GNU/Linux >> Tutoriels Linux >  >> Linux

Attaques TCP/IP – Les principes fondamentaux de l'empoisonnement du cache ARP expliqués

Supposons que "A" et "B" soient de très bons amis et que "A" partage tous ses secrets avec "B".

Maintenant, si un gars "C" entre et fait semblant d'être "B". Pouvez-vous imaginer ce qui pourrait arriver ? Oui, "A" pourrait révéler tous ses secrets à "C" et "C" pourrait en abuser.

En langage profane, c'est ce que nous entendons par empoisonnement du cache ARP.

L'empoisonnement ARP peut entraîner de nombreux problèmes réseau graves et les administrateurs réseau doivent savoir comment cette attaque fonctionne.

Protocole ARP

Avant de passer à la description de l'équilibrage du cache ARP, rafraîchissons d'abord le fonctionnement du protocole ARP. Le protocole ARP se compose des 4 messages de base suivants :

  1. Requête ARP :l'ordinateur "A" demande sur le réseau "qui a cette adresse IP ?"
  2. Réponse ARP :Tous les autres ordinateurs ignorent la requête sauf l'ordinateur qui a l'IP demandée. Cet ordinateur, disons "B", dit, j'ai l'adresse IP demandée et voici mon adresse MAC.
  3. Requête RARP :c'est plus ou moins la même chose que la requête ARP, la différence étant que dans ce message une adresse MAC est diffusée sur le réseau.
  4. Réponse RARP :même concept. L'ordinateur 'B' indique que le MAC demandé est le mien et voici mon adresse IP.

Tous les appareils connectés au réseau ont un cache ARP. Ce cache contient le mappage de toutes les adresses MAC et IP des périphériques réseau avec lesquels cet hôte a déjà communiqué.

Concept d'empoisonnement du cache ARP

Le protocole ARP a été conçu pour être simple et efficace, mais un défaut majeur du protocole est le manque d'authentification. Aucune authentification n'a été ajoutée à son implémentation et, par conséquent, il n'y a aucun moyen d'authentifier le mappage d'adresse IP à MAC dans la réponse ARP. De plus, l'hôte ne vérifie même pas s'il a envoyé une requête ARP pour laquelle il reçoit un message de réponse ARP.

En langage profane, si l'ordinateur "A" a envoyé une requête ARP et qu'il reçoit une réponse ARP, le protocole ARP ne peut en aucun cas vérifier si les informations ou le mappage IP vers MAC dans la réponse ARP sont corrects ou non. De plus, même si un hôte n'a pas envoyé de requête ARP et reçoit une réponse ARP, il fait également confiance aux informations en réponse et met à jour son cache ARP. C'est ce qu'on appelle l'empoisonnement du cache ARP.

Vous pouvez donc voir qu'il est facile d'exploiter cette faiblesse du protocole ARP. Un pirate malveillant peut créer une réponse ARP valide dans laquelle n'importe quelle adresse IP est mappée à n'importe quelle adresse MAC du choix du pirate et peut envoyer ce message à l'ensemble du réseau. Tous les appareils du réseau accepteront ce message et mettront à jour leur table ARP avec de nouvelles informations. Ainsi, le pirate pourra prendre le contrôle de la communication aller-retour à partir de n'importe quel hôte du réseau.

Conséquences de l'empoisonnement du cache ARP

Après qu'un pirate voit une possibilité d'empoisonnement du cache ARP, l'attaquant peut utiliser diverses techniques d'attaque pour nuire ou prendre le contrôle de la machine victime. Discutons-en quelques-uns ici :

1) Déni de service

Un pirate peut envoyer une réponse ARP mappant une adresse IP sur le réseau avec une adresse MAC erronée ou inexistante. Par exemple, une fausse réponse ARP mappant l'IP du routeur du réseau avec un MAC inexistant réduira la connectivité de l'ensemble du réseau avec le monde extérieur car désormais tout paquet envoyé à l'IP du routeur sera envoyé à une machine avec une adresse MAC qui n'existe pas.

2) L'homme au milieu

Comme son nom l'indique, le pirate peut faire en sorte que sa machine se trouve juste entre la communication entre votre système et tout autre système sur le réseau. De cette façon, le pirate peut renifler tout le trafic entrant et sortant des deux machines.

