Oi Pessoal,
Esta semana estive usando uma ferramenta já antiga mas bem legal para explicar os conceitos de Spoofing de MAC address e tabela ARP.
Trata-se do DSNIFF (http://www.monkey.org/~dugsong/dsniff/), um kit de ferramentas rodando em Linux que tem 1001 utilidades.
Eu instalei o DSNIFF numa máquina debian usando simplesmente:
aptitude install dsniff
(dependendo da sua distro, é sua usar apt-get, yum ou mesmo uma interface gráfica para instalação dos pacotes e suas dependências como o Synaptic)
Bem, a idéia é que a máquina Linux receba todo o tráfego da Rede Local como se fosse o gateway, para isso, vamos fazer com que nossa máquina grite para toda a LAN que ela possui o MAC correspondente ao IP do gateway.
Supondo que o gateway seja 172.23.7.1, teremos:
arpspoof 172.23.7.1
Para que as máquinas da LAN não percebam o redirecionamento, vamos ativar o redirecionamento de trafego na eth0. Assim, os dados chegam a nossa máquina mas são reencaminhados ao gateway verdadeiro:
echo 1 > /proc/sys/net/ipv4/ip_forward
Nas máquinas das LANs, basta dar um arp -a e conferir, elas devem ter apreendido o MAC de nossa máquina Linux coomo MAC do IP 172.23.7.1.
Quanto ao DNSspoof, basta deixar o comando abaixo ativado:
dnsspoof /etc/dnsspoof.hosts.
DNSSpoof.hosts é o arquivo texto com resoluções de nome e IP semelhante ao arquivo hosts local de uma máquina. Se vc inserir neste arquivo
66.66.66.66 uol.com.br
Esta resolução poluida passará para todas as máquinas cuja solicitação passar por nosso gateway.
Tem muitas outras coisas legais, como o utilitário macof, que inunda com milhares de MACs randômicos a tabela CAM, o famosa ataque de mac flooding.
macof -i eth0 -n 10000
Onde o 10000 representa o número de endereços criados.
É isso ai, simples mas eficaz, peço que os especialistas em segurança e aos fuçadores de plantão comentem estas brincadeiras com spoofing e nos dêem dicas de como se proteger disto.
Abs,
Boa Adilson.
ResponderExcluirEsse tipo de post técnico é sempre bem legal.
abraço.
Uma das Maneiras seria o famigerado arp -s que setaria os arps estáticos. Obviamente isto em uma grande rede seria improvável, mas a alternativa existe. E claro, mais profissional seria utilizar as ótimas opções que alguns switches nos oferecem. DAÍ, DHCP snooping, port security etc. Também já brinquei com estas ferramentas, me interesso d+ pela área de segurança, tanto que depois do CCNA vou para o C|EH e CCSP claro!
ResponderExcluirAbrços e Ótimo Blog!!
Boa tarde !!
ResponderExcluirBom realmente funciona e junto com o wireshark melhor ainda....
para bloquear isso nada rede, faremos ...:-)