http://wiki.wireshark.org/CaptureSetup/Ethernet

Aquesta wiki forma part dels materials d'un curs
Curs:	SeguretatXarxesInformàtiques
Fitxers:	EinesHacking.pdf (EinesHacking.odp)
Repositori SVN:	https://[email protected]/svn/iceupc/SeguretatXarxesInformàtiques
Usuari:	anonymous
Paraula de pas:	sense paraula de pas
Autors:	Sergi Tur Badenas

Enverinament ARP

ARP Spoofing (també anomenat ARP Poisoning, enverinament ARP o farsa ARP) és un atac empleat en xarxes Ethernet que permet a un atacant interceptar trames d'una xarxa LAN amb Switch.

L'atacant pot fer tres tipus d'atac:

• Atac passiu: Les trames interceptades no són modificades i es s'envien als corresponents receptors.
• Atac actiu: Pot modificar les trames injectant dades
• Aturar el tràfic: Atac de denegació de servei.

Es necessari executar l'atac des de una màquina de dins la xarxa Ethernet i les màquines que es poden atacar han de pertànyer al mateix segment de xarxa

Com funciona

Enviant missatges AR falsos (fake frames). S'envia un arp-reply fals associant la MAC de l'atacat a la IP de l'atacant. Els paquets s'envien a l'atacant en comptes de a l'atacat. L'atacant pot escollir entre ser passiu (un cop llegides les trames les reenviar a l'atacat), actiu (injectar o modificar dades abans de reenviar – Man in the Middle).

La eina més fàcil per fer ARP Spoofing és ettercap. També podeu utilitzar dsniff

A la web:

http://www.oxid.it/downloads/apr-intro.swf

Hi ha un flash molt interessant sobre el funcionament de ARP Poisoning (en angles)

• DoS atack (Deny of Service): S'assigna una IP no existent a la MAC de l'atacat o al seu gateway per defecte.

Eines per fer ARP-Spoofing

• Arppoison
• ettercap
• Parasite
• Dsniff
• Cain I Abel
• http://www.arpoison.net/
• http://www.ex-parrot.com/~pete/upside-down-ternet.html
• http://insecure.org/sploits/arp.games.html
• http://tldp.org/HOWTO/Proxy-ARP-Subnet/how.html

Programació amb sockets

http://svn.pythonfr.org/public/pythonfr/utils/network/arp-flood.py

Solucions

Vegeu també:

Ettercap#Defenses_contra_ettercap_i_els_atacs_de_ARP-SPOOFING

Taules MAC estàtiques

Consulteu:

ARP#Afegir_una_entrada_est.C3.A0tica_a_la_taula_ARP.

Port Security (Switches Cisco)

Enable Port Security:

# switchport port-security

# switchport port-security maximum value

# switchport port-security mac_addressnumber

# switchport port-security violation {shutdown|restrict|protect}

Es pot comprovar amb:

# show port-security

Dynamic ARP Inspection

• Dynamic ARP Inspection
• http://www.enterprisenetworkingplanet.com/netsecur/print.php/3462211
• http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_20_se/configuration/guide/swdynarp.pdf
• http://www.alliedtelesis.com/media/datasheets/howto/secure_network_l3switches.pdf

Més solucions

• http://www.austintek.com/LVS/LVS-HOWTO/HOWTO/LVS-HOWTO.arp_problem.html

Recursos

• http://www.hctrucos.com/ettercap.htm
• http://www.grc.com/nat/arp.htm
• http://brsi.blogspot.com/2006/08/ataques-mitm.html
• http://en.wikipedia.org/wiki/ARP_spoofing
• http://www.infosecwriters.com/text_resources/pdf/ARP_Poisoning_In_Practice.pdf