Code Project

www.codepj.helloweb.eu

____________________________________________________

ARP Spoofing Nozioni tecniche.

_____________________________________________________
autore : Code BioHazard e-mail : < code at insicuri.net > release note: Silvia Ti Amo.

White Paper #9 November 2007 Code Project

Pagina 1

ARP SPOOFING
.premesse Per chiarire come effettuare questa tecnica di spoofing, dobbiamo prima esplicitare dei punti che costituiscono i prerequisiti che chi legge queste pagine deve interiorizzare: ARP MAC Address IP Cosa sono?

LAddress Resolution Protocol un protocollo standard TCP/IP che ha il compito di risolvere gli indirizzi IP in MAC Address, delle macchine appartenenti a una stessa lan. LARP non prevede lautenticamento delle iterazioni che avvengono tra il gateway e i vari host, per questo si creano i presupposti per due diffuse tecniche: lIP Spoofing e lARP Spoofing. In questo tutorial analizzeremo appunto lARP Spoofing. Per quanto riguarda il MAC Address basti sapere che costituisce lindirizzo fisico, unico e, almeno in teoria, non sostituibile, immagazzinato in ogni scheda di rete. Ogni casa produttrice pu usufruire di una particolare sezione o range di indirizzi da assegnare alle proprie schede di rete, per cui facile ricondurre un certo indirizzo mac a un certa casa produttrice. Tuttavia oggi, possibile modificare il MAC Address, intervenendo nella ROM della scheda di rete. Lindirizzo IP (Internet Protocol) rappresenta invece lindirizzo virtuale, astratto. Costituisce una parte fondamentale dellattacco, in quanto ci fornisce lunico dato disponibile e cio lindirizzo di destinazione che in una rete lan 192.168.1.1. Bisogna trovare quindi un modo, dato lindirizzo IP, che risalga al MAC Address.

White Paper #9 November 2007 Code Project

Pagina 2

.catalogazione della tecnica Possiamo trovare questa tecnica sotto il nome di ARP Spoofing o anche ARP Poisoning (letteralmente avvelenamento del protocollo arp), a seconda che si effettui lattacco su una switched lan o una lan semplice. Fa parte delle categoria di attacchi MITM (Man in the middle), dove lattacker, ponendosi da intermediario fra due parti, in grado di leggere e modificare a suo favore i messaggi di entrambe le parti, senza che queste ultime si accorgano che la loro iterazione stata compromessa. .come funziona normalmente Il protocollo ARP, funziona tramite richieste definite come arp-request. Per spiegare il funzionamento di una arp-request mi servir di un esempio. Prima di iniziare con lesempio per bisogna sapere che ogni macchina ha una ARP cache che memorizza le associazioni precedenti tra un certo IP e un certo MAC Address. Questa cache costituisce il maggior pericolo per lattacker, che pu lasciare in questultima logs del proprio mac address o ip, che permettono di risalire alla propria macchina. Procediamo ora con lesempio: A una macchina. Indicheremo con Ip(a) il suo indirizzo ip e con M(a) il suo MAC Address. Stessa cosa poniamo per una macchina B: con Ip(b) indicheremo il suo ip e con M(b) il suo MAC Address. Se A vuole avviare una iterazione con B, inviando un pacchetto, il protocollo ARP operer nel seguente modo: A verifica se nella propria ARP cache esiste gi un associazione tra Ip(b) e M(b). Se il risultato positivo, la ricerca conclude. Se il risultato negativo, A avvier una ricerca in tutta la lan tramite arp-request appunto. Questa richiesta conterr sia le credenziali disponibili di A (ci vale a dire Ip(a) e M(a)), sia lip della macchina B. (vale a dire Ip(b)). Su una vasta gamma di macchine, la richiesta verr presa in considerazione solo dalla macchina B, che riconoscer il proprio ip nella richiesta.
White Paper #9 November 2007 Code Project Pagina 2

