Blog

Empoisonnement/usurpation d’identité ARP : comment le détecter et le prévenir

L’empoisonnement du protocole de résolution d’adresse (ARP) est une attaque qui consiste à envoyer des messages ARP falsifiés sur un réseau local. On l’appelle aussi Usurpation d'ARP , routage de poison ARP et empoisonnement du cache ARP.

Ces attaques tentent de détourner le trafic de son hôte initialement prévu vers un attaquant. Pour ce faire, l’empoisonnement ARP associe l’adresse Media Access Control (MAC) de l’attaquant à l’adresse IP de la cible. Cela ne fonctionne que sur les réseaux qui utilisent ARP.

L'empoisonnement ARP est un type d'attaque de l'homme du milieu qui peut être utilisé pourarrêter le trafic réseau, le modifier ou l'intercepter. Cette technique est souvent utilisée pour lancer d'autres offensives, telles quedétournement de session ou déni de service.

Avant de comprendre ce qu’est l’empoisonnement ARP, il est important d’avoir de solides connaissances sur le protocole ARP. Avant de pouvoir parler du protocole ARP, nous devons revenir un peu plus en arrière et parler de la suite de protocoles Internet.

La suite de protocoles Internet

Lorsque vous ouvrez le navigateur Web sur votre téléphone, les mèmes et les images de chats vous sont livrés presque instantanément et avec peu d'effort, ce qui rend le processus simple.

Il peut sembler que votre téléphone et le serveur qui héberge les images de chat sont connectés comme deux tasses sur une ficelle, et que comme deux enfants jouant au téléphone, l'image du chat voyage simplement le long de quelques fils et apparaît sur votre téléphone comme le son d'un voix sur la corde. Compte tenu de la prévalence actuelle du wifi et des données, il peut même sembler que l’image du chat voyage à travers l’éther.

Bien sûr, ce n’est pas le cas. Le voyage de l’image du chat est en réalité assez complexe, voyageant à travers un système multicouche qui se rapproche mieux de l’image du chat. Suite de protocoles Internet modèle:

La couche applicative – Au niveau de l’application, ni vous, ni votre navigateur Web ou le logiciel serveur ne savez vraiment comment l’image du chat vous a été transmise. Vous ne savez pas par combien de routeurs les données de l’image du chat ont transité, ni si elles ont voyagé via des connexions sans fil. Tout ce que vous savez, c'est que vous avez cliqué sur un lien et que la photo du chat vous est parvenue.
La couche transport – Avec la couche transport, on rentre un peu sous le capot. La couche transport est chargée d’établir une connexion entre le client (votre téléphone) et le serveur qui héberge le site Web. La couche transport surveille la connexion et recherche les erreurs, mais elle ne se soucie pas de la manière dont les données sont déplacées entre le client et le serveur.
La couche Internet – Le logiciel de la couche Internet est responsable du déplacement des données entre les réseaux. Il ne se soucie pas des données de l’image du chat et les traite de la même manière qu’il traiterait les données d’un ebook sur la chimie. Une fois que le logiciel de couche Internet apporte les données d'image de chat à votre réseau local, il les transmet au logiciel de couche de liaison.
La couche de liens – Le logiciel de couche de liaison déplace les données entrantes et sortantes au sein de votre réseau local. Il récupère les données de l'image du chat du logiciel de couche Internet et les transmet à votre appareil.

Chacune des couches ci-dessus peut être parcourue par un certain nombre de protocoles différents pour accomplir leur travail. Ce désordre de système fonctionne d’une manière ou d’une autre de manière cohérente pour amener l’image du chat du serveur à l’écran de votre téléphone.

Qu'est-ce que le protocole de résolution d'adresse (ARP) ?

Le protocole de résolution d'adresse (ARP) est simplement l'un de ces protocoles. Il est utilisé pour découvrir quelle adresse de couche liaison, telle qu'une adresse MAC, correspond à une adresse de couche Internet donnée pour une machine physique. Il s'agit généralement d'adresses IPv4.

Depuis IPv4 étant toujours le protocole Internet le plus couramment utilisé, ARP comble généralement le fossé entre les adresses IPv4 32 bits et les adresses MAC 48 bits. Cela fonctionne dans les deux sens.

