1. ARP ATTACK
Cos'è il protocollo ARP
Come funziona l'ARP
L'attacco MITM Arp-Poisoning
Installazione ed utilizzo di Ettercap
Verifica a scopo didattico
Difendersi dagli attacchi
Mauro Failla
mauro.failla2@gmail.com
2. Il protocollo ARP
L' ARP acronimo di Address Resolution
Protocol [RFC 826] è un protocollo di rete
appartenente alla suite del protocollo internet
(IP) versione 4, il cui compito è fornire un
mapping tra l'indirizzo IP a 32bit e l'indirizzo
MAC corrispondente di un terminale in una
rete locale ethernet. Il protocollo inverso che
mappa da indirizzo MAC a Indirizzo IP all'atto
della configurazione del PC in Rete è detto
RARP.[RFC 903]
Il suo analogo in IPv6 è Neighbor Discovery
Protocol o NDP. [RFC 1122]
3. Funzione dell'ARP protocol
Per inviare un pacchetto IP ad un calcolatore
della stessa sottorete, è necessario
incapsularlo in un pacchetto di livello
datalink, che dovrà avere come indirizzo
destinazione il MAC Address del calcolatore a
cui lo si vuole inviare. ARP viene utilizzato per
ottenere questo indirizzo.
Se il pacchetto deve essere inviato ad un
calcolatore di un'altra sottorete, ARP viene
utilizzato per scoprire il MAC Address del
gateway o del router.
4. Come funziona il protocollo
• L'host che vuole conoscere il MAC Addr. di un
altro host, conoscendo il solo IP, invia in
broadcast un pacchetto di ARP-Request
contenente il proprio indirizzo MAC e
l'indirizzo IP del destinatario.
• Tutti i calcolatori ricevono la richiesta, in
ciascuno di essi il protocollo ARP verifica,
confrontando il proprio IP con quello ricevuto.
• L'host di destinazione che riconoscerà il
proprio indirizzo IP nel pacchetto di ARP-
Request, provvederà ad inviare una risposta
ARP-Reply contenente il proprio MAC in
unicast all'indirizzo MAC del richiedente.
5. L'attacco Arp Poisoning
●
Questo attacco è una evoluzione dell'attacco
Arp Spoofing,attacco utilizzato nelle ethernet
lan con hub (ormai si usa indifferentemente il
nome arp spoofing o arp poisoning), l'Arp
Poisoning entra nel mondo degli attacchi MITM
(Man In The Middle) non appena le reti lan
vengono cablate secondo la topologia fisica a
stella con l'utilizzo di switch.
6. In cosa consiste l'Arp Poisoning
• Consiste nell'inviare intenzionalmente e in
modo forzato risposte ARP contenenti dati
inesatti o, meglio, non corrispondenti a quelli
reali. In questo modo la tabella ARP (ARP
entry cache) di un host conterrà dati alterati
(da qui i termini poisoning, letteralmente
avvelenamento e spoofing, raggiro).
• Per protrarre l'attacco è necessario inviare
delle ARP reply ogni 10 secondi poiché
spesso i sistemi operativi cancellano
sistematicamente le voci dell'ARP cache dopo
un certo periodo di tempo.
7. Ettercap per MITM attack
Esistono svariati tool per attacchi di questo
tipo, ma probabilmente il più completo è
Ettercap, disponibile per diversi sistemi
operativi come Linux, *BSD, Windows e
MacOS X. Questo evoluto e potente
strumento offre molte possibilità di
configurazione. È possibile usarlo sia via gui
che via riga di comando. Esiste inoltre la
possibilità di creare dei filtri personalizzati,
per lo sniffing.
8. Installazione ed utilizzo di
Ettercap
Utilizzando S.O. Linux debian based digitiamo
da terminale :
sudo apt-get install ettercap-gtk
Una volta finita l'installazione avviamo il
programma con interfaccia grafica :
sudo ettercap -G
In alternativa è possibile utilizzare il nostro programma anche da linea di
comando :
− sudo ettercap -i interface -T -q -M ARP /nomeHost1/ /nomeHost2/
Per effettuare l'arp poisoning sull'intero segmento di rete, basterà questo
comando :
− sudo ettercap -i interface -T -q -M ARP // //
9. Ettercap in modalità grafica –
modalità Sniff
Una volta avviato il programma clicchiamo su
Sniff, selezioniamo unified sniffing, dalla
finestra che si aprirà scegliamo l'interfaccia di
rete che dovremo utilizzare per lo sniffing.
10. Ettercap in modalità grafica –
scansione degli hosts
Una volta in modalità sniffing dobbiamo cercare
gli altri pc connessi alla rete, cliccando su Hosts
-> Scan for hosts o premendo Ctrl e S.
Dopo una breve ricerca Ettercap sarà al corrente
di quanti pc sono connessi, e conoscerà il loro
hostname ed il loro indirizzo ip, per visualizzarli
clicchiamo su Host -> Hosts list oppure sul
tasto H.
Fatto ciò possiamo scegliere se attaccare tutta la
rete oppure uno specifico host, in questo ultimo
caso dovremo sempre attaccare oltre la nostra
vittima anche lo switch/router presente nalla
rete.
11. Ettercap in modalità grafica –
scegliamo le vittime
• Scegliamo di “avvelenare da ARP” (ARP
poison) soltanto la macchina con ip
192.168.1.? ed il router 192.168.1.1.
Per fare ciò basta selezionare la riga
contenente 192.168.1.1 e cliccare su add to
target 1.
Per il secondo obiettivo (192.168.1.?) vale la
stessa cosa, salvo il pulsante da premere che
sarà in questo caso add to target 2.
12. Attacco MITM ARP
Clicchiamo su Mitm -> Arp poisoning, si
aprirà una finestra con due opzioni da
selezionare, salvo particolari esigenze
lasciamo tutto deselezionato e diamo l’invio.
13. Attivare lo sniffing
Clicchiamo su Start -> Start sniffing per
iniziare a collezionare i dati relativi al traffico
della nostra vittima.
Adesso nel riquadro in basso della finestra
principale di ettercap vedremo i pacchetti
relativi alla macchina attaccata ed inoltre
vedremo in chiaro tutti i dati relativi a quei
protocolli che non utilizzano crittografia come
per esempio user e password delle mail che
utilizzano POP3.
Per stoppare il tutto basta cliccare su Start
-> Stop sniffing
14. Verifica a scopo didattico
Sulla macchina che vogliamo attaccare
digitiamo da terminale: arp -a in modo tale
da vedere la tabella arp relativa a quell'host,
poi ripetiamo lo stesso procedimento dopo
l'attacco Arp-poisoning con ettercap.
Inoltre possiamo analizzare con l'utilizzo di
Wireshark, i pacchetti che riusciamo a
sniffare prima e dopo l'attacco.
15. Difendersi dagli attacchi 1/2
Soluzione Hardware :
ARPDefender è un dispositivo hardware in
grado di monitorare tutta l’infrastruttura di
rete ed eliminare eventuali attacchi di ARP
Poisoning senza la necessità di installare un
software su ogni singola macchina in rete.
Prodotto dedicato alle grandi infrastrutture di
rete dove il monitoraggio di ogni singolo
terminale richiederebbe un’elevata
dispersione di tempo.
16. Difendersi dagli attacchi 2/2
Soluzioni software :
1. ArpON (Linux e Mac)
2. XArp (Linux e Windows)