ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

Arp Attack

?
?
UKE Universit¨¤ Kore Enna - pagina ufficiale
UKE Universit¨¤ Kore Enna - pagina ufficiale

Attacchi Arp

1 of 17
Downloaded 11 times
ARP ATTACK ? Cos'¨¨ il protocollo ARP ? Come funziona l'ARP ? L'attacco MITM Arp-Poisoning ? Installazione ed utilizzo di Ettercap ? Verifica a scopo didattico ? Difendersi dagli attacchi Mauro Failla mauro.failla2@gmail.com
Il protocollo ARP ? L' ARP acronimo di Address Resolution Protocol [RFC 826] ¨¨ un protocollo di rete appartenente alla suite del protocollo internet (IP) versione 4, il cui compito ¨¨ fornire un mapping tra l'indirizzo IP a 32bit e l'indirizzo MAC corrispondente di un terminale in una rete locale ethernet. Il protocollo inverso che mappa da indirizzo MAC a Indirizzo IP all'atto della configurazione del PC in Rete ¨¨ detto RARP.[RFC 903] ? Il suo analogo in IPv6 ¨¨ Neighbor Discovery Protocol o NDP. [RFC 1122]
Funzione dell'ARP protocol ? Per inviare un pacchetto IP ad un calcolatore della stessa sottorete, ¨¨ necessario incapsularlo in un pacchetto di livello datalink, che dovr¨¤ avere come indirizzo destinazione il MAC Address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo. ? Se il pacchetto deve essere inviato ad un calcolatore di un'altra sottorete, ARP viene utilizzato per scoprire il MAC Address del gateway o del router.
Come funziona il protocollo ? L'host che vuole conoscere il MAC Addr. di un altro host, conoscendo il solo IP, invia in broadcast un pacchetto di ARP-Request contenente il proprio indirizzo MAC e l'indirizzo IP del destinatario. ? Tutti i calcolatori ricevono la richiesta, in ciascuno di essi il protocollo ARP verifica, confrontando il proprio IP con quello ricevuto. ? L'host di destinazione che riconoscer¨¤ il proprio indirizzo IP nel pacchetto di ARP- Request, provveder¨¤ ad inviare una risposta ARP-Reply contenente il proprio MAC in unicast all'indirizzo MAC del richiedente.
L'attacco Arp Poisoning ¡ñ Questo attacco ¨¨ una evoluzione dell'attacco Arp Spoofing,attacco utilizzato nelle ethernet lan con hub (ormai si usa indifferentemente il nome arp spoofing o arp poisoning), l'Arp Poisoning entra nel mondo degli attacchi MITM (Man In The Middle) non appena le reti lan vengono cablate secondo la topologia fisica a stella con l'utilizzo di switch.
In cosa consiste l'Arp Poisoning ? Consiste nell'inviare intenzionalmente e in modo forzato risposte ARP contenenti dati inesatti o, meglio, non corrispondenti a quelli reali. In questo modo la tabella ARP (ARP entry cache) di un host conterr¨¤ dati alterati (da qui i termini poisoning, letteralmente avvelenamento e spoofing, raggiro). ? Per protrarre l'attacco ¨¨ necessario inviare delle ARP reply ogni 10 secondi poich¨¦ spesso i sistemi operativi cancellano sistematicamente le voci dell'ARP cache dopo un certo periodo di tempo.
Ettercap per MITM attack ? Esistono svariati tool per attacchi di questo tipo, ma probabilmente il pi¨´ completo ¨¨ Ettercap, disponibile per diversi sistemi operativi come Linux, *BSD, Windows e MacOS X. Questo evoluto e potente strumento offre molte possibilit¨¤ di configurazione. ? possibile usarlo sia via gui che via riga di comando. Esiste inoltre la possibilit¨¤ di creare dei filtri personalizzati, per lo sniffing.