La relation entre une adresse MAC donnée et son adresse IP est conservée dans une table appelée cache ARP. Lorsqu'un paquet se dirige vers un hôte sur un ET parvient à la passerelle, la passerelle utilise ARP pour associer l'adresse MAC ou l'adresse physique de l'hôte à son adresse IP correspondante.

L'hôte recherche ensuite dans son cache ARP. S'il localise l'adresse correspondante, l'adresse est utilisée pour convertir le format et la longueur du paquet. Si la bonne adresse n'est pas trouvée, ARP enverra un paquet de requête demandant aux autres machines du réseau local si elles connaissent la bonne adresse. Si une machine répond avec l'adresse, le cache ARP est mis à jour avec elle au cas où il y aurait des demandes futures provenant de la même source.

Qu’est-ce qu’une intoxication à l’ARP ?

Maintenant que vous comprenez mieux le protocole sous-jacent, nous pouvons aborder plus en profondeur l’empoisonnement à l’ARP. Le protocole ARP a été développé pour être efficace, ce qui a conduit à un sérieux problèmemanque de sécuritédans sa conception. Cela rend relativement facile pour quelqu’un de monter ces attaques, à condition qu’il puisse accéder au réseau local de sa cible.

L'empoisonnement à l'ARP implique l'envoifaux paquets de réponse ARP vers une passerelle sur le réseau local. Les attaquants utilisent généralement des outils d'usurpation d'identité comme Arpspoof ou Arppoison pour faciliter la tâche. Ils définissent l’adresse IP de l’outil pour qu’elle corresponde à l’adresse de leur cible. L'outil analyse ensuite le réseau local cible pour les adresses IP et MAC de ses hôtes.

Une fois que l'attaquant a les adresses des hôtes, il commence à envoyer de faux paquets ARP sur le réseau local vers les hôtes.Les messages frauduleux indiquent aux destinataires que l’adresse MAC de l’attaquant doit être connectée à l’adresse IP de la machine ciblée..

Cela amène les destinataires à mettre à jour leur cache ARP avec l’adresse de l’attaquant. Lorsque les destinataires communiqueront avec la cible dans le futur,leurs messages seront en fait envoyés à l'attaquant.

À ce stade, l’attaquant se trouve secrètement au milieu des communications et peut tirer parti de cette position pour lire le trafic et voler des données. L'attaquant peut également modifier les messages avant qu'ils n'atteignent la cible, voire arrêter complètement les communications.

Les attaquants peuvent utiliser ces informations pour lancer d’autres attaques, comme un déni de service ou un détournement de session :

Déni de service – Ces attaques peuvent lier un certain nombre d'adresses IP distinctes à l'adresse MAC d'une cible. Si suffisamment d’adresses envoient des requêtes à la cible, celle-ci peut être surchargée de trafic, ce qui perturbe son service et la rend inutilisable.
Détournement de session – L’usurpation d’identité ARP peut être exploitée pour voler des identifiants de session, que les pirates utilisent pour accéder aux systèmes et aux comptes. Une fois qu’ils y ont accès, ils peuvent lancer toutes sortes de ravages contre leurs cibles.

Comment détecter un empoisonnement à l'ARP

L’empoisonnement à l’ARP peut être détecté de plusieurs manières différentes. Vous pouvez utiliser l'invite de commande de Windows, un analyseur de paquets open source tel que Requin filaire , ou des options propriétaires telles que XArp .

Invite de commande

Si vous pensez souffrir d’une attaque d’empoisonnement ARP, vous pouvez vérifier dans l’invite de commande. Tout d’abord, ouvrez l’invite de commande en tant qu’administrateur. Le moyen le plus simple est d'appuyer sur le Clé Windows pour ouvrir le menu Démarrer. Tapez ' cmd ', puis appuyez Ctrl , Changement et Entrer en même temps.

Cela fera apparaître une invite de commande, même si vous devrez peut-être cliquer sur Oui pour autoriser l'application à apporter des modifications. Dans la ligne de commande, saisissez :

arp -a

Cela vous donnera le tableau ARP :

*Les adresses dans l'image ci-dessus ont été partiellement masquées pour des raisons de confidentialité.*

Le tableau montre les adresses IP dans la colonne de gauche et les adresses MAC au milieu.Si le tableau contient deux adresses IP différentes partageant la même adresse MAC, vous subissez probablement une attaque d'empoisonnement ARP..

A titre d'exemple, disons que votre table ARP contient un certain nombre d'adresses différentes. Lorsque vous le parcourez, vous remarquerez peut-être que deux des adresses IP ont la même adresse physique. Vous pourriez voir quelque chose comme ceci dans votre tableau ARP si vous êtes réellement empoisonné :

Adresse Internet Adresse physique

192.168.0.1 00-17-31-dc-39-ab

192.168.0.10540-d4-48-cr-29-b2

192.168.0.106 00-17-31-dc-39-ab

Comme vous pouvez le constater, la première et la troisième adresse MAC correspondent. Cela indique que le propriétaire de l’adresse IP 192.168.0.106 est très probablement l’attaquant.

Autres options

Wireshark peut être utilisé pour détecter un empoisonnement ARP en analysant les paquets, bien que les étapes sortent du cadre de ce didacticiel et qu'il est probablement préférable de les laisser à ceux qui ont de l'expérience avec le programme.

Les détecteurs d’empoisonnement ARP commerciaux tels que XArp facilitent le processus. Ils peuvent vous alerter lorsque l’empoisonnement ARP commence, ce qui signifie que les attaques sont détectées plus tôt et que les dégâts peuvent être minimisés.

Comment prévenir l'empoisonnement à l'ARP

Vous pouvez utiliser plusieurs méthodes pour prévenir l’empoisonnement à l’ARP, chacune avec ses propres avantages et inconvénients. Ceux-ci incluent les entrées ARP statiques, le cryptage, les VPN et le reniflage de paquets.

Entrées ARP statiques

Cette solution implique beaucoup de frais administratifs et n’est recommandée que pour les petits réseaux. Cela implique l'ajout d'une entrée ARP pour chaque machine d'un réseau dans chaque ordinateur individuel.

Le mappage des machines avec des ensembles d'adresses IP et MAC statiques permet d'éviter les attaques d'usurpation d'identité, car les machines peuvent ignorer les réponses ARP. Malheureusement,cette solution ne peut que vous protéger des attaques plus simples.

Chiffrement

Des protocoles tels que HTTPS et SSH peuvent également contribuer à réduire les chances de réussite d’une attaque d’empoisonnement ARP. Lorsque le trafic est chiffré, l’attaquant doit passer à l’étape supplémentaire consistant à inciter le navigateur de la cible à accepter un certificat illégitime. Cependant,toutes les données transmises en dehors de ces protocoles seront toujours vulnérables.

VPN

Un VPN peut constituer une défense raisonnable pour les particuliers, mais il ne convient généralement pas aux grandes organisations. S'il s'agit d'une seule personne qui établit une connexion potentiellement dangereuse, par exemple en utilisant le wifi public dans un aéroport, alors unLe VPN chiffrera toutes les données qui transitent entre le client et le serveur de sortie. Cela contribue à assurer leur sécurité, car un attaquant ne pourra voir que le texte chiffré.

C’est une solution moins réalisable au niveau organisationnel, car des connexions VPN devraient être en place entre chaque ordinateur et chaque serveur. Non seulement cela serait complexe à mettre en place et à maintenir, mais le cryptage et le déchiffrement à cette échelle nuiraient également aux performances du réseau.

Filtres de paquets

Ces filtres analysent chaque paquet envoyé sur un réseau. Ils peuventfiltrer et bloquer les paquets malveillants, ainsi que ceux dont les adresses IP sont suspectes. Les filtres de paquets peuvent également déterminer si un paquet prétend provenir d'un réseau interne alors qu'il provient en réalité de l'extérieur, contribuant ainsi à réduire les chances de réussite d'une attaque.

Protéger votre réseau contre l'empoisonnement ARP

Si vous souhaitez que votre réseau soit protégé contre la menace d’empoisonnement ARP, le meilleur plan est une combinaison des outils de prévention et de détection mentionnés ci-dessus.Les méthodes de prévention ont tendance à présenter des failles dans certaines situations, de sorte que même l’environnement le plus sécurisé peut se retrouver attaqué.

Si des outils de détection actifs sont également en place, vous serez alors informé de l’empoisonnement à l’ARP dès qu’il commence. Tant que votre administrateur réseau agit rapidement une fois alerté, vous pouvez généralementarrêter ces attaques avant que de gros dégâts ne soient causés.

Article similaire: Comment prévenir les attaques d'usurpation d'identité

Conception d'image basée sur ARP Spoofing par 0x55534C sous CC3.0

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.