ceci :

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Afin de simplifier la représentation des adresses IP au format texte, les zéros non significatifs sont omis et le groupe de zéros est complètement omis. L'adresse ci-dessus dans un format simplifié s'affiche sous la forme :

2001:db8:85a3:::8a2e:370:7334

L'adresse MAC est l'acronyme de l'adresse de contrôle d'accès aux médias. Adresses MAC sont utilisés pour identifier de manière unique les interfaces réseau pour la communication au niveau de la couche physique du réseau. Les adresses MAC sont généralement intégrées à la carte réseau.

Une adresse MAC est comme le numéro de série d'un téléphone tandis que l'adresse IP est comme le numéro de téléphone.

Exercises

We will assume you are using windows for this exercise. Open the command prompt.

Entrez la commande

ipconfig /all

Vous obtiendrez des informations détaillées sur toutes les connexions réseau disponibles sur votre ordinateur. Les résultats présentés ci-dessous concernent un modem haut débit pour afficher l'adresse MAC et le format IPv4 et un réseau sans fil pour afficher le format IPv6.

Exercice sur les adresses IP et MAC

Exercice sur les adresses IP et MAC

Guru99 est sponsorisé par Invicti
invicti

Invicti, les développeurs de la technologie Proof Based Scanning, ont parrainé le projet Guru99 pour contribuer à sensibiliser à la sécurité des applications Web et permettre à davantage de développeurs d'apprendre à écrire du code sécurisé.