Installazione ed utilizzo di Ettercap ? Utilizzando S.O. Linux debian based digitiamo da terminale : sudo apt-get install ettercap-gtk ? Una volta finita l'installazione avviamo il programma con interfaccia grafica : sudo ettercap -G ? In alternativa ¨¨ possibile utilizzare il nostro programma anche da linea di comando : ? sudo ettercap -i interface -T -q -M ARP /nomeHost1/ /nomeHost2/ ? Per effettuare l'arp poisoning sull'intero segmento di rete, baster¨¤ questo comando : ? sudo ettercap -i interface -T -q -M ARP // //
Ettercap in modalit¨¤ grafica ¨C modalit¨¤ Sniff ? Una volta avviato il programma clicchiamo su Sniff, selezioniamo unified sniffing, dalla finestra che si aprir¨¤ scegliamo l'interfaccia di rete che dovremo utilizzare per lo sniffing.
Ettercap in modalit¨¤ grafica ¨C scansione degli hosts ? Una volta in modalit¨¤ sniffing dobbiamo cercare gli altri pc connessi alla rete, cliccando su Hosts -> Scan for hosts o premendo Ctrl e S. ? Dopo una breve ricerca Ettercap sar¨¤ al corrente di quanti pc sono connessi, e conoscer¨¤ il loro hostname ed il loro indirizzo ip, per visualizzarli clicchiamo su Host -> Hosts list oppure sul tasto H. ? Fatto ci¨° possiamo scegliere se attaccare tutta la rete oppure uno specifico host, in questo ultimo caso dovremo sempre attaccare oltre la nostra vittima anche lo switch/router presente nalla rete.
Ettercap in modalit¨¤ grafica ¨C scegliamo le vittime ? Scegliamo di ¡°avvelenare da ARP¡± (ARP poison) soltanto la macchina con ip 192.168.1.? ed il router 192.168.1.1. ? Per fare ci¨° basta selezionare la riga contenente 192.168.1.1 e cliccare su add to target 1. ? Per il secondo obiettivo (192.168.1.?) vale la stessa cosa, salvo il pulsante da premere che sar¨¤ in questo caso add to target 2.
Attacco MITM ARP ? Clicchiamo su Mitm -> Arp poisoning, si aprir¨¤ una finestra con due opzioni da selezionare, salvo particolari esigenze lasciamo tutto deselezionato e diamo l¡¯invio.
Attivare lo sniffing ? Clicchiamo su Start -> Start sniffing per iniziare a collezionare i dati relativi al traffico della nostra vittima. ? Adesso nel riquadro in basso della finestra principale di ettercap vedremo i pacchetti relativi alla macchina attaccata ed inoltre vedremo in chiaro tutti i dati relativi a quei protocolli che non utilizzano crittografia come per esempio user e password delle mail che utilizzano POP3. ? Per stoppare il tutto basta cliccare su Start -> Stop sniffing
Verifica a scopo didattico ? Sulla macchina che vogliamo attaccare digitiamo da terminale: arp -a in modo tale da vedere la tabella arp relativa a quell'host, poi ripetiamo lo stesso procedimento dopo l'attacco Arp-poisoning con ettercap. ? Inoltre possiamo analizzare con l'utilizzo di Wireshark, i pacchetti che riusciamo a sniffare prima e dopo l'attacco.
Difendersi dagli attacchi 1/2 ? Soluzione Hardware : ARPDefender ¨¨ un dispositivo hardware in grado di monitorare tutta l¡¯infrastruttura di rete ed eliminare eventuali attacchi di ARP Poisoning senza la necessit¨¤ di installare un software su ogni singola macchina in rete. Prodotto dedicato alle grandi infrastrutture di rete dove il monitoraggio di ogni singolo terminale richiederebbe un¡¯elevata dispersione di tempo.
Difendersi dagli attacchi 2/2 ? Soluzioni software : 1. ArpON (Linux e Mac) 2. XArp (Linux e Windows)
GRAZIE PER L¡¯ATTENZIONE

