- Qu'est-ce que l'adresse IP et Mac
- Qu'est-ce que l'empoisonnement ARP (Address Resolution Protocol)?
- Activité de piratage: configurer l'ARP statique dans Windows
Que sont les adresses IP et MAC
L'adresse IP est l'acronyme de l'adresse IP. Une adresse de protocole Internet est utilisée pour identifier de manière unique un ordinateur ou un périphérique tel que des imprimantes, des disques de stockage sur un réseau informatique. Il existe actuellement deux versions d'adresses IP. IPv4 utilise des nombres 32 bits. En raison de la croissance massive d'Internet, IPv6 a été développé et utilise des nombres de 128 bits.
Les adresses IPv4 sont formatées en quatre groupes de nombres séparés par des points. Le nombre minimum est 0 et le nombre maximum est 255. Un exemple d'adresse IPv4 ressemble à ceci;
127.0.0.1
Les adresses IPv6 sont formatées en groupes de six nombres séparés par des deux-points complets. Les numéros de groupe sont écrits sous forme de 4 chiffres hexadécimaux. Un exemple d'adresse IPv6 ressemble à ceci;
2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334
Afin de simplifier la représentation des adresses IP au format texte, les zéros non significatifs sont omis et le groupe de zéros est omis. L'adresse ci-dessus dans un format simplifié s'affiche sous la forme;
2001: db8: 85a3 ::: 8a2e: 370: 7334
L'adresse MAC est l'acronyme de l'adresse de contrôle d'accès au support. Les adresses MAC sont utilisées pour identifier de manière unique les interfaces réseau pour la communication au niveau de la couche physique du réseau. Les adresses MAC sont généralement intégrées à la carte réseau.
Une adresse MAC est comme un numéro de série d'un téléphone tandis que l'adresse IP est comme le numéro de téléphone.
Exercer
Nous supposerons que vous utilisez Windows pour cet exercice. Ouvrez l'invite de commande.
Entrez la commande
ipconfig /all
Vous obtiendrez des informations détaillées sur toutes les connexions réseau disponibles sur votre ordinateur. Les résultats indiqués ci-dessous sont pour un modem haut débit pour afficher l'adresse MAC et le format IPv4 et le réseau sans fil pour afficher le format IPv6.
Qu'est-ce que l'empoisonnement ARP?
ARP est l'acronyme de Address Resolution Protocol . Il est utilisé pour convertir l'adresse IP en adresses physiques [adresse MAC] sur un commutateur. L'hôte envoie une diffusion ARP sur le réseau et l'ordinateur destinataire répond avec son adresse physique [Adresse MAC]. L'adresse IP / MAC résolue est ensuite utilisée pour communiquer. L'empoisonnement ARP envoie de fausses adresses MAC au commutateur afin qu'il puisse associer les fausses adresses MAC à l'adresse IP d'un véritable ordinateur sur un réseau et détourner le trafic .
Contre-mesures d'empoisonnement ARP
Entrées ARP statiques : elles peuvent être définies dans le cache ARP local et le commutateur configuré pour ignorer tous les paquets de réponse ARP automatique. L'inconvénient de cette méthode est qu'elle est difficile à maintenir sur les grands réseaux. Le mappage d'adresses IP / MAC doit être distribué à tous les ordinateurs du réseau.
Logiciel de détection d'empoisonnement ARP : ces systèmes peuvent être utilisés pour vérifier la résolution de l'adresse IP / MAC et les certifier s'ils sont authentifiés. Les résolutions d'adresses IP / MAC non certifiées peuvent alors être bloquées.
Sécurité du système d'exploitation : cette mesure dépend du système d'exploitation utilisé. Voici les techniques de base utilisées par divers systèmes d'exploitation.
- Basé sur Linux : ils fonctionnent en ignorant les paquets de réponse ARP non sollicités.
- Microsoft Windows : le comportement du cache ARP peut être configuré via le registre. La liste suivante comprend certains des logiciels qui peuvent être utilisés pour protéger les réseaux contre le reniflement;
- AntiARP - fournit une protection contre le reniflement passif et actif
- Agnitum Outpost Firewall - offre une protection contre le reniflement passif
- XArp - fournit une protection contre le reniflement passif et actif
- Mac OS : ArpGuard peut être utilisé pour fournir une protection. Il protège contre le reniflement actif et passif.
Activité de piratage: configurer les entrées ARP dans Windows
Nous utilisons Windows 7 pour cet exercice, mais les commandes devraient également pouvoir fonctionner sur d'autres versions de Windows.
Ouvrez l'invite de commande et entrez la commande suivante
arp -a
ICI,
- apr appelle le programme de configuration ARP situé dans le répertoire Windows / System32
- -a est le paramètre à afficher sur le contenu du cache ARP
Vous obtiendrez des résultats similaires aux suivants
Remarque : les entrées dynamiques sont ajoutées et supprimées automatiquement lors de l'utilisation de sessions TCP / IP avec des ordinateurs distants.
Les entrées statiques sont ajoutées manuellement et sont supprimées lorsque l'ordinateur est redémarré et la carte d'interface réseau redémarrée ou d'autres activités qui l'affectent.
Ajout d'entrées statiques
Ouvrez l'invite de commande puis utilisez la commande ipconfig / all pour obtenir l'adresse IP et MAC
L'adresse MAC est représentée à l'aide de l'adresse physique et l'adresse IP est IPv4Address
Entrez la commande suivante
arp -s 192.168.1.38 60-36-DD-A6-C5-43
Remarque: les adresses IP et MAC seront différentes de celles utilisées ici. C'est parce qu'ils sont uniques.
Utilisez la commande suivante pour afficher le cache ARP
arp -a
Vous obtiendrez les résultats suivants
Notez que l'adresse IP a été résolue en l'adresse MAC que nous avons fournie et qu'elle est de type statique.
Suppression d'une entrée de cache ARP
Utilisez la commande suivante pour supprimer une entrée
arp -d 192.168.1.38
L' empoisonnement PS ARP fonctionne en envoyant de fausses adresses MAC au commutateur