ATTACCHI MAN IN THE MIDDLE ARP Poisoning VS ARP MAC

ATTACCHI MAN IN THE MIDDLE
ARP Poisoning
VS
ARP MAC Flooding
ARP poisoning
Da Wikipedia, l'enciclopedia libera.
Nell'ambito della sicurezza informatica, l'ARP poisoning (letteralmente avvelenamento dell'ARP) (detto
anche ARP spoofing, letteralmente falsificazione dell'ARP) è una tecnica di hacking che consente ad
un attacker, in una switched lan, di concretizzare un attacco di tipo man in the middle verso tutte le
macchine che si trovano nello stesso segmento di rete quando queste operano a livello 3 cioè
di internetworking con altre sottoreti scambiandosi traffico IP grazie al ricorso ad opportune
manipolazioni tramite i protocolli di livello 2. L'ARP poisoning è oggi la principale tecnica di attacco alle
lan commutate. Consiste nell'inviare intenzionalmente e in modo forzato
risposte ARP contenenti dati inesatti o, meglio, non corrispondenti a quelli reali. In questo modo la
tabella ARP (ARP entrycache) di un host conterrà dati alterati (da qui i termini poisoning, letteralmente
avvelenamento e spoofing, raggiro). Molto spesso lo scopo di questo tipo di attacco è quello di
ridirezionare, in una rete commutata, i pacchetti destinati ad un host verso un altro al fine di leggere il
contenuto di questi per catturare le password che in alcuni protocolli viaggiano in chiaro.
MAC flooding
Da Wikipedia, l'enciclopedia libera.
Nell'ambito della sicurezza informatica, il MAC flooding (detto anche Switch Flooding e
impropriamente ARP flooding, letteralmente inondazione dello switch) designa una tecnica di attacco
in una rete locale (LAN) commutata che consiste nell'inviare ad unoswitch pacchetti appositamente
costruiti per riempire la CAM table dello switch, che normalmente associa un indirizzo
MAC alla porta cui il relativo terminale è collegato, con indirizzi MAC fittizi. La CAM table (Content
Addressable Memory table) è una struttura dati efficiente, concettualmente simile a una hash table, che
permette di associare rapidamente un indirizzo di dimensione fissa (nel caso di uno switch, un indirizzo
MAC) alla porta a cui è collegato il terminale.
Questo attacco costringe lo switch, una volta saturata la CAM table, ad entrare in una condizione detta
di fail open che lo fa comportare come un hub, inviando così gli stessi dati a tutti gli apparati ad esso
collegati, compreso quello di un eventuale aggressore che può dunque sniffare tutto il traffico in transito
nella rete. Non tutti gli switch optano però per questa configurazione quando sono sottoposti a questo
tipo di attacco. Alcuni infatti entrano in uno stato di blocco, impedendo il passaggio del traffico.
Un'interfaccia di rete in modalità promiscua, cioè impostata in modo da leggere anche il traffico che
dovrebbe ignorare perché non diretta a lei, diventa così in grado di intercettare tutte le comunicazioni
che attraversano lo switch, avendo accesso al traffico che non dovrebbe nemmeno transitare sul suo
segmento di rete. Si tratta dunque di una tipologia di attacco abbastanza semplice.
Causare una condizione di fail open in uno switch è in genere il primo passo da parte di un attaccante
per altri fini, tipicamente effettuare sniffing o un man in the middle.
Tool che causano un MAC flooding sono macof della suite dsniff, taranis e Ettercap.
Una contromisura efficace al MAC flooding è l'utilizzo della caratteristica di "port security" sugli
switch Cisco, "packet filtering" sugli switch 3Com o di servizi equivalenti negli switch di altri produttori.