ArtigosOffensive

Entendendo e Realizando Um Ataque Arp Spoofing

Pessoal hoje nós iremos aprender uma pouco mais sobre Sniffer, iremos entender o que ele é, como funciona, algumas ferramentas e como utiliza-las (nesse poste iremos nos resumir ao uso do Dsniff, deixando a utilização de outras ferramentas para posts futuros), esse é um tópico bem importante para aqueles que estão começando na área de redes/segurança, bem vamos ao que interessa.

Sniffer é uma ferramenta capaz de capturar o tráfego da rede, inclusive as senhas que trafegam sem criptografia pela rede. Após uma invasão é comum que um cracker instale um sniffer na máquina atacada para visualizar as senhas que trafegam em busca de mais acessos dentro da rede. Embora seja mais fácil capturar pacotes em uma rede que utiliza hubs, também é possível realizar a captura de dados em redes que utilizam switches.

A captura de trafego era bastante simples em redes que possuíam HUBs, onde a informação trafegada é replicada por toda a rede. Como a evolução, surgiram os switchs, onde a rede passou a trabalhar de forma mais segmentada, encaminhando os pacotes apenas para a porta onde estava conectado a maquina de destino, com isso dificultou o uso de ferramentas de sniffer.

Logo, com o aparecimento dos switchs surgiram também diversas formas de “by-passa-los”, uma delas consistia em “floodar” a tabela CAM do switch. Esta tabela fica na área de memória onde o switch mantém o mapeamento de PORTA <===> MAC. Quando fazemos o flood, diversos switchs não conseguem mais acrescentar nenhuma entrada nela passando a funcionar como um HUB. Um exemplo de ferramenta que faz CAM Flood é o macof, que vem no pacote do dsniff. Você pode instalar o Dsniff executando: 

# aptitude install dsniff

Execute o seguinte comando para fazer o CAM Flood no Switch.

# macof

Pronto a partir daí o macof já inundou a tabela CAM do switch com endereços MAC aleatórios fazendo com que o switch funcione como HUB.

Obs: Não é obrigatório o uso do macof para fazer o arp spoofing, isso só irá acelerar o processo um pouco em redes que utilizam switchs.

Os ataques de arp spoofing consistem em adicionar/substituir na tabela arp da maquina alvo uma entrada que diz IP_QUE_A_MAQUINA_ALVO_ESTA_SE_COMUNICANDO <===> MAC_DO_ATACANTE. Com isso quando a maquina alvo for montar o pacote para envio ela montara com o IP real do servidor de destino que ela quer acessar, porem utilizará o endereço MAC do atacante, ou seja, quando este pacote passar pelo switch o mesmo encaminhará o pacote para o atacante, no caso você.

Exemplo:

# arpspoof -i <INTERFACE> -t <IP_DO_ALVO> <IP_QUE_SEU_ALVO_VAI_MAPEAR_PARA_SEU_MAC>

# arpspoof -i eth0 -t 192.168.0.55 192.168.0.1

Obs: O arpspoof faz parte do Dsniff que instalamos  a pouco.

No exemplo acima o IP 192.168.0.55 vai adicionar/atualizar a sua tabela arp com os novos dados. Para o ataque ser 100% funcional é preciso fazer o mesmo para o IP 192.168.0.1 e habilitar o forward de pacotes (echo “1” >/proc/sys/net/ipv4/ip_forward) na sua máquina, com isso o trafego entre tais hosts passará por você e você poderá sniffar e/ou fazer ataques de MITM (Man-In-The_Middle).

Abra um terminal e habilite o encaminhamento de pacotes

# echo “1” > /proc/sys/net/ipv4/ip_forward

Agora faça o arp spoofing, aqui estou dizendo que quando o ip final 55 se comunicar com o gateway (final 1), na verdade o ip 55 vai encaminhar os pacotes para o PC do atacante, no caso o seu.

# arpspoof -i eth0 -t 192.168.0.55 192.168.0.1

Agora em outro terminal informe que quando o gateway (final 0.1) se comunicar com o ip final 55 na verdade ele (gateway) irá encaminhar os pacotes para o PC do atacate, no caso o seu.

# arpspoof -i eth0 -t 192.168.0.1 192.168.0.55

Pronto com isso você já é capaz de “sniffar” o trafego da vitima ou até mesmo fazer um MITM (Man-In-The_Middle) Homen do Meio em bom português.

Outras ferramentas capazes de sniffar a rede são:

Ettercap

Extremamente famoso no mundo do hacking, esse sniffer é capaz de capturar trafego em switch por possuir técnicas arp spoofing. Além disso, a ferramenta é composta por diversos plugins que possibilitam identificar máquina, encontrar portas abertas e finalizar conexões ativas, além de capturar sessões de protocolos como telnet.

TcpDump

O tcpdump é um dos mais, se não o mais “famoso” sniffer para sistemas GNU/Linux. Com ele podemos realizar análises de redes e solucionar problemas. Sua utilização é simples e sem mistérios, bastando apenas ter os conhecimentos básicos de redes TCP/IP.

Wireshark

Wireshark, o bom e velho Ethereal, é um poderoso sniffer, que permite capturar o tráfego da rede, fornecendo uma ferramenta poderosa para detectar problemas e entender melhor o funcionamento de cada protocolo.

Bem depois de conhecer algumas ferramentas, saber como um sniffer funciona e como fazer um arp spoofing vamos ver quais são os protocolos mais vulneráveis a sniffer simplesmente por utilizarem senhas em texto plano sem autenticação. Logo, se um atacante tiver acesso a LAN poderá facilmente interceptar senhas e ganhar vários acesso. 

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Bem pessoal é isso ai, espero que tenham gostado do poste e que tenham consigo compreender o que tentei compartilhar com vocês, nos próximos posts iremos abordar mais a fundo cada uma das ferramentas citadas para saber como utiliza-las para realizar alguns tipos de ataques, o intuito deste poste foi só dar uma pequena introdução ao assunto, até a próxima.

Ricardo Galossi
Siga me
Últimos posts por Ricardo Galossi (exibir todos)

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão. Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Um comentário sobre “Entendendo e Realizando Um Ataque Arp Spoofing

  • Bom arpspoof so pra fazer ataque em rede interna so nos pc que esteja conectado na mesma rede ou pode fazer com ouyros pv de outros modem porq aqui nao ta dando com outros ips se tiver, como ?

    Resposta

Deixe seu comentário