Tag Archives: arp spoofing

Cisco CCNA LAB – ARP spoofing

Și ca să nu credeți că cursurile desfășurate de DNT se bazează doar pe terorie vă propun mai jos textul pentru unul din lab-urile petrecute de mine in cadrul orelor practice de CCNA. Lab-ul e unul inventat și e complementar la ceea ce propune cursul oficial pentru orele practice. Fac un copy/paste raw din doc-ul original fără să mai corectez pe unde e nevoie.

Plan Laborator:

  1. Rezumat curs la subiectul conectare la dispozitive Cisco prin consola.
  2. Rezumat curs la subiectul ARP Spoofing.
  3. Practice PART A – Conectare prin consola la dispozitivele intermediare Cisco.
  4. Practice Part B – ARP Spoofing (Scenariu A, Scenariu B).

PART A – Conectare prin consolă la dispozitive intermediare CISCO

  1. Conectarea prin consolă cu cablu rollover la dispozitivul switch-ului Cisco Catalyst 2960de la primul PC din dreapta lingă rack. Demo conectare cu Putty.exe.
  2. Conectarea prin consolă cu terminal server la dispozitivele rack-ului de laborator. Explicaţie schemă rack.

PART B – ARP SPOOFING

Scenariu A – ARP Spoofing cu sustragerea parolei de access la un serviciu FTP pe internet.

Cisco_CCNA_LAB_ARP_Spoofing_Scenario_A

Sarcini de laborator:

  1. Deconectăm aplicaţiile antivirus şi firewall pe staţiile implicate în scenariul de laborator (staţia atacatorului şi staţia atacată). Verificăm interconectarea pe reţea între acestea şi accesul la internet de pe staţia atacată (ping pe ftp.subiectiv.md). ftp.subiectiv.md – serviciul ftp a cărui parola de access o vom sustrage prin arp spoofing.
  2. Descărcăm utilitarul arpspoof.exe pe site-ul http://arpspoof.sourceforge.net/ (arhiva rar) – recomandabil de descărcat cu  un alt browser decât Internet Explorer, acesta din urmă poate bloca descărcarea fişierului prin funcţia de SmartScreen Filter.
  3. Dez-arhivăm utilitarul (exe-ul plus fişierul dll) în folderul hack pe discul local c: (c:\hack) pe staţia atacatorului (hacker).
  4. Verificăm dacă pe ambele staţii avem instalate corect aplicaţiile Wireshark şi WinCap.
  5. Obţinem adresele IP (ipconfig /all) şi mac pentru staţii şi default gateway (ping DG + arp -a). Adresele IP sunt setate automat prin DHCP.
  6. Desenam schema reţelei. Notăm în dreptul fiecărui nod adresele IP şi adresele MAC (staţia atacată, atacatorului şi default gateway).
  7. Verificam OUI pentru adresele MAC înregistrate cu tool-ul pe Wireshark portal.
  8. Configurează routing-ul pe staţia atacatorului (Windows XP) – pentru rutarea pachetelor străine captate şi tranzitate prin staţie. Modificare cheie registru IPEnableRouter din 0 în 1 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersRef: http://technet.microsoft.com/en-us/library/cc962461.aspx Note: Modificările pe registru se realizează cu maximă atenţie !!!
  9. Pe staţia atacată şi a atacatorului ştergem toate înregistrările din cache-ul arp -d  (Nu e o operaţiune necesară pentru realizarea arp spoofing-ului. E pentru a exclude din arp cache toate înregistrările irelevante).
  10. Pe fiecare staţie se executa ping între ele şi cu default gateway – e pentru a completa tăblițele arp.
  11. arp spoofing funcţionează în cazul în care există deja înregistrări în arp cache, gratuitous ARP le înnoind valorile.
  12. Se notează tăblițele arp până la arp spoofing (de pe ambele staţii).
  13. Pe staţia atacatorului se execută în linia de comanda CMD: arpsoofing.exe –t <IP attacked host> <IP default gateway> – înşelăm staţia atacată.
  14. Pe staţia atacată verificam modificările în arp cache (arp -a).  La acest moment in arp cache ar trebuie să observam că şi IP-ul staţiei atacatoare şi IP-ul Default Gateway sunt legate de aceiaşi adresa MAC şi anume cea a atacatorului.
  15. Pe staţia atacatorului se execută în linia de comanda CMD (alta decât cea din p.12): arpsoofing.exe –t <IP default gateway> <IP attacked host> – înşelăm ruter-ul default gateway.
  16. Pe staţia atacatorului lansam Wireshark cu Display Filter:ARP. Analizăm mesajele ARP (Source/Destination MAC/IP).
  17. Realizăm pe staţia atacată un ping pe ftp.subiectiv.md. Analizăm în Wireshark pachetele ECHO request, ECHO replay. Acestea ar trebuie sa fie câte două – odată înregistrată la intrare şi a doua înregistrată la ieşire.
  18. Pe staţie atacată descărcăm Total Commander. Interesant de urmărit procesul pe Wireshark-ul atacatorului (display filter pe HTTP)
  19. Pe staţia atacată în Total Commander instructorul configurează o conexiune FTP la ftp.subiectiv.md, fără ca studenţii să afle parola. Parola va fi furată prin arp spoofing de pe staţia atacatorului.
  20. Pe staţia atacatorului se configurează Wireshark cu display filter pe FTP.
  21. Pe staţia atacată se iniţiază conexiunea ftp. Se urmăreşte captura Wireshark din care se identificam parola de acces la serviciul ftp.
  22. La plecare: (a) Ştergem folderul Hack pe discul c: (b) Restabilim valoarea zero pentru IPEnableRouter din registru pe staţia atacatorului. (c) Ştergem conexiunea FTP din Total Commander pe staţia atacată. (d) Dezinstalam Total Commander de pe staţia atacată.

