Outils à utiliser dans l'attaque par usurpation ARP
Il existe de nombreux outils comme Arpspoof, Cain & Abel, Arpoison et Ettercap qui sont disponibles pour démarrer l'usurpation ARP.
Voici la capture d'écran pour montrer comment les outils mentionnés peuvent envoyer la requête ARP de manière controversée :
Attaque d'usurpation d'ARP en détails
Voyons quelques captures d'écran et comprenons pas à pas l'usurpation d'ARP :
Étape 1 :
L'attaquant s'attend à obtenir la réponse ARP afin qu'il puisse connaître l'adresse MAC de la victime. Maintenant, si nous allons plus loin dans la capture d'écran donnée, nous pouvons voir qu'il y a 2 réponses ARP des adresses IP 192.168.56.100 et 192.168.56.101. Après cela, la victime [192.168.56.100 et 192.168.56.101] met à jour son cache ARP mais n'a pas interrogé en retour. Ainsi, l'entrée dans le cache ARP n'est jamais corrigée.
Les numéros de paquet de demande ARP sont 137 et 138. Les numéros de paquet de réponse ARP sont 140 et 143.
Ainsi, l'attaquant trouve la vulnérabilité en faisant l'usurpation d'ARP. C'est ce qu'on appelle 'l'entrée de l'attaque'.
Étape 2:
Les numéros de paquets sont 141, 142 et 144, 146.
De l'activité précédente, l'attaquant a maintenant des adresses MAC valides de 192.168.56.100 et 192.168.56.101. L'étape suivante pour l'attaquant consiste à envoyer le paquet ICMP à l'adresse IP de la victime. Et nous pouvons voir sur la capture d'écran donnée que l'attaquant a envoyé un paquet ICMP et a obtenu une réponse ICMP de 192.168.56.100 et 192.168.56.101. Cela signifie que les deux adresses IP [192.168.56.100 et 192.168.56.101] sont accessibles.
Étape 3:
Nous pouvons voir qu'il y a la dernière requête ARP pour l'adresse IP 192.168.56.101 pour confirmer que l'hôte est actif et qu'il a la même adresse MAC de 08:00:27:dd:84:45.
Le numéro de paquet donné est 3358.
Étape 4:
Il existe une autre demande et réponse ICMP avec l'adresse IP 192.168.56.101. Les numéros de paquets sont 3367 et 3368.
On peut penser à partir de là que l'attaquant vise la victime dont l'adresse IP est 192.168.56.101.
Désormais, toute information provenant de l'adresse IP 192.168.56.100 ou 192.168.56.101 vers l'IP 192.168.56.1 atteint l'attaquant d'adresse MAC dont l'adresse IP est 192.168.56.1.
Étape 5 :
Une fois que l'attaquant a accès, il essaie d'établir une connexion réelle. À partir de la capture d'écran donnée, nous pouvons voir que l'établissement de la connexion HTTP est tenté par l'attaquant. Il existe une connexion TCP à l'intérieur du HTTP, ce qui signifie qu'il devrait y avoir une poignée de main à 3 voies. Voici les échanges de paquets pour TCP :
SYN -> SYN+ACK -> ACK.
À partir de la capture d'écran donnée, nous pouvons voir que l'attaquant réessaye le paquet SYN plusieurs fois sur différents ports. Le numéro de trame 3460 à 3469. Le numéro de paquet 3469 SYN est pour le port 80 qui est HTTP.
Étape 6 :
La première poignée de main TCP réussie est affichée aux numéros de paquet suivants de la capture d'écran donnée :
4488 : Trame SYN de l'attaquant
4489 : Trame SYN+ACK de 192.168.56.101
4490 : Trame ACK de l'attaquant
Étape 7 :
Une fois la connexion TCP réussie, l'attaquant est capable d'établir la connexion HTTP [numéro de trame 4491 à 4495] suivie de la connexion SSH [numéro de trame 4500 à 4503].
Maintenant, l'attaque a suffisamment de contrôle pour pouvoir faire ce qui suit :
- Attaque de piratage de session
- Attaque de l'homme au milieu [MITM]
- Attaque par déni de service (DoS)
Comment empêcher l'attaque d'usurpation d'ARP
Voici quelques protections qui peuvent être prises pour empêcher l'attaque d'usurpation ARP :
- Utilisation d'entrées 'ARP statiques'
- Logiciel de détection et de prévention du spoofing ARP
- Filtrage de paquets
- VPN, etc.
De plus, nous pourrions empêcher que cela ne se reproduise si nous utilisons HTTPS au lieu de HTTP et utilisons la sécurité de la couche de transport SSL (Secure Socket Layer). C'est ainsi que toutes les communications sont cryptées.
Conclusion
À partir de cet article, nous avons une idée de base sur l'attaque par usurpation d'ARP et sur la façon dont elle peut accéder aux ressources de n'importe quel système. De plus, nous savons maintenant comment arrêter ce genre d'attaque. Ces informations aident l'administrateur réseau ou tout utilisateur du système à se protéger contre les attaques d'usurpation ARP.