Men in the middle

Un article de Lehavre-wireless.org.

Jump to: navigation, search

Men in The Middle (ou hommes au milieu) est une technique très redouter dans les entreprises où le réseau local est conséquent.

En effet, grâce à cette technique nous pourrons : 

- Récupérer les logins et mots de passes des comptes ftp
- Entrée dans une session SSH
- ...

Sommaire

I] Description :

La technique du 'Men in the Middle' ou l'attaque de l'interposition fonctionne très bien sur un réseau local et est très facile à mettre au point.

- Voici comment se présente l'attaque :


(schema attaque )


II] But :

Le but de cette attaque est de s'interposer entre la passerelle du réseau et la cible. C'est a dire que tous le trafic de la cible passera par notre station et notre station se chargera de "forwarder" les infos reçues par la cible vers la passerelle. Ce qui permet, avec les outils adéquat, de lire le contenu des trames tcp, udp, voir même ssh.


III] Outils nécessaires :

  • Pour Windows : 
   - logiciel Cain disponible ici.
  • Pour linux : 
   - dsniff


III] Mise en oeuvre :

- Sous Linux :

Préalablement, il vous faudra trouver : 

  - l'adresse de la passerelle du reseau
  - l'adresse ip de la cible

Pour notre exemple nous nous placerons sur un reseau Wifi avec : 

  - la passerelle en 10.10.0.1
  - le masque est en 255.255.255.0

Pour trouver l'adresse IP, et MAC de la cible et passerelle, utilisons le logiciel [1]Nmap (dont vous avez le manuel d'utilisation en français, dans notre section "Sécurité"). 

                                       nmap.png

Cette commande nmap -P0 10.10.0.* vous permet de scanner tous les postes qui sont compris entre l'adresse 10.10.0.0 à 10.10.0.255 du réseau sur lequel vous vous trouvé. De cette manière nous allons connaître toutes les ip(s) de tous les postes connecter sur le réseau avec un rapport de leur port ouvert.

Voyons le résultat :

- Ma machine à l'adresse 10.10.0.3 - La passerelle est la 10.10.0.1 - MAC Address: 00:0F:B5:7D:E2:EC - La cible sera la 10.10.0.4 - MAC Adresse: 00:17:F2:EE:6E:A9 (choisissez celle que vous voulez installer)

Maintenant que nous avons toutes nos informations, attaquons !


IV] L'attaque :

L'attaque se passe en deux parties : 

 - La mise en place de notre machine entre la cible et la passerelle
 - L'écoute des trames, et interpretation

- La mise en place de notre machine par la technique de L' Arp-Spoofing 

* Fonctionnement :

L'arp-spoofing consiste à dire à la passerelle que tous les paquets en destination de la cible passeront par notre machine. Et inversement, à dire a la cible que tous les paquets sortants vers la passerelle passe par notre machine.

Bien evidement, il faut configurer votre machine pour que celle-ci laisse passer les paquets dans les deux sens, sinon la cible perdra sa connection et l'attaque n'aurai plus d'intérêt. 

* Parametrage de la machine Attaquante :

Sous linux allez editer le fichier ip_forwarding qui se trouve dans

babylon:/# cd /proc/sys/net/ipv4/ip_forward

La valeur par défaut de se fichier est 0, il suffit de le passer à 1. 

* Lancement de l'arp-spoofing :

Lancons la manipulation, pour cela vous aurez besoin de 2 console.

Dans la premiere console, nous allons dire a la passerelle de rediriger les paquets vers notre machine : 

                        arpsoof-passerelle.png

Puis, dire a la cible de rediriger vers notre machine. 

                        arpsoof-cible.png
Récupérée de « http://lehavre-wireless.org/index.php/Men_in_the_middle »
Gestion du Site