Downloaded 11 times
![Il protocollo ARP
L' ARP acronimo di Address Resolution
Protocol [RFC 826] è un protocollo di rete
appartenente alla suite del protocollo internet
(IP) versione 4, il cui compito è fornire un
mapping tra l'indirizzo IP a 32bit e l'indirizzo
MAC corrispondente di un terminale in una
rete locale ethernet. Il protocollo inverso che
mappa da indirizzo MAC a Indirizzo IP all'atto
della configurazione del PC in Rete è detto
RARP.[RFC 903]
Il suo analogo in IPv6 è Neighbor Discovery
Protocol o NDP. [RFC 1122]](https://image.slidesharecdn.com/arp-121103171235-phpapp01/75/Arp-Attack-2-2048.jpg)
Uploaded byUKE Università Kore Enna - pagina ufficiale
Arp Attack
Il documento descrive il protocollo ARP, il suo funzionamento e i meccanismi di attacco noti come ARP poisoning, utilizzati per intercettare il traffico di rete. Viene presentato l'uso di strumenti come Ettercap per eseguire questi attacchi, insieme a metodi di verifica e difesa contro di essi. Infine, si forniscono suggerimenti per proteggersi da attacchi di ARP poisoning, inclusi dispositivi hardware e software.
Arp Attack
- 1. ARP ATTACK Cos'è il protocollo ARP Come funziona l'ARP L'attacco MITM Arp-Poisoning Installazione ed utilizzo di Ettercap Verifica a scopo didattico Difendersi dagli attacchi Mauro Failla mauro.failla2@gmail.com
- 2. Il protocollo ARP L' ARP acronimo di Address Resolution Protocol [RFC 826] è un protocollo di rete appartenente alla suite del protocollo internet (IP) versione 4, il cui compito è fornire un mapping tra l'indirizzo IP a 32bit e l'indirizzo MAC corrispondente di un terminale in una rete locale ethernet. Il protocollo inverso che mappa da indirizzo MAC a Indirizzo IP all'atto della configurazione del PC in Rete è detto RARP.[RFC 903] Il suo analogo in IPv6 è Neighbor Discovery Protocol o NDP. [RFC 1122]
- 3. Funzione dell'ARP protocol Per inviare un pacchetto IP ad un calcolatore della stessa sottorete, è necessario incapsularlo in un pacchetto di livello datalink, che dovrà avere come indirizzo destinazione il MAC Address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo. Se il pacchetto deve essere inviato ad un calcolatore di un'altra sottorete, ARP viene utilizzato per scoprire il MAC Address del gateway o del router.
- 4. Come funziona ilprotocollo • L'host che vuole conoscere il MAC Addr. di un altro host, conoscendo il solo IP, invia in broadcast un pacchetto di ARP-Request contenente il proprio indirizzo MAC e l'indirizzo IP del destinatario. • Tutti i calcolatori ricevono la richiesta, in ciascuno di essi il protocollo ARP verifica, confrontando il proprio IP con quello ricevuto. • L'host di destinazione che riconoscerà il proprio indirizzo IP nel pacchetto di ARP- Request, provvederà ad inviare una risposta ARP-Reply contenente il proprio MAC in unicast all'indirizzo MAC del richiedente.
- 5. L'attacco Arp Poisoning ● Questo attacco è una evoluzione dell'attacco Arp Spoofing,attacco utilizzato nelle ethernet lan con hub (ormai si usa indifferentemente il nome arp spoofing o arp poisoning), l'Arp Poisoning entra nel mondo degli attacchi MITM (Man In The Middle) non appena le reti lan vengono cablate secondo la topologia fisica a stella con l'utilizzo di switch.
- 6. In cosa consistel'Arp Poisoning • Consiste nell'inviare intenzionalmente e in modo forzato risposte ARP contenenti dati inesatti o, meglio, non corrispondenti a quelli reali. In questo modo la tabella ARP (ARP entry cache) di un host conterrà dati alterati (da qui i termini poisoning, letteralmente avvelenamento e spoofing, raggiro). • Per protrarre l'attacco è necessario inviare delle ARP reply ogni 10 secondi poiché spesso i sistemi operativi cancellano sistematicamente le voci dell'ARP cache dopo un certo periodo di tempo.
