interception couche 2

L'écoute de trafic TCP/IP dans un environnement switché est aujourd'hui relativement trivial et ce grâce aux nombreux outils développés. ...

L'écoute de traffic TCP/IP dans un environnement switché est aujourd'hui relativement trivial et ce grâce aux nombreux outils développés.
Souvent basés sur le même principe ces utilitaires visent à altérer la table ARP des machines cibles. L'attaque porte généralement sur deux machines et ce de façon simultanée; la passerelle par défaut ainsi que la machine cible à proprement parler.
Il est également possible et parfois intéressant, dans un souci de moins faire de "bruit" sur le réseau; de n'attaque qu'une des deux machines. Ceci entend que vous savez précisément ce que vous cherchez à intercepter.

Arp spoofing

La manipulation consiste donc à envoyer des informations erronées à la passerelle ainsi qu'au client, plaçant ainsi la machine attaquante au milieu des des deux machines attaquées.

L'article de ce jour vise à présenter l'un d'eux: 4g8. D'un fonctionnement relativement simple; il suffit de renseigner le couple adresse MAC/IP de la passerelle par défaut ainsi que celle du poste client cible.

La syntaxe est de la forme :

# 4g8 -i <device> -g <gw_ip> -G <gw_mac> -s <host_ip> -S <host_mac> -w file -Xh

par exemple pour intercepter les paquets provenant du poste client A ( IP = 192.168.1.10; MAC = 00:11:22:33:44:55 ) utilisant la passerelle par défaut GW ( IP = 192.168.1.1; MAC = 55:44:33:22:11:00 )du réseau local; nous taperons la commande suivante :

# 4g8 -g 192.168.1.1 -G 55:44:33:22:11:00 -s 192.168.1.10 -S 00:11:22:33:44:55 -i eth0

Une fois cette commande initialisée; tout le trafic en provenance du client et à destination de la passerelle par défaut sera intercepté, la réciproque étant également vraie.

Ne vous reste ensuite plus qu'à lancer votre sniffer préféré et observer le trafic entre le poste client et la passerelle.

Switch CAM table poisoning

Il est également possible de s'attaquer à la table CAM des switchs. Une fois celle-ci remplie tous les paquets ne disposant pas déjà d'une entrée dans la table CAM de l'équipement spoofé seront broadcastés. Il est à noter que très peu d'équipement sont sensibles à ce type d'attaque; quand celle-ci n'est menée que par une machine attaquante. (à vérifier : Le smart spoofing pourrait alors être envisagé afin d'amplifier l'attaque. )

Les moyens pour s'en protéger

Ce procédé reposant sur l'altération des tables ARP des différents composants réseau, la première solution peut être de fixer de façon statique la table ARP de chacun des équipements interconnectés. Cependant certaines limites apparaissent lorsqu'il s'agit d'un parc comportant un grand nombre de machines. Il est bien sür possible d'envisager e

Des outils de surveillance d'une éventuelle modification de la table ARP sont également disponible; arpwatch en est un exemple.

Liens connexes :

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : http://blog.tools-fm.com/index.php?trackback/28

Fil des commentaires de ce billet