Salut, tout le monde
Je lisais un peu sur les differents types d'attaques reseaux. Dans une discussion recente, il etait question de l'IP spoofing. J'ai lu (rapidement) des trucs sur l'ARP spoofing et je n'ai pas trouve tres claires les quelques explications sommaires sur le point "detection".
Pourriez-vous m'eclairer? Comment, si ma machine est victime de ce genre d'attaque, je pourrais m'en rendre compte?
Merci
Déjà l'ARP (de niveau ethernet : Address Resolution Protocol) concerne les réseaux locaux partagés de type Ethernet. Donc l'espion doit se trouver sur le même réseau local que toi.Envoyé par MaliciaR
Salut, tout le monde
Je lisais un peu sur les differents types d'attaques reseaux. Dans une discussion recente, il etait question de l'IP spoofing. J'ai lu (rapidement) des trucs sur l'ARP spoofing et je n'ai pas trouve tres claires les quelques explications sommaires sur le point "detection".
Pourriez-vous m'eclairer?
Merci
Je que j'en comprend :
Pour pouvoir communiquer sur un réseau de type Ethernet il faut connaitre au préalable connaitre l'adresse MAC du destinataire. L'Arp sert justement à découvrir cette adresse MAC afin de l'associé à l'adresse IP de destination du PC à atteindre. L'ARP de l'émetteur (Noeud IP tel qu'un PC ou un routeur) émet une trame ethernet de diffusion en demandant "que celui qui a pour @ IP A.B.C.D veuille bien me répondre en précisant son adresse MAC". Autrement dit c'est un mécanisme de résolution d’une adresse IP en une adresse MAC.
Cette association @IP-@MAC de destination est stocké en mémoire dans une table ARP de l'émétteur.
Une fois que l'émetteur connait l'adresse MAC du destinataire il peut émettre son flux IP encapsulé dans une trame Ethernet à destination de cette adresse MAC.
L'objectif de l'ARP Spoofing est de redirige le trafic réseau ethernet d’une ou plusieurs machine vers la machine pirate. Le pirate va donc chercher à s’attribuer l’adresse IP de la machine cible, c’est-à-dire à faire correspondre son adresse IP à l’adresse MAC de la machine pirate dans les tables ARP des machines du réseau. Pour cela il suffit en fait d’envoyer régulièrement des paquets ARP_reply en broadcast, contenant l’adresse IP cible et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Celles-ci enverront donc leur trames ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches.
Je pense que c'est difficile de s'en rendre compte. Il faut connaitre les associations valides @IP-@Mac et scruter la table arp (arp -a)
Pour éviter ce type d’attaque :
Mettre en place un filtrage ARP
http://home.marocsec.com/articles/34...-arp-poisoning
Patrick
Salut !
On peut voir si on est victime d'une telle attaque en utilisant un analyseur de trame (par exemple Wireshark).
Tu peux alors filtrer uniquement les requêtes ARP contenant ton adresse IP et voir si plusieurs pc répondent à la même requête.
en pièce jointe une capture d'écran de Wireshark faites sur mon réseau WIFI. On peut voir que les tables ARP sont actualisées très régulièrement.
Bonne chance dans tes recherches
Merci
Bon, pour les Ubunteros/Debianeux, il y a arpwatch. Aussi, arpalert, mais je n'ai pas encore installé pour tester.
Pour tester l'interface eth0 :
Le tableau ARP actuel est affiché avec :Code:arpwatch -i eth0
Les messages sont stockés dans /var/log/syslog :Code:arp -a
Les changements devrait être indiqués par un changed station quelque part dans le /var/log/syslog, si j'ai bien compris. Mais perso, je n'ai pas çaCode:tail -f /var/log/syslog
Je pense avoir d'autres questions bientôt si par exemple je décide de m'auto-ARP spoofer avec le portable pour voir ce que ça donne et comment ça marche, donc à + et merci
On peut aussi s'en protéger avec ebtable (le pendant niveau MAC d'iptable) sous linuxMerci
Bon, pour les Ubunteros/Debianeux, il y a arpwatch. Aussi, arpalert, mais je n'ai pas encore installé pour tester.
règle anti-spoofing avec ebtable : http://ebtables.sourceforge.net/examples.html
Patrick
De mémoire, il y a plus simple pour s'en protéger sous linux, il suffit de ne pas mettre en cache les arp_reply qui n'ont pas de raison d'etre émis (on a pas envoyé d'arp_request). Il s'agit si je me souvient plus de modifier une valeur dans un /proc/sys/net/....
Par contre se protéger de l'arp spoofing de cette manière ne va pas fonctionner sur les réseau avec routeur redondant (meme IP pour plusieur routeur) qui communiquent entre eux en HSRP, VRRP ou GLBP, puisque le principe c'est de basculer l'@ IP d'une @MAc d'un routeur à l'autre en émettant des arp_reply en broadcast sans arp_request (dit gratuitious arp)
Mes souvenirs son lointain. Il y avait aussi des situations ou l'on mettait en œuvre au niveau du routeur de l'Arp proxy (le routeur répond en faisant croire que la machine distante (autre réseau) est locale en donnant son adresse mac à la place de celle du destinataire)
Patrick
Ca existe aussi, mais dans ces cas ci le routeur répond à une requete. Dans les mécanismes de redondance de passerelle et de bascule d'@ IP, le routeur va envoyer une requete ARP reply des qu'il va devenir maitre et cela sans qu'il y ait eu d'ARP request pour élminer la latence due au cache ARP. Il s'agit dans ce cas la d'un poisoning tout à fait légal
Je pense que tu as déja trouvé toutes les informations que tu recherchais, mais en cherchant des infos concernant la config d'un serveur Apache (je sais aucun rapport) je suis tombé la dessus :
http://sid.rstack.org/arp-sk/article/
J'ai trouvé l'article très intéressant (même si un peu ancien) et très complet donc je fais partager
Cool, merci
