[0x06] ARP Spoofing Poisoning com Ettercap

COMPARTILHAR:

Whatsapp Telegram Twitter Facebook Reddit

Tutorial arp spoofing em um pentest

Este tutorial faz parte do GUIA COMPLETO do professional em Segurança Ofensiva de Software, saiba mais.

Aula 6: ARP Spoofing

ARP é a sigla para Address Resolution Protocol, um protocolo de resolução de endereços, em sua rede local. Este protocolo traduz endereços de IP para endereços MAC.

O protocolo ARP envia pacotes solicitando endereço MAC de determinado IP. Como as entradas ARP mais recentes tem prioridade, o protocolo automaticamente realiza cache de qualquer resposta ARP, mesmo não requisitada. Portanto é simples para um atacante associar seu endereço MAC com o endereço IP de outra máquina.

Em um ataque ARP Spoofing ou ARP Poisoning, o atacante salva como template uma resposta ARP normal e muda o endereço MAC. Depois basta inundar o alvo (usuário ou roteador) com respostas ARP alterada. 

Você pode fazer isso facilmente utilizando a ferramenta Ettercap disponível em modo texto ou interface gráfica no Kali Linux. O Ettercap é uma ferramenta para ataques do tipo man-in-the-middle (MiTM),  homem-do-meio, permitindo realizar sniffing de conexões, filtrar conteúdos e analise de rede.

Configurando Ettercap:

Figura 1: Alterando privilégio ettercap

Edite o arquivo etter.conf presente no diretório /etc/ettercap/ aumentando o privilégio de execução do ettercap, basta alterar para 0 o “ec_guid” e “ec_uid” (Figura 1).

Figura 2: Regras iptables Ettercap

Algumas linhas abaixo retira o # das regras de iptables, também ipv6, para seu sistema Linux (Figura 2).

Exemplo capturando sessão FTP:

Figura 3: Tabela ARP máquina vítima (Windows XP)

A tabela ARP da máquina da vítima está vazia (Figura 3).

Figura 4: Ettercap arp poisoning

Utilizando o Ettercap pela interface de texto (-T) foi apontada a interface de rede (-i) que será utilizada e configurado um ataque de man-in-the-middle (-M) do tipo arp em modo silecioso (-q) (Figura 4). Em seguida foi configurado o primeiro alvo como sendo o IP do gateway da rede e o segundo alvo o IP da máquina Windows XP.

Figura 5: Conexão FTP

Enquanto o ARP Spoofing ocorria, foi realizado uma conexão FTP no qual a máquina alvo se conectou a um serviço FTP na máquina host¹ (Figura 5).

Figura 6: Wireshark captura de pacotes

Utilizando Wireshark, na mesma máquina que estava rodando o Ettercap, foi capturados os pacotes e identificado o usuário e senha da conexão FTP realizada pela máquina alvo (Figura 6).

Algumas defesas contra ARP Spoofing / Poisoning:

  • Ter entradas ARP estáticas
  • Cross-checking (certificação) de respostas ARP
  • Suspeitar de vários endereços IP associados a um único endereço MAC
  • Suspeitar de respostas ARP sem serem requisitadas
Ferramentas para defesa:
  • Windows kernel: antiARP
  • Linux/Linksys kernels: ArpStart (ignora respostas não solicitadas)
  • KVM (máquinas virtuais): previne MAC spoofing entre guests
  • Configurações nos roteadores: MAC e VLAN anti-spoofing

[1] Máquina Windows 10 que está na mesma rede e executando as máquinas virtuais.

Próxima aula, clique aqui.

COMENTÁRIOS

Nome

#ann,25,#HK,30,#LTCode,130,Artigo - Diversos,156,Artigo - Games,201,Artigo - Tecnologia,615,autor-thomaz,7,Coluna - Alternative World,24,Coluna - Fail,12,Coluna - Tec Line,14,Criptomoeda,72,Curiosidades - Diversos,49,Curiosidades - Tecnologia,50,en,2,estudo,8,HN,12,logica,14,Pentest,23,Programar C,29,Programar POO,6,Programar Python,6,Programar Shell,25,Programar verilog,12,qradar,4,Raspberry Pi,15,Redes,3,root,117,Shorty Awards,1,Smartphones - Reviews,33,Teoria,10,Top Nostalgia,2,VPN,19,WhatsApp,46,
ltr
item
Limon Tec: [0x06] ARP Spoofing Poisoning com Ettercap
[0x06] ARP Spoofing Poisoning com Ettercap
Tutorial arp spoofing em um pentest
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikJMn5LIEfrtHPEivASNGrjkvEXwlg4pIfsUmJSG3iiHB7Qq2GaWwJER5C7ACwPdzjN3mOJMzZdm6Bafmml93aqYJZ_yJFwmxuidt2RVhJnGRLXV2v545RJExEEpfLRP6o2trej48bX-8CaV9ryot9es4nMq4iCNEvPxcVUu2M8uAvqxo4gECtD5lHKw/w640-h421/limontec_seguranca_ofensiva_software.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikJMn5LIEfrtHPEivASNGrjkvEXwlg4pIfsUmJSG3iiHB7Qq2GaWwJER5C7ACwPdzjN3mOJMzZdm6Bafmml93aqYJZ_yJFwmxuidt2RVhJnGRLXV2v545RJExEEpfLRP6o2trej48bX-8CaV9ryot9es4nMq4iCNEvPxcVUu2M8uAvqxo4gECtD5lHKw/s72-w640-c-h421/limontec_seguranca_ofensiva_software.png
Limon Tec
https://www.limontec.com/2023/12/arp-spoofing-ettercap-pentest.html
https://www.limontec.com/
https://www.limontec.com/
https://www.limontec.com/2023/12/arp-spoofing-ettercap-pentest.html
false
2157924926610706248
UTF-8
Carregar todos posts Não encontramos nenhum post VER TUDO Ler mais Responder Cancelar resposta Deletar Por Home PÁGINAS POSTS Ver tudo RECOMENDADO PARA VOCÊ LABEL ARQUIVO SEARCH TODOS POSTS Não encontramos nenhum post relacionado a sua requisição VOLTAR PÁGINA INICIAL Domingo Segunda Terça Quarta Quinta Sexta Sábado Dom Seg Ter Qua Qui Sex Sab Janeiro Fevereiro Março Abril Maio Junho Julho Agosto Setembro Outubro Novembro Dezembro Jan Fev Mar Abr Maio Jun Jul Ago Set Out Nov Dez apenas agora 1 minuto atrás $$1$$ minutes ago 1 hora atrás $$1$$ hours ago Ontem $$1$$ days ago $$1$$ weeks ago mais de 5 semanas atrás Seguidores Seguir ESTE CONTEÚDO ESTÁ BLOQUEADO PASSO 1: Compartilhe com seus amigos PASSO 2: Clique no link compartilhado Copiar Todo Código Selecionar Todo Código Todos códigos foram copiados para seu clipboard Não é possível copiar códigos / textos, por favor aperte [CTRL]+[C] (ou CMD+C no Mac) para copiar Tabela de conteúdo