Gli attacchi ARP Poisoning o anche conosciuti come ARP Spoofing, sono uno degli attacchi Man in the Middle più conosciuti e pericolosi che possiamo trovare nelle reti cablate e wireless. Se un criminale informatico esegue correttamente questo attacco, sarà in grado di intercettare tutte le comunicazioni tra la vittima e la connessione Internet, inoltre, con tecniche un po 'più avanzate, potrebbe persino modificare il traffico al volo e persino "sollevare" la sicurezza di il protocollo HTTPS per renderlo HTTP e violare la nostra sicurezza. Oggi in questo articolo spiegheremo cosa fa un attacco ARP Poisoning, come è fatto con il popolare Kali Linux distribuzione e come possiamo proteggerci da questo attacco di rete.
Cos'è il protocollo ARP?
Il protocollo ARP (Address Resolution Protocol) è uno dei protocolli fondamentali nelle reti IPv4, senza questo protocollo non potremmo ottenere un indirizzo IP tramite DHCP o comunicare con altri computer, anche se abbiamo messo un indirizzo IP privato sul nostro computer. Il protocollo ARP consente alle comunicazioni di rete di raggiungere correttamente la loro destinazione, il suo obiettivo è tradurre gli indirizzi IP (indirizzi logici) in un indirizzo MAC (indirizzi fisici) e viceversa. Il protocollo ARP ha il compito di formare una tabella con la coppia IP-MAC, e che i diversi computer della rete locale possano comunicare tra loro senza problemi, inoltre, assicura anche che i computer possano comunicare con il router per accedere al Internet Poiché il router avrà anche un indirizzo IP LAN e un indirizzo MAC, dove i diversi PC e dispositivi invieranno i loro frame per essere gestiti dal router.
Il protocollo ARP esiste solo nelle reti IPv4, nelle reti IPv6 questo stesso lavoro viene svolto da ICMPv6, che incorpora più funzioni rispetto a IPv4. Noi stessi possiamo vedere la tabella ARP del nostro computer per vedere tutti i computer sulla rete locale con cui è attualmente in comunicazione, se apriamo una console e inseriamo il seguente comando:
arp -a
Nell'immagine seguente puoi vedere gli indirizzi IP privati (Indirizzi Internet) e anche gli indirizzi MAC di tutti i dispositivi (Indirizzo fisico). Possiamo vedere tutte le tabelle ARP delle diverse schede di rete che abbiamo, un dettaglio molto importante è che possiamo rimuovere o inserire manualmente le coppie IP-MAC da questa tabella ARP.
Tutti i computer mantengono questa tabella ARP come cache, quindi verrà temporaneamente rinnovata o quando verranno visualizzati nuovi computer con cui vogliamo comunicare, ovvero è una tabella dinamica e cambia a seconda delle comunicazioni che faremo. In questo modo, se un determinato computer non conosce il MAC di un indirizzo IP, dovrà inviare un pacchetto di richiesta ARP, richiedendo l'indirizzo MAC corrispondente da altri computer.
Una delle voci più importanti nella tabella ARP è quella visualizzata dal router, solitamente il primo indirizzo IP sulla sottorete. Gli attacchi ARP Poisoning sono specificamente focalizzati su questa voce e ora spiegheremo perché. Il protocollo ARP non è stato progettato con l'obiettivo di essere sicuro, quindi non verifica in nessun momento che la risposta a una richiesta ARP provenga realmente da un host legittimo, chiunque potrebbe impersonare un altro host facilmente e rapidamente, eseguendo un attacco ARP Poisoning.
Cos'è l'attacco ARP Poisoning?
L'attacco ARP Poisoning consiste nell'avvelenare la tabella ARP di una vittima, facendo credere che il router sia l'attaccante, con l'obiettivo che la vittima inoltri tutto il suo traffico a questo aggressore per eseguire uno sniffing di ognuna delle connessioni che eseguire. In questo modo, un dispositivo vittima potrebbe inviare inconsapevolmente tutto il suo traffico di rete a questo aggressore ed eseguire due diversi tipi di attacchi:
- Da attacchi DoS : se l'attaccante non inoltra le connessioni al router per andare su Internet, faremo un denial of service alla vittima, cioè lo lasceremo senza una connessione Internet.
