ARP spoofing?
Répondre à la discussion
Affichage des résultats 1 à 10 sur 10

ARP spoofing?



  1. #1
    MaliciaR

    ARP spoofing?


    ------

    Salut, tout le monde

    Je lisais un peu sur les differents types d'attaques reseaux. Dans une discussion recente, il etait question de l'IP spoofing. J'ai lu (rapidement) des trucs sur l'ARP spoofing et je n'ai pas trouve tres claires les quelques explications sommaires sur le point "detection".
    Pourriez-vous m'eclairer? Comment, si ma machine est victime de ce genre d'attaque, je pourrais m'en rendre compte?

    Merci

    -----
    An expert is one who knows more and more about less and less.

  2. #2
    invite6754323456711
    Invité

    Re : ARP spoofing?

    Citation Envoyé par MaliciaR Voir le message
    Salut, tout le monde

    Je lisais un peu sur les differents types d'attaques reseaux. Dans une discussion recente, il etait question de l'IP spoofing. J'ai lu (rapidement) des trucs sur l'ARP spoofing et je n'ai pas trouve tres claires les quelques explications sommaires sur le point "detection".
    Pourriez-vous m'eclairer?
    Merci
    Déjà l'ARP (de niveau ethernet : Address Resolution Protocol) concerne les réseaux locaux partagés de type Ethernet. Donc l'espion doit se trouver sur le même réseau local que toi.

    Je que j'en comprend :

    Pour pouvoir communiquer sur un réseau de type Ethernet il faut connaitre au préalable connaitre l'adresse MAC du destinataire. L'Arp sert justement à découvrir cette adresse MAC afin de l'associé à l'adresse IP de destination du PC à atteindre. L'ARP de l'émetteur (Noeud IP tel qu'un PC ou un routeur) émet une trame ethernet de diffusion en demandant "que celui qui a pour @ IP A.B.C.D veuille bien me répondre en précisant son adresse MAC". Autrement dit c'est un mécanisme de résolution d’une adresse IP en une adresse MAC.

    Cette association @IP-@MAC de destination est stocké en mémoire dans une table ARP de l'émétteur.

    Une fois que l'émetteur connait l'adresse MAC du destinataire il peut émettre son flux IP encapsulé dans une trame Ethernet à destination de cette adresse MAC.

    L'objectif de l'ARP Spoofing est de redirige le trafic réseau ethernet d’une ou plusieurs machine vers la machine pirate. Le pirate va donc chercher à s’attribuer l’adresse IP de la machine cible, c’est-à-dire à faire correspondre son adresse IP à l’adresse MAC de la machine pirate dans les tables ARP des machines du réseau. Pour cela il suffit en fait d’envoyer régulièrement des paquets ARP_reply en broadcast, contenant l’adresse IP cible et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Celles-ci enverront donc leur trames ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches.

    Citation Envoyé par MaliciaR Voir le message
    Comment, si ma machine est victime de ce genre d'attaque, je pourrais m'en rendre compte?
    Je pense que c'est difficile de s'en rendre compte. Il faut connaitre les associations valides @IP-@Mac et scruter la table arp (arp -a)

    Pour éviter ce type d’attaque :
    Mettre en place un filtrage ARP

    http://home.marocsec.com/articles/34...-arp-poisoning

    Patrick

  3. #3
    invitedba13d1f

    Re : ARP spoofing?

    Salut !

    On peut voir si on est victime d'une telle attaque en utilisant un analyseur de trame (par exemple Wireshark).
    Tu peux alors filtrer uniquement les requêtes ARP contenant ton adresse IP et voir si plusieurs pc répondent à la même requête.

    en pièce jointe une capture d'écran de Wireshark faites sur mon réseau WIFI. On peut voir que les tables ARP sont actualisées très régulièrement.

    Bonne chance dans tes recherches
    Images attachées Images attachées  

  4. #4
    MaliciaR

    Re : ARP spoofing?

    Merci

    Bon, pour les Ubunteros/Debianeux, il y a arpwatch. Aussi, arpalert, mais je n'ai pas encore installé pour tester.
    Pour tester l'interface eth0 :
    Code:
    arpwatch -i eth0
    Le tableau ARP actuel est affiché avec :
    Code:
    arp -a
    Les messages sont stockés dans /var/log/syslog :
    Code:
    tail -f /var/log/syslog
    Les changements devrait être indiqués par un changed station quelque part dans le /var/log/syslog, si j'ai bien compris. Mais perso, je n'ai pas ça

    Je pense avoir d'autres questions bientôt si par exemple je décide de m'auto-ARP spoofer avec le portable pour voir ce que ça donne et comment ça marche, donc à + et merci
    An expert is one who knows more and more about less and less.

