Ferramentas para usar no ataque de falsificação de ARP
Existem muitas ferramentas como Arpspoof, Cain & Abel, Arpoison e Ettercap que estão disponíveis para iniciar a falsificação de ARP.
Aqui está a captura de tela para mostrar como as ferramentas mencionadas podem enviar a solicitação ARP de forma contenciosa:
Ataque de falsificação de ARP em detalhes
Vamos ver algumas capturas de tela e entender passo a passo o ARP spoofing:
Passo 1 :
A expectativa do invasor é obter a resposta ARP para que possa aprender o endereço MAC da vítima. Agora, se formos mais longe na captura de tela fornecida, podemos ver que há 2 respostas ARP dos endereços IP 192.168.56.100 e 192.168.56.101. Depois disso, a vítima [192.168.56.100 e 192.168.56.101] atualiza seu cache ARP, mas não consulta de volta. Portanto, a entrada no cache ARP nunca é corrigida.
Os números dos pacotes de solicitação ARP são 137 e 138. Os números dos pacotes de resposta ARP são 140 e 143.
Assim, o invasor encontra a vulnerabilidade fazendo o ARP spoofing. Isso é chamado de “entrada de ataque”.
Passo 2:
Os números dos pacotes são 141, 142 e 144, 146.
Da atividade anterior, o invasor agora tem endereços MAC válidos de 192.168.56.100 e 192.168.56.101. O próximo passo para o atacante é enviar o pacote ICMP para o endereço IP da vítima. E podemos ver na captura de tela fornecida que o invasor enviou um pacote ICMP e obteve uma resposta ICMP de 192.168.56.100 e 192.168.56.101. Isso significa que ambos os endereços IP [192.168.56.100 e 192.168.56.101] podem ser acessados.
Etapa 3:
Podemos ver que há a última solicitação ARP para o endereço IP 192.168.56.101 para confirmar que o host está ativo e tem o mesmo endereço MAC de 08:00:27:dd:84:45.
O número do pacote fornecido é 3358.
Passo 4:
Há outra solicitação e resposta ICMP com o endereço IP 192.168.56.101. Os números dos pacotes são 3367 e 3368.
Podemos pensar a partir daqui que o atacante está mirando na vítima cujo endereço IP é 192.168.56.101.
Agora, qualquer informação que venha do endereço IP 192.168.56.100 ou 192.168.56.101 para o IP 192.168.56.1 chega ao endereço MAC do invasor cujo endereço IP é 192.168.56.1.
Passo 5:
Uma vez que o invasor tenha acesso, ele tenta estabelecer uma conexão real. Na captura de tela fornecida, podemos ver que o estabelecimento da conexão HTTP está sendo tentado pelo invasor. Existe uma conexão TCP dentro do HTTP, o que significa que deve haver um handshake de 3 vias. Estas são as trocas de pacotes para TCP:
SYN -> SYN+ACK -> ACK.
Na captura de tela fornecida, podemos ver que o invasor está tentando novamente o pacote SYN várias vezes em portas diferentes. O número do quadro 3460 a 3469. O número do pacote 3469 SYN é para a porta 80, que é HTTP.
Passo 6:
O primeiro handshake TCP bem-sucedido é mostrado nos seguintes números de pacote da captura de tela fornecida:
4488: Quadro SYN do atacante
4489: quadro SYN+ACK de 192.168.56.101
4490: Quadro ACK do atacante
Etapa 7:
Assim que a conexão TCP for bem-sucedida, o invasor poderá estabelecer a conexão HTTP [número do quadro 4491 a 4495] seguida pela conexão SSH [número do quadro 4500 a 4503].
Agora, o ataque tem controle suficiente para fazer o seguinte:
- Ataque de sequestro de sessão
- Homem no meio do ataque [MITM]
- Ataque de negação de serviço (DoS)
Como prevenir o ataque de falsificação de ARP
Aqui estão algumas proteções que podem ser tomadas para evitar o ataque de falsificação de ARP:
- Uso de entradas “ARP estático”
- Software de detecção e prevenção de falsificação ARP
- Filtragem de pacotes
- VPN, etc
Além disso, poderíamos impedir que isso aconteça novamente se usarmos HTTPS em vez de HTTP e usarmos a segurança da camada de transporte SSL (Secure Socket Layer). Isso é feito para que todas as comunicações sejam criptografadas.
Conclusão
A partir deste artigo, obtivemos algumas ideias básicas sobre o ataque de falsificação de ARP e como ele pode acessar os recursos de qualquer sistema. Além disso, agora sabemos como parar esse tipo de ataque. Essas informações ajudam o administrador da rede ou qualquer usuário do sistema a se proteger contra ataques de falsificação de ARP.