Ataque por ARP Spoofing

Como foi mencionado no post anterior, protocolo ARP traduz os endereços IP para endereços MAC (hardware) da interface de rede (Ethernet, WiFi, Bluetooth, token ring, ATM,…).

Os pacotes ARP podem ser falsificados, para enviar dados para a máquina do invasor, interceptando assim o tráfego entre duas máquinas na rede

Inundando a tabela ARP de uma switch com respostas falsas de ARP, o atacante pode sobrecarrega-la e, enquanto ela estiver em “forwarding mode”, é possível aplicar sniffing.

Como funciona ARP Spoofing

Quando um usuário legítimo inicia uma sessão com outro usuário no mesmo domínio de transmissão de camada 2, uma solicitação ARP é transmitida usando o endereço IP do destinatário e o remetente espera que o destinatário responda com um endereço MAC

 Envenenamento ARP (ARP Poisoning)

ARP-Poisoning

MAC Duplicado

O ataque de MAC Duplicado é iniciado rastreando (sniffing) endereços MAC de clientes que estão ativamente associados a uma porta do switch e reutilizam um desses endereços

Ao ouvir o tráfego na rede, um usuário mal-intencionado intercepta e usa o endereço MAC do usuário legítimo.

Um invasor receberá todo o tráfego destinado a que o usuário legítimo.

Esta técnica funciona em pontos de acesso sem fio com filtragem MAC ativada

Mac Duplicating.jpg

Ferramentas ARP Spoofing

MitM

  • Arpspoof (Linux-based tool)

 

  • Ettercap (Linux and Windows)

 

  • Cain and Able

 

  • ArpSpyX (Mac OS)

ETTERCAP

Ettercap é o “canivete suíço” para ataques homem-no-meio. Ele fornece inúmeros recursos que vão além do conhecimento muitos que se dizem conhecedores desta ferramenta.

O Ettercap pode escutar tráfego de rede, capturar senhas, etc. Eu vou mostrar alguns recursos desta ferramenta.

O Ettercap pode trabalhar com estes quatro modelos:

  • Baseado em IP: filtra pacotes por endereço IP.
  • Baseado em MAC: filtra pacotes por endereço MAC.
  • Com base em ARP: útil para interceptar pacotes entre dois hosts.
  • Baseado em PublicARP: útil para interceptar pacotes de um usuário para todos os hosts.

Algumas características importantes são:

  • Suporte HTTPS
  • Impressão digital do sistema operacional
  • Escaneamento passivo
  • Seqüestro de DNS

Instalação do Ettercap

O Ettercap está disponível para download em http://ettercap.github.io/ettercap/downloads.html

O Ettercap já vem pré-instalado no Kali Linux, e pode ser instalado nas distribuições abaixo:

  • Debian/Ubuntu
  • Fedora
  • Gentoo
  • Pentoo

A compilação para outras versões do Linux e Windows não é garantida.

Para instalar o Ettercap é só abrir o terminal e digitar:

$ sudo apt-get install ettercap

Nota: É preciso instalar também algumas dependências para trabalhar com o Ettercap corretamente; considera-se como mandatórias as seguintes bibliotecas:

– libpcap, libnet, openssl, libpthread, zlib, CMake, e Curl, além de outras opcionais

Quando executado no modo de texto, o Ettercap coloca a interface padrão em modo promíscuo e mostra dados de todos os pacotes que enxerga. Um exemplo básico para exibir apenas mensagens de status e ajuda.:

# ettercap -Tq

Para descobrir rapidamente todos os hosts dentro da sub-rede:

# ettercap -T -M arp:remote ///

Eu gosto de escrever algo como:

# ettercap -T -w dump -M arp //xx.xx.xx.xx// /// saída:

Ettercap poison

Onde ‘xx.xx.xx.xx‘ é o endereço IP da nossa máquina alvo. Isso envenenará seu cache ARP, substituindo o endereço MAC pelo nosso. Claro, este é um exemplo muito básico. Há um uso muito mais complexo e preciso desse comando.

A opção “-T” é para usar somente a GUI baseada em texto.

-w dump” escreve a sessão de captura de pacotes em um arquivo chamado “dump”

-M arp” é o tipo de ataque, no nosso caso um “homem-no-meio”

//xx.xx.xx.xx// ///” é o endereço IP e a porta do nosso destino. Observe que não especifiquei nenhuma porta, vou pegar tudo.

Output:” apenas exibe tudo na tela. Um “-q” ou “-Tq” teria fornecido com menos informações no monitor, mas eu sempre escolho ver o máximo possível.

Ao pressionar “enter“, Ettercap iniciará a varredura. Deixe-o rodar um tempo até reunir informações suficiente, pressionando a tecla “Q” o Ettercap retornará a tabela de cache do ARP do nosso alvo para seu estado original.

Depois disso, é preciso fazer a análise o arquivo de despejo. Isso pode ser feito com o etterlog ou wireshark. Para usar o wireshark, é necessário renomear o arquivo para “dump.pcap“. Quanto ao etterlog, é preciso converter para o formato apropriado, ao digitar “etterlog -h” veremos todas as opções, é muito completo. Depois de ter seu arquivo de captura, você pode usar ferramentas como o chaosreader ou o network miner para recuperar as informações. Ou poderia fazê-lo manualmente usando wireshark.

Ettercap pode ser executado em dentro de três interfaces: Modo Texto, Curses, GTK. Para instalar a GUI GTK, basta executar:

$ sudo apt-get install ettercap-gtk

Depois, via “ettercap -G“, pode-se executar o Ettercap no modo gráfico.

Ettercap

Não serei redundante, indico um belo tutorial que mostra um passo-a-passo de como fazer captura de usuário e senha do Facebook em “Facebook – ARP Poisoning usando SET e ettercap” Por: Marcos Henrique

Tabela ARP

Você pode estar perguntando: “Porque o Etercap inunda a rede com mensagens de resposta do ARP?” Bem, a maioria dos sistemas operacionais registra as informações que eles enxergam nas respostas ARP mesmo sem enviar um pedido ARP inicial.

A razão pela qual os sistemas operacionais permitem que isso aconteça é para reduzir o tráfego ARP em sua rede. Se o seu sistema operacional não usasse a chamada “tabela ARP”, cada host teria que enviar seus próprios pacotes ARP para descobrir outras máquinas. Em vez de inundar a LAN com tráfego redundante, os sistemas operacionais usam este recurso onde, ao enxergar uma resposta ARP, armazenam essas informações dentro de sua própria tabela ARP. Ao enviar mensagens de resposta ARP para todos os endereços IP com o MAC da sua própria interface como MAC de destino, o Ettercap é capaz de redirecionar o tráfego para si, para sua própria interface.

MAC Flooding

A técnica de MAC Flooding envolve switches com inundação devido à inúmeras solicitações MAC. As switches têm uma memória limitada para mapear os vários endereços MAC para as suas portas físicas de modo que o bombardeio da switch com endereços MAC falsos, faz com que ela não possa armazená-los e começa a atuar como um hub, transmitindo pacotes para todas as máquinas na rede; depois disso, o sniffer pode ser facilmente realizado. Vou deixar esta abordagem para outro post, são outras ferramentas.

 

 

 

 

 

 

 

 

 

 

Anúncios

2 comentários

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s