- L'uomo nell'attacco centrale : se l'attaccante inoltra le connessioni al router per andare su Internet, faremo un attacco MitM, ottenendo tutto il suo traffico di rete per ulteriori approfondimenti, inoltre, le informazioni inviate o ricevute potrebbero anche essere modificate al volo la vittima , infatti, uno degli attacchi più pericolosi è SSL Stripping, per mezzo del quale un utente malintenzionato è in grado di “sollevare” il traffico HTTPS e convertirlo in HTTP per spiare tutte le comunicazioni. L'aggressore potrà continuare a instradare tutte le comunicazioni e ottenere tutte le informazioni, che è la cosa più normale, infatti, potrà rubare i cookie della vittima e impersonarla senza la necessità di sottrarre account utente e password.
Per eseguire un ARP Avvelenamento attacco , è necessario soddisfare determinati requisiti:
- L'aggressore deve trovarsi all'interno della stessa rete della vittima, della stessa rete cablata o della stessa rete WiFi.
- Devi scansionare l'intera rete locale alla ricerca dell'indirizzo IP della vittima, per poi lanciare l'attacco.
- È necessario utilizzare diversi strumenti per creare un pacchetto ARP falso e inviarlo alla vittima. Due strumenti noti per svolgere questo compito sono Arpspoof e BetterCap, da quest'ultimo hai un tutorial completo in questo articolo.
- Una volta che i pacchetti ARP falsi vengono inviati alla vittima, crederanno che siamo il router. Ma affinché la comunicazione sia bidirezionale è necessario anche far credere al router che siamo la vittima, quindi dovremo lanciare due attacchi ARP Poisoning, uno sulla vittima e l'altro sul router.
Una volta che sia la vittima che il router hanno ricevuto i pacchetti ARP falsi, comunicheranno direttamente con l'attaccante invece che tra di loro, e in questo momento l'attaccante sarà nel mezzo della comunicazione. Ora l'attaccante
Come eseguire un attacco ARP Poisoning con Kali Linux
La prima cosa che dobbiamo fare, nell'elenco delle applicazioni, è cercare la sezione « 9. Annusare e falsificare «, poiché è lì che troveremo gli strumenti necessari per eseguire questo attacco informatico. Successivamente, apriremo « Ettercap-grafico » e vedremo una finestra simile alla seguente.
Ora dovremo inserire la password del super utente, ovvero la password "root", per impostazione predefinita la password è "kali".
Il prossimo passo è selezionare i parametri di base di Ettercap, possiamo lasciarlo con i parametri di default, cioè iniziamo a sniffare all'inizio, selezioneremo la scheda di rete che vogliamo, di default è eth0. Lasciamo il resto delle opzioni così come sono e facciamo clic sul pulsante nella parte in alto a destra per accettare le modifiche.
Una volta avviato il programma, dovremo cliccare sulla “lente di ingrandimento” che vedete in alto a sinistra, quello che farà Ettercap sarà scansionare l'intera rete locale a cui siamo connessi alla ricerca dei diversi dispositivi che sono collegati , e quindi, qualche vittima da attaccare.
Qui dovremmo ottenere tutti gli host o i dispositivi connessi alla nostra rete. Tuttavia, nel caso non compaiano tutti, possiamo effettuare una scansione completa della rete semplicemente cliccando nuovamente sulla «lente di ingrandimento» che abbiamo nella parte in alto a sinistra. Dopo qualche secondo dovrebbe essere aggiornato l'elenco di prima che mostra tutti i dispositivi, con i rispettivi IP e MAC, collegati alla nostra rete.
In caso di voler effettuare un attacco diretto contro un singolo host, ad esempio, soppiantare l'identità del gateway per monitorare le connessioni della vittima che compare nell'elenco dei dispositivi, prima di iniziare l'attacco dobbiamo stabilire entrambi gli obiettivi.
Per fare ciò, sotto l'elenco degli host possiamo vedere tre pulsanti, anche se presteremo attenzione agli ultimi due:
- Target 1 – Selezioniamo l'IP del dispositivo da monitorare, in questo caso, il dispositivo vittima, e clicchiamo su quel pulsante.
- Target 2 – Premiamo l'IP che vogliamo impersonare, in questo caso quello del gateway.
Tutto pronto. Ora non ci resta che scegliere il” MITM menu ” in alto e, al suo interno, scegli il ” Avvelenamento da ARP " opzione.
Apparirà una piccola finestra di configurazione, in cui dobbiamo assicurarci di contrassegnare « Annusa le connessioni remote «. Dobbiamo anche lasciare deselezionata l'opzione "solo veleno unidirezionale", questa opzione non eseguirà ARP Poisoning in entrambe le direzioni ma solo in una, quindi non abbiamo comunicazione bidirezionale. È molto importante lasciare deselezionata questa opzione "solo veleno a senso unico", cioè come è per impostazione predefinita.
