ARP poisoning e MAC flooding - Usando o Wireshark

Page 1 of 3

Home iG

ltimo Segundo

Economia

Esporte

TV iG

Gente

Delas

ASSINE

E-mail

Acesso Internet

Suporte

Antivrus

SAC

Guia do hardware

GDH Press

Frum GdH

Publique seu texto

RSS

Home

Equipe

Minha Conta

Busca

ndice - Tutoriais

Usando o Wireshark
Por Carlos E. Morimoto em 25 de abril de 2008 s 12h44

ANTERIOR: INTRODUO

ARP poisoning e MAC flooding

ARP poisoning e MAC flooding

Como disse anteriormente, o Wireshark pode ser usado tambm pelo lado negro da fora. Se voc estiver em uma rede local, com micros ligados atravs de um hub ou atravs de uma rede wireless, outro usurio pode us-lo para capturar todas as suas transmisses. Isto extremamente perigoso. Qualquer um que tenha a chance de plugar um notebook na rede ou coloc-lo dentro da rea de cobertura de sua rede wireless, poder capturar dados e senhas suficientes para comprometer boa parte do sistema de segurana da sua empresa. Apenas conexes feitas atravs do SSH e outros programas que utilizam encriptao forte estariam a salvo. Naturalmente, alm de algum de fora, existe a possibilidade de um dos seus prprios funcionrios resolver comear a brincar de script kiddie, pregando peas nos outros e causando danos. Como vimos, isso no requer muita prtica. Enfim, a menos que voc esteja em uma simples rede domstica, onde exista uma certa confiana mtua, utilizar um hub burro simplesmente um risco grande demais a correr. Ao utilizar um hub-switch, o risco um pouco menor, j que, por default, os pacotes so enviados apenas s portas corretas. Entretanto, muitos sistemas so vulnerveis a ataques de ARP poisoning, sem falar dos ataques de MAC flooding, que permitem burlar a proteo. Vamos ento a uma explicao mais detalhada de como eles funcionam. No ARP poisoning, o micro do atacante envia pacotes com respostas forjadas para requisies ARP de outros micros da rede. O protocolo ARP utilizado para descobrir os endereos MAC dos demais micros da rede, j que os switches no entendem endereos IP. Esses pacotes forjados fazem com que os outros micros passem a enviar seus pacotes para o micro do atacante, que configurado para capturar as transmisses e retransmitir os pacotes originais para os destinatrios corretos. A rede continua funcionando normalmente, mas agora o atacante tem chance de logar todo o trfego, usando o Wireshark ou outro sniffer. Felizmente, o Wireshark tambm pode ser usado para perceber as anormalidades na rede e chegar at o espertinho. Os ataques de MAC flooding, por sua vez, tem como alvo o switch da rede e trabalham dentro de um princpio bastante simples. O switch possui uma rea limitada de memria para armazenar a tabela com os endereos MAC dos micros da rede (que permite que ele encaminhe as transmisses para as portas corretas), de forma que, ao receber um grande nmero de pacotes com endereos MAC forjados, a tabela completamente preenchida com os endereos falsos, no deixando espao para os verdadeiros. Nessa situao, existem apenas duas opes: ou o switch simplesmente trava, derrubando a rede, ou abandona o uso da tabela de endereos e passa a trabalhar em modo failopen, onde os frames so simplesmente retransmitidos para todas as portas, da mesma forma que um hub burro, permitindo que o atacante capture todo o trfego da rede (at que o switch seja reiniciado). Como switches que travam no so uma boa propaganda, os fabricantes normalmente utilizam a segunda opo, o que faz com que a maioria dos switches baratos e quase todos os hub-switches sejam vulnerveis a esse tipo de ataque. Uma das ferramentas mais usadas o macof, um pequeno utilitrio que faz parte da sute dsniff (que roda sobre o Linux), cujo cdigo fonte est disponvel no: http://www.monkey.org/~dugsong/dsniff/ O dsniff tambm pode ser encontrado nos repositrios de muitas distribuies, o que facilita a instalao. Nas distribuies derivadas do Debian, voc pode instal-lo via apt-get:

Notcias

Guias

O que h de novo?

Notcias
Hoje Firefox pode copiar o visual do Chrome Lanado Skype para iPad Android: agora com anncios at na barra de notificaes Ontem Resumo do dia Mac OS X Lion finalmente ganha recurso 'Recortar' para arquivos, mas no com esse nome Lanado LibreOffice 3.4.2, considerado seguro e estvel Adobe lana preview do Edge, ferramenta de design para a web em HTML 5 Facebook oferece $500 para quem revelar falhas de segurana Aparentemente 12 empresas possuem patentes essenciais para o WebM 29/07 Resumo do dia Oracle lana Java SE 7, porm com um grave bug Google compra cerca de mil patentes da IBM Ubuntu One agora oferece espao de 5 GB de graa Asus confirma o X101 com o Meego, provvel que custe apenas US$ 199 28/07 Resumo do dia Skype 5.5 para Windows traz maior integrao com Facebook Page Speed agora como servio: usando servidores do Google para entregar as pginas AMD deve ser a primeira a lanar GPUs de 28nm Google abre cdigo do LevelDB, biblioteca para armazenamento de dados Lanado KDE 4.7, repleto de novidades

Notcias do ms de Agosto de 2011

Artigos Tutoriais Livros Dicas Anlises Pesquisar

# apt-get install dsniff

Uma vez que o dsniff foi instalado, usar o macof bastante simples: basta especificar a interface de sada, usando a opo "-i", e especificar o nmero de pacotes forjados a serem enviados, usando a opo "-n", como em:

Livros

# macof -i eth0 -n 100000

A maioria dos hub-switchs so capazes de armazenar entre 1000 e 8000 endereos MAC na memria, de forma que bombardeando o hub-switch com 100000 endereos MAC diferentes (o que demora cerca de um minuto e meio em uma rede de 100 megabits) voc consegue chavear qualquer aparelho vulnervel para modo failopen. A partir da, basta lanar o Wireshark e passar a capturar todo o trfego da rede. Note que, em alguns casos, rodar o comando vai fazer o switch travar, derrubando toda a rede at que voc o reinicie manualmente, o que nos modelos mais simples feito desconectando e reconectando o cabo de energia. O dsniff inclui tambm um utilitrio para ARP poisoning, o arpspoof. Ao us-lo, voc deve especificar a interface de rede local e tambm o endereo IP do host de destino dos pacotes que

http://www.hardware.com.br/tutoriais/wireshark/pagina2.html

02/08/2011

ARP poisoning e MAC flooding - Usando o Wireshark

Page 2 of 3

voc deseja capturar. Especificando o endereo do gateway da rede (o uso mais comum), voc pode capturar todos os pacotes destinados Internet. Para us-lo, o primeiro passo ativar o encaminhamento de pacotes na configurao do Kernel, o que feito usando o comando abaixo:

Compre o seu. Livro atualizado!

# echo 1 > /proc/sys/net/ipv4/ip_forward

A partir da, voc pode ativar o arpspoof, especificando o endereo de destino dos pacotes que deseja capturar, como em:

# arpspoof -i eth0 192.168.1.1

Com isso, o arpspoof passar a enviar pacotes de broadcast para toda a rede, avisando todos os micros que o novo endereo MAC do "192.168.1.1" o endereo da sua mquina. Isso far com que ela passe a receber o trfego destinado a ele, permitindo que voc o capture usando o Wireshark. Naturalmente, o trfego no poderia simplesmente ser desviado para a sua mquina, caso contrrio, os pacotes deixariam de ir at o gateway da rede e os micros no conseguiriam mais acessar a Internet. Para evitar isso, o arpspoof reencaminha automaticamente todos os pacotes recebidos ao endereo correto (justamente por isso precisamos ativar o ip_forward no Kernel), fazendo com que, apesar do "desvio", o trfego continue fluindo, como se nada estivesse acontecendo:

ARP poisoning Alm de permitir escutar o trfego, o ARP poisoning pode ser usado para alterar os dados transmitidos e tambm para impersonar outros hosts, de forma a obter senhas de acesso e outros dados. Imagine, por exemplo, que a estao A (cujos pacotes esto sendo capturados e retransmitidos pela estao B) deseja acessar o servidor A. Em vez de encaminhar a transmisso, como faria normalmente, a estao B responde como se fosse o servidor, pedindo o login e senha de acesso. O usurio na estao A, sem desconfiar do ataque, faz login e recebe de volta uma mensagem de "servidor em manuteno, espere 30 minutos e tente novamente" ou algo similar. De posse da senha, o atacante pode ento se logar no servidor verdadeiro, usando a senha roubada. Muitos protocolos prevem este tipo de ataque e incluem protees contra ele. No SSH, por exemplo, o cliente verifica a identidade do servidor a cada conexo e aborta a conexo (exibindo uma mensagem de erro bastante chamativa) antes de pedir login e senha caso a identificao seja alterada. possvel detectar ataques de ARP poisoning usando o arpwatch (tambm disponvel via aptget). Ele monitora os endereos ARP usados pelas estaes e gera um log com as mudanas (com a opo de enviar relatrios por e-mail), permitindo que voc detecte anomalias. Em outras situaes, pode ser que voc mesmo, como administrador da rede, precise policiar o que os usurios esto fazendo durante o expediente na conexo da empresa. Nesse caso, sugiro que voc mantenha o servidor SSH ativo nas estaes de trabalho Linux e um servidor VNC (ou o recurso de administrao remota) nas mquinas Windows. Assim, voc pode se logar em cada uma das mquinas, sempre que necessrio e rodar o Wireshark para acompanhar o trfego de dados de cada uma, sem que o usurio tome conhecimento. Outra possibilidade seria rodar o Wireshark na mquina que compartilha a poder observar os pacotes vindos de todas as mquinas da rede. Alguns gerenciveis podem ser programados para direcionar todo o trfego determinada porta, onde voc poderia plugar um notebook para ter acesso a conexo, assim voc modelos de switches da rede para uma todo o trfego.