More Related Content

Arp Attack

  • 1. ARP ATTACK ? Cos'¨¨ il protocollo ARP ? Come funziona l'ARP ? L'attacco MITM Arp-Poisoning ? Installazione ed utilizzo di Ettercap ? Verifica a scopo didattico ? Difendersi dagli attacchi Mauro Failla mauro.failla2@gmail.com
  • 2. Il protocollo ARP ? L' ARP acronimo di Address Resolution Protocol [RFC 826] ¨¨ un protocollo di rete appartenente alla suite del protocollo internet (IP) versione 4, il cui compito ¨¨ fornire un mapping tra l'indirizzo IP a 32bit e l'indirizzo MAC corrispondente di un terminale in una rete locale ethernet. Il protocollo inverso che mappa da indirizzo MAC a Indirizzo IP all'atto della configurazione del PC in Rete ¨¨ detto RARP.[RFC 903] ? Il suo analogo in IPv6 ¨¨ Neighbor Discovery Protocol o NDP. [RFC 1122]
  • 3. Funzione dell'ARP protocol ? Per inviare un pacchetto IP ad un calcolatore della stessa sottorete, ¨¨ necessario incapsularlo in un pacchetto di livello datalink, che dovr¨¤ avere come indirizzo destinazione il MAC Address del calcolatore a cui lo si vuole inviare. ARP viene utilizzato per ottenere questo indirizzo. ? Se il pacchetto deve essere inviato ad un calcolatore di un'altra sottorete, ARP viene utilizzato per scoprire il MAC Address del gateway o del router.
  • 4. Come funziona il protocollo ? L'host che vuole conoscere il MAC Addr. di un altro host, conoscendo il solo IP, invia in broadcast un pacchetto di ARP-Request contenente il proprio indirizzo MAC e l'indirizzo IP del destinatario. ? Tutti i calcolatori ricevono la richiesta, in ciascuno di essi il protocollo ARP verifica, confrontando il proprio IP con quello ricevuto. ? L'host di destinazione che riconoscer¨¤ il proprio indirizzo IP nel pacchetto di ARP- Request, provveder¨¤ ad inviare una risposta ARP-Reply contenente il proprio MAC in unicast all'indirizzo MAC del richiedente.
  • 5. L'attacco Arp Poisoning ¡ñ Questo attacco ¨¨ una evoluzione dell'attacco Arp Spoofing,attacco utilizzato nelle ethernet lan con hub (ormai si usa indifferentemente il nome arp spoofing o arp poisoning), l'Arp Poisoning entra nel mondo degli attacchi MITM (Man In The Middle) non appena le reti lan vengono cablate secondo la topologia fisica a stella con l'utilizzo di switch.
  • 6. In cosa consiste l'Arp Poisoning ? Consiste nell'inviare intenzionalmente e in modo forzato risposte ARP contenenti dati inesatti o, meglio, non corrispondenti a quelli reali. In questo modo la tabella ARP (ARP entry cache) di un host conterr¨¤ dati alterati (da qui i termini poisoning, letteralmente avvelenamento e spoofing, raggiro). ? Per protrarre l'attacco ¨¨ necessario inviare delle ARP reply ogni 10 secondi poich¨¦ spesso i sistemi operativi cancellano sistematicamente le voci dell'ARP cache dopo un certo periodo di tempo.
  • 7. Ettercap per MITM attack ? Esistono svariati tool per attacchi di questo tipo, ma probabilmente il pi¨´ completo ¨¨ Ettercap, disponibile per diversi sistemi operativi come Linux, *BSD, Windows e MacOS X. Questo evoluto e potente strumento offre molte possibilit¨¤ di configurazione. ? possibile usarlo sia via gui che via riga di comando. Esiste inoltre la possibilit¨¤ di creare dei filtri personalizzati, per lo sniffing.
