Poisoning ARP: di cosa si tratta?

L’ARP Poisoning, noto anche come ARP Spoofing, è una tecnica mediante la quale un utente malintenzionato invia messaggi ARP (Address Resolution Protocol) falsificati su una rete locale. Lo spoofing ARP può consentire a un utente malintenzionato di intercettare frame di dati su una rete, modificare o interrompere il flusso di traffico.

Fondamentalmente lo scopo di ARP Poisoning è sfruttare la mancanza di autenticazione nel protocollo ARP inviando messaggi ARP contraffatti sulla rete. Inoltre, gli attacchi di ARP Poisoning possono essere eseguiti molto facilmente da una macchina compromessa connessa alla rete o direttamente dalla macchina dell’attaccante se questa è stata in grado di connettersi direttamente alla rete di destinazione.

I pacchetti ARP possono essere falsificati per inviare dati alla macchina dell’attaccante.

Lo spoofing ARP crea un gran numero di richieste ARP contraffatte e pacchetti di risposta per sovraccaricare l’interruttore.
Lo switch è impostato in modalità di inoltro e dopo che la tabella ARP è stata invasa da risposte ARP contraffatte, gli aggressori possono annusare tutti i pacchetti di rete.
Gli aggressori invadono una cache ARP del computer di destinazione con voci contraffatte, noto anche come avvelenamento.
L’avvelenamento da ARP utilizza l’accesso Man-in-the-Middle per avvelenare la rete.

Cos’è un Man-In-The-Middle?

Un attacco man-in-the-middle (MITM) è un attacco in cui l’attaccante inoltra segretamente e probabilmente altera le comunicazioni tra due parti che credono di comunicare direttamente tra loro. In questo caso, le vittime pensano di comunicare tra loro, ma in realtà l’attaccante controlla la comunicazione. Un attacco MITM può avere successo solo quando l’attaccante impersona ogni endpoint sufficientemente bene da soddisfare le sue aspettative.

Attacco di ARP spoofing

Prima di procedere oltre e per eseguire questa simulazione dell’attacco avvelenamento ARP avrai bisogno dei seguenti strumenti:

Kali Linux / Parrot / BlackBuntu o qualsiasi altro sistema operativo Linux

Passiamo alla pratica se hai ancora problemi a capire il principio, mettere in pratica un attacco di avvelenamento da ARP ti aiuterà a capire meglio come funziona e le sue possibilità.

Identificare indirizzo IP

Prima di tutto, dovrai scoprire quale sia l’indirizzo IP della tua macchina sulla rete. Il modo più semplice per scoprirlo è aprire il terminale e utilizzare i comandi seguenti.

ifconfig

O in alternativa

ip a

Installa Ettercap

Se Ettercap non è ancora installato sul tuo sistema, puoi installarlo subito usando i comandi seguenti. Ettercap è disponibile in diverse versioni e formati. Le versioni recenti dei sorgenti e i pacchetti binari sono descritti nella pagina della pagina di download del software.

Basato su Debian

sudo apt install ettercap

Configurazione Ettercap

Ora che Ettercap è già installato nel tuo computer, modificheremo un po ‘il file di configurazione di Ettercap per ottimizzare i risultati forniti dallo strumento.

sudo nano /etc/ettercap/etter.conf
Le righe ec_uid ed ec_gid devono essere impostate su 0 affinché il servizio del programma funzioni per conto del SuperUser:
[privs]
ec_uid = 0 # nobody is the default
ec_gid = 0 # nobody is the default

Successivamente è necessario trovare e decommentare queste due righe:

redir_command_on = “iptables -t nat -A PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”
redir_command_off = “iptables -t nat -D PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”

Sono utilizzati per reindirizzare le connessioni SSL al normale HTTP, se possibile. Quindi salvare le modifiche e il programma è pronto per funzionare.

Fireup Ettercap

Il programma può funzionare in diverse modalità: con un’interfaccia grafica, senza e come servizio. Prenderemo in considerazione il lavoro nell’interfaccia grafica. Per eseguire un programma con un’interfaccia GTK, utilizzare l’opzione -G:

Usa l’opzione -E per sudo per salvare tutte le variabili d’ambiente dei nostri utenti.

ARP Poisoning Attacca usando Ettercap

Questa anatomia di attacco ci consente di forzare il computer target a inviarci pacchetti invece di inviarlo al router.

Andiamo al punto ed eseguiamo l’attacco avvelenamento di Ettercap ARP In Ettercap, fai clic su Sniff> Unified Sniffing e nel nuovo popup seleziona la tua interfaccia di rete a cui fa riferimento lo screenshot seguente di wlp2s0.

Ora è il momento di scansionare la rete ed elencare i dispositivi attualmente connessi. Per farlo, fai semplicemente clic su host> cerca host. Inizierà la scansione dell’intera rete alla ricerca di host vivi. Al termine della scansione, fare di nuovo clic sull’elenco host> host per visualizzare l’elenco degli host disponibili nella rete.

Importante: questo elenco include anche l’indirizzo gateway predefinito, quindi dobbiamo fare attenzione quando selezioniamo le destinazioni.

Selezioneremo gli obiettivi dal nostro elenco di host. In un attacco MITM, l’attaccante intercetta la rete e annusa i pacchetti. Nel nostro scenario man-in-the-middle, la nostra macchina target è 192.168.1.104 e il nostro router è 192.168.1.1. In Ettercap, fai clic sul target 1 e seleziona aggiungi al target 1. Ripeti lo stesso con il target 2 e seleziona aggiungi al target 2.

Adesso inizia la parte interessante. Clicca su Mitm> ARP Poisoning e fai clic su OK. Successivamente, seleziona l’opzione Connessioni remote sniff e fate nuovamente clic su OK.

Clicca su start> fai partire lo sniffing. Ciò avvierà  l’ARP Poisoning nella rete, il che significa che abbiamo abilitato la nostra scheda di rete in modalità promiscua e ora il traffico locale può essere soggetto a sniffing.

Il programma ora sta inviando pacchetti alla rete, con una richiesta per 192.168.1.104 di aggiornare la cache ARP e sostituire l’indirizzo MAC del router con il vostro. L’attacco viene avviato ed eseguito correttamente. È possibile aprire il menu Visualizza -> Connessioni e vedere le connessioni attive per il dispositivo di destinazione.

Se un pacchetto viene inviato attraverso la rete senza metodo di crittografia, è possibile visualizzare le informazioni trasmesse facendo clic sulla riga della connessione. Le informazioni inviate vengono visualizzate sul lato sinistro e le informazioni ricevute vengono visualizzate sul lato destro.

Qualsiasi informazione sensibile, come i dati passati attraverso un modulo di accesso, un modulo di registrazione, un modulo di contatto, ecc … fintanto che non sono crittografati, può essere analizzata dall’attaccante che esamina il contenuto di ogni riga e i relativi valori.