Hacking etico - Avvelenamento da ARP

Address Resolution Protocol (ARP) è un protocollo senza stato utilizzato per risolvere gli indirizzi IP in indirizzi MAC della macchina. Tutti i dispositivi di rete che devono comunicare sulla rete trasmettono le query ARP nel sistema per scoprire gli indirizzi MAC di altre macchine. L'avvelenamento da ARP è anche noto comeARP Spoofing.

Ecco come funziona ARP:

  • Quando una macchina ha bisogno di comunicare con un'altra, cerca la sua tabella ARP.

  • Se l'indirizzo MAC non si trova nella tabella, il file ARP_request viene trasmesso sulla rete.

  • Tutte le macchine sulla rete confronteranno questo indirizzo IP con l'indirizzo MAC.

  • Se una delle macchine nella rete identifica questo indirizzo, risponderà al ARP_request con il suo indirizzo IP e MAC.

  • Il computer richiedente memorizzerà la coppia di indirizzi nella sua tabella ARP e la comunicazione avrà luogo.

Cos'è lo spoofing ARP?

I pacchetti ARP possono essere falsificati per inviare dati alla macchina dell'aggressore.

  • Lo spoofing ARP costruisce un gran numero di richieste ARP contraffatte e pacchetti di risposta per sovraccaricare lo switch.

  • L'interruttore è impostato su forwarding mode e dopo il ARP table è invaso da risposte ARP contraffatte, gli aggressori possono annusare tutti i pacchetti di rete.

Gli aggressori inondano la cache ARP del computer di destinazione con voci contraffatte, note anche come poisoning. L'avvelenamento da ARP utilizza l'accesso Man-in-the-Middle per avvelenare la rete.

Cos'è il MITM?

L'attacco Man-in-the-Middle (abbreviato MITM, MitM, MIM, MiM, MITMA) implica un attacco attivo in cui l'avversario impersona l'utente creando una connessione tra le vittime e invia messaggi tra di loro. In questo caso, le vittime pensano di comunicare tra loro, ma in realtà l'attore malintenzionato controlla la comunicazione.

Esiste una terza persona per controllare e monitorare il traffico di comunicazione tra due parti. Alcuni protocolli comeSSL servono a prevenire questo tipo di attacco.

Avvelenamento da ARP - Esercizio

In questo esercizio abbiamo usato BetterCAP per eseguire avvelenamento ARP in ambiente LAN utilizzando la workstation VMware in cui abbiamo installato Kali Linux e Ettercap strumento per sniffare il traffico locale in LAN.

Per questo esercizio, avrai bisogno dei seguenti strumenti:

  • Workstation VMware
  • Sistema operativo Kali Linux o Linux
  • Strumento Ettercap
  • connessione LAN

Note- Questo attacco è possibile nelle reti cablate e wireless. Puoi eseguire questo attacco nella LAN locale.

Step 1 - Installa la workstation VMware e installa il sistema operativo Kali Linux.

Step 2 - Accedi a Kali Linux usando il nome utente che passa "root, toor".

Step 3 - Assicurati di essere connesso alla LAN locale e controlla l'indirizzo IP digitando il comando ifconfig nel terminale.

Step 4 - Apri il terminale e digita "Ettercap –G" per avviare la versione grafica di Ettercap.

Step 5- Ora fai clic sulla scheda "sniff" nella barra dei menu e seleziona "sniffing unificato" e fai clic su OK per selezionare l'interfaccia. Useremo "eth0" che significa connessione Ethernet.

Step 6- Ora fai clic sulla scheda "host" nella barra dei menu e fai clic su "ricerca host". Inizierà la scansione dell'intera rete per gli host attivi.

Step 7- Quindi, fare clic sulla scheda "host" e selezionare "elenco host" per vedere il numero di host disponibili nella rete. Questo elenco include anche l'indirizzo del gateway predefinito. Dobbiamo stare attenti quando selezioniamo gli obiettivi.

Step 8- Ora dobbiamo scegliere gli obiettivi. In MITM, il nostro obiettivo è la macchina host e il percorso sarà l'indirizzo del router per inoltrare il traffico. In un attacco MITM, l'attaccante intercetta la rete e annusa i pacchetti. Quindi, aggiungeremo la vittima come "destinazione 1" e l'indirizzo del router come "destinazione 2".

In ambiente VMware, il gateway predefinito terminerà sempre con "2" perché "1" è assegnato alla macchina fisica.

Step 9- In questo scenario, il nostro obiettivo è "192.168.121.129" e il router è "192.168.121.2". Quindi aggiungeremo l'obiettivo 1 comevictim IP e target 2 come router IP.

Step 10- Ora fai clic su "MITM" e fai clic su "Avvelenamento ARP". Successivamente, seleziona l'opzione "Sniff remote connections" e fai clic su OK.

Step 11- Fai clic su "Avvia" e seleziona "Avvia sniffing". Questo avvierà l'avvelenamento ARP nella rete, il che significa che abbiamo abilitato la nostra scheda di rete in "modalità promiscua" e ora il traffico locale può essere fiutato.

Note - Abbiamo consentito solo lo sniffing HTTP con Ettercap, quindi non aspettarti che i pacchetti HTTPS vengano sniffati con questo processo.

Step 12- Ora è il momento di vedere i risultati; se la nostra vittima ha effettuato l'accesso ad alcuni siti web. Puoi vedere i risultati nella barra degli strumenti di Ettercap.

Ecco come funziona lo sniffing. Devi aver capito quanto sia facile ottenere le credenziali HTTP semplicemente abilitando l'avvelenamento ARP.

L'avvelenamento da ARP può causare enormi perdite negli ambienti aziendali. Questo è il luogo in cui vengono designati hacker etici per proteggere le reti.

Come l'avvelenamento da ARP, ci sono altri attacchi come MAC flooding, MAC spoofing, DNS poisoning, ICMP poisoning, ecc. Che possono causare perdite significative a una rete.

Nel prossimo capitolo discuteremo un altro tipo di attacco noto come DNS poisoning.