Nätverkshacking Del 1: ARP spoofing
Välkommen till Del 1 i Simovits Consultings första bloggserie om nätverkshacking! Hur svårt är det egentligen för en angripare att fånga upp information från cyberrymden? Vilken typ av information kan fångas upp? Finns det anledning att vara orolig? Och hur kan vi skydda oss?
Idag är de flesta nätverk switchade, vilket gör att trafiken skickas ut till rätt port där mottagaren borde befinna sig. Detta till skillnad från hubbar (som i stort sätt är utdöda idag), eftersom hubbar skickade ut trafiken till alla portar. Då var det tillräckligt att vara ansluten till samma hubb för att kunna sniffa all trafik som passerade den. En mycket enkel metod för att fånga trafik är att placera en hubb mellan en switch och internet, men då krävs det att man har möjlighet att ansluta en hubb på det sättet vilket kanske inte är särskilt diskret.
I första delen går på offensiven och demonstrerar en metod för att sniffa trafik på ett trådat nätverk, genom ARP spoofing eller ARP poisoning (eller ARP förgiftning på svenska).
Vad är ARP och hur kan det användas för att sniffa trafik?
ARP, Adress Resolution Protocol, är det protokoll som används för att mappa en MAC adress till en IP adress. När data skickas från en dator till en annan är det IP adresser som används, men för att data faktiskt ska komma fram behöver man den MAC adress som det mottagande nätverkskortet har.
ARP poisoning är en typ av man-in-the-middle attack och går ut på att förgifta enheters IP till MAC mappning. ARP cachen, ”adresslistan”, förgiftas genom att skicka en stor mängd spoofade ARP meddelanden för en eller flera IP adresser. Resultatet blir att all IP till MAC mappning pekar på den MAC-adress som angriparen valt (sin egen).
För att demonstrera hur man kan gå tillväga att utföra en ARP förgiftning använder vi Cain & Abel men ett alternativt verktyg är Ettercap.
Steg för steg – ARP spoofing och ARP poisoning med Cain & Abel
Efter att du har installerat Cain & Abel, börja med att stänga av datorns lokala brandvägg. Det första du gör efter att du startat programmet är att du konfigurerar Cain & Abel för att använda rätt nätverkskort på din dator. Nästa steg är att navigera in på ”Sniffer”-fliken.
Starta sniffning och ARP spoofing genom att trycka på de två ikonerna i övre vänstra hörnet. Tryck på plussikonen eller högerklicka sedan i det vita fältet för att välja ett nätverksspann som verktyget ska söka efter MAC-adresser på. Denna lista ger vilka enheter som finns på nätverket som vi sedan kan försöka ARP förgifta.
Listan börjar nu populeras med IP- och MAC adresser som har fångats upp i det nätverk som sniffningen har utförts mot.
Nu är det dags att välja vilka enheter som ska ARP förgiftas. Klicka på den nedre ARP fliken och högerklicka i det vita fältet för att välja ”ARP Poisoning Routing”. Här väljer vi mellan vilka noder som vi vill fånga trafik, förslagsvis mellan en router och en eller flera datorer.
Under tiden som giftet sprids kan vi se en mängd ARP meddelanden om vi tittar i Wireshark, och Cain visar ”poisoning”-status på enheterna:
Sen är det bara att vänta på att informationen rullar in…
Fliken ”Passwords” kan vara en guldgruva. Den här gången har vi inte lyckats få några intressanta lösenord i labbmiljön. Vi har i alla fall ett användarnmamn ”tiinal” och ett lösenord ”Pa55w0rd” som vi fångat upp! Med Wireshark exempelvis kan vi såklart se all trafik som passerar om även det skulle vara av intresse.
Så går man tillväga för att utföra en ARP poisoning för att sniffa trafik på ett switchat nätverk. I nästa del tittar vi närmare på möjligheterna i trådlösa nätverk…