Ce tuto se décompose en 3 partie :
L’arp spoofing
La demarche
La preuve
L’arp spoofing
La demarche
La preuve
Nb: si vous n’avez pas cain et abel regardez ICI
L’arp spoofing?
Le protocole ARP (Address Resolution Protocol) implémente le mécanisme de résolution d’une adresse IP en une adresse MAC Ethernet. Les équipements réseaux communiquent en échangeant des trames Ethernet (dans le cas d’un réseau Ethernet bien sûr) au niveau de la couche liaison de données. Pour pouvoir échanger ces informations il est nécessaire que les cartes réseau possèdent une adresse unique au niveau Ethernet, il s’agit de l’adresse MAC (Media Access Control).
L’arp spoofing?
Le protocole ARP (Address Resolution Protocol) implémente le mécanisme de résolution d’une adresse IP en une adresse MAC Ethernet. Les équipements réseaux communiquent en échangeant des trames Ethernet (dans le cas d’un réseau Ethernet bien sûr) au niveau de la couche liaison de données. Pour pouvoir échanger ces informations il est nécessaire que les cartes réseau possèdent une adresse unique au niveau Ethernet, il s’agit de l’adresse MAC (Media Access Control).
Quand un paquet IP doit être envoyé la machine expéditrice a besoin de l’adresse MAC du destinataire. Pour cela une requête ARP en broadcast est envoyée à chacune des machines du réseau physique local. Cette requête pose la question : « Quelle est l’adresse MAC associée à cette adresse IP ? ». La machine ayant cette adresse IP répond via un paquet ARP, cette réponse indiquant à la machine émettrice l’adresse MAC recherchée. Dés lors, la machine source possède l’adresse MAC correspondant à l’adresse IP destination des paquets qu’elle doit envoyer. Cette correspondance sera gardée pendant un certain temps au niveau d’un cache (pour éviter de faire une nouvelle requête à chaque paquet IP envoyé).
Cette attaque corrompt le cache de la machine victime. Le pirate envoie des paquets ARP réponse à la machine cible indiquant que la nouvelle adresse MAC correspondant à l’adresse IP d’une passerelle ou d’un proxy (par exemple) est la sienne. La machine du pirate recevra donc tout le trafic à destination de la passerelle, il lui suffira alors d’écouter passivement le trafic (et/ou le modifier). Il routera ensuite les paquets vers la véritable destination.
Tout ça paraît bien technique mais ce type d’attaque n’est pas réservé aux ceintures noires en réseau, loin de là. Il existe maintenant des applications qui permettent de faire tout ceci les doigts dans le nez et met en danger votre réseau.
La démarche
Lancez Cain. Dés la première ouverture on peut se rendre compte des multitudes de fonctionnalités que possède Cain.
![[Image: Cain_all.png]](http://www.domlike.net/domlike/dl2.nsf/2/JBOE-6BBFB9/$File/Cain_all.png)
On va tout d’abord voir si votre réseau est protégé ou non contre les attaques par arp spoofing.
1. Placez vous sur l’onglet Sniffer
2. Activez le sniffer
3. Appuyez sur Ajouter
2. Activez le sniffer
3. Appuyez sur Ajouter
![[Image: Cain_123.png]](http://www.domlike.net/domlike/dl2.nsf/2/JBOE-6BBEYN/$File/Cain_123.png)
La popup du scanner d’adresse MAC apparaît. Ici vous pouvez spécifier si vous voulez scanner tout votre sous réseau ou bien spécifier un range d’adresse ip. Les options complémentaires concernent les tests d’arp. Pour le premier scan ne saisissez pas ces options de test car elles sont relativement longues à effectuer.
![[Image: Cain_range.png]](http://www.domlike.net/domlike/dl2.nsf/2/JBOE-6BBEZF/$File/Cain_range.png)
Validez le scan et vous verrez toutes les machines de votre réseau apparaître.
Maintenant le grand test. Appuyez de nouveau sur ajouter, sélectionnez range et saisissez l’adresse de votre proxy ou d’une passerelle et cochez « all test ». Validez et attendez que Cain termine ses tests.
Le résultat s’affiche en bout de ligne. Si vous avez ne serait-ce qu’une étoile dans les cases suivantes, vous pouvez commencer à trembler car votre réseau est bel et bien sensible aux attaques ARP spoofing.
Le résultat s’affiche en bout de ligne. Si vous avez ne serait-ce qu’une étoile dans les cases suivantes, vous pouvez commencer à trembler car votre réseau est bel et bien sensible aux attaques ARP spoofing.
![[Image: Cain_tests.png]](http://www.domlike.net/domlike/dl2.nsf/2/JBOE-6BBEZ8/$File/Cain_tests.png)
Cliquez sur configuration.
![[Image: Cain_config.png]](http://www.domlike.net/domlike/dl2.nsf/2/JBOE-6BBEYX/$File/Cain_config.png)
Une popup apparaît. Sélectionnez l’onglet APR et entrez une spoofed ip (une adresse qui n’existe pas bien sûr). Tout ceci pour éviter d’être repéré sur le réseau. Validez vos modifications. Placez vous sur l’onglet (en bas) APR.
![[Image: Cain_apr.png]](http://www.domlike.net/domlike/dl2.nsf/2/JBOE-6BBEYU/$File/Cain_apr.png)
Appuyez sur la croix bleue (add to list). Une popup apparaît dans la liste de gauche choisissez l’adresse IP de votre adminisrateur réseau et dans la fenêtre de droite votre proxy ou votre passerelle pour internet. Validez et appuyez sur le bouton jaune (start / stop APR). Vous venez d’activez l’arp spoofing entre lui et le proxy.
La preuve
avant de faire l’arp faite executer–>cmd–>arp -a et vous verrez 2 adresse
après la manip refaite la meme choses et vous verrez ce qui se passe.
après la manip refaite la meme choses et vous verrez ce qui se passe.
Articles