Scenariu B – ARP Spoofing intre 2x staţii izolate în reţea. Monitorizare mac address-table pe switch.

Cisco_CCNA_LAB_ARP_Spoofing_Scenario_B

Sarcini de laborator:

  1. Stabilim 3x staţii din clasa DNT pentru scenariul de laborator – 2x staţii atacate şi 1x staţie a atacatorului. Verificam numărul prizei de reţea la care sunt acestea conectate.
  2. Recomutăm pe panoul patch staţiile de la switch-ul clasei (D-Link de prod.) pe unul din switch-urile Cisco Catalyst 2960. Se notează porturile la care sau conectat PC-urile (recomandat: Fa0/1, F0/2, Fa0/3).
  3. Instructorul se conectează prin consolă la switch şi îl configurează cu utilizatori şi password  local, configurează adresa IP.
  4. Verificam IP-urile pe staţii. În lipsa unui DHCP acestea trebui să fi luat IP-uri prin autoconfigurare Automatic Private IP Addressing (APIPA) din 169.254.0.0/16
  5. Configuram adrese IP pe stațiile din scenariul de laborator: 131.108.10.1, 131.108.10.2, 131.108.10.3 (atacator).
  6. Verificăm connectivity între acesta (cu ping).
  7. Analizăm cache-ul ARP pe staţii (cu arp -a). Notăm valorile perechilor de înregistrări MAC-IP.
  8. Pe staţia atacatorului executam spoofing-ul:

arpsoofing.exe –t <IP attacked host 1> <IP attacked host 2>

arpsoofing.exe –t <IP attacked host 2> <IP attacked host 1>

  1. Pe staţia atacatorului lansam Wireshark cu Display Filter:ARP. Analizăm mesajele ARP (Source/Destination MAC/IP).
  2. Ne logăm pe consola switch-ului cu unul din utilizatori (fiecare pe rând) sau de pe staţii cu telnet la adresa IP a switch-ului. Executăm

switch > show mac address-table  

  1. Executam un ping cu parametrul -t intre host-urile atacate.
  2. Pe staţia atacatorului se configurează Wireshark cu display filter pe ICMP.  Analizam rezultatele.
  3. Deconectam temporar de la reţea (scoatem cablul din switch sau shut pe switch din line configuration mode) staţia atacatorului. Observăm statutul mesajelor ICMP in CMD-ul cu ping –t.
  4. La plecare: (a) recomutăm calculatoarele (cablurile pe patch-pannel) exact cum a fost acestea până la începerea scenariului de laborator.

Done. Have a nice lab ..