Проведение ARP poisoning атаки

Изменение ARP таблиц обычно лежит в основе многих MitM атак в локальной сети. Данная атака работает в пределах одного широковещательного сегмента сети, но позволяет перехватывать весь трафик между хостами, что в рмках тестирования на проникновение (Pentest) позволяет получить много полезной информации.
Про данный вид атак написано и так очень много, поэтому просто расскажу основные методики проведения данного типа атак.
Для проведения атаки отравления ARP кэша (ARP poisoning, ARP spoofing) нам потребуются Linux утилиты ettercap и arpspoof. Arpspoof входит в пакет dsniff.

Предположим, что шлюз имеет адрес 192.168.1.1, а атакуемая машина 192.168.1.101. Хотя вместо шлюза может быть любой интересующий нас хост, например сервер, который так же находится в этом же сегменте сети.
Для проведения точечной атаки между двумя конкретных хостами нам подойдет утилита arpspoof.

Запустим подмену ARP кэша:

Использованные параметры:

-i eth0 это используемый интерфейс
-t 192.168.1.101 атакуемая машина, у которой будет подменена ARP запись
-r подменяем кэш у обоих машин, чтобы обратный трафик тоже шел через нас
192.168.1.1 второй хост, т с которым мы хотим чтобы была атака «Человек-по-середине»

Данный путь хорош, когда нужна точечная атака, а вот когда нужно сделать глобальную подмену в сегменте для все, то придется запустить такую команду для каждого хоста. Поэтому гораздо эффективнее использовать автоматизированную утилиту — Ettercap.

Запустим отравление ARP кэша на всю сеть:

Использованные параметры:

-T текстовый режим (наиболее стабилен в работе)
-q не отображать содержимое паектов
-o только MitM атака, не включать сниффер
-M arp указываем, что это будет атака ARP poisoning. Без дополнительных параметров означает, что это будут все доступные хосты в сети.

Но можно запустить и для отдельного хоста, подменив ему кэш со всеми остальными хостами в подсети (хотя этого без особой надобности делать не стоит, а стоит ориентироваться на нужные и интересные хосты, которые были найдены во время сканирования подсети скажем утилитой nbtscan. Узнаем NETBIOS имена в локальной сети. Иначе можно быть очень быстро замеченным):

или между группами хостов:

в данном случае произойдет подмена записей между диапазонами хостов 192.168.1.1-10 и 192.168.1.20-55.

Остальные сценарии использования можно посмотреть в man‘е.

Удачных тестов на проникновение!

Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктуры

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Для того, чтобы сделать заказ:

Заполните форму обратной связи и мы обязательно с вам свяжемся:
Форма обратной связи
Позвоните нам по телефону:
+7(909)952-44-33
Напишите нам на электронную почту:
order@blackdiver.net
Напишите нам в Telegram:
Telegram
Другие способы связи Вы сможете найти в разделе Контакты.