ARP Poisoning: compreenda os princípios e defenda-se

Este é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre duas ou mais máquinas.

[ Hits: 116.707 ]

Por: Luiz Vieira em 03/03/2009 | Blog: http://hackproofing.blogspot.com/


Ataques ARP



Sniffing

Os switches determinam quais dados vão para qual porta através da comparação do endereço MAC nos dados com uma tabela. Esta tabela consiste de uma lista de porta e endereços MAC relativos a elas. A tabela é construída quando o switch é ligado, examinando o MAC origem dos primeiros dados enviados a cada porta.

Placas de rede podem entrar em um estado chamado de Modo Promíscuo onde é permitido examinar dados destinados a endereços MAC outros que não o seu. Em redes com switch isso não é permitido, pois o switch faz o direcionamento dos dados baseado na tabela descrita acima. Isso previne contra o sniffing dos dados de outras máquina. Entretanto, utilizando o ARP Poisoning há muitas formas através das quais o sniffing pode ser realizado em uma rede com switch.

Man in the Middle (MITM)

Este ataque é um dos métodos de sniffing. É um dos ataques no qual uma terceira pessoa está inserida entre o caminho de comunicação de dois computadores.

Não há qualquer interrupção do tráfego de ambos os computadores, pois a terceira pessoa redireciona os pacotes de dados ao computador destino.

Considere um exemplo. Na figura abaixo o atacante, host C, envia uma resposta ARP para dizer à B que o IP de A pertence ao endereço MAC de C, e outra resposta é enviada à A, dizendo que o IP de B pertence ao endereço MAC de C. Já que o protocolo ARP não é volátil (stateless), os hosts A e B assumem que enviaram uma requisição ARP em algum ponto no passado e atualizaram seus caches ARP com esta nova informação.
Linux: Figura 3 Organização de um ataque MITM
Figura 3 - Organização de um ataque MITM
Linux: Figura 4 Organização de um ataque MITM
Figura 4 - Organização de um ataque MITM
Agora, quando A tenta enviar dados para B, ele vai para C, ao invés de B. O host C pode usar esta posição única para direcionar os dados para o host correto e monitorá-los ou modificá-los a medida que eles passam por C (figura 4). Man-in-The-Middle também pode ser realizado entre um computador e o roteador de uma rede através do envenenamento (poisoning) do roteador.

MAC Flooding

Este é outro método de sniffing. O MAC Flooding é uma técnica de ARP-Poisoning voltada para switchs de rede. Quando alguns switchs são sobrecarregados eles frequentemente passam a funcionar no modo hub. No modo hub, o switch está ocupado demais para reforçar a segurança de suas portas e apenas faz o broadcast do tráfego de toda a rede para cada um dos computadores em sua rede.

Através da sobrecarga (flooding) da tabela ARP do switch com toneladas de respostas ARP falsas, um hacker pode sobre carregar muitos switchs usados atualmente e então sniffar os pacotes da rede enquanto o switch funciona no modo hub.

Denial of Service

Um hacker pode facilmente associar um endereço IP operacional a um endereço MAC falso. Para tanto, um hacker pode enviar uma resposta ARP associando o endereço IP do roteador da rede com um endereço MAC que não existe. Então, os computadores acreditam que sabem onde o gateway padrão está, mas na realidade todos os pacotes que estão enviando para aquele destino não vão para a rede local, mas sim para um grande buraco negro. Com pouco trabalho, o hacker conseguiu separar a rede da Internet.

Hijacking

Para sequestrar (hijack) uma conexão de rede de uma máquina alvo, temos que ser capazes de direcionar o fluxo de tráfego da rede a partir da máquina alvo para nossa máquina. O passo seguinte é redirecionar os pacotes de dados em nível de kernel. Essa mudança de controle pode resultar na transferência de qualquer tipo de sessão do Sistema Operacional. Para tanto, um atacante poderia tomar o controle de uma sessão telnet após uma máquina alvo ter logado em um computador remoto como administrador.

