Mise en place de notre plateforme de test et présentation de notre solution
Etude du protocole ARP et algorithme proposé
Introduction
Le protocole ARP (Address Resolution Protocol), est un protocole utilisé par IP pour retrouver l’identificateur unique d’un matériel sur un réseau ethernet. ARP offre un mécanisme souple de correspondance entre adresses IP et adresses physiques (appelées adresses MAC : Media Access Control) sur un réseau local (LAN). L’implémentation de l’ARP sur un matériel réseau, ou un système d’exploitation actuel, implique l’utilisation d’un cache ARP qui est une base de données, liant une adresse IP sur le réseau à une adresse MAC, l’identificateur unique d’un matériel réseau [RFC 826]. Ce protocole joue un rôle central dans la transmission réseau.
Le principe du protocole ARP
Quand un ordinateur A dont l’adresse IP est 192.168.1.1 souhaite communiquer avec un autre ordinateur B dont il connaît l’adresse IP (192.168.1.2), en utilisant le protocole IP, il regarde tout d’abord si le destinataire est répertorié dans son cache ARP. S’il l’est, une trame Ethernet est forgée avec l’adresse MAC du destinataire, puis expédiée sur le réseau : les deux équipements peuvent alors communiquer. Sinon, une requête ARP de type broadcast (requête envoyée à toutes les machines du réseau) demandant, en somme, « qui possède l’adresse IP 192.168.1.2 ? ».
Le propriétaire de l’adresse IP en question répond alors, par exemple, « c’est moi, et mon adresse MAC est par exemple 00:00:A6:FC:80:37 ». Maintenant la station source est alors en mesure d’envoyer le paquet IP vers la station destinataire. Nous voyons donc que le principe d’ARP est très simple et très efficace a priori. Mais il y a un problème, aucun mécanisme n’est défini pour sécuriser le protocole ARP. Ainsi si un utilisateur peut forger ses propres paquets ARP dans le réseau local un problème de sécurité va se poser.
En effet, si un ordinateur envoie volontairement et en permanence une réponse basée sur une adresse différente de l’adresse de la véritable machine, il pourra détourner les informations vers un autre ordinateur. En particulier, un pirate peut très bien envoyer une réponse ARP à une station en lui disant que, dorénavant, l’adresse IP 192.168.1.2 correspond à sa propre adresse MAC ou à toute Mise en place de notre plateforme de test et présentation de notre solution Troisième partie : plateforme de test et présentation de notre algorithme 39 autre adresse MAC de son choix. On dit alors que la station a été « empoisonnée ». L’empoisonnement est rendu d’autant plus facile que la plupart des stations acceptent des réponses ARP, alors même qu’elles n’ont envoyé aucune requête ARP.
Les attaques possibles avec le protocole ARP
Plusieurs types d’attaques peuvent porter sur le protocole ARP. Parmi lesquelles : • l’usurpation d’adresse MAC (MAC spoofing) : son principe repose sur l’envoi d’une trame ayant pour adresse source l’adresse MAC de notre victime, et pour destination notre adresse MAC, le commutateur, en recevant cette trame, met sa table à jour en associant l’adresse MAC de la victime à notre port; • l’usurpation d’identité ARP (ARP spoofing) : que nous allons détailler dans la suite du document; • la corruption de cache ARP (ARP cache poisoning) : son principe est d’agir directement sur la cache ARP de notre cible, en associant à une adresse IP à une adresse MAC inexistante sur le réseau, le pirate interdit à la station empoisonnée tout trafic en direction de l’adresse IP choisie.
C’est une attaque de type déni de service (DoS); • la perturbation de la commutation des commutateurs : le pirate peut bombarder un commutateur (switch) avec des milliers de réponses ARP dans le but de saturer sa table ARP. Dans ce cas, certains commutateurs réagissent par la suite en retransmettant tous les paquets qu’ils reçoivent sur tous leurs ports. En d’autres termes, ils se comportent alors en simples répéteurs, leur fonction d’isolation des communications est éliminée.