Tweet
A técnica conhecida como ARP-Spoofing (ou ARP-Poisoning) é a mais simples e eficiente maneira de efetuar um ataque conhecido como Man-In-The-Middle (homem no meio) em uma rede.
Conceito de uma rede:
ARP é um protocolo localizado na camada de nível 2 ISO-OSI.
Sua função é determinar o endereço MAC de determinado endereço IP. Ele é formado por 48 bits de dados que invocam e armazenam dados de placas de redes.
Isto é necessário para permitir o roteamento de um grupo de computadores que estão em uma mesma rede.
Quando a associação é realizada, os pacotes podem ser enviados e recebidos pelos destinos corretos.
O protocolo ARP provê dois tipos de mensagens:
a) ARP Request: Quando o requisitante pergunta pelo endereço MAC associado a determinado endereço IP (geralmente é enviado no broadcast).
b) ARP Reply: Enviado como resposta a um ARP Request e indica o endereço MAC do host específico.
Estas operações são realizadas pelo sistema operacional, que além disto salvam estas informações em uma tabela chamada de cachê ARP.
Seu objetivo é melhorar a performance da rede, como velocidade (os pacotes podem ser roteados imediatamente sem a necessidade de esperar a resposta do host), não ocupar a largura da banda (cada pacote enviando precisaremos esperar pelo ARP Request e ARP Reply).
Implementação do protocolo ARP
Enviando um pacote IP: O kernel procura no cachê ARP se existe algum endereço MAC armazenado do IP de destino. Se presente, constrói o frame da rede e o envia. Se esta entrada não estiver presente é enviado um ARP Request e aguarda a resposta.
Recebimento de um ARP Reply: Se a resposta vier após uma requisição, será salva imediatamente no cachê.
Geralmente são aceitos até mesmo se respostas ARP não forem requisitadas, mas somente se as entradas estão no cachê de outra maneira serão ignoradas.
Recebimento de um ARP Request: O kernel responde com algum ARP Reply. Na maioria dos casos, o sistema operacional salva no cachê a associação do MAC e o IP de quem enviou. Isto é feito em sistemas Linux por exemplo.
Caso queira estudar a estrutura do arquivo do ARP, pode olhar o arquivo em /net/ipv4/ARP.c em sistemas Linux.
A motivação para o uso do ARP é simples, salvar tempo e largura de banda (bandwidth).
ARP Spoofing
Existem duas maneiras de realizar o ataque.
1) Se usarmos o ARP Reply, enviaremos o endereço IP da mesma máquina que queremos ficar no lugar, e o endereço MAC de nossa máquina.
Lembrando as especificações do kernel, se está entrada não estiver presente ainda no cachê a mesma não será inserida.
Uma solução possível é enviar um ICMP Echo Request (ping) com o endereço IP do remetente modificado como se fosse o da máquina que queremos ficar no lugar. Para responder ao ping, a vítima irá adicionar esta entrada ARP no cachê.
Depois disso poderemos realizar o ARP Poisoning, enviando um ARP Reply falso.
Mas isto não irá funcionar se o alvo não tiver o serviço de PING ativo.
2) A segunda consiste em usar o ARP Request. Seguindo as diretivas do kernel como informado acima, sabemos que a nova entrada será adicionada imediatamente quando a requisição for recebida.
A única diferença nesta versão do ataque da versão anterior, é que devemos mudar o cabeçalho do pacote de rede enviado, trocando o destino do MAC (por padrão setado para broadcast) para o endereço MAC da vítima.
Isto deverá ser feito ou o pacote enviado para o broadcast, mudaremos todos os caches das máquinas conectadas em nossa rede.
Depois de um destes métodos a máquina do atacante irá receber todo o tráfego que iria para a máquina que foi a vítima do ataque.
Mas podemos até mesmo encaminhar os pacotes capturados para podermos manter a conexão entre as duas máquinas. Por exemplo usando o IP_FORWARD.
Status na rede:
1) Primeiro ataque usando ARP-Reply (Pacotes enviados pelo atacante).
C ---> A : (IP B) é para (MAC C)
C ---> B : (IP A) é para (MAC C)
2) Segundo ataque usando ARP-Request (Pacotes enviados pelo atacante).
C ---> A : Quem é (IP A) diz (IP B) no (MAC C)?
C ---> B : Quem é (IP B) diz (IP A) no (MAC C)?
3) Cachê ARP das vítimas ANTES do ataque.
+----------------------------------------------------------------------------+
| Vítima A:----------------------------------------------------------------|
| # ARP -na--------------------------------------------------------------|
|? (10.1.1.2) e mac 00:12:F3:6A
E:F6 [rede] em eth0--|
+----------------------------------------------------------------------------+
+----------------------------------------------------------------------------+
|Vítima B:-----------------------------------------------------------------|
| # ARP -na--------------------------------------------------------------|
| (10.1.1.1) e mac 00:14:B1:3F:C6:C4 [rede] em eth0---|
+----------------------------------------------------------------------------+
Podemos ver que as máquinas possuem os endereços IP's armazenados com o endereço MAC correto.
4) Cachê ARP das vítimas APÓS o ataque.
+--------------------------------------------------------------------------+
|Vítima A:---------------------------------------------------------------|
| # ARP -na------------------------------------------------------------|
| (10.1.1.2) MAC 00:13:C0:8A3:A1 [rede] em eth0--|
+--------------------------------------------------------------------------+
+-------------------------------------------------------------------------+
|Vítima B:--------------------------------------------------------------|
| # ARP -na-----------------------------------------------------------|
| (10.1.1.1) MAC 00:13:C0:8A3:A1 [rede] em eth0--|
+-------------------------------------------------------------------------+
Aqui ambas as máquinas estão com o endereço IP armazenado mas com o endereço MAC da terceira máquina, a que foi usada no ataque. Assim toda a comunicação será efetuada com a máquina do atacante e não com a máquina correta.
Solução
Para evitar este tipo de ataque, poderemos usar um ARP estático para cada máquina da rede.
Mas se os endereços IP's são distribuídos dinamicamente por um DHCP ou se for uma rede muito grande, esta solução não poderá ser aplicada.
Ferramentas como ettercap, ARPwatch ou IDS podem notificar este tipo de ataque, mas não podem barrar ele.
Este foi o tipo de ataque realizado contra o site do Zone-H.org, onde o cracker da China invadiu os servidores de DNS da rede responsável pelo Hosting do site por uma falha no Windows e usando o software conhecido como CAIN descobriu os roteadores e endereços IP's da rede e usando o ARP-Spoofing redirecionou o acesso do site do Zone-H.org para o IP .14 (um dos DNS) onde ele tinha controle e deixava a mensagem como se o site tivesse sido invadido, sendo que na verdade o servidor que mostrava o site era o servidor de uma empresa de TV da Estônia que foi o local pra onde as requisições de acessos eram redirecionadas e onde continha a página com a mensagem deixada pelo cracker.
Os perigos neste tipo de ataque?
Como ele estava com controle sobre o acesso ao site ele capturava tudo que passava em "clear text" como nome de usuários e senhas dos visitantes que acessavam o site e efetuavam login, ele até mesmo tentou forjar um certificado de segurança para tentar capturar as senhas dos administradores que efetuavam login em uma área segura do site.
Se fosse um site bancário todos os dados dos correntistas poderiam ter sido comprometidos pois mesmo tendo certificado de segurança um usuário normalmente não lê o certificado para ver se é válido e se é para o site que ele está acessando.
\o_
Conceito de uma rede:
ARP é um protocolo localizado na camada de nível 2 ISO-OSI.
Sua função é determinar o endereço MAC de determinado endereço IP. Ele é formado por 48 bits de dados que invocam e armazenam dados de placas de redes.
Isto é necessário para permitir o roteamento de um grupo de computadores que estão em uma mesma rede.
Quando a associação é realizada, os pacotes podem ser enviados e recebidos pelos destinos corretos.
O protocolo ARP provê dois tipos de mensagens:
a) ARP Request: Quando o requisitante pergunta pelo endereço MAC associado a determinado endereço IP (geralmente é enviado no broadcast).
b) ARP Reply: Enviado como resposta a um ARP Request e indica o endereço MAC do host específico.
Estas operações são realizadas pelo sistema operacional, que além disto salvam estas informações em uma tabela chamada de cachê ARP.
Seu objetivo é melhorar a performance da rede, como velocidade (os pacotes podem ser roteados imediatamente sem a necessidade de esperar a resposta do host), não ocupar a largura da banda (cada pacote enviando precisaremos esperar pelo ARP Request e ARP Reply).
Implementação do protocolo ARP
Enviando um pacote IP: O kernel procura no cachê ARP se existe algum endereço MAC armazenado do IP de destino. Se presente, constrói o frame da rede e o envia. Se esta entrada não estiver presente é enviado um ARP Request e aguarda a resposta.
Recebimento de um ARP Reply: Se a resposta vier após uma requisição, será salva imediatamente no cachê.
Geralmente são aceitos até mesmo se respostas ARP não forem requisitadas, mas somente se as entradas estão no cachê de outra maneira serão ignoradas.
Recebimento de um ARP Request: O kernel responde com algum ARP Reply. Na maioria dos casos, o sistema operacional salva no cachê a associação do MAC e o IP de quem enviou. Isto é feito em sistemas Linux por exemplo.
Caso queira estudar a estrutura do arquivo do ARP, pode olhar o arquivo em /net/ipv4/ARP.c em sistemas Linux.
A motivação para o uso do ARP é simples, salvar tempo e largura de banda (bandwidth).
ARP Spoofing
Existem duas maneiras de realizar o ataque.
1) Se usarmos o ARP Reply, enviaremos o endereço IP da mesma máquina que queremos ficar no lugar, e o endereço MAC de nossa máquina.
