ARP Poisoning: compreenda os princípios e defenda-se

Este é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre duas ou mais máquinas.

[ Hits: 126.450 ]

Por: Luiz Vieira em 03/03/2009 | Blog: http://hackproofing.blogspot.com/


ARP Poisoning



O ataque do tipo ARP-Poisoning (ou ARP-Spoofing) é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre duas ou mais máquinas.

Para executar esse tipo de ataque é necessário que o ARP-Poisoning seja realizado inicialmente.

A técnica de ARP-Poisoning é aplicada apenas em redes Ethernet. Basicamente, um sistema conectado a um IP ou LAN Ethernet tem dois endereços. O primeiro endereço é o MAC, que é atribuído à placa de rede (NIC[1]) possuída pelo usuário. Os endereços MAC são (ou supõe-se ser) únicos e utilizando esse endereço o protocolo Ethernet envia os dados. O protocolo Ethernet constrói frames de dados que consistem de blocos de 1500 bytes. Um frame Ethernet consiste do cabeçalho Ethernet, contendo o endereço MAC do computador origem e do computador destino.

O segundo endereço é o IP. O IP é um protocolo utilizado por aplicações, independente da tecnologia com que opera. Todo computador em uma rede deve possuir um endereço IP único para a comunicação. Os endereços IPs são virtuais e atribuídos pelo software.

IP e Ethernet devem trabalhar juntos. O IP comunica-se construindo pacotes que são diferentes da estrutura de frames. Esses pacotes são entregues pela camada de rede (Ethernet), que divide os pacotes em frames, adiciona um cabeçalho Ethernet e envia-os para um componente da rede. Este então decide a porta pela qual o frame deve ser enviado através da comparação do endereço destino do frame com uma tabela interna que mapeia os números das portas de um endereço MAC.

Como mencionado antes, um frame Ethernet é construído a partir de um pacote IP, mas para a construção de um frame Ethernet, a rede precisa do endereço MAC do computador destino. Aqui, a Ethernet sabe apenas o endereço IP da máquina destino.

Daí, para descobrir o endereço MAC do computador destino a partir de seu endereço IP, o protocolo ARP é utilizado.

    Próxima página

Páginas do artigo
   1. ARP Poisoning
   2. Conceitos básicos sobre ARP (Address Resolution Protocol)
   3. Definição de ARP-Poisoning
   4. Ataques ARP
   5. Ferramentas e utilitários ARP
   6. Defesa contra ARP-Poisoning e sua Detecção
   7. Referências & Terminologia
Outros artigos deste autor

Vulnerabilidade em mais de 6 milhões de sites com flash

SELinux - Security Enhanced Linux

Distribuição CAINE Linux para forense digital: em Live-CD, pendrive, máquina virtual ou direto em seu Ubuntu 10.04

Ferramentas de segurança - uma pequena compilação

Metasploit Framework

Leitura recomendada

Tripwire - Checando a integridade do sistema

Certificação CISSP

Implementando segurança no SSH

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)

Entenda o que é Hardening

  
Comentários
[1] Comentário enviado por pbrito81 em 03/03/2009 - 17:40h

Só um adendo: o envenenamento ARP não necessariamente é feito como resposta à uma solicitação. Um atacante pode enviar respostas ARP a qualquer momento - mesmo que o computador atacado não tenha as pedido - que o computador atacado as aceitará e atualizará sua tabela ARP.

[2] Comentário enviado por luizvieira em 04/03/2009 - 07:59h

Olá pbrito, seu adendo está correto: não precisa haver uma requisição inicial. Valeu!

[3] Comentário enviado por pogo em 05/03/2009 - 11:20h

excelente texto! parabéns!

[4] Comentário enviado por psychokill3r em 14/04/2009 - 21:25h

Obrigado Prof.

mais 100 pontos (este autor tem 5 artigos simplesmente essenciais(ate agora)) todos no favoritos com certeza.
vi no seu perfil que voce "trabalha como psicoterapeuta com especialização em Hipnose, PNL, Regressão, EFT, Sedona Method, Coaching. "
poderia nos dar um perecer sobre esse programa de mensagens subliminares que foi postado aqui no vol.
http://www.vivaolinux.com.br/artigo/Mentis-Reprogramese/
se tiver tempo ok.
valeuw desde já pelas aulas e espero mais .

[5] Comentário enviado por luizvieira em 14/04/2009 - 22:11h

Valeu pelo comentário elogioso psychokill3r (e pelos 100 pts tbm...rs)!

Quanto ao prograna, não conheço esse, mas conheço outros que já usei no Windoze há anos atrás. No entanto, pelo que pude ver, a utilização e o modus operandis são os mesmos. O lance da msg subliminar é que ela pode ocorrer atrvés de vários canais: o visual e o auditivo são os mais comuns. Para que o programa funcione vc precisa ser uma pessoa do tipo visual. Para quem é auditivo o ideal é gravar msgs subliminares junto com músicas e ouvi-las enquanto estuda, trabalha ou faz alguma atividade onde sua mente não está concentrada na música diretamente.

Para descobrir qual seu canal principal de representatividade (visual, auditivo, cinestésico), faça o teste que há nesse link:
http://www.pnl.med.br/site/artigos/12.htm

Em breve postarei um artigo sobre PNL para Hacking aqui no VOL (se a moderação liberar, é claro).
[ ]'s



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts