Commentaires - Man In The Middle

roc, le 01/08/2012 :

Bonjour,
à propos de l'IP spoofing, quelle est la meilleur méthode de détecter que l'ip set spoofé ou non.

Merci.

Réponse :

Dans un réseau local il faut regarder l'adresse MAC de toutes les machines. Si deux adresses IP ont la même adresse MAC il y a des chances que tu sois dans le cas d'un man in the middle.

Sur internet tu n'a pas de moyen, mais un spoofing ne peut pas avoir lieu sur une connexion TCP (sauf si l'attaquant à détourné les routes menant à toi), donc l'impact est limité.

Gauvinois, le 14/08/2009 :

Article intéressant !

Je souhaite tester la méthode avec mes deux PC mais seulement, j'ai un portable sous Vista et un autre sous Ubuntu, qui partagent le même modem. J'aimerai savoir comment faire en sorte que l'adresse de mon portable sous vista soit affiché lorsque je fais un "arp -a"... car les deux PC ont l'air de pouvoir communiquer entre eux, mais je n'ai aucun signe visible mis à part lorsque je fais un ping. En gros, dois-je créer un groupe d'utilisateurs sur le réseau local et y partager des fichiers pour que cette méthode soit applicable ?

Réponse :

C'est normal, il faut que les 2 machines communiquent pour que l'adresse MAC de l''autre soit référencée. Sinon, tu peux toujours ajouter une entrée statique à ta table.

linksys, le 29/04/2009 :

Sympa cet article, par contre il faut renvoyer les paquets arp empoisonnés a des intervalles régulier sinon les entrés arp des machines ciblés redeviendront correctes et il faut aussi activé l'IP forwarding autrement on fait un DoS.

Réponse :

En effet ces deux conditions sont requises pour avoir un man in the middle efficace ;-)

Heurs

SuperMegaPlopinou, le 04/12/2008 :

Je suis tombé sur un outil basé sur l'exploitation de faille d'arp poisonning pour intercepter et modifier a la volée le trafic entre deux machines. Cet outil met en oeuvre cette faille pour montrer les faiblesses du protocole MSN en interceptant et modifiant les conversations entre deux personnes.
Tres instructif : http://jbc-explorer.info/demo/index.php?0=Scripts%20Perso&1=MIM%20Network%20Injector

Réponse :

En effet, les communications msn passent en claire. Il existe des logiciels tels que Simp Lite qui utilisent des certificats pour les communications (cryptage asymétrique), ainsi on retrouve une confidentialité dans nos messages :-D

Heurs

pleonasm, le 05/05/2008 :

Bonjour,

L'ajout de table statique n'est pas une solution en elle-même, car l'arp spoofing n'est pas la seule technique exploitable pour la redirection de trafic au sein d'un réseau LAN.

On pourra noter l'icmp redirect, DHCP spoofing, et quelques autres.
Pour les contres-mesures, une sonde de détection de trame arp illicite est interressante(cf outils anti-mitm), mais ca reste encore utile que pour le cas d'un arpspoofing.

Bonne article celà dit, et bonne continuation.
Pleonasm.

Réponse :

Je suis parfaitement d'accord avec toi, le but de cet article était de traiter uniquement le cas du MITM, j'aborderais dans d'autres articles les autres redirections et les attaques sur les protocoles de routage.

En tout cas merci pour ton oeil critique, ca fait toujours plaisir de savoir que d'autres personnes techniques vérifient nos petits textes :-)

PS : il y a aussi des méthodes en local qui permettent de détecter ces types d'attaques.

Heurs