Questo tipo di attacco è nato per ovviare alla sostituzioni degli HUB con gli switch nelle reti ethernet. Gli switch permettono di inoltrare il traffico soltanto all'host di destinazione, quindi per sniffare i dati diretti ad altri è necessario modificare il proprio MAC.
Il protocollo Ethernet, identifica gli host in base ad un indirizzo a 48 bit(MAC), se ad esempio l' host 10.10.10.1 vuole comunicare con l'host 10.10.10.2 manderà una ARP request in broadcast con il proprio MAC ,il proprio indirizzo IP e l'IP di destinazione. Quando 10.10.10.2 riceverà l'ARP request risponderà con un'ARP reply destinato al MAC sorgente e contenente il proprio MAC.Per velocizzare il procedimento queste informazioni vengono memorizzate in una tabella di ARP, quindi è chiaro che riuscendo a modificare questa tabella sarà possibile leggere i pacchetti di dati non destinati al nostro MAC. In sostanza con questa tecnica si può realizzare un attacco MITM in cui tutto il traffico della rete passa dal nostro host. Con ettercap realizzare questo tipo di attacco è semplice basta eseguire il comando :
ettercap -i interface -T -q -M ARP /host1/ /host2/
Una valida alternativa a ettercap è arpspoof, supponiamo di voler realizzare un attacco MITM tra il gateway della rete a cui siamo collegati ,che ha un ipotetico indirizzo 192.168.0.1 e l'host 192.168.0.100 i comandi sono :
echo 1 > /proc/sys/net/ipv4/ip_forward (per abilitare ip_forward)
arpspoof 192.168.0.100 -t 192.168.0.1
arpspoof 192.168.0.1 -t 192.168.0.100
A questo punto è possibile sniffare il traffico direttamente sulla nostra interfaccia di rete.
Nessun commento:
Posta un commento