Clicchiamo su «Ok» e l'attacco avrà luogo. Ora possiamo avere il controllo sull'host che abbiamo impostato come " Target 1 ".
La prossima cosa che dobbiamo fare è, ad esempio, eseguire Wireshark per catturare tutti i pacchetti di rete e analizzarli alla ricerca di informazioni interessanti o ricorrere ai diversi plugin che Ettercap ci offre, come, ad esempio, il browser web remoto, dove ci caricherà tutti i siti web che il target visita. Ad esempio, abbiamo fatto il tipico ping a Google, la squadra attaccante ha catturato tutto correttamente.
Queste tecniche sono solo per uso privato all'interno della nostra rete, o in una rete in cui abbiamo il permesso, logicamente queste tecniche possono essere applicate per scopi illegali. Se usiamo queste tecniche per monitorare i sistemi di altre persone, stiamo commettendo un crimine.
Una volta che abbiamo già imparato come possiamo fare questo attacco con Kali Linux in modo facile e veloce, vediamo come possiamo mitigare questo attacco.
Rileva e mitiga questo attacco per navigare in sicurezza
Questo attacco alle reti di dati è molto popolare ed è disponibile per chiunque, per questo motivo è molto importante sapere come rilevare se questo attacco viene effettuato su di noi e anche come possiamo mitigare questo attacco in modo che non lo faccia avere successo. In molti casi, l'unica cosa che possiamo fare è crittografare tutte le nostre comunicazioni in modo che, sebbene possano acquisire tutte le informazioni, non possano leggere nulla. Di seguito, puoi vedere tutti i dettagli per rilevare e mitigare questo attacco.
Come posso rilevare che questo attacco viene effettuato su di me?
Il modo più semplice per rilevare che si sta effettuando un attacco ARP Poisoning o ARP Spoofing è controllare la tabella ARP, con il comando precedente di «arp -a» possiamo vedere la tabella ARP completa del nostro dispositivo, nel caso ne abbiamo due Indirizzi IP con lo stesso indirizzo MAC fisico, ciò significa che qualcuno sta effettuando un attacco Man in the Middle con un ARP Poisoning. Ad esempio, immaginiamo di avere la seguente tabella ARP:
Indirizzo Internet Indirizzo fisico
192.168.1.1 00-01-02-03-04-05
192.168.1.2 00-01-02-03-04-AA
192.168.1.3 00-01-02-03-04-05
In questo caso si vede perfettamente che sia il router che il secondo PC hanno esattamente lo stesso indirizzo MAC. Ciò significa che la tabella ARP viene avvelenata. Esistono programmi di sicurezza che ci consentono di rilevare automaticamente se un tale attacco viene effettuato su di noi, controllerà continuamente la tabella ARP per trovare se c'è un indirizzo MAC duplicato, quindi invierà all'utente un avviso.
Misure per mitigare questo attacco
Per un utente, l'unica misura che può essere presa per mitigare questo attacco è quella di Usa un VPN , ciò garantirà la riservatezza e l'autenticità di tutte le connessioni. Dobbiamo ricordare che, in alcuni casi, è possibile violare le connessioni HTTPS utilizzando tecniche di SSL Stripping, quindi, se vuoi essere protetto contro questo attacco, la nostra raccomandazione è di utilizzare IPsec, OpenVPN o Gabbia di protezione tipo VPN, tutte ci garantiranno sicurezza e privacy nella rete.
Un'altra misura che un utente potrebbe prendere è per registrare una voce statica nella nostra tabella ARP , tuttavia, questo funzionerà solo se ci colleghiamo sempre alle stesse reti, altrimenti dovremmo registrare ed eliminare la voce ARP , il che è molto scomodo. Se si tratta di un computer statico come un PC desktop, potrebbe essere fatto in questo modo, tuttavia, è molto meglio farlo a livello di rete dall'amministratore.
Nel caso degli amministratori della rete stessa, attualmente switch e router/firewall hanno tecniche anti ARP-spoofing , in questo modo, se attiviamo queste misure di sicurezza, impediremo a un utente malintenzionato di attaccare un altro utente all'interno della nostra stessa rete, quindi sarebbe una caratteristica molto importante per proteggere i propri utenti. Potremmo anche attivare DHCP Snooping per impedire a un utente malintenzionato di configurare il proprio server DHCP per fornire l'indirizzamento a una o più vittime specifiche.
Infine, una volta eseguite queste misure di mitigazione, la nostra raccomandazione è di eseguire personalmente questo tipo di attacco per verificare che le tue difese siano efficaci, ovvero è molto importante che controlli la tua sicurezza.