  5. A voir en vidéo sur Futura
  6. #5
    invite6754323456711
    Invité

    Re : ARP spoofing?

    Citation Envoyé par MaliciaR Voir le message
    Merci

    Bon, pour les Ubunteros/Debianeux, il y a arpwatch. Aussi, arpalert, mais je n'ai pas encore installé pour tester.
    On peut aussi s'en protéger avec ebtable (le pendant niveau MAC d'iptable) sous linux

    règle anti-spoofing avec ebtable : http://ebtables.sourceforge.net/examples.html

    Patrick

  7. #6
    Towl

    Re : ARP spoofing?

    De mémoire, il y a plus simple pour s'en protéger sous linux, il suffit de ne pas mettre en cache les arp_reply qui n'ont pas de raison d'etre émis (on a pas envoyé d'arp_request). Il s'agit si je me souvient plus de modifier une valeur dans un /proc/sys/net/....

    Par contre se protéger de l'arp spoofing de cette manière ne va pas fonctionner sur les réseau avec routeur redondant (meme IP pour plusieur routeur) qui communiquent entre eux en HSRP, VRRP ou GLBP, puisque le principe c'est de basculer l'@ IP d'une @MAc d'un routeur à l'autre en émettant des arp_reply en broadcast sans arp_request (dit gratuitious arp)
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  8. #7
    invite6754323456711
    Invité

    Re : ARP spoofing?

    Citation Envoyé par Towl Voir le message
    Par contre se protéger de l'arp spoofing de cette manière ne va pas fonctionner sur les réseau avec routeur redondant (meme IP pour plusieur routeur) qui communiquent entre eux en HSRP, VRRP ou GLBP, puisque le principe c'est de basculer l'@ IP d'une @MAc d'un routeur à l'autre en émettant des arp_reply en broadcast sans arp_request (dit gratuitious arp)
    Mes souvenirs son lointain. Il y avait aussi des situations ou l'on mettait en œuvre au niveau du routeur de l'Arp proxy (le routeur répond en faisant croire que la machine distante (autre réseau) est locale en donnant son adresse mac à la place de celle du destinataire)

    Patrick

  9. #8
    Towl

    Re : ARP spoofing?

    Ca existe aussi, mais dans ces cas ci le routeur répond à une requete. Dans les mécanismes de redondance de passerelle et de bascule d'@ IP, le routeur va envoyer une requete ARP reply des qu'il va devenir maitre et cela sans qu'il y ait eu d'ARP request pour élminer la latence due au cache ARP. Il s'agit dans ce cas la d'un poisoning tout à fait légal
    The only limiting factor of the Linux operating system, is his user. - Linus Torvalds

  10. #9
    invitedba13d1f

    Re : ARP spoofing?

    Je pense que tu as déja trouvé toutes les informations que tu recherchais, mais en cherchant des infos concernant la config d'un serveur Apache (je sais aucun rapport ) je suis tombé la dessus :

    http://sid.rstack.org/arp-sk/article/

    J'ai trouvé l'article très intéressant (même si un peu ancien) et très complet donc je fais partager

  11. #10
    MaliciaR

    Re : ARP spoofing?

    Cool, merci Je vais lire ça à tête reposée après l'Ubuntu-party du 28-29 novembre, quand le nombre de trucs à faire aura repris une proportion à peu près gérable
    An expert is one who knows more and more about less and less.

Discussions similaires

  1. ARP 227 ,champ du groupe NGC 474-470
    Par JP 06 dans le forum Matériel astronomique et photos d'amateurs
    Réponses: 14
    Dernier message: 04/09/2009, 09h18
  2. Arp 78 ou NGC 772
    Par JP 06 dans le forum Matériel astronomique et photos d'amateurs
    Réponses: 14
    Dernier message: 01/09/2009, 18h35
  3. Effacement du cache ARP
    Par invitec316e987 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 4
    Dernier message: 27/04/2009, 15h28
  4. analyse d'une trame ARP et ICMP
    Par KHEOPS1982 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 1
    Dernier message: 12/05/2007, 23h00
Découvrez nos comparatifs produits sur l'informatique et les technologies.