Les Techniques d’attaques ARP Poisning
Le protocole ARP
Le protocole ARP (Address Resolution Protocol) implémente le mécanisme de résolution d’une adresse IP en une adresse MAC Ethernet.
Quand un paquet IP doit être envoyé la machine émettrice a besoin de l’adresse MAC du destinataire.
Pour cela une requête ARP est envoyée en broadcast à chacune des machines du réseau physique local.
Cette requête pose la question : Quelle est l’adresse MAC associée à cette adresse IP? La machine ayant cette adresse IP répond via un paquet ARP, cette réponse indiquant à la machine émettrice l’adresse MAC recherchée.
Dès lors, la machine source possède l’adresse MAC correspondant à l’adresse IP destination des paquets qu’elle doit envoyer. Cette correspondance sera gardée pendant un certain temps au niveau d’un cache (pour éviter de faire une nouvelle requête à chaque paquet IP envoyé).
Introduction
ARP Spoofing ou ARP Poisoning est une technique utilisée en informatique pour
attaquer tout réseau local utilisant le protocole de résolution d'adresse ARP.
Les cas les plus répandus étant les réseaux Ethernet et Wi-Fi. Cette technique peut
permettre à l'attaquant de détourner des flux de communication transitant sur un réseau
local, lui permettant de les écouter, de les corrompre, mais aussi de retenir une adresse
IP ou de bloquer le trafic.
C’est le fait de rediriger le trafic réseau d’une ou plusieurs machine vers la machine du pirate.
Fonctionnement
Cette attaque corrompt le cache de la machine victime. Le pirate envoie des paquets ARP
réponse à la machine cible indiquant que la nouvelle adresse MAC correspondant à
l’adresse IP d’une passerelle (par exemple) est la sienne. La machine du pirate recevra
donc tout le trafic à destination de la passerelle, il lui suffira alors d’écouter passivement le
trafic (et/ou le modifier). Il routera ensuite les paquets vers la véritable destination.
L’ARP Spoofing sert dans le cas où le réseau local utilise des switchs. Ceux-ci redirigent
les trames Ethernet sur des ports différents selon l’adresse MAC. Il est dès lors impossible
à un sniffer de capturer des trames au-delà de son brin physique. L’ARP Spoofing permet
ainsi d’écouter le trafic entre des machines situées sur des brins différents au niveau du
switch.
DémonstrationOn commence l’ARP Spoofing
-i : L’interface sur laquelle on
va écouter
-t : Target la cible ou la
victime
L’adresse IP de la cible
L’adresse IP de la passerelle