Sei sulla pagina 1di 17

ARP ATTACK

Cos' il protocollo ARP Come funziona l'ARP L'attacco MITM Arp-Poisoning Installazione ed utilizzo di Ettercap Verifica a scopo didattico Difendersi dagli attacchi

Mauro Failla mauro.failla2@gmail.com

Il protocollo ARP

L' ARP acronimo di Address Resolution Protocol [RFC 826] un protocollo di rete appartenente alla suite del protocollo internet (IP) versione 4, il cui compito fornire un mapping tra l'indirizzo IP a 32bit e l'indirizzo MAC corrispondente di un terminale in una rete locale ethernet. Il protocollo inverso che mappa da indirizzo MAC a Indirizzo IP all'atto della configurazione del PC in Rete detto RARP.[RFC 903] Il suo analogo in IPv6 Neighbor Discovery Protocol o NDP. [RFC 1122]

Funzione dell'ARP protocol

Per inviare un pacchetto IP ad un calcolatore della stessa sottorete, necessario incapsularlo in un pacchetto di livello datalink, che dovr avere come indirizzo destinazione il MAC Address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo. Se il pacchetto deve essere inviato ad un calcolatore di un'altra sottorete, ARP viene utilizzato per scoprire il MAC Address del gateway o del router.

Come funziona il protocollo


L'host che vuole conoscere il MAC Addr. di un altro host, conoscendo il solo IP, invia in broadcast un pacchetto di ARP-Request contenente il proprio indirizzo MAC e l'indirizzo IP del destinatario di cui si vuole conoscere il MAC Addr. Tutti i calcolatori ricevono la richiesta, in ciascuno di essi il protocollo ARP verifica, confrontando il proprio IP con quello ricevuto. L'host di destinazione che riconoscer il proprio indirizzo IP nel pacchetto di ARPRequest, provveder ad inviare una risposta ARP-Reply contenente il proprio MAC in unicast all'indirizzo MAC del richiedente.

L'attacco Arp Poisoning


Questo attacco una evoluzione dell'attacco Arp Spoofing,attacco utilizzato nelle ethernet lan con hub (ormai si usa indifferentemente il nome arp spoofing o arp poisoning), l'Arp Poisoning entra nel mondo degli attacchi MITM (Man In The Middle) non appena le reti lan vengono cablate secondo la topologia fisica a stella con l'utilizzo di switch.

In cosa consiste l'Arp Poisoning


Consiste nell'inviare intenzionalmente e in modo forzato risposte ARP contenenti dati inesatti o, meglio, non corrispondenti a quelli reali. In questo modo la tabella ARP (ARP entry cache) di un host conterr dati alterati (da qui i termini poisoning, letteralmente avvelenamento e spoofing, raggiro). Per protrarre l'attacco necessario inviare delle ARP reply ogni 10 secondi poich spesso i sistemi operativi cancellano sistematicamente le voci dell'ARP cache dopo un certo periodo di tempo.

Ettercap per MITM attack

Esistono svariati tool per attacchi di questo tipo, ma probabilmente il pi completo Ettercap, disponibile per diversi sistemi operativi come Linux, *BSD, Windows e MacOS X. Questo evoluto e potente strumento offre molte possibilit di configurazione. possibile usarlo sia via gui che via riga di comando. Esiste inoltre la possibilit di creare dei filtri personalizzati, per lo sniffing.

Installazione ed utilizzo di Ettercap

Utilizzando S.O. Linux debian based digitiamo da terminale : sudo apt-get install ettercap-gtk Una volta finita l'installazione avviamo il programma con interfaccia grafica : sudo ettercap -G

In alternativa possibile utilizzare il nostro programma anche da linea di comando : sudo ettercap -i interface -T -q -M ARP /nomeHost1/ /nomeHost2/ Per effettuare l'arp poisoning sull'intero segmento di rete, baster questo comando : sudo ettercap -i interface -T -q -M ARP // //

Ettercap in modalit grafica modalit Sniff

Una volta avviato il programma clicchiamo su Sniff, selezioniamo unified sniffing, dalla finestra che si aprir scegliamo l'interfaccia di rete che dovremo utilizzare per lo sniffing.

Ettercap in modalit grafica scansione degli hosts

Una volta in modalit sniffing dobbiamo cercare gli altri pc connessi alla rete, cliccando su Hosts -> Scan for hosts o premendo Ctrl e S. Dopo una breve ricerca Ettercap sar al corrente di quanti pc sono connessi, e conoscer il loro hostname ed il loro indirizzo ip, per visualizzarli clicchiamo su Host -> Hosts list oppure sul tasto H. Fatto ci possiamo scegliere se attaccare tutta la rete oppure uno specifico host, in questo ultimo caso dovremo sempre attaccare oltre la nostra vittima anche lo

Ettercap in modalit grafica scegliamo le vittime


Scegliamo di avvelenare da ARP (ARP poison) soltanto la macchina con ip 192.168.1.? ed il router 192.168.1.1. Per fare ci basta selezionare la riga contenente 192.168.1.1 e cliccare su add to target 1. Per il secondo obiettivo (192.168.1.?) vale la stessa cosa, salvo il pulsante da premere che sar in questo caso add to target 2.

Attacco MITM ARP

Clicchiamo su Mitm -> Arp poisoning, si aprir una finestra con due opzioni da selezionare, salvo particolari esigenze lasciamo tutto deselezionato e diamo linvio.

Attivare lo sniffing

Clicchiamo su Start -> Start sniffing per iniziare a collezionare i dati relativi al traffico della nostra vittima. Adesso nel riquadro in basso della finestra principale di ettercap vedremo i pacchetti relativi alla macchina attaccata ed inoltre vedremo in chiaro tutti i dati relativi a quei protocolli che non utilizzano crittografia come per esempio user e password delle mail che utilizzano POP3. Per stoppare il tutto basta cliccare su Start -> Stop sniffing

Verifica a scopo didattico

Sulla macchina che vogliamo attaccare digitiamo da terminale: arp -a in modo tale da vedere la tabella arp relativa a quell'host, poi ripetiamo lo stesso procedimento dopo l'attacco Arp-poisoning con ettercap. Inoltre possiamo analizzare con l'utilizzo di Wireshark, i pacchetti che riusciamo a sniffare prima e dopo l'attacco.

Difendersi dagli attacchi 1/2

Soluzione Hardware :
ARPDefender un dispositivo hardware in grado di monitorare tutta linfrastruttura di rete ed eliminare eventuali attacchi di ARP Poisoning senza la necessit di installare un software su ogni singola macchina in rete. Prodotto dedicato alle grandi infrastrutture di rete dove il monitoraggio di ogni singolo terminale richiederebbe unelevata dispersione di tempo.

Difendersi dagli attacchi 2/2

Soluzioni software :

1. ArpON (Linux e Mac) 2. XArp (Linux e Windows)

GRAZIE PER LATTENZIONE