No caso das redes wireless, a situao um pouco mais complicada, pois o meio de transmisso sempre compartilhado. Os pacotes trafegam pelo ar, por isso no possvel impedir que sejam capturados. Apesar disso, voc pode dificultar bastante as coisas ativando o uso do WPA (se possvel j utilizando o WPA2) e reduzindo a potncia do transmissor do ponto de acesso, de forma a cobrir apenas a rea necessria. Lembre-se de que apenas informaes no encriptadas podem ser capturadas. Utilizando protocolos seguros, como o SSH, as informaes capturadas no tero utilidade alguma, pois estaro encriptadas. Monitorando sua conexo durante algum tempo, voc vai logo perceber vrios tipos de abusos, como sites que enviam requisies para vrias portas da sua mquina ao serem acessados, banners de propaganda que enviam informaes sobre seus hbitos de navegao para seus sites de origem, gente escaneando suas portas usando o Nessus ou outros aplicativos similares, spywares que ficam continuamente baixando banners de propaganda ou enviando informaes e assim por diante. Essas informaes so teis no apenas para decidir quais sites e servios evitar, mas tambm para ajudar na configurao do seu firewall. Pode ser que no incio voc no entenda muito bem

http://www.hardware.com.br/tutoriais/wireshark/pagina2.html

02/08/2011

ARP poisoning e MAC flooding - Usando o Wireshark

Page 3 of 3

os dados fornecidos pelo Wireshark, mas, depois de alguns dias observando, voc vai comear a entender muito melhor como as conexes TCP funcionam.
NDICE

ANTERIOR: INTRODUO

Introduo ARP poisoning e MAC flooding

Por Carlos E. Morimoto. Revisado 24 de fevereiro de 2011 s 15h57

7 comentrios

Comentrios
Fazer novo comentrio

Boa dovoluo pra net.

por Observador (annimo) em 28 de maio de 2011 s 06h29 Gostei muito cara, isso ai compartilha de nossos conhecimento preciso vlw.

Responder

legal
por no name (annimo) em 22 de maio de 2011 s 00h53

Responder

parabns pelo post, voc esqueceu de mencionar que precisa executar o programa como root para que ele possa ler as interfaces de rede.

Wireshark
por Patricia (annimo) em 11 de abril de 2011 s 14h40 Obrigada, adorei o tutorial.

Responder

esse programa tambm pode ser usado para quebrar muitos outros dados e conectar-se em redes Responder
por LUcas (annimo) em 14 de novembro de 2010 s 10h48 link : http://teckboard.blogspot.com/2009/08/tutorial-descobrir-ip-mac-wep-wpa.html

Muiot bom =-)

por Garfield (annimo) em 22 de setembro de 2010 s 13h11 Tutorial bem explicativo e engraado.kk

Responder

Tuto
por Opa (annimo) em 14 de setembro de 2010 s 20h58 Otimo tuto, valeu!

Responder

Wireshark
por cristian (annimo) em 9 de setembro de 2010 s 18h00 valeu pelo tutorial o brigado

Responder

Destaques
Configurando a rede no Windows Hackeando as senhas no Windows XP Hardware: Placa-me Blender 3D 2.5: tutorial para iniciantes 39 aplicativos indispensveis para o Android Servidores Linux: Instalando o Squid Prompt de Comando do Windows Celulares chineses Instalando o Apache + PHP + MySQL no Windows Crimpando cabos de rede Como colocar legendas em vdeos Rodando o Linux, sem sair do Windows Configurando rapidamente uma rede entre dois micros Guia do Hardware agora Hardware.com.br Hardware II, o Guia Definitivo Siga-nos: RSS | Twitter | Facebook

Gostou do texto?
Veja nossos livros impressos: Smartphones | Linux | Hardware Redes | Servidores Linux ... ou encontre o que procura usando a busca:
Buscar

1999-2011 Hardware.com.br. Todos os direitos reservados.

Home

Frum GdH

RSS

Equipe

Topo

http://www.hardware.com.br/tutoriais/wireshark/pagina2.html

02/08/2011