Cloning

O endereço MAC foi criado para ser um identificador único no mundo inteiro para cada interface de rede produzida. Podemos alterar o endereço MAC utilizando softwares disponíveis e também usando hardware, que é bem mais trabalhoso e tedioso. Usuários de Linux pode alterar seu MAC sem utilizar softwares de Poisoning e Spoofing, usando apenas um parâmetro do comando ifconfig, que configura a interface de rede no S.O.. Um atacante por realizar um ataque DoS [4] à um computador alvo, e então atribuir a si mesmo o IP e MAC desse computador, recebendo todos os dados enviados para tal computador.

Página anterior     Próxima página

Páginas do artigo
   1. ARP Poisoning
   2. Conceitos básicos sobre ARP (Address Resolution Protocol)
   3. Definição de ARP-Poisoning
   4. Ataques ARP
   5. Ferramentas e utilitários ARP
   6. Defesa contra ARP-Poisoning e sua Detecção
   7. Referências & Terminologia
Outros artigos deste autor

Metasploit Framework

Segurança da Informação: Necessidades e mudanças de paradigma com o avanço da civilização

Análise de Malware em Forense Computacional

Distribuição CAINE Linux para forense digital: em Live-CD, pendrive, máquina virtual ou direto em seu Ubuntu 10.04

Cheops: uma ótima ferramenta de rede

Leitura recomendada

Detectando possíveis trojans e lkms em seu servidor

IPtables e seus módulos

Analisando arquivos de registro (log)

Linux - Permissões de acesso especiais

Mecanismo de firewall e seus conceitos

  
Comentários
[1] Comentário enviado por pbrito81 em 03/03/2009 - 17:40h

Só um adendo: o envenenamento ARP não necessariamente é feito como resposta à uma solicitação. Um atacante pode enviar respostas ARP a qualquer momento - mesmo que o computador atacado não tenha as pedido - que o computador atacado as aceitará e atualizará sua tabela ARP.

[2] Comentário enviado por luizvieira em 04/03/2009 - 07:59h

Olá pbrito, seu adendo está correto: não precisa haver uma requisição inicial. Valeu!

[3] Comentário enviado por pogo em 05/03/2009 - 11:20h

excelente texto! parabéns!

[4] Comentário enviado por psychokill3r em 14/04/2009 - 21:25h

Obrigado Prof.

mais 100 pontos (este autor tem 5 artigos simplesmente essenciais(ate agora)) todos no favoritos com certeza.
vi no seu perfil que voce "trabalha como psicoterapeuta com especialização em Hipnose, PNL, Regressão, EFT, Sedona Method, Coaching. "
poderia nos dar um perecer sobre esse programa de mensagens subliminares que foi postado aqui no vol.
http://www.vivaolinux.com.br/artigo/Mentis-Reprogramese/
se tiver tempo ok.
valeuw desde já pelas aulas e espero mais .

[5] Comentário enviado por luizvieira em 14/04/2009 - 22:11h

Valeu pelo comentário elogioso psychokill3r (e pelos 100 pts tbm...rs)!

Quanto ao prograna, não conheço esse, mas conheço outros que já usei no Windoze há anos atrás. No entanto, pelo que pude ver, a utilização e o modus operandis são os mesmos. O lance da msg subliminar é que ela pode ocorrer atrvés de vários canais: o visual e o auditivo são os mais comuns. Para que o programa funcione vc precisa ser uma pessoa do tipo visual. Para quem é auditivo o ideal é gravar msgs subliminares junto com músicas e ouvi-las enquanto estuda, trabalha ou faz alguma atividade onde sua mente não está concentrada na música diretamente.

Para descobrir qual seu canal principal de representatividade (visual, auditivo, cinestésico), faça o teste que há nesse link:
http://www.pnl.med.br/site/artigos/12.htm

Em breve postarei um artigo sobre PNL para Hacking aqui no VOL (se a moderação liberar, é claro).
[ ]'s



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts