Protocole de résolution d’adresse (ARP) l’empoisonnement est une attaque qui consiste à envoyer des messages ARP usurpés sur un réseau local. Il est également connu sous le nom d’usurpation d’ARP, de routage de poison ARP et d’empoisonnement de cache ARP.
Ces attaques tentent de détourner le trafic de son hôte initialement prévu vers un attaquant. Pour ce faire, l’empoisonnement par ARP associe l’adresse MAC (Media Access Control) de l’attaquant à l’adresse IP de la cible. Cela ne fonctionne que contre les réseaux qui utilisent ARP.
L’empoisonnement par ARP est un type d’attaque de l’homme du milieu qui peut être utilisé pour arrêter le trafic réseau, le modifier ou l’intercepter. La technique est souvent utilisée pour lancer d’autres offensives, telles que le détournement de session ou le déni de service.
Avant de pouvoir comprendre ce qu’est un empoisonnement ARP, il est important d’avoir une solide expérience du protocole ARP. Avant de pouvoir parler du protocole ARP, nous devons sauvegarder un peu plus loin et parler de la suite de protocoles Internet.
La suite de protocoles Internet
Lorsque vous ouvrez le navigateur Web sur votre téléphone, les mèmes et les photos de chats vous sont livrés presque instantanément et avec peu d’effort, ce qui rend le processus simple.
Il peut sembler que votre téléphone et le serveur qui héberge les images de chat soient connectés comme deux tasses sur une ficelle, et que, comme deux enfants jouant au téléphone, l’image de chat se déplace simplement le long de certains fils et apparaît sur votre téléphone comme le son d’une voix sur la ficelle. Compte tenu de la prévalence du wifi et des données de nos jours, il peut même sembler que l’image du chat voyage d’une manière ou d’une autre à travers l’éther.
Bien sûr, ce n’est pas le cas. Le voyage de l’image de chat est en fait assez complexe, voyageant à travers un système multicouche qui est mieux approximé avec le modèle de suite de protocole Internet:
- La couche d’application – Au niveau de la couche d’application, ni vous, ni votre navigateur Web ni le logiciel serveur ne savez vraiment comment l’image de chat vous a été livrée. Vous ne savez pas combien de routeurs les données de l’image de chat ont traversé ou si elles ont transité par des connexions sans fil. Tout ce que vous savez, c’est que vous avez cliqué sur un lien et que la photo du chat vous est parvenue.
- La couche de transport – Avec la couche de transport, nous passons un peu sous le capot.La couche transport est chargée d’établir une connexion entre le client (votre téléphone) et le serveur qui héberge le site Web. La couche de transport garde un œil sur la connexion et recherche les erreurs, mais elle ne se soucie pas de la façon dont les données sont déplacées entre le client et le serveur.
- La couche Internet – Le logiciel de la couche Internet est responsable du déplacement des données entre les réseaux. Il ne se soucie pas des données de l’image du chat et les traite de la même manière qu’il traiterait les données pour un ebook sur la chimie. Une fois que le logiciel de la couche Internet apporte les données d’image cat à votre réseau local, il les transmet au logiciel de la couche de liaison.
- La couche de liaison – Le logiciel de couche de liaison déplace les données entrantes et sortantes au sein de votre réseau local. Il prend les données pour l’image de chat à partir du logiciel de couche Internet et les transmet à votre appareil.
Chacune des couches ci-dessus peut avoir un tas de protocoles différents qui les traversent pour terminer leurs tâches. Ce désordre d’un système fonctionne en quelque sorte de manière cohérente pour amener l’image du chat du serveur à l’écran de votre téléphone.
Qu’est-ce que le protocole ARP (Address Resolution Protocol) ?
Le protocole ARP (address resolution protocol) est simplement l’un de ces protocoles. Il est utilisé pour découvrir quelle adresse de couche de liaison, telle qu’une adresse MAC, correspond à une adresse de couche Internet donnée pour une machine physique. Ce sont généralement des adresses IPv4.
Étant donné qu’IPv4 est toujours le protocole Internet le plus couramment utilisé, ARP comble généralement l’écart entre les adresses IPv4 32 bits et les adresses MAC 48 bits. Cela fonctionne dans les deux sens.
La relation entre une adresse MAC donnée et son adresse IP est conservée dans une table connue sous le nom de cache ARP. Lorsqu’un paquet se dirigeant vers un hôte sur un réseau LOCAL arrive à la passerelle, la passerelle utilise ARP pour associer l’adresse MAC ou l’hôte physique à son adresse IP corrélante.
L’hôte recherche ensuite dans son cache ARP. S’il localise l’adresse correspondante, l’adresse est utilisée pour convertir le format et la longueur du paquet. Si la bonne adresse n’est pas trouvée, ARP enverra un paquet de requête qui demande aux autres machines du réseau local si elles connaissent la bonne adresse. Si une machine répond avec l’adresse, le cache ARP est mis à jour avec elle au cas où il y aurait des demandes futures de la même source.
Qu’est-ce qu’un empoisonnement à l’ARP?
Maintenant que vous comprenez mieux le protocole sous-jacent, nous pouvons couvrir l’empoisonnement par ARP plus en profondeur. Le protocole ARP a été développé pour être efficace, ce qui a conduit à un grave manque de sécurité dans sa conception. Cela rend relativement facile pour quelqu’un de monter ces attaques, tant qu’il peut accéder au réseau local de sa cible.
L’empoisonnement par ARP implique l’envoi de paquets de réponse ARP falsifiés à une passerelle sur le réseau local. Les attaquants utilisent généralement des outils d’usurpation d’identité comme Arpspoof ou Arppoison pour faciliter le travail. Ils définissent l’adresse IP de l’outil pour qu’elle corresponde à l’adresse de leur cible. L’outil analyse ensuite le réseau local cible à la recherche des adresses IP et MAC de ses hôtes.
Une fois que l’attaquant a les adresses des hôtes, il commence à envoyer des paquets ARP falsifiés sur le réseau local aux hôtes. Les messages frauduleux indiquent aux destinataires que l’adresse MAC de l’attaquant doit être connectée à l’adresse IP de la machine qu’ils ciblent.
Les destinataires mettent à jour leur cache ARP avec l’adresse de l’attaquant. Lorsque les destinataires communiquent avec la cible à l’avenir, leurs messages seront effectivement envoyés à l’attaquant à la place.
À ce stade, l’attaquant est secrètement au milieu des communications et peut tirer parti de cette position pour lire le trafic et voler des données. L’attaquant peut également modifier les messages avant qu’ils n’atteignent la cible, ou même arrêter complètement les communications.
Les attaquants peuvent utiliser ces informations pour lancer d’autres attaques, telles que le déni de service ou le détournement de session:
- Déni de service – Ces attaques peuvent lier un certain nombre d’adresses IP distinctes à l’adresse MAC d’une cible. Si suffisamment d’adresses envoient des demandes à la cible, celle-ci peut être surchargée par le trafic, ce qui perturbe son service et le rend inutilisable.
- Détournement de session – L’usurpation d’ARP peut être utilisée pour voler des identifiants de session, que les pirates utilisent pour entrer dans les systèmes et les comptes. Une fois qu’ils y ont accès, ils peuvent lancer toutes sortes de ravages contre leurs cibles.
Comment détecter l’empoisonnement à l’ARP
L’empoisonnement à l’ARP peut être détecté de plusieurs manières différentes. Vous pouvez utiliser l’invite de commande de Windows, un analyseur de paquets open source tel que Wireshark ou des options propriétaires telles que XArp.
Invite de commande
Si vous soupçonnez que vous souffrez d’une attaque d’empoisonnement à l’ARP, vous pouvez vérifier l’invite de commande. Tout d’abord, ouvrez l’invite de commande en tant qu’administrateur. Le moyen le plus simple consiste à appuyer sur la touche Windows pour ouvrir le menu Démarrer. Tapez « cmd », puis appuyez sur Crtl, Maj et Entrée en même temps.
Cela affichera l’invite de commande, bien que vous deviez peut-être cliquer sur Oui pour autoriser l’application à apporter des modifications. Dans la ligne de commande, entrez:
arp-a
Cela vous donnera la table ARP:
* Les adresses de l’image ci-dessus ont été partiellement masquées pour des raisons de confidentialité.*
Le tableau affiche les adresses IP dans la colonne de gauche et les adresses MAC au milieu. Si la table contient deux adresses IP différentes qui partagent la même adresse MAC, vous subissez probablement une attaque d’empoisonnement ARP.
À titre d’exemple, disons que votre table ARP contient un certain nombre d’adresses différentes. Lorsque vous le parcourez, vous remarquerez peut-être que deux des adresses IP ont la même adresse physique. Vous pouvez voir quelque chose comme ça dans votre table ARP si vous êtes réellement empoisonné:
Adresse Internet Adresse physique
192.168.0.1 00-17-31-dc-39-ab
192.168.0.105 40-d4-48-cr-29-b2
192.168.0.106 00-17-31-dc-39-ab
Comme vous pouvez le voir, les première et troisième adresses MAC correspondent. Cela indique que le propriétaire de l’adresse IP 192.168.0.106 est très probablement l’attaquant.
Autres options
Wireshark peut être utilisé pour détecter l’empoisonnement par ARP en analysant les paquets, bien que les étapes sortent du cadre de ce tutoriel et soient probablement mieux laissées à ceux qui ont de l’expérience avec le programme.
Les détecteurs d’empoisonnement à l’ARP commerciaux tels que XArp facilitent le processus. Ils peuvent vous donner des alertes lorsque l’empoisonnement par ARP commence, ce qui signifie que les attaques sont détectées plus tôt et que les dommages peuvent être minimisés.
Comment prévenir l’empoisonnement à l’ARP
Vous pouvez utiliser plusieurs méthodes pour prévenir l’empoisonnement à l’ARP, chacune avec ses propres points positifs et négatifs. Ceux-ci incluent les entrées ARP statiques, le cryptage, les VPN et le reniflage de paquets.
Entrées ARP statiques
Cette solution implique beaucoup de frais administratifs et n’est recommandée que pour les réseaux plus petits. Il s’agit d’ajouter une entrée ARP pour chaque machine d’un réseau dans chaque ordinateur individuel.
Le mappage des machines avec des ensembles d’adresses IP et MAC statiques aide à prévenir les attaques d’usurpation d’identité, car les machines peuvent ignorer les réponses ARP. Malheureusement, cette solution ne peut que vous protéger des attaques plus simples.
Cryptage
Des protocoles tels que HTTPS et SSH peuvent également aider à réduire les chances de réussite d’une attaque d’empoisonnement ARP. Lorsque le trafic est crypté, l’attaquant devrait passer à l’étape supplémentaire consistant à inciter le navigateur de la cible à accepter un certificat illégitime. Cependant, toutes les données transmises en dehors de ces protocoles resteront vulnérables.
VPN
Un VPN peut être une défense raisonnable pour les individus, mais ils ne conviennent généralement pas aux grandes organisations. S’il s’agit d’une seule personne qui établit une connexion potentiellement dangereuse, par exemple en utilisant le wifi public dans un aéroport, un VPN cryptera toutes les données qui circulent entre le client et le serveur de sortie. Cela permet de les protéger, car un attaquant ne pourra voir que le texte chiffré.
C’est une solution moins réalisable au niveau organisationnel, car des connexions VPN devraient être en place entre chaque ordinateur et chaque serveur. Non seulement cela serait complexe à mettre en place et à maintenir, mais le chiffrement et le déchiffrement à cette échelle entraveraient également les performances du réseau.
Filtres de paquets
Ces filtres analysent chaque paquet envoyé sur un réseau. Ils peuvent filtrer et bloquer les paquets malveillants, ainsi que ceux dont les adresses IP sont suspectes. Les filtres de paquets peuvent également indiquer si un paquet prétend provenir d’un réseau interne lorsqu’il provient réellement de l’extérieur, ce qui contribue à réduire les chances de réussite d’une attaque.
Protection de votre réseau contre l’empoisonnement par ARP
Si vous souhaitez que votre réseau soit protégé contre la menace d’empoisonnement par ARP, le meilleur plan est une combinaison des outils de prévention et de détection mentionnés ci-dessus. Les méthodes de prévention ont tendance à présenter des défauts dans certaines situations, de sorte que même l’environnement le plus sécurisé peut se retrouver attaqué.
Si des outils de détection actifs sont également en place, vous serez au courant de l’empoisonnement par ARP dès qu’il commencera. Tant que votre administrateur réseau est prompt à agir une fois alerté, vous pouvez généralement arrêter ces attaques avant que beaucoup de dégâts ne soient causés.
Article connexe: Comment prévenir les attaques d’usurpation d’identité
Conception d’image basée sur l’usurpation d’ARP par 0x55534C sous CC3.0