Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 16-03-2010 19:18:40

skaa
Membre
Inscription : 24-12-2009
Messages : 14

Pourquoi l'arp spoofing fonctionne toujours aussi bien ?

Je me cette question depuis quelque temps.

Aujourd'hui il est vraiment devenu très simple de faire de l'arp spoofing, en LAN ou en Wifi, même sans vraiment "comprendre" ce que l'on fait.
Et du coup n'importe qui qui sait ouvrir un terminal et recopier deux lignes peut potentiellement faire de la merde sur notre réseau.

Je me suis donc demandé pourquoi aucune sécurité n'a été mise en place pour lutter contre ça ? Au niveau de la box.. ou au niveau de l'OS de l'utilisateur (ou au niveau du hardware ?).

Une victime d'ARP poisoning se prend quand même une rafale de paquets ARP dans la tête sans rien avoir demandé. Ça ne doit pas être sorcier de scripter quelque chose qui refuse les paquets ARP au dela d'une certaine frequence... ou alors on pourrait faire une sauvegarde de sa table ARP avant chaque modification et si on reçoit 10 paquets identiques sur une très courte période, alors on revient à la sauvegarde de juste avant ces paquets, et on ignore cette réponse ARP pendant une durée determinée.


Je suppose qu'il y a pas mal de trucs qui font ça (des NIDS ou des trucs du genre surement ? Ou même des choses beaucoup moins sophistiquées).

Et donc pourquoi n'est ce pas appliqué par défaut par tous les FAI/constructeurs de Box ? Et pourquoi par défaut les OS ne sont pas préparés à lutter contre cela ?

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 16-03-2010 21:28:04

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Pourquoi l'arp spoofing fonctionne toujours aussi bien ?

Salut Skaa !

Je vais te répondre en plusieurs points, si tu veux bien smile
* pourquoi l'ARP est-il si peu sécurisé ?
Il faut bien te dire qu'ARP, comme la plupart des protocoles, a été conçu il y a de nombreuses années, du temps où les réseaux (même Internet) ne contenaient que des hôtes "de confiance". La sécurité était considéré comme un pré-requis et donc les mesures de sécurisation n'avaient pas lieu d'être.
De plus, ce n'est pas du tout le rôle de l'ARP de jouer la sécurité. Si tu regardes où il se trouve dans le modèle OSI (c'est assez ambigu parce qu'il a été inventé avant le modèle en question...), il se trouve au dessus de la sous-couche MAC, Media Access Control (contrôle d'accès au medium). Donc il part du principe que tous ceux qui sont sur le "médium" y sont autorisés ! smile Dans le cas de l'Ethernet, c'est facile à garantir : c'est un câble, donc l'attaquant devrait d'abord trouver le moyen de se connecter "physiquement". Idem pour tous les protocoles, jusqu'à l'arrivée du WiFi. Là, on s'est rendu compte qu'avoir la maîtrise du medium (ici : l'air) c'est quasi impossible. Mais pour l'interopérabilité (et la facilité, disons le), on a gardé le schéma de type Ethernet, en supposant que la partie "chiffrement" suffisait à garantir que le réseau ne contient de nouveau que des hôtes autorisés (et donc de confiance) hmm
En clair, si tu te prends un ARPspoof dans les dents, c'est qu'il y a un problème en amont, plus grave, qui fait en sorte qu'un attaquant s'est retrouvé sur ton réseau supposé sûr ! Si tu te mets en WPA-PSK-CCMP avec une passphrase de 63 caractères, il y a peu de chances qu'un pirate arrive à venir te pourrir ton cache ARP, pour la simple raison qu'il n'arrivera pas au niveau de ton réseau local wink
Mais je suis d'accord avec toi, l'usage des réseaux a (très) fortement évolué ces dernières années, et à terme il faudra qu'on implémente une sécurité quasiment à tous les étages. Les remarques que tu fais ici sont valables également pour le DNS, et même le BGP, et elles ont des conséquences autrement plus massives ! wink

* Rien n'est prévu au niveau de l'OS ?
Eh bien quoi que tu en penses, si smile Il y avait à l'origine 3 types d'attaques par ARP :
- Gratuitious ARP en Broadcast (généralement empêché par les appareils récents)
- Réponse ARP Unicast sans requête préalable (les OS récents n'acceptent plus ce genre de réponse)
- Réponse ARP falsifiée : là, les OS ne savent pas faire grand chose hmm
De même, tous les OS te permettent de fixer des entrées statiques dans ta table ARP, c-à-d permanentes. la victime potentielle n'envoie donc plus de "ARP Who has ?", puisqu'elle connaît déjà la réponse. c'est juste long et pénible à mettre en place (et impossible sur une machine nomade).
Et finalement, certains routeurs (c'est le cas du mien) te permettent d'établir une liste des appareils autorisés (style filtrage MAC), mais en spécifiant également l'IP ! Donc une machine avec une autre IP qui prétendrait avoir mon adresse MAC ne pourrait tout simplement pas communiquer sur mon réseau smile A ce jour c'est ce que j'ai trouvé de mieux...

* Que puis-je faire de plus ?
Outre le fait d'investir dans un W-IDS, il y a des solutions plus simples. Par exemple, le programme ArpWatch permet de surveiller le trafic ARP, et de générer une alerte en cas de "rafales" suspectes. C'est plutôt efficace, mais ca doit tourner en permanence, de préférence en mode monitor (pour surveiller l'ensemble du réseau), donc ca demande une machine dédiée ou bien un minimum de configuration, et c'est difficilement déployable à grande échelle chez le client lambda d'un FAI "normal". Dans le même genre, que crois qu'Ettercap a un module de détection d'ARP poisoning. Ou alors tu te bricoles ton scanner maison à partir de Scapy/..., mais là bonne chance wink
Tu peux aussi, comme je l'ai dit plus haut, faire une entrée ARP statique pour ton routeur dans ta table ARP, au moins comme ca le poisoning est empêché dans un sens. Les autres solutions que tu proposes sont belles en théorie, mais demandent un travail relativement lourd :
- les "réponses sans rien avoir demandé" sont généralement bloquées par les OS, pas besoin de les traquer
- travailler sur la fréquence c'est dangereux : sur un réseau d'entreprise, si tu as 17 machines qui s'allument en même temps (par exemple le matin à 8h58), elles vont toutes établir leurs tables ARP dynamiques, et donc il va y avoir du trafic à fréquence élevée... Si tu bloques ca, tu paralyses le réseau, impensable hmm
- faire une copie/comparaison de la table ARP demande du calcul supplémentaire, inutile dans 99,9% des cas, et surtout à très bas niveau (presque au niveau du driver). C'est lourd et difficile à répliquer pour tous les matériels et tous les OS. Et surtout, ca n'a rien à faire à ce niveau-là du réseau, cfr. ma discussion sur le rôle de l'ARP et la sécurité supposée acquise.

* Pourquoi tout le monde s'en fout ?
Parce que ca ne concerne qu'une très petite minorité de cas. Oui, c'est un vrai problème, mais tu connais beaucoup de gens qui sont concernés ? Il faut déjà avoir dans son entourage quelqu'un qui sait le faire. Même si 2 lignes en console suffisent, il faut déjà booter sous linux et se connecter au réseau. Et déjà ca, c'est pas généralisé comme compétence big_smile
Ensuite, pour ceux qui cassent la clé WiFi, dans 99,9% des cas, ce n'est pas dans un but malveillant c'est juste pour se connecter au net sans payer.
Quant aux vrais hackers, ils ne s'amusent pas à faire du porte à porte en allant s'incruster sur tous les réseaux de la rue pour aller sniffer des mots de passe Paypal roll le Phishing marche encore suffisamment bien pour ca, et les trojans se répandent beaucoup plus rapidement.
Reste le hacking "de pointe", style espionnage industriel. Mais ca ne concerne généralement que les grosses entreprises, et on peut supposer qu'elles ont les moyens de surveiller ca (reste à voir si elles le font, mais c'est un autre débat).

Tout ca pour dire que le problème concerne beaucoup trop peu de gens pour que le FAI s'amuse à pondre lui-même une solution hard ou soft qui n'existe généralement pas toute faite (le hardware dont je t'ai parlé plus haut reste exotique). Ils n'arrivent déjà pas à faire en sorte que tout le monde passe en WPA, alors l'ARP poisoning, tu penses roll

Damn, j'ai un méchamment craqué sur la longueur, là big_smile Je m'impressionne moi-même... Ben écoute, si t'es arrivé jusqu'ici, juste bravo quoi ! tongue

Hors Ligne

#3 16-03-2010 23:56:45

skaa
Membre
Inscription : 24-12-2009
Messages : 14

Re : Pourquoi l'arp spoofing fonctionne toujours aussi bien ?

Ow... merci pour cette réponse exhaustive, claire et structurée wink

En plus j'ai tout compris roll

La seule interrogation qui me reste, c'est de quoi est donc composée cette réponse ARP falsifiée. Qu'est ce qui fait concrètement que l'OS accepte cette réponse alors qu'il n'a pas envoyé de requête ?

Je suis en train de comparer 2 trames sur wireshark, entre une réponse ARP classique et une réponse ARP envoyée par arpspoof.... Et je n'arrive pas à voir de différence.

En tout cas les deux trames possèdent l'option "Is Gratuitous: False" donc déjà on peut éliminer cette possibilité.

Mais donc, qu'est ce qui change ?

Hors Ligne

#4 17-03-2010 00:06:25

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Pourquoi l'arp spoofing fonctionne toujours aussi bien ?

skaa a écrit :

Mais donc, qu'est ce qui change ?

Rien, c'est pour ca que c'est vicieux ! La requête est juste falsifiée en mettant la MAC de l'attaquant à la place de la vraie... indétectable hmm
Je ne connais pas le mécanisme exact, mais je crois qu'on joue juste sur les probabilités :
- ou bien la victime accepte des ARP sans requête, là c'est facile on bombarde
- ou bien quand la victime va envoyer une requête arp "who has", l'attaquant va s'arranger pour envoyer la sienne plus rapidement que la machine légitime. Pour ca c'est simple, il suffit d'envoyer des rafales de paquets "is at", et il y a de fortes chances pour que la victime en chope un juste après qu'elle ait fait sa requête (ca se joue à pas grand chose mais ca suffit).

J'avoue que je ne me suis jamais penché sur ces détails de l'ARP poisoning (en fait je me suis surtout documenté récemment pour te répondre big_smile), mais je pense que ca se fait comme ca... Peut-être aussi que l'OS finit par accepter les réponses devant "l'insistance" de l'attaquant, mais alors ca serait presque une faille selon moi roll

Un autre détail : les entrées ARP de la table sont conservées par l'OS pendant un certain temps, donc le poisoning peut ne pas être immédiat. Pour accélérer le processus (quand on est en WiFi) on peut forcer la déconnexion de la victime (envoyer une trame de déauth : aireplay, mdk3,...) : les OS Microsoft en général vident leur table ARP à la déconnexion, donc c'est une bonne façon de faire générer des requêtes ARP "who has" (faut bien re-remplir la table) smile

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.024 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]