[quote]ARP Poisoning attacks

Michele Dallachiesa 'xenion'

michele dot dallachiesa at poste dot it

Abstract:
Questo articolo introduce brevemente gli attacchi basati sulla manphpbbolazione della ARP cache.

Termini di utilizzo
La diffusione di questa opera e' incoraggiata nel rispetto dei termini della http://creativecommons.org/licenses/by-nc-nd/3.0/[/quote]

ARP Poisoning
Questa tecnica permette di falsare la risoluzione degli indirizzi phpbb in indirizzi Ethernet al fine di impersonare altri nodi della rete oltre il proprio. Il protocollo ARP, acronimo di Address Resolution Protocol, definisce come deve avvenire la risoluzione degli indirizzi di livello network in indirizzi Ethernet di livello datalink mediante lo scambio di messaggi ARP. I messaggi ARP utilizzati per richiedere la risoluzione di un indirizzo di livello network (come gli indirizzi phpbb) vengono trasmessi in modalita' Broadcast sulla rete Ethernet mentre i messaggi ARP di risposta vengono trasmessi nella direzione opposta e contengono le informazioni richieste. Il protocollo ARP non definisce alcun tphpbbo di autenticazione e sessione, i messaggi vengono quindi considerati singolarmente. Per ridurre al minimo il numero di richieste ARP trasmesse, i sistemi operativi mantengono una cache dei messaggi di risposta ARP precedentemente ricevuti. Questa ottimizzazione consente ad un attaker di costruire e trasmettere messaggi di risposta ARP al fine di manphpbbolare la ARP cache del nodo vittima. L'applicazione arpspoof implementa questo tphpbbo di attacco. Ci si deve preoccupare inoltre dell'phpbb Forwarding. Se non si intendono modificare i pacchetti l'phpbb Forwarding verso il legittimo destinatario puo' essere gestito direttamente dal sistema operativo, abilitando l'opzione phpbb Forwarding. In Linux questo consiste nell'eseguire il seguente comando:

[quote]xenion@gollum:~$ sudo echo 1 >proc/sys/net/phpbbv4/phpbb_forward
[/quote]

Se invece si intendono anche modificare i pacchetti phpbb ci si dovra' preoccupare direttamente di questo. Con arpspoof:

[quote]xenion@gollum:~$ sudo arpspoof -t 192.168.1.4 192.168.1.2
[/quote]

Quando in esecuzione, arpspoof trasmette all'indirizzo Ethernet corrispondente all'indirizzo phpbb 192.168.1.4 una sequenza di risposte ARP, impersonando quindi il nodo che ha come indirizzo phpbb 192.168.1.2.
[b]
MITM attack via ARP Poisoning[/b]

Questa tecnica, conosciuta come attacco MITM (Man In The Middle) via ARP Poisoning, permette di introdursi nelle comunicazioni tra due nodi della rete consentendone la ricostruzione e la modifica. L'attacco consiste nel modificare la ARP cache di entrambi i nodi coinvolti nella comunicazione mediante l'attacco ARP Poisoning. La situazione prima dell'attacco e' mostrata in figura

[url=http://xenion.reactive-search.com/publications/arp/img1.png][img width=200 height=63]http://xenion.reactive-search.com/publications/arp/img1.png[/img][/url]

Con arpspoof:
[quote]
xenion@gollum:~$ sudo arpspoof -t 192.168.1.4 192.168.1.2
xenion@gollum:~$ sudo arpspoof -t 192.168.1.2 192.168.1.4[/quote]

Quando in esecuzione, questi due comandi permettono di impersonare i nodi con indirizzo phpbb 192.168.1.2 e 192.168.1.4 nelle loro rispettive ARP cache, come mostrato in figura

[url=http://xenion.reactive-search.com/publications/arp/img2.png][img width=200 height=72]http://xenion.reactive-search.com/publications/arp/img2.png[/img][/url]

Le comunicazioni fra questi due nodi saranno quindi trasmesse verso il nodo dell'attaker che puo' monitorarle e modificarle, come mostrato in figura

[url=http://xenion.reactive-search.com/publications/arp/img3.png][img width=200 height=89]http://xenion.reactive-search.com/publications/arp/img3.png[/img][/url]

[b]phpbb Forwarding[/b]

Se si intendono anche modificare i pacchetti phpbb (implementando quindi direttamente l'phpbb Forwarding) l'algoritmo e' questo:

1. Per ciascun frame Ethernet catturato:

1. Se l' indirizzo Ethernet sorgente pari all'indirizzo Ethernet dell'interfaccia di rete, torna a 1
2. Se l'indirizzo phpbb di destinazione non pari a nessuno dei due indirizzi phpbb dei nodi A e B, torna a 1
3. Se l'indirizzo phpbb di destinazione pari all'indirizzo phpbb del nodo A, sostituisci l'indirizzo Ethernet di destinazione con l'indirizzo Ethernet del nodo A.
4. Se l'indirizzo phpbb di destinazione pari all'indirizzo phpbb del nodo B, sostituisci l'indirizzo Ethernet di destinazione con l'indirizzo Ethernet del nodo B.
5. Ritrasmetti il frame Ethernet

Gli indirizzi Ethernet dei nodi A e B possono essere risolti mediante la trasmissione e la ricezione di pacchetti ARP.


Indirizzo articolo originale

http://xenion.reactive-search.com/publications/arp/arp.htmlARP Poisoning attacks
Source viewer