A questo punto, la macchina B preleva dall arp-request mandata dalla macchina A, lassociazione Ip(a) M(a) e la memorizza nella sua arp cache. Successivamente B manda una arp-reply ad A, contenente il suo ip e il suo MAC Address (larp-reply specificher lassociazione Ip(b) - M(b)). A riceve larp-reply di B, e immagazzina in cache lassociazione Ip(b) - M(b). Se tutto andato a buon fine, la macchina A risenda M(b) alla macchina B. .come funziona un attacco Per capire come funziona un attacco di arp spoofing, mi servir ancora una volta di un esempio molto banale: Poniamo che ci sia una macchina A appartenente allattacker e due macchine target dellattacco, che interagiscono fra di loro con scambi di pacchetti, e che indicheremo con T1 e T2. Segue la tavola di ip e mac address di ognuno di questi elementi: A: ip: 192.168.5.80 -- mac address: 00:00:00:AA:AA:AA T1: ip: 192.168.5.43 mac address: 00:00:00:BB:BB:BB T2: ip: 192.168.5.22 mac address: 00:00:00:CC:CC:CC Ora esaminiamo la arp cache di ognuno: A: 192.168.5.80 = 00:00:00:AA:AA:AA 192.168.5.43 = 00:00:00:BB:BB:BB 192.168.5.22 = 00:00:00:CC:CC:CC T1: 192.168.5.80 = 00:00:00:AA:AA:AA 192.168.5.43 = 00:00:00:BB:BB:BB 192.168.5.22 = 00:00:00:CC:CC:CC T2: 192.168.5.80 = 00:00:00:AA:AA:AA 192.168.5.43 = 00:00:00:BB:BB:BB 192.168.5.22 = 00:00:00:CC:CC:CC Per portare a termine lattacco, lattacker A deve inviare dei pacchetti appositamente studiati sia a T1 che a T2.
White Paper #9 November 2007 Code Project Pagina 3

A T1 mander una arp-request contente ip di T2 (192.168.5.22) e il proprio mac address (00:00:00:AA:AA:AA). A T2 mander una arp-request contente ip di T1 (192.168.5.43) e, ancora una volta, il proprio mac address (00:00:00:AA:AA:AA). Poich queste arp-request si catalogano come dinamiche nella arp-cache, lattacker A dovr mandare con una certa costanza queste arp-request che vanno ad allungare ogni volta il tempo di vita di una certa associazione presente nella cache (di solito ogni 10 secondi). Esaminiamo ora le cache di ognuno dopo lattacco: A: 192.168.5.80 = 00:00:00:AA:AA:AA 192.168.5.43 = 00:00:00:BB:BB:BB 192.168.5.22 = 00:00:00:CC:CC:CC T1: 192.168.5.80 = 00:00:00:AA:AA:AA 192.168.5.43 = 00:00:00:BB:BB:BB 192.168.5.22 = 00:00:00:AA:AA:AA T2: 192.168.5.80 = 00:00:00:AA:AA:AA 192.168.5.43 = 00:00:00:AA:AA:AA 192.168.5.22 = 00:00:00:CC:CC:CC In questo modo entrambi i target crederanno di comunicare tra loro, ma in realt staranno dialogando con lattacker poich entrambi inviano i loro pacchetti al mac address sbagliato. Lattacker potr reindirizzare i pacchetti di dati alle due macchine appositamente moddati in modo da poter sniffare tutte le password in chiaro. .tools Ci sono appositi tools sviluppati per questo tipo di attacchi, uno dei migliori ettercap, reperibile a http://ettercap.sourceforge.net, sviluppato per unix e linux e ne esiste anche un porting per windows. .conclusione e credits Larp spoofing una delle vulnerabilit pi sfruttate delle reti wireless. Ringrazio zogs e evilsocket per lappoggio che mi stanno dando.

White Paper #9 November 2007 Code Project

Pagina 4