Le ARP-poisoning ou ARP Spoofing
ARP spoofing, également connu sous le nom d’ ARP poisoning, est une technique employée pour attaquer un réseau Ethernet qui peut permettre à un attaquant de renifler des armatures de données sur un réseau local (LAN), de modifier le trafic, ou d’arrêter totalement le trafic (connu comme Attaque par déni de service).
Le principe de ARP spoofing est d’envoyer des données truquées, ou ‘charriées ‘, à un réseau Ethernet. Généralement, le but est d’associer l’Adresse MAC de l’attaquant a l’adresse IP d’un autre nœud (comme passage par défaut). N’importe quel trafic signifié pour cette adresse IP serait de manière erronée renvoyée vers celle de l’attaquant . L’attaquant pourrait alors choisir d’expédier le trafic au passage réel de défaut (passif reniflant) ou de modifier les données avant l’expédition il (attaque man-in the-middle).
L’attaquant pourrait également lancer une attaque par déni de service contre une victime en associant une adresse MAC inexistant à l’adresse IP de routage par défaut de la victime.
L’attaques ARP spoofing peut être lancée à partir d’un serveur compromis, d’une Jack Box, ou de la machine d’un Hacker qui est reliée directement sur le segment Ethernet de la cible.
Attaques
L’attaque peut porter sur deux axes :
- Le premier est une attaque massive sur un réseau afin de remplir les tables ARP des postes sur le réseau. Ceci peut provoquer rapidement une saturation du réseau au niveau des requêtes ARP « arp who-has »(à quelle adresse correspond cette adresse ARP) et engendre des dysfonctionnements des communication sur le LAN.
- La seconde attaque vise une connexion entre deux postes en particulier sur lequel on va porter une attaque pour couper la connexion.
Méthode d’action
La méthodologie de l’attaque de déni de service sur un poste est la suivante :
On fournit à l’outil d’attaque une adresse IP source (un des postes cible de l’attaque) et son adresse MAC, on fournit ensuite l’adresse IP de l’autre poste et une adresse MAC falsifiée (n’importe laquelle) ; le processus répondra ensuite (le plus rapidement possible) à une requête d’ « arp who-has ».
Le poste ciblé par l’attaque mettra à jour sa table ARP avec une fausse adresse MAC et ne pourra plus communiquer avec l’autre poste.L’arp poison est une attaque par déni de service dont le but est de duper des postes sur le même réseau Ethernet en falsifiant des adresses ARP (MAC) pour des adresses IP données.
Les défenses
La seule méthode pour empêcher efficacement l’ARP spoofing est l’utilisation des entrées statiques et non-changeantes d’arp (chaque entrée trace une adresse MAC a une adresse IP correspondante). Cependant, ce n’est pas pratique sur un grand réseau, dû aux grands frais généraux de mise à jour des tables arp. Par conséquent une autre méthode, telle que le DHCP Snooping, peut être utilisée sur de plus grands réseaux. Par l’intermédiaire de DHCP, le dispositif de réseau enregistre les adresses MAC qui sont reliées à chaque port, ainsi il peut aisément détecter si un arp spoofing a été reçu. Cette méthode est appliquée sur l’équipement de gestion de réseau par des fournisseurs tels que Cisco, Extreme Networks et Allied Telesis.
La détection est un autre moyen pour se défendre contre l’ARP spoofing. Arpwatch est un programme d’Unix qui écoute des réponses d’arp sur un réseau, et envoie un avis par l’intermédiaire d’email quand une entrée d’arp change.
La vérification de l’existence de clonage d’une adresse MAC peut également fournir un indice quant à la présence d’un ARP spoofing, bien qu’il y ait des utilisations légitimes du clonage d’adresse MAC. Arp renversé (RARP) est un protocole employé pour questionner une adresse MAC pour son adresse IP associé . Si plus d’une adresse IP est retourné, le clonage MAC est présent.
vous pouvez vérifier les tables d’arp sur votre machine Windows en tapant la ligne de commande « arp -a » dans la fenêtre DOS. Ceci vous donnera une historique des adresses MAC que votre machine a reliées récemment.
Utilisation légitime
L’ARP spoofing peut également être employé pour des raisons légitimes. Par exemple, les outils d’enregistrement de réseau peuvent réorienter les centres serveurs non inscrits à une page de d’inscription avant de leur permettre le plein accès au réseau.
Une autre exécution légitime de l’ARP spoofing est employée dans les hôtels pour permettre aux clients d’accéder à l’Internet de leur chambre, à l’aide d’un dispositif connu sous le nom Head End Processor (HEP), indépendamment de leur adresse IP.
Les outils ARP spoofing
Arpspoof (une partie de la suite de DSniff ), Arpoison, et Ettercap sont certains des outils qui peuvent être utilisés pour effectuer des attaques ARP spoofing.
