Inicial > Protocolos de Rede, Redes de computadores > Forjando uma resposta ARP

Forjando uma resposta ARP

28 de dezembro de 2011 Deixe um comentário Go to comments

        O objetivo desta nota técnica é realizar um desvio pontual de tráfego através da injeção de pacote ARP Reply modificado, de forma a ser minimamente intrusivo. Fazendo com que o tráfego de upload originalmente enviado ao gateway da rede de IP 10.0.0.1, a partir da estação 10.0.0.30, seja interceptado em redes com switchs L2 ou de estações em mesma VLAN de switchs L3+. O tráfego de upload tende a ser sensível por conter credenciais de autenticação enviadas sob um determinado protocolo.

        O procedimento abaixo deve ser executado em uma máquina em mesmo domínio de broadcast das demais, ou seja, conectada à mesma VLAN ou em mesmo switch sem VLAN, cujo IP e MAC são indiferentes, porém supostamente 10.0.0.7 e 00:01:02:03:04:05, respectivamente.

        O ARP Request de origem 10.0.0.30 e destino 10.0.0.1 será monitorado, e quando detectado será gerado o ARP Reply com origem 10.0.0.1, destino 10.0.0.30 e MAC de origem 00:01:02:03:04:05. Desta forma, a estação 10.0.0.30 passará a enviar pacotes que originalmente seriam direcionados para o MAC do gateway, agora para o MAC de destino 00:01:02:03:04:05, fazendo com que o switch encaminhe estes pacotes para a estação 00:01:02:03:04:05, que possui o IP 10.0.0.7.

        Para que o tráfego recebido de 10.0.0.30 seja encaminhado a diante, tornando o desvio do tráfego transparente, deve-se: desativar o envio e pacotes de redirect, que o kernel enviaria por padrão,  notificando a origem da existência de uma caminho mais curto, que seria o envio do pacote diretamente ao IP 10.0.0.1. Mas obviamente o objetivo é justamente fazer com que a estação 10.0.0.30 continue enviando os pacotes originalmente para 10.0.0.1 para o IP 10.0.0.7. E deve-se ativar o encaminhamento de pacotes, para que os pacotes recebidos cujo destino não sejam os IPs locais, sejam roteados para o destino correto. E finalmente pode-se utilizar um analisador de tráfego para exibir o conteúdo dos pacotes com decodificação ASCII, útil para visualizar a camada de aplicação.

echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/ip_forward
ettercap --only-mitm --mitm arp:oneway /10.0.0.30/ /10.0.0.1/
tcpdump -i eth0 -nn -s 0 -A

Publicidade
Categorias:Protocolos de Rede, Redes de computadores Tags:, , , , ,
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

%d blogueiros gostam disto: