Table des matières:
- spoofing ARP
- Cain & Abel pour l'empoisonnement ARP
- usurpation d'adresse MAC
- Systèmes UNIX
- Windows
- Contre-mesures contre l'empoisonnement ARP et les attaques par usurpation d'adresse MAC
Vidéo: What is a Firewall? 2025
Les pirates peuvent utiliser le protocole ARP (Address Resolution Protocol) exécuté sur votre réseau pour faire apparaître leurs systèmes comme votre système ou un autre hôte autorisé sur votre réseau. Gardez cela à l'esprit lorsque vous développez vos contre-mesures de sécurité.
spoofing ARP
Un nombre excessif de requêtes ARP peut être le signe d'une attaque ARP spoofing sur votre réseau.
Un client exécutant un programme, tel que dsniff ou Cain & Abel, peut modifier les tables ARP - les tables qui stockent les adresses IP en accès au média contr ol - sur les hôtes réseau. Cela amène les ordinateurs victimes à penser qu'ils doivent envoyer du trafic à l'ordinateur de l'attaquant plutôt qu'à l'ordinateur de destination réel lorsqu'ils communiquent sur le réseau.
Les réponses ARP usurpées peuvent être envoyées à un commutateur, ce qui ramène le commutateur au mode de diffusion et le transforme essentiellement en hub. Lorsque cela se produit, un attaquant peut renifler chaque paquet passant par le commutateur et capturer tout et n'importe quoi à partir du réseau.
Voici une attaque typique d'usurpation d'ARP avec un ordinateur de pirate (Hacky) et deux ordinateurs d'utilisateurs de réseau légitimes (Joe et Bob):
-
Hacky empoisonne les caches ARP des victimes Joe et Bob en utilisant dsniff, ettercap, ou un utilitaire qu'il a écrit.
-
Joe associe l'adresse MAC de Hacky à l'adresse IP de Bob.
-
Bob associe l'adresse MAC de Hacky à l'adresse IP de Joe.
-
Le trafic de Joe et le trafic de Bob sont d'abord envoyés à l'adresse IP de Hacky.
-
L'analyseur de réseau de Hacky capture le trafic de Joe et Bob.
Cain & Abel pour l'empoisonnement ARP
Vous pouvez effectuer un empoisonnement ARP sur votre réseau Ethernet commuté pour tester votre IPS ou pour voir à quel point il est facile de transformer un commutateur en concentrateur et de capturer n'importe quoi avec un analyseur de réseau.
Procédez comme suit pour utiliser Cain & Abel pour l'empoisonnement ARP:
-
Chargez Cain & Abel, puis cliquez sur l'onglet Renifleur pour passer en mode Analyseur de réseau.
-
Cliquez sur l'icône Start / Stop APR.
Le processus de routage anti-poison ARP démarre et active le renifleur intégré.
-
Si vous y êtes invité, sélectionnez la carte réseau dans la fenêtre qui s'affiche, puis cliquez sur OK.
-
Cliquez sur l'icône bleue + pour ajouter des hôtes pour exécuter l'empoisonnement ARP.
-
Dans la fenêtre Scanner d'adresses MAC qui s'affiche, vérifiez que l'option Tous les hôtes de mon sous-réseau est sélectionnée, puis cliquez sur OK.
-
Cliquez sur l'onglet APR pour charger la page APR.
-
Cliquez sur l'espace blanc situé sous l'en-tête de la colonne Status.
Ceci réactive l'icône bleu +.
-
Cliquez sur l'icône bleue + et la fenêtre Nouveau routage antipoison ARP affiche les hôtes découverts à l'étape 3.
-
Sélectionnez votre itinéraire par défaut.
La colonne de droite se remplit avec tous les autres hôtes.
-
Ctrl + clic sur tous les hôtes dans la colonne de droite que vous voulez empoisonner.
-
Cliquez sur OK et le processus d'empoisonnement ARP démarre.
Ce processus peut durer de quelques secondes à quelques minutes, selon le matériel de votre réseau et la pile TCP / IP locale de chaque hôte.
