ARP- forgiftning

Den ARP spoofing ( "spoofing" eller "parodi") eller ARP forgiftning ( "forgiftning") er en teknikk som brukes til å angripe enhver datamaskin lokalt nettverk ved hjelp av Address Resolution Protocol ARP , den vanligste tilfellet blir nettverkene Ethernet og Wi-Fi . Denne teknikken lar angriperen avlede kommunikasjonsstrømmer som går mellom en målmaskin og en gateway: ruter, boks,  etc. Angriperen kan da lytte, endre eller til og med blokkere nettverkspakker.

Illustrasjon av emnet

La oss sette sammenhengen:

Réseau local : 192.168.1.1 : passerelle. 192.168.1.10 : machine cible. 192.168.1.17 : attaquant.

Angriperen vil sende en ARP- pakke som han vil ha smidd selv ved hjelp av verktøy som Scapy .

Paquet ARP : ip_source= 192.168.1.1 mac_source= <adresse_mac attaquant> ip_destination= 192.168.1.10 type= is-at

Bare typen argument kan la deg lure på her: det er to typer ARP- pakker  : er-på og hvem-har . I vårt tilfelle sender dette angriperen:

192.168.1.1 is-at <adresse_mac attaquant>

Dette må oversettes med: "ip-adressen 192.168.1.1 tilsvarer MAC-adressen <angriper_mac-adresse> . "

Det er flere metoder for ARP-angrep:

• gratis ARP  : angriperen sender en ARP- rammesending (på nettverket) der den tilordner sin MAC-adresse med gatewayens IP-adresse. Den gratis ARP er opprinnelig planlagt slik at utstyret som nettopp har kommet til nettverket kunngjør seg selv (som for eksempel gjør det mulig å oppdage dupliserte IP-er). Denne typen forespørsler, som er mye brukt av nettverksutstyr, er ikke dårlig i seg selv, men kan viderekobles hvis mottakerne er svært dårlig beskyttet. For å illustrere denne typen angrep med eksemplet ovenfor, bør argumentet erstattesip_destinationav kringkastings- IP-adressen( f.eks: 192.168.1.255);
• overføring av en forfalsket ARP-forespørsel (sett ovenfor): angriperen sender en unicast- forespørsel til offeret ved å spesifisere som den sendende IP-adressen, IP-adressen han ønsker å forfalske og indikere sin egen MAC-adresse som MAC-adressen til senderen. Når offeret mottar forespørselen, registrerer den således IP / MAC-korrespondansen i sin ARP-tabell når den er feil. Denne typen angrep brukes spesielt av programvaren Cain og Abel .

Presisjon

ARP spoofing er et skritt i mann-i-midten-angrepet .

Mottiltak

Det er bedre for et lite nettverk å bruke en statisk tabell. En statisk ARP-tabell brukes til å angi tilknytningen til IP-adressen til MAC-adressen til en enhet. I et større nettverk ville arbeidet være for kjedelig. Faktisk, for n maskiner, må hver maskin ha n-1 oppføringer i sin ARP-tabell, derfor totalt ^ n-2 oppføringer. Det er også programvare for å oppdage og forhindre nektelse av tjenesteangrep. De er basert på kunnskap om MAC- og IP-adresser eller MAC-adresseredundans. I en aktiv tilnærming blokkeres ARP-svar som inneholder mistenkelige MAC-adresser. Det er konfigurasjoner der flere IP-adresser er tilknyttet et enkelt nettverkskort. Maskiner med denne konfigurasjonen kan derfor betraktes som mistenkelige og deretter blokkert. I en passiv tilnærming sender disse programvarene varsler når det skjer en endring i ARP-tabellen.

Se også

Merknader og referanser

Interne artikler

• arpwatch
• Denial of service-angrep
• Ethernet
• MAC-adressefiltrering
• ARP-representant
• Scapy
• Identitetstyveri
• IP-adresse spoofing

Eksterne linker

• Spiller med ARP-protokollen