Lembrando as especificações do kernel, se está entrada não estiver presente ainda no cachê a mesma não será inserida.
Uma solução possível é enviar um ICMP Echo Request (ping) com o endereço IP do remetente modificado como se fosse o da máquina que queremos ficar no lugar. Para responder ao ping, a vítima irá adicionar esta entrada ARP no cachê.
Depois disso poderemos realizar o ARP Poisoning, enviando um ARP Reply falso.
Mas isto não irá funcionar se o alvo não tiver o serviço de PING ativo.
2) A segunda consiste em usar o ARP Request. Seguindo as diretivas do kernel como informado acima, sabemos que a nova entrada será adicionada imediatamente quando a requisição for recebida.
A única diferença nesta versão do ataque da versão anterior, é que devemos mudar o cabeçalho do pacote de rede enviado, trocando o destino do MAC (por padrão setado para broadcast) para o endereço MAC da vítima.
Isto deverá ser feito ou o pacote enviado para o broadcast, mudaremos todos os caches das máquinas conectadas em nossa rede.
Depois de um destes métodos a máquina do atacante irá receber todo o tráfego que iria para a máquina que foi a vítima do ataque.
Mas podemos até mesmo encaminhar os pacotes capturados para podermos manter a conexão entre as duas máquinas. Por exemplo usando o IP_FORWARD.
Status na rede:
1) Primeiro ataque usando ARP-Reply (Pacotes enviados pelo atacante).
C ---> A : (IP B) é para (MAC C)
C ---> B : (IP A) é para (MAC C)
2) Segundo ataque usando ARP-Request (Pacotes enviados pelo atacante).
C ---> A : Quem é (IP A) diz (IP B) no (MAC C)?
C ---> B : Quem é (IP B) diz (IP A) no (MAC C)?
3) Cachê ARP das vítimas ANTES do ataque.
+----------------------------------------------------------------------------+
| Vítima A:----------------------------------------------------------------|
| # ARP -na--------------------------------------------------------------|
|? (10.1.1.2) e mac 00:12:F3:6A
E:F6 [rede] em eth0--|+----------------------------------------------------------------------------+
+----------------------------------------------------------------------------+
|Vítima B:-----------------------------------------------------------------|
| # ARP -na--------------------------------------------------------------|
| (10.1.1.1) e mac 00:14:B1:3F:C6:C4 [rede] em eth0---|
+----------------------------------------------------------------------------+
Podemos ver que as máquinas possuem os endereços IP's armazenados com o endereço MAC correto.
4) Cachê ARP das vítimas APÓS o ataque.
+--------------------------------------------------------------------------+
|Vítima A:---------------------------------------------------------------|
| # ARP -na------------------------------------------------------------|
| (10.1.1.2) MAC 00:13:C0:8A
3:A1 [rede] em eth0--|+--------------------------------------------------------------------------+
+-------------------------------------------------------------------------+
|Vítima B:--------------------------------------------------------------|
| # ARP -na-----------------------------------------------------------|
| (10.1.1.1) MAC 00:13:C0:8A
3:A1 [rede] em eth0--|+-------------------------------------------------------------------------+
Aqui ambas as máquinas estão com o endereço IP armazenado mas com o endereço MAC da terceira máquina, a que foi usada no ataque. Assim toda a comunicação será efetuada com a máquina do atacante e não com a máquina correta.
Solução
Para evitar este tipo de ataque, poderemos usar um ARP estático para cada máquina da rede.
Mas se os endereços IP's são distribuídos dinamicamente por um DHCP ou se for uma rede muito grande, esta solução não poderá ser aplicada.
Ferramentas como ettercap, ARPwatch ou IDS podem notificar este tipo de ataque, mas não podem barrar ele.
Este foi o tipo de ataque realizado contra o site do Zone-H.org, onde o cracker da China invadiu os servidores de DNS da rede responsável pelo Hosting do site por uma falha no Windows e usando o software conhecido como CAIN descobriu os roteadores e endereços IP's da rede e usando o ARP-Spoofing redirecionou o acesso do site do Zone-H.org para o IP .14 (um dos DNS) onde ele tinha controle e deixava a mensagem como se o site tivesse sido invadido, sendo que na verdade o servidor que mostrava o site era o servidor de uma empresa de TV da Estônia que foi o local pra onde as requisições de acessos eram redirecionadas e onde continha a página com a mensagem deixada pelo cracker.
Os perigos neste tipo de ataque?
Como ele estava com controle sobre o acesso ao site ele capturava tudo que passava em "clear text" como nome de usuários e senhas dos visitantes que acessavam o site e efetuavam login, ele até mesmo tentou forjar um certificado de segurança para tentar capturar as senhas dos administradores que efetuavam login em uma área segura do site.
Se fosse um site bancário todos os dados dos correntistas poderiam ter sido comprometidos pois mesmo tendo certificado de segurança um usuário normalmente não lê o certificado para ver se é válido e se é para o site que ele está acessando.
\o_
Comment