- 7. Ettercap per MITMattack Esistono svariati tool per attacchi di questo tipo, ma probabilmente il più completo è Ettercap, disponibile per diversi sistemi operativi come Linux, *BSD, Windows e MacOS X. Questo evoluto e potente strumento offre molte possibilità di configurazione. È possibile usarlo sia via gui che via riga di comando. Esiste inoltre la possibilità di creare dei filtri personalizzati, per lo sniffing.
- 8. Installazione ed utilizzodi Ettercap Utilizzando S.O. Linux debian based digitiamo da terminale : sudo apt-get install ettercap-gtk Una volta finita l'installazione avviamo il programma con interfaccia grafica : sudo ettercap -G In alternativa è possibile utilizzare il nostro programma anche da linea di comando : − sudo ettercap -i interface -T -q -M ARP /nomeHost1/ /nomeHost2/ Per effettuare l'arp poisoning sull'intero segmento di rete, basterà questo comando : − sudo ettercap -i interface -T -q -M ARP // //
- 9. Ettercap in modalitàgrafica – modalità Sniff Una volta avviato il programma clicchiamo su Sniff, selezioniamo unified sniffing, dalla finestra che si aprirà scegliamo l'interfaccia di rete che dovremo utilizzare per lo sniffing.
- 10. Ettercap in modalitàgrafica – scansione degli hosts Una volta in modalità sniffing dobbiamo cercare gli altri pc connessi alla rete, cliccando su Hosts -> Scan for hosts o premendo Ctrl e S. Dopo una breve ricerca Ettercap sarà al corrente di quanti pc sono connessi, e conoscerà il loro hostname ed il loro indirizzo ip, per visualizzarli clicchiamo su Host -> Hosts list oppure sul tasto H. Fatto ciò possiamo scegliere se attaccare tutta la rete oppure uno specifico host, in questo ultimo caso dovremo sempre attaccare oltre la nostra vittima anche lo switch/router presente nalla rete.
- 11. Ettercap in modalitàgrafica – scegliamo le vittime • Scegliamo di “avvelenare da ARP” (ARP poison) soltanto la macchina con ip 192.168.1.? ed il router 192.168.1.1. Per fare ciò basta selezionare la riga contenente 192.168.1.1 e cliccare su add to target 1. Per il secondo obiettivo (192.168.1.?) vale la stessa cosa, salvo il pulsante da premere che sarà in questo caso add to target 2.
- 12. Attacco MITM ARP Clicchiamo su Mitm -> Arp poisoning, si aprirà una finestra con due opzioni da selezionare, salvo particolari esigenze lasciamo tutto deselezionato e diamo l’invio.
- 13. Attivare lo sniffing Clicchiamo su Start -> Start sniffing per iniziare a collezionare i dati relativi al traffico della nostra vittima. Adesso nel riquadro in basso della finestra principale di ettercap vedremo i pacchetti relativi alla macchina attaccata ed inoltre vedremo in chiaro tutti i dati relativi a quei protocolli che non utilizzano crittografia come per esempio user e password delle mail che utilizzano POP3. Per stoppare il tutto basta cliccare su Start -> Stop sniffing
- 14. Verifica a scopodidattico Sulla macchina che vogliamo attaccare digitiamo da terminale: arp -a in modo tale da vedere la tabella arp relativa a quell'host, poi ripetiamo lo stesso procedimento dopo l'attacco Arp-poisoning con ettercap. Inoltre possiamo analizzare con l'utilizzo di Wireshark, i pacchetti che riusciamo a sniffare prima e dopo l'attacco.
- 15. Difendersi dagli attacchi1/2 Soluzione Hardware : ARPDefender è un dispositivo hardware in grado di monitorare tutta l’infrastruttura di rete ed eliminare eventuali attacchi di ARP Poisoning senza la necessità di installare un software su ogni singola macchina in rete. Prodotto dedicato alle grandi infrastrutture di rete dove il monitoraggio di ogni singolo terminale richiederebbe un’elevata dispersione di tempo.
- 16. Difendersi dagli attacchi2/2 Soluzioni software : 1. ArpON (Linux e Mac) 2. XArp (Linux e Windows)
- 17.