ARP Spoof/Poison

Diversos SO's dão respostas muito particulares a determinados tipos de pacotes. Em muitas ocasiões em um nível mais baixo de abstração, deixam-se passar informações que podem ser úteis em uma resolução mais fina de tráfego, ou problemas em uma determinada estrutura de rede.

Atacar, ver o problema acontecer é fundamental para se diagnosticar um verdadeiro problema errante, e sim, com ferramentas apropriadas, sanar o que acontece nesse mesmo nível de abstração ocorrente.

Um ataque de ARP Spoof é muito interessante, pois vemos não apenas hipoteticamente, mas na prática, como pacotes de enlace deturpam as tabelas de cache ARP, de um sistema operacional.

Foge o escopo dessa dica definir um ataque ARP Spoof, apenas uma metodologia mental, de como usufruir de uma técnica como esta.

K3RN3L-X, um programador brazuca, desenvolveu uma ferramenta muito interessante para isso, chamada mptcp. Ele permite testes bastante intrusivos na camada enlace, com manipulações de Spoof de MAC (envenenamento) e endereço IP. Algumas características:

• Emite e analisa Pacotes ICMP Echo Request (Tipo 8) e Echo Reply (Tipo 0);
• Emite e analisa Pacotes ICMP Mask Request (Tipo 17) e Mask Reply (Tipo 18) c/ Máscara;
• Escuta por pacotes ICMP (Modo não Promiscuo - Análise dos cabeçalhos ICMP que chegam);
• Emite Pacotes UDP (com opção de tamanho de Buffer) para qualquer porta. Analisa resposta ICMP;
• Escuta UDP, em qualquer porta;
• Emite Pacotes com cabeçalhos pré-defindos (Bit SYN, ACK, RST, FIN, PUSH , XMAS e NULL);
• Capacidade de pré-definir endereço de origem e destino;
• Escuta TCP, em qualquer porta;
• Emissão e análise de pacotes Arp Reply e Arp Requests. (Update Mac de Vizinhos);
• Capacidade de Emitir pacotes, com Endereço MAC Origem e Destino pré-definidos;
• Arp Modo Listen - Captura pacotes Arp (Modo não Promiscuo).

Página de K3RN3L-X:

• http://khun.zapto.org:8000

Download da ferramenta:

• http://khun.zapto.org:8000/tools/mptcp/mptcp-0.1.tar.gz