Dyrk

 

 

Salut à tous,

 

Excellente fin de semaine à vous !
J'ai sélectionné un sujet tout chaud, rien que pour vous !

Le "Man In The Middle"

Kézako ?

 

Le Man In The Middle (Homme du Milieu), c'est la technique que vous voyez souvent dans les films ...
L'espèce de vilain pirate qui intercepte toutes les données d'un autre ordinateur ;)

 

Je sais que pas mal d'entre vous s’intéressent au sujet ...
Car il est vrai que c'est un sujet passionnant ...
Le net regorge de million de tutoriel qui en parle, mais là où je suis triste, c'est que 99% des tutos qui parle du Man In The Middle, parle ne parle QUE d'Ettercap ...

 

Aussi j'aimerais vous donner une première approche "technique" de la chose, et sans utiliser le moindre outil ! 
À l'unique condition bien sur d'être sous Linux ;)

 

Pour vous expliquer un peu le but de cette attaque ..

C'est de transformer cette situation : 

ordinateur Victime  <>  routeur (Ex : LiveBox)

En cette situation :

ordinateur Victime  <> ordinateur Pirate  <> routeur

 

Bien sur, de la manière la plus transparente possible !

 

Tout d'abord, utilisons un peu la commande  arp -n afin de connaitre, les adresses IP / MAC  des machines connectées à notre réseau (celles qui sont connues par notre ordinateur).

 

#root: arp -n
Address HWtype HWaddress Flags Mask Iface
55.37.76.17 ether 00:50:56:97:59:42 C eth0
55.37.76.11 ether 00:50:56:97:7f:6a  C eth0
55.37.76.1   ether cc:3e:5f:f0:39:b1    C eth0

@Barrios
Un ami à mois, a souhaité apporter sa pierre à l'édifie avec ce petit WIKI :

[WIKI]

 

Cette commande va lire le "Cache" ARP.

Le cache ARP, c'est tout simplement une petite mémoire située dans votre carte réseau, qui enregistre les correspondances entre les adresse IP du réseaux et leurs adresses MAC.

 

 

Dans la chronologie lorsque votre ordinateur souhaite envoyer des données à un autre ordinateur, Il peut :

Soit interroger le HOSTNAME :
"Ordinateur de Dyrk" -> sera converti par les DNS en une IP : xxx.XXX.xxx.XXX

Soit directement interroger l'IP

L'IP sera ensuite converti en une adresse MAC !

 

 

Nous allons maintenant faire croire à la machine ayant pour ip 55.37.76.17 que nous sommes l'ip 55.37.76.217, alors qu'en réalité nous sommes l'ip 55.37.76.74

 

pour cela rien de plus simple, nous allons d'abord analyser comment agit notre ordinateur sur le réseau avec la commande :

#root: tcpdump -i eth0 -v arp

 

• -i eth0 : Indique l'interface réseau sur laquelle nous souhaitons analyser.
  Dans notre cas c'est eth0 (ethernet), en wifi ça aurait pu être wlan0 pour savoir laquelle utiliser faites un ifconfig, et voyez selon les adresses IP, laquelle vous allez devoir utiliser.
• -v arp : permet de n'analyser que les paquets ARP

 

Bref résultat au bout de quelques secondes :

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

11:05:41.505426 ARP, Ethernet (len 6), IPv4 (len 4),

Request
who-has 55.37.76.17 tell 55.37.76.74, length 46

11:05:41.505438 ARP, Ethernet (len 6), IPv4 (len 4),
Reply PLC6_CentOS is-at 00:50:56:97:3a:c1 (oui Unknown), length 28

Bref pas mal de blabla que je vais vous décortiquer :

55.37.76.14 demande "Qui à l'adresse IP 55.37.76.17 ?"
(Oui Oui, votre ordinateur parle comme maître Yoda")

who-has 55.37.76.17 tell 55.37.76.74, length 46

Aussi ... 55.37.76.17 ne se fait pas attendre ...

 

"C'est MOI !!! si vous voulez m'envoyer des cadeaux mon adresse MAC est 00:50:56:97:3a:c1"

 

Reply55.37.76.17 is-at 00:50:56:97:3a:c1

Bon voilà vous comprenez un peu le fonctionnement ...
Les machines communiquent entre elles et se posent des questions ...
Aussi le but du jeu, consiste à être un MENTEUR !
Et donner de fausse information !

 

Votre ordinateur est configuré pour  recevoir uniquement  les paquets (informations), lorsque ceux-ci sont adressés à votre IP ...
Aussi si nous faisons croire que nous avons une autre adresse IP ...
Nous n'allons pas recevoir grand-chose ...
Mais nous pouvons résoudre ce problème avec la commande suivante ' sysctl net.ipv4.ip_nonlocal_bind=1'

#root: sysctl net.ipv4.ip_nonlocal_bind=1
net.ipv4.ip_nonlocal_bind = 1

 

Pour finir nous allons enfin taper la ligne de commande ... qui vous permettra d'enfumer 55.37.76.17 

Nous allons lui envoyer une bonne requête qui fera que lorsqu'elle s'adressera à l'ip 55.37.76.217, c'est nous qui recevrons   !

 

#root: arping  -U -s 55.37.76.217 -I eth0 55.37.76.17

Aussi, cette commande enverra en continu le message " je suis 55.37.76.217" à l'ordinateur 55.37.76.17

 

Ainsi, le cache ARP de la machine distante, associera cette "fausse" IP à notre adresse MAC.

 

Vous pouvez voir si ça à fonctionné en analysant depuis l'ordinateur "victime" l'adresse MAC associé à l'ip  55.37.76.217 qui apparaîtra dans "arp -v"

 

En appliquant cette méthode, vous devriez pouvoir vous passer d'Ettercap