Arp Attack

737 views

Published on

Attacchi Arp

  • Be the first to comment

  • Be the first to like this

Arp Attack

  1. 1. ARP ATTACK Cosè il protocollo ARP Come funziona lARP Lattacco MITM Arp-Poisoning Installazione ed utilizzo di Ettercap Verifica a scopo didattico Difendersi dagli attacchi Mauro Failla mauro.failla2@gmail.com
  2. 2. Il protocollo ARP L ARP acronimo di Address Resolution Protocol [RFC 826] è un protocollo di rete appartenente alla suite del protocollo internet (IP) versione 4, il cui compito è fornire un mapping tra lindirizzo IP a 32bit e lindirizzo MAC corrispondente di un terminale in una rete locale ethernet. Il protocollo inverso che mappa da indirizzo MAC a Indirizzo IP allatto della configurazione del PC in Rete è detto RARP.[RFC 903] Il suo analogo in IPv6 è Neighbor Discovery Protocol o NDP. [RFC 1122]
  3. 3. Funzione dellARP protocol Per inviare un pacchetto IP ad un calcolatore della stessa sottorete, è necessario incapsularlo in un pacchetto di livello datalink, che dovrà avere come indirizzo destinazione il MAC Address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo. Se il pacchetto deve essere inviato ad un calcolatore di unaltra sottorete, ARP viene utilizzato per scoprire il MAC Address del gateway o del router.
  4. 4. Come funziona il protocollo• Lhost che vuole conoscere il MAC Addr. di un altro host, conoscendo il solo IP, invia in broadcast un pacchetto di ARP-Request contenente il proprio indirizzo MAC e lindirizzo IP del destinatario.• Tutti i calcolatori ricevono la richiesta, in ciascuno di essi il protocollo ARP verifica, confrontando il proprio IP con quello ricevuto.• Lhost di destinazione che riconoscerà il proprio indirizzo IP nel pacchetto di ARP- Request, provvederà ad inviare una risposta ARP-Reply contenente il proprio MAC in unicast allindirizzo MAC del richiedente.
  5. 5. Lattacco Arp Poisoning● Questo attacco è una evoluzione dellattaccoArp Spoofing,attacco utilizzato nelle ethernetlan con hub (ormai si usa indifferentemente ilnome arp spoofing o arp poisoning), lArpPoisoning entra nel mondo degli attacchi MITM(Man In The Middle) non appena le reti lanvengono cablate secondo la topologia fisica astella con lutilizzo di switch.
  6. 6. In cosa consiste lArp Poisoning• Consiste nellinviare intenzionalmente e in modo forzato risposte ARP contenenti dati inesatti o, meglio, non corrispondenti a quelli reali. In questo modo la tabella ARP (ARP entry cache) di un host conterrà dati alterati (da qui i termini poisoning, letteralmente avvelenamento e spoofing, raggiro).• Per protrarre lattacco è necessario inviare delle ARP reply ogni 10 secondi poiché spesso i sistemi operativi cancellano sistematicamente le voci dellARP cache dopo un certo periodo di tempo.
  7. 7. Ettercap per MITM attack Esistono svariati tool per attacchi di questo tipo, ma probabilmente il più completo è Ettercap, disponibile per diversi sistemi operativi come Linux, *BSD, Windows e MacOS X. Questo evoluto e potente strumento offre molte possibilità di configurazione. È possibile usarlo sia via gui che via riga di comando. Esiste inoltre la possibilità di creare dei filtri personalizzati, per lo sniffing.
  8. 8. Installazione ed utilizzo diEttercap Utilizzando S.O. Linux debian based digitiamo da terminale : sudo apt-get install ettercap-gtk Una volta finita linstallazione avviamo il programma con interfaccia grafica : sudo ettercap -G In alternativa è possibile utilizzare il nostro programma anche da linea di comando : − sudo ettercap -i interface -T -q -M ARP /nomeHost1/ /nomeHost2/ Per effettuare larp poisoning sullintero segmento di rete, basterà questo comando : − sudo ettercap -i interface -T -q -M ARP // //
  9. 9. Ettercap in modalità grafica –modalità Sniff Una volta avviato il programma clicchiamo su Sniff, selezioniamo unified sniffing, dalla finestra che si aprirà scegliamo linterfaccia di rete che dovremo utilizzare per lo sniffing.
  10. 10. Ettercap in modalità grafica –scansione degli hosts Una volta in modalità sniffing dobbiamo cercare gli altri pc connessi alla rete, cliccando su Hosts -> Scan for hosts o premendo Ctrl e S. Dopo una breve ricerca Ettercap sarà al corrente di quanti pc sono connessi, e conoscerà il loro hostname ed il loro indirizzo ip, per visualizzarli clicchiamo su Host -> Hosts list oppure sul tasto H. Fatto ciò possiamo scegliere se attaccare tutta la rete oppure uno specifico host, in questo ultimo caso dovremo sempre attaccare oltre la nostra vittima anche lo switch/router presente nalla rete.
  11. 11. Ettercap in modalità grafica –scegliamo le vittime• Scegliamo di “avvelenare da ARP” (ARP poison) soltanto la macchina con ip 192.168.1.? ed il router 192.168.1.1. Per fare ciò basta selezionare la riga contenente 192.168.1.1 e cliccare su add to target 1. Per il secondo obiettivo (192.168.1.?) vale la stessa cosa, salvo il pulsante da premere che sarà in questo caso add to target 2.
  12. 12. Attacco MITM ARP Clicchiamo su Mitm -> Arp poisoning, si aprirà una finestra con due opzioni da selezionare, salvo particolari esigenze lasciamo tutto deselezionato e diamo l’invio.
  13. 13. Attivare lo sniffing Clicchiamo su Start -> Start sniffing per iniziare a collezionare i dati relativi al traffico della nostra vittima. Adesso nel riquadro in basso della finestra principale di ettercap vedremo i pacchetti relativi alla macchina attaccata ed inoltre vedremo in chiaro tutti i dati relativi a quei protocolli che non utilizzano crittografia come per esempio user e password delle mail che utilizzano POP3. Per stoppare il tutto basta cliccare su Start -> Stop sniffing
  14. 14. Verifica a scopo didattico Sulla macchina che vogliamo attaccare digitiamo da terminale: arp -a in modo tale da vedere la tabella arp relativa a quellhost, poi ripetiamo lo stesso procedimento dopo lattacco Arp-poisoning con ettercap. Inoltre possiamo analizzare con lutilizzo di Wireshark, i pacchetti che riusciamo a sniffare prima e dopo lattacco.
  15. 15. Difendersi dagli attacchi 1/2 Soluzione Hardware : ARPDefender è un dispositivo hardware in grado di monitorare tutta l’infrastruttura di rete ed eliminare eventuali attacchi di ARP Poisoning senza la necessità di installare un software su ogni singola macchina in rete. Prodotto dedicato alle grandi infrastrutture di rete dove il monitoraggio di ogni singolo terminale richiederebbe un’elevata dispersione di tempo.
  16. 16. Difendersi dagli attacchi 2/2 Soluzioni software :1. ArpON (Linux e Mac)2. XArp (Linux e Windows)
  17. 17. GRAZIE PER L’ATTENZIONE

×