-
Vous pouvez utiliser la fonction de mots de passe intégrée de Cain & Abel pour capturer les mots de passe qui traversent le réseau vers et depuis différents hôtes simplement en cliquant sur l'onglet Mots de passe.
Les étapes précédentes montrent à quel point il est facile d'exploiter une vulnérabilité et de prouver que les commutateurs Ethernet ne sont pas tout ce qu'ils sont censés être.
usurpation d'adresse MAC
L'usurpation d'adresse MAC trompe le commutateur en pensant que votre ordinateur est autre chose. Vous modifiez simplement l'adresse MAC et le masquage de votre ordinateur en tant qu'un autre utilisateur.
Vous pouvez utiliser cette astuce pour tester les systèmes de contrôle d'accès, tels que votre IPS / pare-feu, et même les contrôles de connexion de votre système d'exploitation qui vérifient des adresses MAC spécifiques.
Systèmes UNIX
Sous UNIX et Linux, vous pouvez usurper des adresses MAC avec l'utilitaire ifconfig. Procédez comme suit:
-
Lorsque vous êtes connecté en tant qu'utilisateur root, utilisez ifconfig pour entrer une commande qui désactive l'interface réseau.
Insérez le numéro d'interface réseau que vous voulez désactiver dans la commande, comme ceci:
[root @ localhost root] # ifconfig eth0 down
-
Entrez une commande pour l'adresse MAC que vous voulez utiliser.
Insérez à nouveau la fausse adresse MAC et le numéro d'interface réseau (eth0) dans la commande, comme ceci:
[root @ localhost root] # ifconfig eth0 hwether new_mac_address
Vous pouvez utiliser un plus riche en fonctionnalités utilitaire appelé GNU MAC Changer pour les systèmes Linux.
Windows
Vous pouvez utiliser regedit pour éditer le registre Windows, ou vous pouvez utiliser un utilitaire Windows soigné appelé SMAC, ce qui rend l'usurpation d'adresse MAC un processus simple. Suivez ces étapes pour utiliser SMAC:
-
Chargez le programme.
-
Sélectionnez l'adaptateur dont vous souhaitez modifier l'adresse MAC.
-
Entrez la nouvelle adresse MAC dans les champs New Spoofed MAC Address et cliquez sur le bouton Update MAC.
-
Arrêtez et redémarrez la carte réseau en procédant comme suit:
-
Cliquez avec le bouton droit sur la carte réseau dans Connexions réseau et accès à distance, puis choisissez Désactiver.
-
Cliquez à nouveau avec le bouton droit de la souris, puis choisissez Activer pour que la modification prenne effet.
-
-
Cliquez sur le bouton Actualiser dans l'interface SMAC.
Pour inverser les modifications du Registre avec SMAC, procédez comme suit:
-
Sélectionnez l'adaptateur dont vous souhaitez modifier l'adresse MAC.
-
Cliquez sur le bouton Supprimer MAC.
-
Arrêtez et redémarrez la carte réseau en procédant comme suit:
-
Cliquez avec le bouton droit sur la carte réseau dans Connexions réseau et accès à distance, puis choisissez Désactiver.
-
Cliquez à nouveau avec le bouton droit de la souris, puis choisissez Activer pour que la modification prenne effet.
-
-
Cliquez sur le bouton Actualiser dans l'interface SMAC.
Vous devriez revoir votre adresse MAC d'origine.
Contre-mesures contre l'empoisonnement ARP et les attaques par usurpation d'adresse MAC
Quelques contre-mesures sur votre réseau peuvent minimiser les effets d'une attaque contre les adresses ARP et MAC:
-
Prévention: Les commutateurs peuvent activer la sécurité des ports pour empêcher les modifications automatiques des tables d'adresses MAC.
-
Détection: Vous pouvez détecter ces deux types de piratage via un IPS ou un utilitaire de surveillance d'adresse MAC autonome.
Arpwatch est un programme basé sur Linux qui vous avertit par e-mail lorsqu'il détecte des changements dans les adresses MAC associées à des adresses IP spécifiques sur le réseau.
