- ARP poisoning
-
L'ARP spoofing, ou ARP poisoning, est une technique utilisée en informatique pour attaquer tout réseau local utilisant le protocole de résolution d'adresse ARP, les cas les plus répandus étant les réseaux Ethernet et Wi-Fi. Cette technique peut permettre à l'attaquant de détourner des flux de communication transitant sur un réseau local commuté, lui permettant de les écouter, de les corrompre, mais aussi d'usurper une adresse IP ou de bloquer du trafic.
Cette usurpation d'adresse IP se fait en envoyant un paquet ARP forgé par l'attaquant vers une machine A, afin qu'il envoie ses paquets à l'attaquant C, alors qu'ils étaient destinés à la victime B. De même, l'attaquant C envoie un paquet ARP forgé vers la victime B afin qu'elle envoie ses paquets à l'attaquant C au lieu de les envoyer à la machine A. Enfin, l'attaquant doit router les paquets de A vers B et inversement pour que la connexion entre la machine A et la victime puisse continuer.
L'attaquant, en détournant le flux, peut ainsi voir les données qui transitent en clair entre les deux machines. L'ARP poisoning est notamment utile dans un réseau local, entre une victime B et un routeur A.
Il existe plusieurs méthodes d'attaque ARP:
- Gratuitous ARP : L'attaquant émet une trame ARP en Broadcast dans laquelle il fait correspondre son adresse MAC à l'adresse IP de la passerelle. Le gratuitous ARP est initialement prévu pour que les équipements venant d'arriver sur le réseau s'annoncent (ce qui permet par exemple de détecter les IP dupliquées). Les équipements réseau actuels permettent généralement de se protéger de ce genre d'attaque.
- Emission d'une réponse ARP sans requête préalable : L'attaquant émet une trame de réponse ARP alors qu'aucune requête n'a été envoyée. La machine cible remplit alors sa table ARP sans l'avoir demandé. La plupart des systèmes se protègent maintenant de cette attaque en n'acceptant que les réponses à des requêtes précédemment envoyées.
- Emission d'une requête ARP forgée : L'attaquant émet une requête en Unicast vers la victime en spécifiant comme adresse IP émettrice, l'adresse IP qu'il veut spoofer et en indiquant sa propre adresse MAC comme l'adresse MAC de l'émetteur. Ainsi, lorsque la victime reçoit la requête, elle enregistre la correspondance IP/MAC dans sa table ARP alors que celle-ci est erronée. Ce type d'attaque est notamment utilisé par les logiciels de type Cain.
Voir aussi
Liens externes
- (fr) Vidéo Tuto ARP Poisoning avec Ettercap
- (fr) Jouer avec le protocole ARP
- (en) Introduction à l'APR (Arp Poison Routing)
- (en) Explications sur l'ARP poisoning
- (en) Capturer le trafic dans un réseau commuté
- (en) XArp - Logiciel de détection d'usurpation d'adresse
- (en) Arp-sk, logiciel de génération de paquets ARP
- (en) Différents programmes utilisant l'ARP poisoning
Catégories :- Ethernet
- Sécurité du réseau informatique
Wikimedia Foundation. 2010.