Tutoriel sur l'empoisonnement ARP (MiTM Attack)
spoofing arp, empoisonnement arp
Le protocole ARP (Address Resolution Protocol) est un protocole sans état permettant de résoudre les adresses IP en adresses MAC de la machine. Chaque périphérique réseau Internet qui a besoin de communiquer sur le réseau diffuse des requêtes ARP dans le système pour connaître l'adresse MAC des autres périphériques. Ceci est connu sous le nom de Poisoning ARP et également connu sous le nom de ARP Spoofing.
Afin d'en savoir plus sur l'empoisonnement ARP, nous avons utilisé EtterCAP pour effectuer une attaque d'empoisonnement ARP sur l'environnement LAN à l'aide de l'environnement virtuel dans lequel nous avons installé Kali Linux et Ettercap pour renifler le trafic local dans le LAN.
Fonctionnement du protocole ARP (Address Resolution Protocol)
Lorsqu'un appareil a besoin de communiquer avec d'autres sur Internet, il recherche sa table ARP.
Si l'adresse MAC ne figure pas dans le tableau, l'ARP_request est diffusé sur le réseau.
Toutes les machines du réseau compareront cette adresse IP à l'adresse MAC.
Si l'une des machines du réseau identifie cette adresse, elle répondra à l'ARP_request avec son adresse IP et MAC.
L'ordinateur demandeur stockera la paire d'adresses dans sa table ARP et la communication aura lieu.
Qu'est-ce que l'empoisonnement ARP ou l'ARP Spoofing?
Les paquets ARP peuvent être falsifiés pour envoyer des données à la machine de l’attaquant.
L'usurpation d'ARP construit un grand nombre de paquets de demande et de réponse ARP falsifiés pour surcharger le commutateur.
Le commutateur est réglé en mode de transfert et une fois que la table ARP est inondée de réponses ARP usurpées, les attaquants peuvent renifler tous les paquets réseau.
Les attaquants inondent le cache ARP d'un ordinateur cible avec des entrées falsifiées, également connues sous le nom d'empoisonnement. L'empoisonnement ARP utilise l'accès Man-in-the-Middle pour empoisonner le réseau.
Empoisonnement ARP et MiTM
L'attaque Man-in-the-Middle (MiTM) implique une attaque active où l'adversaire usurpe l'identité de l'utilisateur réel en créant une connexion entre la cible et envoie des messages entre eux.
De cette manière, les victimes pensent qu'elles communiquent entre elles, mais en réalité, l'attaquant malveillant (l'homme au milieu) contrôle la communication. Certains protocoles sécurisés comme SSL servent à empêcher ce type d'attaque.
Pour commencer, vous avez besoin des outils suivants;
Station de travail VMware
Système d'exploitation Kali Linux ou Linux
Outil Ettercap
connexion LAN
Étapes à suivre
L'attaque ARP est possible dans les réseaux sans fil et filaires.
Vous pouvez jouer cette attaque dans le LAN local.
Tout d'abord, installez la station de travail / virtualbox VMware sur votre macine et installez le système d'exploitation virtuel Kali Linux.
Une fois le Kali installé, connectez-vous au mahcine virtuel Kali. Le nom d'utilisateur et le mot de passe par défaut sont root et toor.
Assurez-vous que vous êtes connecté au réseau local et vérifiez votre adresse IP en tapant la commande ifconfig dans le terminal.
Ouvrez le terminal et tapez Ettercap –G pour démarrer la version graphique d'Ettercap.
Lorsque l'interface graphique s'ouvre, cliquez sur l'onglet Sniff dans la barre de menu supérieure et choisissez le reniflement unifié et appuyez sur OK. Nous allons utiliser eth0 qui signifie connexion Ethernet.
Cliquez sur Hôtes dans la barre de menu supérieure et cliquez sur Rechercher des hôtes. Il commencera à rechercher les hôtes actifs sur le réseau pour tous les hôtes actifs.
Cliquez maintenant sur Hosts et choisissez Hosts List pour voir le nombre d'hôtes disponibles. Il affiche également l'adresse IP de la passerelle par défaut. Faites attention de sélectionner la cible.
Ensuite, il faut choisir la cible. Dans cet environnement virtuel MiTM, notre cible est la machine hôte et la route sera l'adresse du routeur pour transférer le trafic. Dans l'attaque MITM, l'attaquant intercepte le réseau et renifle les paquets. Nous allons donc ajouter la victime comme cible 1 et l'adresse du routeur comme cible
2.
Remarque: dans l'environnement virtuel VMware, l'adresse de passerelle par défaut se terminera toujours par 2 car 1 est attribué à la machine physique.
Dans ce scénario, notre cible est 192.168.121.129 et le routeur est 192.168.121.2. Nous allons donc ajouter la cible 1 comme IP de la victime et la cible 2 comme IP du routeur.
Cliquez maintenant sur MiTM et davantage d'empoisonnement ARP. Ensuite, cochez l'option Renifler les connexions à distance et appuyez sur OK.
Cliquez sur Démarrer et sélectionnez Démarrer le reniflement. Cela va commencer l'empoisonnement ARP sur le réseau local, ce qui signifie que nous avons activé la carte réseau en mode promiscuité et que maintenant le trafic local peut être capturé et reniflé.
Remarque: Ettercap renifle uniquement les paquets HTTP. Les paquets HTTPS sécurisés ne peuvent pas être reniflés.
Maintenant, si la victime se connecte à un site Web. Vous pouvez voir leurs informations de connexion dans les résultats de la barre d'outils Ettercap.
C'est ainsi que fonctionne l'empoisonnement ARP. J'espère que vous avez compris à quel point il est facile de renifler les paquets HTTP non sécurisés sur le réseau avec l'usurpation ARP.
L'empoisonnement ARP a le potentiel de causer d'énormes dommages à l'environnement des entreprises. Pour de telles attaques et environnements, des hackers éthiques sont désignés pour sécuriser les réseaux.
REF.: