Publicité
Sécurité
Inspection ARP
Inspection ARP
538
Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5
ARP permet la communication IP au sein d'un domaine de diffusion de couche 2 (Layer 2) en
mappant les adresses IP à des adresses MAC.
Un utilisateur malveillant peut attaquer les hôtes, les commutateurs et les routeurs connectés à
un réseau en mode de couche 2 en empoisonnant les caches ARP des systèmes connectés au
sous-réseau et en interceptant le trafic destiné aux autres hôtes du sous-réseau. Cela s'avère
possible parce qu'ARP permet une réponse gratuite à partir d'un hôte, même si aucune requête
ARP n'a été reçue. Après l'attaque, tout le trafic issu du périphérique attaqué se dirige vers
l'ordinateur de la personne malveillante, puis vers le routeur, le commutateur ou l'hôte.
Vous trouverez ci-dessous un exemple d'empoisonnement de cache ARP.
Empoisonnement de cache ARP
Les hôtes A, B et C sont connectés à un commutateur sur les interfaces A, B et C, toutes se
trouvant sur le même sous-réseau. Leurs adresses IP et MAC sont indiquées entre
parenthèses ; par exemple, l'hôte A utilise l'adresse IP IA et l'adresse MAC MA. Lorsque
l'hôte A a besoin de communiquer avec l'hôte B au niveau de la couche IP, il diffuse une
requête ARP relative à l'adresse MAC associée à l'adresse IP IB. L'hôte B répond ensuite à
l'aide d'une réponse ARP. Le commutateur et l'hôte A mettent à jour leur cache ARP avec les
adresses MAC et IP de l'hôte B.
L'hôte C peut empoisonner les caches ARP du commutateur, de l'hôte A et de l'hôte B en
diffusant des réponses ARP falsifiées avec des liaisons vers un hôte possédant une adresse IP
égale à IA (ou IB) et une adresse MAC égale à MC. Les hôtes dont les caches ARP ont été
empoisonnés utilisent alors l'adresse MAC MC en tant qu'adresse MAC de destination pour le
20
Publicité
