• Aucun résultat trouvé

ARP Attacks arp-sk en action

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "ARP Attacks arp-sk en action"

Copied!
26
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

ARP Attacks arp-sk en action

Frédéric Raynal <[email protected]>

Cédric Blancher <[email protected]>

15 novembre 2002

(2)

Plan Introduction 1

Introduction

Présentation de ARP et attaques classiques

arp-sk

Présentation de l’outil

Corruption de cache ARP

Utilisation de arp-sk pour différentes attaques à partir de corruption de cache ARP en utilisant arp-sk.

(3)

Introduction 2

Introduction : le protocole ARP (1/2)

lg @ physique

ident. adresse physique ident. adresse logique

lg @ logique code

adresse physique ...

... de l’émetteur adresse logique ...

... de l’émetteur adresse physique ...

... du récepteur (inconnue) adresse logique du récepteur

0 7 15 23 31

(4)

Introduction 3

Introduction : le protocole ARP (2/2)

➥ ARP (Address Resolution Protocol - RFC 826)

lier adresses niveau 2 (Ethernet) et niveau 3 (IP) client envoie en broadcast niveau 2 une requête (who-has) destinataire répond en unicast niveau 2 (reply)

➥ Utilisation d’un cache

➥ Aucun lien entre information niveau 2 et niveau 3

(5)

Introduction 4

Attaques : MAC Spoofing

spoofer l’adresse Ethernet source de la trame Ethernet

vise le « cache » des switches (adresses niveau 2)

➥ Avantage

récupération et redirection de trafic

➥ Inconvénients

la cible ne reçoit plus de paquet mais continue à en émettre

conflits dans les « cache »

pas discret du tout

(6)

Introduction 5

Attaques : ARP Spoofing

who-has émis en broadcast

répondre au lieu du vrai destinataire avec de fausses données

➥ Avantages

récupération et redirection de trafic

pas besoin de s’occuper des switches

➥ Inconvénient

issue incertaine en fonction de qui répond en premier

(7)

Introduction 6

Attaques : ARP cache poisoning (1/2)

créer/modifier les entrées du cache de la victime

trafic émis par la cible directement vers l’attaquant

➥ Créer une entrée

messages who-has en unicast autorisés par la RFC

envoie en unicast d’un who-has avec de fausses données

➥ Modifier une entrée

ARP spoofing : envoie d’un reply avec de fausses données

(8)

Introduction 7

Attaques : ARP cache poisoning (2/2)

➥ Avantages

récupération et redirection de trafic

rarement surveillé

➥ Inconvénient

très difficile à contrer

(9)

Plan L’outil arp-sk 8

Introduction

Présentation de ARP et attaques classiques

arp-sk

Présentation de l’outil

Corruption de cache ARP

Utilisation de arp-sk pour différentes attaques à partir de corruption de cache ARP en utilisant arp-sk.

(10)

L’outil arp-sk 9

Présentation de arp-sk (1/2)

➥ Pourquoi un nouvel outil ?

rassembler les fonctionnalités de plusieurs outils (arpspoof, macof, arping ...)

manipulation de tous les champs d’un paquet ARP (niveau Ethernet et ARP)

ajout de nouvelles fonctionnalités

(cartographie, détection du mode promiscuous, ...)

➥ Structure de arp-sk (à partir de la version 0.99.0) une bibliothèque contenant les fonctions de base un binaire arp-sk

des modules (bib. dynamiques) décrivant des « scénarii » (un module == une fonctionnalité)

(11)

L’outil arp-sk 10

Présentation de arp-sk (2/2)

➥ Options de arp-sk

classiques : fréquence d’émission (en s, s ou aléatoire), nombre de paquets, interface ...

module basic : type de paquet (-w, -r), adresses Ethernet (-s, -d), adresses dans le message ARP (-S, -D - [IP][:MAC]),

génération aléatoire des adresses (Eth et ARP, –rand*)

➥ TODO

ajout de nouveaux modules

portage vers d’autres OS (OpenBSD et Solaris en particulier)

création d’une bibliothèque pour construire des « scénarii réseau »

(12)

Plan arp-sk en action 11

Introduction

Présentation de ARP et attaques classiques

arp-sk

Présentation de l’outil

Corruption de cache ARP

Utilisation de arp-sk pour différentes attaques à partir de cor- ruption de cache ARP en utilisant arp-sk.

(13)

arp-sk en action 12

Mise à jour du cache ARP

Comportement opportuniste

Ajout d’entrée

Modification d’entrée

Suppression d’entrée

➥ À l’attaque...

(14)

arp-sk en action 13

Paramètres sur lesquels on peut jouer :

Ethernet : adresse MAC source

Ethernet : adresse MAC destination

ARP : source niv. 2

ARP : destination niv. 2

ARP : source niv. 3

ARP : destination niv. 3

(15)

arp-sk en action 14

Création d’entrées

Requête ARP

Réponse ARP (dépend de l’OS et du cache)

Gratuitous ARP

➥ Pas forcément très utile

(16)

arp-sk en action 15

Mise à jour d’entrée

Requête ARP

Réponse ARP

Gratuitous ARP

➥ Les machines intéressantes (DNS, GW, etc...) sont souvent dans le cache

(17)

arp-sk en action 16

Suppression d’entrée

Expiration de l’entrée

Taille limitée du cache (500 entrées environ sous Linux)

➥ On flood le cache, mais ce n’est pas vraiment utile...

