Man In The Middle(1).pdf

(320 KB) Pobierz

Man In The Middle

(MITM ou TCP hijacking)

Ce type d’attaque, traduit en français par « l’homme du milieu » est plus facile à

comprendre qu’on ne le pense.

Cette attaque fait intervenir 3 ordinateurs. Un serveur cible, un poste client, et la

machine où se trouve l’attaquant.

Schéma du réseau 1 :

Le but de l’attaque, est que le pc C (celui de l’attaquant) récupère les informations

transitant entre A et B. Mais comme vous le savez dans un réseau switché ceci est plus

difficile qu’avec un hub où toutes les informations sont envoyées à tous les ordinateurs

connectés à celui-ci. Le Switch, lui, envoie seulement à la bonne personne.

Biensur, il y a la méthode agressive : l’ARP poisoning qui consiste à empoisonner tout

le réseau ARP des requêtes ARP afin de se faire passer pour telle ou telle machine et

récupérer les données. Mais cela est très voyant et provoque la plus part du temps voir tout le

temps une coupure au niveau du réseau.

http://www.athias.fr

Man In The Middle

Maintenant, nous allons voir un peu de théorie sur l’ARP et les couches réseau.

Que signifie ARP ?

Address Resolution Protocol

Cela consiste à faire la correspondance entre les adresses MAC des machines et les IPs

d’un réseau. Cette couche travaille au niveau 3 du modèle OSI, qui correspond à la couche

réseau et dans la couche internet au niveau du modèle TCP/IP.

Plus d’infos ici :

http://www.commentcamarche.net/internet/tcpip.php3

http://www.frameip.com/entetearp/

Bon en fait je crois que je ne vais pas plus m’étendre sur la théorie car tout se trouve

sur internet et en français, et je pense que la plupart connaissent en partie comment fonctionne

le modèle TCP/IP.

Maintenant, il faut savoir que sur tout réseau Ethernet, il existe un cache ARP pour

éviter de perdre du temps, et celui-ci est mis à jour régulièrement, toute les 30 ou 60s si je ne

me trompe pas. Le but est donc de pouvoir convertir ce cache afin que nous nous fassions

passer pour une autre machine. Le seul souci est que, si nous faisons seulement ceci, nous

capturerons les paquets mais nous ne les renverrons pas à la bonne machine. Donc la subtilité

est qu’il faut transmettre les paquets à la bonne machine de destination. Donc pour ce faire il

suffit juste d’activer le forwarding. Toute de suite vous allez penser oui mais sous Windows

ce n’est pas possible, il faudrait un iptable à la sauce Linux pour faire cela. Oui mais qui a dit

que dans Windows, il n y avait pas un « iptable cache».

Conséquence, le site de Microsoft va nous être utile une fois de plus. Voici deux liens

pour Windows XP et Windows 2K pour activer les forwarding dans windows.

XP :

http://support.microsoft.com/?kbid=315236

2K :

http://support.microsoft.com/kb/230082/

Voilà ; plus qu’à modifier, relancer la machine pour être sur que cela fonctionne et hop nous

pouvons passer à la suite.

Maintenant, il nous faut un logiciel qui va empoisonner notre cache ARP. Plusieurs

possibilités s’offrent à nous : par interface graphique ou par fenêtre DOS. Bon sachant que

tout le monde n’est pas forcément à l’aise sous DOS nous verrons les deux.

Avant tout regardez le schéma ci-dessous détaillant l’infrastructure IP du réseau (très simple,

certes, mais c’est le principe de fonctionnement qui nous intéresse).

http://www.athias.fr

Man In The Middle

Schéma réseau 2 :

Mac Adresse :

00-0C-6E-7E-

AF-76

IP :

192.168.1.100

Mac adresse :

00:50:BF:45:9A:

IP : 192.168.1.2

OS : Debian 3.0

VICTIME !!!!

ROUTEUR DU

RESEAU (X)

MAC : 000F6658A92B

IP : 192.168.1.1

Mac adresse :

00-50-BA-6B-A4-

IP :

192.168.1.101

OS : XP

CACHE ARP Machine A: (avant attaque)

Address

192.168.1.1

192.168.1.101

HWtype HWaddress

Flags Mask

ether 00:0F:66:58:A9:2B C

ether 00:50:BA:6B:A4:5A C

Iface

eth0

CACHE ARP Machine B: (avant attaque)

Address

192.168.1.1

192.168.1.101

HWtype HWaddress

Flags Mask

ether 00:0F:66:58:A9:2B C

ether 00:50:BA:6B:A4:5A C

Iface

eth0

Donc, comme vous le voyez, tout pour le moment a l’air tranquille

☺

Alors là ca va être la partie qui je pense va le plus vous plaire, la partie démonstration de

l’attaque.

http://www.athias.fr

Man In The Middle

Méthode n° 1 : Cain

Et oui Cain est un logiciel très très utile qui fait on va dire « presque tout tout seul ».

Donc premièrement téléchargez ce dont vous avez besoin.

Winpcap (indispensable) : toujours prendre la dernière version

http://winpcap.polito.it/install/bin/WinPcap_3_1_beta4.exe

<= version non gui

☺

Cain : il vaut également mieux prendre la dernière version à jour avec les dernières

techniques.

http://www.oxid.it/downloads/ca_setup.exe

<= version 2.67

Et le plus indispensable, le petit fichier .reg pour modifier le registre.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"IPEnableRouter"=dword:00000001

Ca marche pour XP et 2K ;)

Peut être qu’un petit reboot s’impose selon les machines…

Ensuite vous ouvrez Cain bien gentiment.

Donc une petite fenêtre s’ouvre comme d’habitude :p, ensuite il vous faut cliquer sur ce qui

ressemble a un icône d’une carte réseau en haut à gauche. Cela sert à sélectionner la carte

réseau avec laquelle vous allez sniffer. Et vous vous positionnez dans l’onglet

sniffer.

A partir

de là il vous faut ajouter les adresses entre lesquelles vous allez sniffer. Rien de plus simple

avec Cain. Clic Droit => scan all MAC address in my subnet. Hop c’est fait il a tout scanné et

vous avez juste à choisir l’IP a sniffer. (fig 1)

http://www.athias.fr

Man In The Middle

Figure 1 :

Rien de plus simple, vous allez dans l’onglet

ARP,

et vous cliquez sur la petite croix bleue en

haut et vous choisissez l’host. (fig 2)

http://www.athias.fr

Plik z chomika:

musli_com

Man In The Middle(1).pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: