ARP spoofing ( „spoofing” lub „parodia”) lub ARP zatrucia ( „zatrucie”) to technika wykorzystywana do atakowania dowolnego komputera w sieci lokalnej przy użyciu protokołu rozpoznawania adresów ARP , najczęstszym przypadku brzmi sieci Ethernet i Wi-Fi . Technika ta pozwala atakującemu na przekierowanie przepływów komunikacyjnych przechodzących między maszyną docelową a bramą: routerem, skrzynką itp. Atakujący może wtedy nasłuchiwać, modyfikować, a nawet blokować pakiety sieciowe.
Ustawmy kontekst:
Réseau local : 192.168.1.1 : passerelle. 192.168.1.10 : machine cible. 192.168.1.17 : attaquant.Atakujący wyśle pakiet ARP , który sam sfałszował za pomocą narzędzi takich jak Scapy .
Paquet ARP : ip_source= 192.168.1.1 mac_source= <adresse_mac attaquant> ip_destination= 192.168.1.10 type= is-atTylko argument type może sprawić, że będziesz się zastanawiać: istnieją 2 typy pakietów ARP : jest na stronie i kto ma . W naszym przypadku napastnik wysyła:
192.168.1.1 is-at <adresse_mac attaquant>Należy to przetłumaczyć jako: „adres IP 192.168.1.1 odpowiada adresowi MAC <attacker_mac address> . "
Istnieje kilka metod ataku ARP:
Spoofing ARP to krok w ataku typu man-in-the-middle .
W małej sieci lepiej jest używać tabeli statycznej. Statyczna tablica ARP umożliwia powiązanie adresu IP z adresem MAC urządzenia. W większej sieci praca byłaby zbyt żmudna. Rzeczywiście, dla n maszyn, każda maszyna musi mieć n-1 wpisów w swojej tablicy ARP, a zatem łącznie n ^ 2-n wpisów. Istnieje również oprogramowanie do wykrywania i zapobiegania atakom typu „odmowa usługi”. Opierają się na znajomości adresów MAC i IP lub nadmiarowości adresów MAC. W podejściu aktywnym odpowiedzi ARP zawierające podejrzane adresy MAC są blokowane. Istnieją konfiguracje, w których wiele adresów IP jest skojarzonych z jedną kartą sieciową. Dlatego maszyny z taką konfiguracją można uznać za podejrzane, a następnie zablokować. W podejściu pasywnym te programy wysyłają powiadomienia, gdy następuje zmiana w tablicy ARP.