Tutorial arp spoofing em um pentest
Este tutorial faz parte do GUIA COMPLETO do professional em Segurança Ofensiva de Software, saiba mais.
Aula 6: ARP Spoofing
ARP é a sigla para Address Resolution Protocol, um protocolo de resolução de endereços, em sua rede local. Este protocolo traduz endereços de IP para endereços MAC.
O protocolo ARP envia pacotes solicitando endereço MAC de determinado IP. Como as entradas ARP mais recentes tem prioridade, o protocolo automaticamente realiza cache de qualquer resposta ARP, mesmo não requisitada. Portanto é simples para um atacante associar seu endereço MAC com o endereço IP de outra máquina.
Em um ataque ARP Spoofing ou ARP Poisoning, o atacante salva como template uma resposta ARP normal e muda o endereço MAC. Depois basta inundar o alvo (usuário ou roteador) com respostas ARP alterada.
Você pode fazer isso facilmente utilizando a ferramenta Ettercap disponível em modo texto ou interface gráfica no Kali Linux. O Ettercap é uma ferramenta para ataques do tipo man-in-the-middle (MiTM), homem-do-meio, permitindo realizar sniffing de conexões, filtrar conteúdos e analise de rede.
Configurando Ettercap:
 |
| Figura 1: Alterando privilégio ettercap |
Edite o arquivo etter.conf presente no diretório /etc/ettercap/ aumentando o privilégio de execução do ettercap, basta alterar para 0 o “ec_guid” e “ec_uid” (Figura 1).
 |
| Figura 2: Regras iptables Ettercap |
Algumas linhas abaixo retira o # das regras de iptables, também ipv6, para seu sistema Linux (Figura 2).
Exemplo capturando sessão FTP:
 |
| Figura 3: Tabela ARP máquina vítima (Windows XP) |
A tabela ARP da máquina da vítima está vazia (Figura 3).
 |
| Figura 4: Ettercap arp poisoning
|
Utilizando o Ettercap pela interface de texto (-T) foi apontada a interface de rede (-i) que será utilizada e configurado um ataque de man-in-the-middle (-M) do tipo arp em modo silecioso (-q) (Figura 4). Em seguida foi configurado o primeiro alvo como sendo o IP do gateway da rede e o segundo alvo o IP da máquina Windows XP.
 |
| Figura 5: Conexão FTP |
Enquanto o ARP Spoofing ocorria, foi realizado uma conexão FTP no qual a máquina alvo se conectou a um serviço FTP na máquina host¹ (Figura 5).
 |
| Figura 6: Wireshark captura de pacotes |
Utilizando Wireshark, na mesma máquina que estava rodando o Ettercap, foi capturados os pacotes e identificado o usuário e senha da conexão FTP realizada pela máquina alvo (Figura 6).
Algumas defesas contra ARP Spoofing / Poisoning:
- Ter entradas ARP estáticas
- Cross-checking (certificação) de respostas ARP
- Suspeitar de vários endereços IP associados a um único endereço MAC
- Suspeitar de respostas ARP sem serem requisitadas
- Windows kernel: antiARP
- Linux/Linksys kernels: ArpStart (ignora respostas não solicitadas)
- KVM (máquinas virtuais): previne MAC spoofing entre guests
- Configurações nos roteadores: MAC e VLAN anti-spoofing
[1] Máquina Windows 10 que está na mesma rede e executando as máquinas virtuais.
Próxima aula, clique aqui.
COMENTÁRIOS