  • 8. Installazione ed utilizzo di Ettercap ? Utilizzando S.O. Linux debian based digitiamo da terminale : sudo apt-get install ettercap-gtk ? Una volta finita l'installazione avviamo il programma con interfaccia grafica : sudo ettercap -G ? In alternativa ¨¨ possibile utilizzare il nostro programma anche da linea di comando : ? sudo ettercap -i interface -T -q -M ARP /nomeHost1/ /nomeHost2/ ? Per effettuare l'arp poisoning sull'intero segmento di rete, baster¨¤ questo comando : ? sudo ettercap -i interface -T -q -M ARP // //
  • 9. Ettercap in modalit¨¤ grafica ¨C modalit¨¤ Sniff ? Una volta avviato il programma clicchiamo su Sniff, selezioniamo unified sniffing, dalla finestra che si aprir¨¤ scegliamo l'interfaccia di rete che dovremo utilizzare per lo sniffing.
  • 10. Ettercap in modalit¨¤ grafica ¨C scansione degli hosts ? Una volta in modalit¨¤ sniffing dobbiamo cercare gli altri pc connessi alla rete, cliccando su Hosts -> Scan for hosts o premendo Ctrl e S. ? Dopo una breve ricerca Ettercap sar¨¤ al corrente di quanti pc sono connessi, e conoscer¨¤ il loro hostname ed il loro indirizzo ip, per visualizzarli clicchiamo su Host -> Hosts list oppure sul tasto H. ? Fatto ci¨° possiamo scegliere se attaccare tutta la rete oppure uno specifico host, in questo ultimo caso dovremo sempre attaccare oltre la nostra vittima anche lo switch/router presente nalla rete.
  • 11. Ettercap in modalit¨¤ grafica ¨C scegliamo le vittime ? Scegliamo di ¡°avvelenare da ARP¡± (ARP poison) soltanto la macchina con ip 192.168.1.? ed il router 192.168.1.1. ? Per fare ci¨° basta selezionare la riga contenente 192.168.1.1 e cliccare su add to target 1. ? Per il secondo obiettivo (192.168.1.?) vale la stessa cosa, salvo il pulsante da premere che sar¨¤ in questo caso add to target 2.
  • 12. Attacco MITM ARP ? Clicchiamo su Mitm -> Arp poisoning, si aprir¨¤ una finestra con due opzioni da selezionare, salvo particolari esigenze lasciamo tutto deselezionato e diamo l¡¯invio.
  • 13. Attivare lo sniffing ? Clicchiamo su Start -> Start sniffing per iniziare a collezionare i dati relativi al traffico della nostra vittima. ? Adesso nel riquadro in basso della finestra principale di ettercap vedremo i pacchetti relativi alla macchina attaccata ed inoltre vedremo in chiaro tutti i dati relativi a quei protocolli che non utilizzano crittografia come per esempio user e password delle mail che utilizzano POP3. ? Per stoppare il tutto basta cliccare su Start -> Stop sniffing
  • 14. Verifica a scopo didattico ? Sulla macchina che vogliamo attaccare digitiamo da terminale: arp -a in modo tale da vedere la tabella arp relativa a quell'host, poi ripetiamo lo stesso procedimento dopo l'attacco Arp-poisoning con ettercap. ? Inoltre possiamo analizzare con l'utilizzo di Wireshark, i pacchetti che riusciamo a sniffare prima e dopo l'attacco.
  • 15. Difendersi dagli attacchi 1/2 ? Soluzione Hardware : ARPDefender ¨¨ un dispositivo hardware in grado di monitorare tutta l¡¯infrastruttura di rete ed eliminare eventuali attacchi di ARP Poisoning senza la necessit¨¤ di installare un software su ogni singola macchina in rete. Prodotto dedicato alle grandi infrastrutture di rete dove il monitoraggio di ogni singolo terminale richiederebbe un¡¯elevata dispersione di tempo.
  • 16. Difendersi dagli attacchi 2/2 ? Soluzioni software : 1. ArpON (Linux e Mac) 2. XArp (Linux e Windows)