Pour ce faire, supposons que votre machine est l'hôte "A" et que votre routeur réseau est l'hôte "B". 'A' a IP-A et MAC-A, tandis que 'B' a respectivement IP-B et MAC-B comme adresse IP et adresse MAC. Maintenant, le pirate envoie une réponse ARP au routeur mappant votre IP (IP-A) avec l'adresse MAC de sa machine et une autre réponse ARP à votre machine mappant l'IP des routeurs avec l'adresse MAC de sa machine. Désormais, tout message envoyé par votre machine au routeur ou du routeur à votre machine atteindra la machine du pirate. Le pirate peut maintenant activer la fonction de "transfert IP" sur sa machine, ce qui permet à la machine du pirate de transférer tout le trafic aller-retour vers votre machine et votre routeur. De cette façon, la machine du pirate se trouve en plein milieu et peut renifler ou bloquer le trafic.

3) Inondation MAC

Pour les commutateurs sur le réseau, l'inondation MAC est une technique d'équilibrage du cache ARP qui est utilisée. Lorsqu'ils sont surchargés, de nombreux commutateurs réseau peuvent commencer à agir comme un concentrateur et commencer à diffuser tout le trafic réseau vers tous les hôtes connectés au réseau. Ainsi, un pirate peut inonder un commutateur avec de fausses réponses ARP et peut faire en sorte que le commutateur commence à se comporter comme un concentrateur. Dans ce rôle, le commutateur n'active pas sa fonction de "sécurité de port" grâce à laquelle il diffuse tout le trafic réseau et en profitant de cela, le pirate peut renifler les paquets du réseau.

Techniques d'atténuation de l'empoisonnement du cache ARP

L'empoisonnement du cache ARP à distance est un peu difficile car il nécessite soit un accès physique au réseau, soit le contrôle de l'une des machines du réseau. Comme ce n'est pas toujours facile, les attaques ARP ne sont pas fréquemment entendues. Quoi qu'il en soit, il vaut mieux prendre des précautions que de prendre des médicaments. Les administrateurs réseau doivent veiller à ce que ce type d'attaques ne se produise pas. Voici quelques points d'atténuation :

  • Pour les petits réseaux, les entrées ARP statiques peuvent être conservées. Statique signifie immuable, donc comme son nom l'indique, ces entrées ne peuvent pas être modifiées et donc toute tentative de pirates informatiques pour modifier le mappage échoue. C'est bon pour les petits réseaux, mais pas pour les grands réseaux, car le mappage de chaque nouvel appareil ajouté au réseau doit être effectué manuellement.
  • Pour un grand réseau, les fonctionnalités de sécurité des ports des commutateurs réseau peuvent être explorées. Lorsqu'elles sont activées, certaines fonctionnalités obligent le commutateur à n'autoriser qu'une seule adresse MAC pour chaque port physique du commutateur. Cette fonctionnalité garantit que les machines ne peuvent pas modifier leur adresse MAC et ne peuvent pas mapper plus d'un MAC sur leur machine, empêchant ainsi les attaques telles que "l'homme du milieu".
  • En général, certains outils de surveillance comme ARPwatch peuvent être déployés pour recevoir des alertes lorsqu'une activité ARP malveillante se produit sur votre réseau.

Pour conclure, dans cet article, nous avons étudié les bases du protocole ARP, ses failles, comment ces failles peuvent être exploitées et comment elles peuvent être atténuées.

Le prochain article de cette série est :Prédiction du numéro de séquence TCP et attaques de réinitialisation TCP.


Linux

  1. 15 ports réseau couramment utilisés expliqués

  2. Utilisation de la communication TCP/IP localhost dans un programme - toujours en sécurité ?

  3. Comment puis-je lister toutes les IP du réseau connecté, via Terminal de préférence ?

  4. Délai d'expiration du cache arp par défaut

  5. Pourquoi < ou > sont-ils nécessaires pour utiliser /dev/tcp

Comment connecter NGINX à PHP-FPM à l'aide d'UNIX ou d'un socket TCP/IP

Principes fondamentaux du protocole TCP/IP expliqués avec un diagramme

Attaques TCP :prédiction du numéro de séquence TCP et attaques de réinitialisation TCP

Tutoriel Ettercap :Exemples d'usurpation DNS et d'empoisonnement ARP

Qu'est-ce que DHCP et comment fonctionne DHCP ? (Les bases de DHCP expliquées)

Vérifier le trafic réseau sortant