| theme | background | class | lineNumbers | aspectRatio | routerMode | version |
|---|---|---|---|---|---|---|
default |
text-center |
false |
16_/9 |
hash |
1.0.1 |
ARP Spoofing o ARP Poisoning
--- #slide 1
- Il protocollo ARP(Address Resolution Protocol) è utilizzato per mappare gli indirizzi IP (Internet Protocol) agli indirizzi MAC (Media Access Control) nei LAN (Local Area Network). Quando un dispositivo desidera comunicare con un altro dispositivo nella stessa rete locale, utilizza l'ARP per scoprire l'indirizzo MAC corrispondente all'indirizzo IP di destinazione.
Documentazione in più:
--- #slide 1
- L'ARP poisoning, noto anche come ARP spoofing, è una tecnica di attacco utilizzata in reti informatiche che sfrutta il protocollo ARP (Address Resolution Protocol) per inviare messaggi falsi a una rete locale. Questo tipo di attacco può compromettere la sicurezza della rete e consentire a un attaccante di intercettare, modificare o bloccare la comunicazione tra i dispositivi di rete.
Scopri di più su: ARP Spoofing
Le varie fasi dell'ARP Poisoning
- Fase di Scoperta
- Fase di Risposta
- Attacco
- Intercettazione del Traffico
MAI usare la tecnica del ARP Poisoning per scopi illeciti o per arrecare danno a qualcuno o qualcosa.
--- #slide 1
La fase della scoperta
-
Raccolta di informazioni: L'attaccante inizia raccogliendo dati sulla rete target, come gli indirizzi IP e MAC dei dispositivi connessi, utilizzando strumenti come arp-scan o nmap.
-
Identificazione dei dispositivi: Viene effettuata l'identificazione dei dispositivi chiave nella rete, come router e gateway, e di altri dispositivi che comunicano frequentemente.
-
Monitoraggio del traffico ARP: L'attaccante monitora il traffico ARP per associare indirizzi IP e MAC, utilizzando strumenti di sniffing come Wireshark.
-
Preparazione all'attacco: Una volta raccolte le informazioni, l'attaccante si prepara a inviare pacchetti ARP falsificati per avviare lo spoofing, associando il proprio MAC a quello di un altro dispositivo.
--- #slide 1
Fase di Risposta
-
Iniezione di Risposte Falsificate: Un attaccante monitora il traffico ARP sulla rete e invia risposte ARP falsificate a Host A e Host B, facendoli credere che il proprio indirizzo MAC sia quello dell'altro host. Questo attacco consente all'attaccante di intercettare o manipolare il traffico tra i due dispositivi.
-
Aggiornamento della Cache ARP: Quando Host A e Host B ricevono risposte ARP falsificate, aggiornano la loro cache ARP con informazioni errate, facendo sì che entrambi inviino i dati all'indirizzo MAC dell'attaccante anziché a quello del dispositivo legittimo.
-
Intercettazione del Traffico: AL'attaccante può intercettare, registrare o modificare il traffico tra due dispositivi, portando a furto di dati, manipolazione delle comunicazioni e iniezione di malware.
--- #slide
Attacco
-
Iniezione di pacchetti ARP:
- L'attaccante invia pacchetti ARP falsificati nella rete. Un pacchetto ARP contiene informazioni sulle associazioni tra indirizzi IP e MAC.
- Ad esempio, l'attaccante può inviare un pacchetto ARP che associa il proprio indirizzo MAC all'indirizzo IP di un'altra macchina (ad esempio, il gateway della rete).
- Questo pacchetto viene inviato sia ai dispositivi target che al gateway, il che porta a una situazione in cui entrambi i dispositivi credono che l'attaccante sia il destinatario legittimo.
--- #slide
Intercettazione del traffico
- Con le tabelle ARP delle due macchine compromesse aggiornate con informazioni false, l'attaccante può ora intercettare il traffico tra i due dispositivi, alterarlo o redirigerlo.
- Verifichiamo che i frame in uscita abbiano effettivamente il source MAC address corretto
--- #slide
Proteggersi dall'ARP Poisoning
- L'ARP poisoning in conclusione é un attacco che sfrutta il protocollo ARP per compromettere le comnicazioni in delle reti locali. Permette a chiunque di reindirizzare il traffico di rete e intercettare i dati o di effettuare attacchi tipo "man-in-the-middle" (come fa dettoni con la rete della scuola)
--- #slide
Alcuni metodi per proteggersi
-
Static ARP Entries: Questa tecninca consiste nel configuare le voci del ARP statiche sui dispositivi di rete riducendo il rischio di attacco. Tuttavia, questa soluzione può essere poco pratica in una rete dinamica.
-
ARP Spoofing Detection Tools: Questa tecnica consiiste nel utilizzare strumenti di monitoraggio che rilevino attiivtà sospette e avvisino gli amministratori in caso di possibili attacchi di ARP poisoning.
-
VPN e Crittografia: Questa tecnica consiste nel utilizzo di una VPN e protocolli di crittografia per proteggere i dati in transito sulla rete.
-
Utilizzo di protocolli sicuri: Utilizzare protocolli sicuri come HTTPS, SSH e FTPS per le comunicazioni. Essi offrono una crittografia end-to-end.
-
Filtraggio dei pacchetti: Questa tecnica consiste nell' implementare filtri su switch e router per limitare i pacchetti non autorizzati.
--- #slide 1
Come eseguire un man-in-the-middle (mitm) per intercettare un ping
- Per questa esercitazione ci serviranno:
- 1 Switch
- 3 PC (o più)
- Wireshark
- Ettercap
Link al sito: Ettercap
MAI usare la tecnica del ARP Poisoning per scopi illeciti o per arrecare danno a qualcuno o qualcosa.
--- #slide 1
Come eseguire un man-in-the-middle (mitm) per intercettare un ping
1° Step:
- Accendiamo i PC
- Accendiamo lo switch
- Collegghiamo lo switch alla rete della scuola e 2 pc ad esso:
- Utilizzando la porta 1 per la connessione alla rete della scuola
- Utilizzando le porte 17 & 18 per i 2 pc.
- Il 3° PC dovrà rimanere collegato alla rete della scuola
2° Step:
- Assicurarsi che i link funzionino correttamente
- Se non dovessero funzionare occorre configurare lo switch
--- #slide 1
Come eseguire un man-in-the-middle (mitm) per intercettare un ping
3° Step:
- Assegnare un gateway agli host:
- Host1: 192.168.111.1
- Host2: 192.168.111.0
4° Step:
- Usando wireshark inizia a tracciare i pacchetti che passano per l'host3
5° Step:
- Eseguire un ping tra l'Host1 al Host2
- Cosa succede se pingo l'Host2?
- Cosa succede se pingo l'Host1?
--- #slide 1
Come eseguire un man-in-the-middle (mitm) per intercettare un ping
6° Step:
- Set up di Ettercapx
--- #slide 1
Come eseguire un man-in-the-middle (mitm) per intercettare un ping