Archivi tag: arp spoofing

Analisi sull’ARP poisoning

Sicurezza, , , ,

L’ARP poisoning (o ARP spoofing) è una tecnica che consente di effettuare attacchi man in the middle. Essa modifica intenzionalmente le ARP table degli host appartenenti ad un adato segmento della LAN, permettendo all’attaccante di intercettare le informazioni scambiate in locale o con un server remoto (se si riesce a sniffare il traffico diretto verso il gateway).

Ma a cosa servono le ARP table? Servono semplicemente a mappare il MAC address da 48 bit (detto anche indirizzo fisico) di ogni dispositivo collegato alla rete con il rispettivo indirizzo IP. 

Vediamo ora come viene realizzato questo tipo di attacco:

Trudy (l’attacker) invia un’ARP-reply ad Alice contenente il proprio indirizzo MAC e l’indirizzo IP di Bob. Successivamente invia a Bob un’ARP-reply contenente sempre il proprio MAC address ma l’indirizzo IP di Alice. In questo modo Trudy riuscirà ad intercettare le informazioni scambiate tra Bob ed Alice. 

Tale metodo di attacco, però, non è propriamente passivo. Infatti è necessario inviare continuamente le ARP-reply modificate ad Alice e a Bob, poichè le ARP table vengono continuamente resettate ed aggiornate.

E’ bene notare inoltre che l’ARP poisoning non ha alcun effetto sulle reti che fanno uso di switch e di VLAN. Infatti, ogni Virtual LAN è come se fosse una rete locale a sè stante, suddividendo la rete in più comprartimenti stagni. Ecco allora che se ad esempio Trudy è connessa alla VLAN 1, mentre Alice e Bob si trovano nella VLAN 2, l’attacco non andrà a buon fine.

Una tecnica alternativa all’ARP poisoning, che consente di superare l’ostacolo rappresentato dalle VLAN, prende il nome di MAC flooding. Essa consiste nell’inviare continuamente indirizzi MAC allo switch, in modo da riempire completamente la CAM (ovvero la memoria in cui tale dispositivo tiene traccia degli indirizzi fisici), sovraccaricandola. A questo punto lo switch entrerà in uno stato, detto fail open, iniziando ad inoltrare il traffico su tutte le porte, comportandosi quindi come un normalissimo hub. Non bisogna però generalizzare: infatti alcuni switch anzichè andare in fail open entrano in fail close, bloccando tutti i pacchetti.

Maggiori informazioni sull’ARP poisoning le trovate a questo indirizzo. Bye.