IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

http://wiki.wireshark.org/CaptureSetup/Ethernet
Alert.png Aquesta wiki forma part dels materials d'un curs
Curs: SeguretatXarxesInformàtiques
Fitxers: EinesHacking.pdf (EinesHacking.odp)
Repositori SVN: https://anonymous@svn.projectes.lafarga.cat/svn/iceupc/SeguretatXarxesInformàtiques
Usuari: anonymous
Paraula de pas: sense paraula de pas
Autors: Sergi Tur Badenas


Enverinament ARP

ARP Spoofing (també anomenat ARP Poisoning, enverinament ARP o farsa ARP) és un atac empleat en xarxes Ethernet que permet a un atacant interceptar trames d'una xarxa LAN amb Switch.

L'atacant pot fer tres tipus d'atac:

  • Atac passiu: Les trames interceptades no són modificades i es s'envien als corresponents receptors.
  • Atac actiu: Pot modificar les trames injectant dades
  • Aturar el tràfic: Atac de denegació de servei.

Es necessari executar l'atac des de una màquina de dins la xarxa Ethernet i les màquines que es poden atacar han de pertànyer al mateix segment de xarxa

Com funciona

Enviant missatges AR falsos (fake frames). S'envia un arp-reply fals associant la MAC de l'atacat a la IP de l'atacant. Els paquets s'envien a l'atacant en comptes de a l'atacat. L'atacant pot escollir entre ser passiu (un cop llegides les trames les reenviar a l'atacat), actiu (injectar o modificar dades abans de reenviar – Man in the Middle).

ARPSpoofing.jpg

La eina més fàcil per fer ARP Spoofing és ettercap. També podeu utilitzar dsniff

A la web:

http://www.oxid.it/downloads/apr-intro.swf

Hi ha un flash molt interessant sobre el funcionament de ARP Poisoning (en angles)

  • DoS atack (Deny of Service): S'assigna una IP no existent a la MAC de l'atacat o al seu gateway per defecte.

Eines per fer ARP-Spoofing

Programació amb sockets

http://svn.pythonfr.org/public/pythonfr/utils/network/arp-flood.py

Solucions

Vegeu també:

Ettercap#Defenses_contra_ettercap_i_els_atacs_de_ARP-SPOOFING

Taules MAC estàtiques

Consulteu:

ARP#Afegir_una_entrada_est.C3.A0tica_a_la_taula_ARP.

Port Security (Switches Cisco)

Enable Port Security:

# switchport port-security
# switchport port-security maximum value
# switchport port-security mac_addressnumber
# switchport port-security violation {shutdown|restrict|protect}

Es pot comprovar amb:

# show port-security

Dynamic ARP Inspection

Més solucions

Recursos