ATTAQUES ARP DHCP

M2 ASR 2023 HOUHA A

Attaques DHCP et ARP

L’usurpation d’adresse IP est un problème vieux

qui a fait couler beaucoup de pixels, mais qui
pourtant reste d’actualité. Pouvoir se faire
passer pour un autre sur un réseau donne
beaucoup de pouvoir et donc beaucoup de
potentiel de nuisance.
L’IP spoofing concerne donc les usurpations du
niveau 3 du modèle OSI.
Usurpation d’@ip
INTERCEPTION INTERNE : Rediriger le trafic vers une machine pirate qui enregistre tout
Le pirate substitue l’adresse légitime de la passerelle réseau par celle d’une machine
pirate configurée pour tout retransmettre à la vraie passerelle, mais en enregistrant au
passage tout le trafic (mots de passe, communautés SNMP, etc.).

DENI DE SERVICE : Empêcher le trafic d’aboutir

Le pirate substitue l’adresse légitime de la passerelle réseau par celle d’une machine qui « drop »
tous les paquets (sauf éventuellement ceux qui lui sont destinés). Plus aucun échange n’est alors
possible sur le réseau.

DENI DE SERVICE : Rediriger le trafic vers une machine en vue de la saturer

Le pirate substitue l’adresse légitime de la passerelle réseau par celle d’un serveur qui va alors
recevoir tout le trafic destiné à la passerelle et qui est susceptible de saturer sous l’importance du
flux.

INTERCEPTION EXTERNE : Rediriger les requêtes DNS vers un serveur pirate revoyant vers des sites
d’hameçonnage
Le pirate substitue l’adresse légitime du DNS par celle d’un serveur pirate. Quand un client
demande l’adresse IP de www.unsite.fr, le DNS pirate lui donne l’adresse d’un site de
hameçonnage imitant le site www.unsite.fr et enregistrant les identifiants de connexion de la victime
(login, mot de passe, numéros de carte bancaire, etc.).
 Attaques DHCP


Le protocole DHCP ne prévoit pas d’authentification. Si une machine du réseau décide de se
comporter comme un serveur DCHP, rien ne l’en empêche a priori.
Or les machines effectuant des requêtes DHCP prendront en compte, le plus souvent, la
première réponse obtenue (celle du serveur légitime ou celle de ce nouveau DHCP). Si le DHCP
légitime se trouve après plusieurs routeurs, il mettra plus de temps à répondre qu’un attaquant
se faisant passer pour un serveur DHCP dans le même sous-réseau.
Or le DHCP ne fournit pas seulement une adresse IP à une machine, il indique aussi la passerelle,
le DNS, etc.
 Attaques DHCP

 DENI DE SERVICE : Envoyer une mauvaise adresse IP à une machine du réseau pour
l’empêcher de s’y connecter
Le pirate se fait passer pour le serveur DHCP et donne des IP incorrectes (par exemple
192.168.0.2 dans un réseau en 10.0.0.0/24) de sorte que la machine cliente ne sera pas routée
correctement et n’arrivera pas à joindre et à être jointe.
 DENIS DE SERVICE : Consommer toutes les adresses IP disponibles pour empêcher les autres
utilisateurs de se connecter
Le pirate simule des paquets DHCP Discover avec un identifiant changeant à chaque fois, le
serveur DHCP réserve donc une IP à chaque requête. Lorsque la réserve d’adresses IP est
épuisée, plus aucune nouvelle machine ne pourra se connecter au réseau, ni celle dont le bail
IP a expiré.
 Attaques ARP

 1. Une machine cliente veut joindre une adresse IP spécifique, mais elle ne
possède pas son adresse MAC dans son cache ARP. Elle émet alors une
requête en broadcast (donc tout le segment réseau peut la capter)
stipulant l’adresse IP recherchée et sa propre adresse MAC (pour que l’on
puisse lui répondre).
 2. La machine ayant l’adresse IP recherchée effectue deux actions :
a. Pour être sûre de répondre à la bonne machine, elle met à jour son
propre cache ARP avec l’adresse MAC et l’IP de la machine qui a fait la
demande.
b. Elle envoie une réponse ARP stipulant son adresse IP et son adresse MAC
à destination de la machine qui a fait la demande.
 Attaques ARP

 3. La première machine reçoit la réponse et met son cache ARP à jour

avec la nouvelle association reçue. Elle connait alors l’adresse MAC de l’IP
qu’elle voulait joindre.
 Le protocole ARP peut s’utiliser de plusieurs façon différentes, celle-ci n’est
qu’une parmi d’autres. Une autre très intéressante concerne les paquets
« ARP announcements » (ou gratuitous ARP).
 Ils sont utilisés lorsqu’une machine A vient de changer d’adresse IP. Plutôt
que d’attendre que les autres machines fassent une requête ARP ou se
trompent en envoyant des paquets à l’ancienne adresse IP, A envoie une
« annonce » stipulant sa nouvelle association adresse MAC/adresse IP.
Toutes les autres machines mettent donc leurs tables ARP à jour.
 Attaques ARP

 Attaques
Un des problèmes principaux du protocole ARP est qu’il est sans état
(stateless). Une machine mettra donc toujours son cache ARP à jour
lorsqu’elle reçoit une réponse ARP même si elle n’a pas initiée de requête.
La mise à jour écrase systématiquement l’entrée précédente associée à
une IP si elle existe et il n’y a pas de mécanisme d’authentification possible
pour ARP.
 Le principe d’une attaque est donc simple : si l’on a une adresse MAC A et
que l’on veut se faire passer pour une autre machine qui a une adresse
MAC B et une adresse IP C, il suffit d’envoyer à tout le monde une réponse
ARP contenant l’association A/C.
Les machines vont alors écraser l’ancienne association B/C de leur table
ARP et la remplacer par la nouvelle. Le trafic adressé à l’adresse IP C sera
donc acheminé à la machine ayant l’adresse MAC A.
 Attaques ARP

 DENI DE SERVICE : Intercepter le trafic destiné à une machine

tierce
Le pirate inonde le réseau de réponse ARP associant son
adresse MAC à l’adresse IP de sa victime. Tout le trafic destiné à
cette dernière ne lui parviendra donc pas, elle ne pourra pas
initier de connexion avec d’autres services (elle peut émettre
des requêtes mais ne recevra pas les réponses).
 Conclusion
 L’usurpation d’adresse IP s’appuie généralement sur les faiblesses
intrinsèques des deux protocoles DHCP et ARP qui n’ont pas été
conçus à la base pour répondre à des problématiques de sécurité.

 La sécurité a donc été déportée au niveau des nœuds du réseau

(commutateurs, routeurs/pare-feu) qui surveillent et analyse les
requêtes et les réponses pour y déceler les tentatives d’abus de
DHCP ou d’ARP.
Seulement ces mécanismes sont trop peu souvent activés par
défaut, l’administrateur réseau doit donc avoir la présence d’esprit
de prendre en compte les menaces sur son réseau et d’activer les
mécanismes adéquats en fonction.