(18)

arp-sk en action 17

Les applications de la corruption de cache ARP...

Écoute : on peut lire le contenu des flux détournés en mode normal

Interception : on peut se placer comme proxy transparent

Modification : on peut injecter des données dans les flux

Vol : on peut prendre la place d’une des deux parties

Déchiffrement : attaque MiM

Usurpation : on peut aisément falsifier son IP

DoS : destruction de flux réseau

(19)

arp-sk en action 18

MiM ARP pour écouter les flux

Robin

Batman Batcave−gw

1. ARP attack

2. ARP attack

3. Routing Joker

4.. Robin<−>batman traffic

(20)

arp-sk en action 19

Proxying transparent pour modifier et voler des flux

Robin

Batman Batcave−gw

Joker

3. Data interception and modification 4. External data gathering

Robin<−>Internet traffic 1. ARP attack

2. ARP attack

(21)

arp-sk en action 20

DoS

Robin

Batman Batcave−gw

1. ARP attack

2. ARP attack

Joker 3. ARP attack

Dropped

! " "# $ $

$ $

% %

% %

➥ Les machines attaquées vont vérifier leurs entrées...

(22)

arp-sk en action 21

“Smart IP spoofing”

Robin

Batman Batcave−gw

Joker 1. ARP attack

4. Robin traffic

6. Robin traffic

5. Robin traffic redirection

3. Traffic sorting 2. Joker’s traffic and returning packets

&' () *+*

*+*

,+, ,+,

➥ On peut aussi utiliser du MiM ;)

➥ http://www.althes.fr/ressources/avis/

smartspoofing.htm

(23)

arp-sk en action 22

Conséquence

➥ Une fois que l’attaquant est root, c’est tout le segment ethernet qui est perdu !

(24)

Conclusion 23

ARP est un protocole faible et facile à détourner : la sécurité n’était pas le but. On a besoin de quelquechose de plus solide pour

authentifier les stations :

- 802.1x

- Secure Link Layer

http://www.cs.wustl.edu/~fhunleth/projects/sll/

sll_report.pdf

- Authentification applicative

Il est clair que les switches ne sont pas des outils de sécurité.

(25)

Spam 24

<PUB>

➥ MISC : magazine français, spécialisé en sécurité informatique

➥ http://www.miscmag.com/

</PUB>

(26)

Remerciements 25

. Éric Detoisien pour winarp-sk and winarp-mim sur Win32

. Laurent Licour et Vincent Royer pour leurs tests

Références

Télécharger maintenant ( PDF - 26 Page - 682.97 KB )

Documents relatifs

Altération de Tables ARP (version 1.00)

Admettons que le Client 12 (sur le switch 1) veuille interrompre la route entre le Client 3 (également sur le switch 1) et le routeur (également sur le switch 1). S’il réussit,

en-tête Ethernetpaquet ARP (28 octets)

L'adresse IP est présente dans le cache de l'émetteur, il lit l‘adresse MAC correspondante pour envoyer la trame Ethernet. L'adresse IP est absente du cache

E ARP cache poisoning

• Nous avons vu dans le chapitre Le routage que si la machine distante est sur un autre sous- réseau, il faut envoyer le packet à la passerelle (le routeur) donc on

Jouer avec le protocole ARP Ou tout ce que vous avez toujours voulu savoir sur ARP sans jamais oser le demander.

Ces champs sont examinés par les commutateurs Ethernet pour, d’une part, choisir sur quel port ils vont envoyer une trame reçue par examen de l’adresse MAC destination, et

Module S´ecurit´e TP5 : Attaque ARP

Dans ce cas, le client ne peut pas v´ erifier le certificat du serveur et il est possible pour un attaquant de se faire passer pour le serveur, bien que le protocole HTTPS en lui-mˆ

1Subnetting Subnetting,NAT,ICMP,ARP,DHCP,DNS–Corrigé

En effet, l’adresse de réseau était utilisée avant pour le broadcast et si un des sous-réseaux a la même adresse de broadcast que le réseau global, il ne sera pas possible

L’attaque ARP B

Ainsi, un pirate connecté sans fil à un AP peut réaliser une attaque ARP à l’encontre de toutes les stations de son sous-réseau, qu’elles soient connectées sans fil au même AP,

2algorithmesderoutage 1Routage + TD7– RéseauIP,DNS,ARP,routage,transport

Le réseau net2 a pour nom de domaine net2.fr et adresse IP privée 10.1.1.0 et masque 255.255.255.0 Il comprend 6 machines dont 4 bénéficient d’une traduction statique : La machine