Scribd Logo
Importer

Bienvenue sur Scribd !

  • 10 vues

    TP - Attaque Man in The Middle Par ARP Poisoning

    Transféré par

    ksalvina

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    TP - Attaque Man in The Middle Par ARP Poisoning

    Transféré par

    ksalvina
    10 vues11 pages

    Titre original

    TP _ Attaque Man in the Middle par ARP Poisoning

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    10 vues11 pages

    TP - Attaque Man in The Middle Par ARP Poisoning

    Transféré par

    ksalvina

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 11

    TP : Attaque Man in the Middle par ARP

    Poisoning
    Filière : INDIA – S5
    Module : Techniques avancées de la Cybersécurité

    Groupe :Fatima-Ezzahrae SBILI - Majda HAZIM

    1. Introduction
    Objectif du TP

    ● Comprendre le fonctionnement du protocole ARP


    ● Mettre en place un réseau de machines virtuelles
    ● Réaliser et analyser une attaque Man in the Middle par ARP Poisoning

    Environnement de travail
    Configuration de Réseau : 192.168.100.0/24

    ● Configuration des machines virtuelles :

    ○ VM1 (Linux) : IP 192.168.100.5/24


    Mac : 08:00:27:41:dc:69


    ○ VM2 (Linux) : 192.168.100.6/24
    Mac : 08:00:27:56:50:e9

    ○ VM3 (Windows) : 192.168.100.4/24
    Mac : 08:00:27:76:A3:FD

    ● Logiciels utilisés : Ettercap, tcpdump

    2. Découverte du Protocole ARP


    2.1 Tests initiaux

    Observations de la table ARP

    ● État initial de la table


    ○ Machine 1 : windows


    ○ Machine 2 : linux (kali)

    ○ Machine 3 : linux (kali)

    ● Résultats après suppression des entrées


    ○ Machine 1 : windows


    ○ Machine 2 : linux (kali)


    ○ Machine 3 : linux (kali)

    2.2 Tests de communication


    Communication locale

    ● Résultats du ping local


    ○ Machine linux de IP 192.168.100.5

    -Le ping montre que la communication passe entre les trois machines

    ● Analyse des nouvelles entrées ARP

    ● Capture tcpdump correspondante

    Communication Internet

    ● Résultats du ping vers Google

    Adresse IP google : 142.250.184.14


    ● Observations sur le cache ARP

    Le cache arp reste le même

    3. Réalisation de l'Attaque
    3.1 Configuration de l'attaque

    Étapes de préparation :

    ● Choix des machines cibles


    ○ Target 1 : machine cible (vm linux d’adresse 192.168.100.6)
    ○ Target 2 : machine à usurper (vm windows d’adresse 192.168.100.4)

    ● Lancement de tcpdump

    ● Configuration de l’attaque
    Ajout des target 1 et 2 :

    3.2 Déroulement de l'attaque

    ● Lancement de l'ARP Poisoning


    ● Résultat de tcpdump après lancement de l’attaque

    ● Observations des modifications dans les tables ARP


    ○ Machine à usurper (target 2)

    ○ Machine attaquante


    ○ Machine cible (target 1)

    3.3 Résultats et observation


    L’observation des tables ARP avant et après l’attaque, ainsi que l’analyse du trafic capturé,
    révèlent clairement l'interception des paquets. Ce comportement illustre comment l’attaquant
    devient un relais entre les cibles, et met en évidence la vulnérabilité des réseaux basés
    uniquement sur ARP pour l'adressage.

    4. Schéma de l’attaque

    Ip du réseau local : 192.168.100.0/24

    ➢ Machine Attaquante :
    ○ vm linux 192.168.100.5
    ➢ Machine Cible :
    ○ vm linux 192.168.100.6
    ➢ Machine à usurper :
    ○ vm windows 192.168.100.4

    Explication

    Découverte des adresses IP et MAC


    VM1, l’attaquant, commence par scanner le réseau pour identifier les adresses IP et MAC de
    VM2 et VM3.
    Début de l’attaque ARP Poisoning
    L'attaquant envoie de fausses réponses ARP aux machines VM2 et VM3 :

    ● Vers VM2 (Cible) : VM1 envoie un message ARP prétendant que l'adresse IP de VM3
    (192.168.100.4) est associée à son adresse MAC (08:00:27:41:dc:69).
    ● Vers VM3 (Machine usurpée) : VM1 envoie un message ARP prétendant que l'adresse
    IP de VM2 (192.168.100.6) est associée à son adresse MAC (08:00:27:41:dc:69).

    Mise en place de l’attaque MITM


    Après avoir envoyé ces fausses informations ARP, VM2 et VM3 mettent à jour leurs tables ARP
    en fonction des informations reçues :

    ● VM2 (Cible) pense que l'adresse MAC de VM3 (192.168.100.4) est 08:00:27:41:dc:69
    (celle de l’attaquant).
    ● VM3 (Machine usurpée) pense que l'adresse MAC de VM2 (192.168.100.6) est
    08:00:27:41:dc:69 (celle de l’attaquant).

    Désormais, tout le trafic entre VM2 et VM3 passe par VM1.


    Interception et manipulation des données
    VM1 intercepte maintenant le trafic entre VM2 et VM3. L'attaquant peut choisir :

    ● De simplement observer le trafic entre les deux machines (espionnage).


    ● D'altérer le contenu des paquets avant de les transmettre (par exemple, en modifiant
    des données sensibles).
    ● De bloquer le trafic en ne relayant pas les paquets (déni de service).

    Transmission des paquets


    Pour éviter que l’attaque soit détectée, VM1 peut configurer une retransmission automatique
    (ou "forwarding") des paquets, de sorte que VM2 et VM3 continuent de communiquer
    normalement sans savoir que leur trafic est intercepté.

    Conclusion
    Dans ce TP, nous avons mis en œuvre une attaque MITM par empoisonnement ARP pour
    illustrer les vulnérabilités liées au protocole ARP sur les réseaux locaux non sécurisés.
    L'attaque ARP Poisoning repose sur la capacité de l'attaquant à usurper les tables ARP des
    machines cibles en leur envoyant de fausses réponses ARP. Cette usurpation permet à
    l'attaquant de se placer entre deux machines en tant qu'intermédiaire, interceptant ainsi tout le
    trafic échangé entre elles sans que les utilisateurs légitimes ne s'en aperçoivent.

    Le scénario expérimental a démontré que :

    1. Les communications réseau sur un réseau local peuvent être interceptées et manipulées
    si les protections appropriées ne sont pas en place.
    2. Les tables ARP de chaque machine du réseau sont vulnérables aux modifications
    externes, en l'absence de mécanismes de sécurité comme la validation ARP,
    l'authentification des utilisateurs, ou le chiffrement des communications.

    En conclusion, ce TP met en évidence l'importance de la sécurisation des réseaux contre les


    attaques MITM en utilisant des techniques telles que :

    ● Le protocole ARP sécurisé (DAI), qui permet de vérifier les réponses ARP.
    ● Les outils de détection d'intrusion pour surveiller les anomalies de trafic.
    ● Le chiffrement des communications (SSL/TLS), qui protège les données transmises
    même si un attaquant intercepte le trafic.

    Ce type d'attaque rappelle l'importance d’une infrastructure réseau sécurisée, notamment pour
    les organisations qui traitent des informations sensibles. Il est essentiel de sensibiliser les
    administrateurs réseau à ces risques et de mettre en place des solutions de sécurité pour
    minimiser les vulnérabilités sur les réseaux internes.

    Vous aimerez peut-être aussi