Protection : Se protéger de l'ARP spoofing

Bonjour !

Tout nouveau sur se forum, je viens quérir votre aide.
Depuis quelques temps je suis victime de plusieurs attaques de type ARP spoofing, bloquant intégralement ma connexion internet et ne pouvant rien faire d’autres qu’attendre la fin de l’attaque.

J’ai déjà vue qu’avec le paquet “Arpon” ou “Arp0N” on pouvait protéger son adresse MAC et la rendre fixe, mais malheureusement “Arpon” n’est plus ou toujours pas disponible sur jessie, je ne sais donc pas quoi faire alors je viens demander votre aide pour régler mon problème plus que gênant et contraignant.

Merci d’avance !

Une attaque basée sur ARP ne peut provenir que d’une machine située dans le même réseau local (domaine de diffusion), donc la première chose à faire serait de prévenir l’administrateur.

Je ne sais pas ce que tu entends par “protéger son adresse MAC” mais une chose est sûre : elle est déjà fixée en dur pour chaque appareil voire interface réseau. Un poste ne peut pas empêcher une usurpation de son adresse.
Quant au paquet arpon, tu peux essayer d’installer la version de wheezy (oldstable) ou de stretch (testing).

Contacter l’administrateur du réseau c’est déjà fait et donc quelles sont pour lui ses possibilités ? Aucune malheureusement c’est pour ça que nous cherchons à nous protéger.

Par “protéger son adresse MAC” j’entends par mettre les adresses MAC dans les tables ARP des clients. Un hôte peut tout à fait lié mon adresse IP avec son adresse MAC.

Pour ce qui est de votre réponse sur l’installation de Wheezy, cela signifie la perte de Jessie ? Ca m’embête un peu de perdre Jessie juste pour cette histoire de ARP spoofing, même si c’est extrêmement dangereux.

En tout cas un grand merci pour avoir prêté attention à ma demande !

Même pas la possibilité d’identifier et virer de son réseau les machines à l’origine de l’attaque ? Il n’a pas l’air bien efficace comme administrateur…

Avec ton adresse MAC, tu veux dire.
Mais si l’attaque vise le routeur d’accès à internet pour l’empêcher de répondre à ta machine, alors tu n’y peux rien sans avoir la main sur le routeur, et à condition que son logiciel permette de créer des entrées ARP statiques.

Pas du tout. Rien n’empêche d’installer un paquet d’une version de Debian sur une autre version si les dépendances sont satisfaites (et arpon ne semble pas avoir des dépendances très exigeantes). Mais pas besoin d’arpon pour créer des entrées ARP statiques, les outils installés par défaut [mono]arp[/mono] ou [mono]ip[/mono] suffisent.

C’est un poil plus compliqué que ça, pour ce qu’il s’agit de l’administrateur réseau, sans trop rentrer dans les détails dîtes-vous que la coupure du réseau pour l’attaquant n’est pas forcément une option.

Et en ayant la main sur le routeur, il y a une solution adéquate pour se sentir en sécurité de toute attaque de se type en sachant que notre routeur ne permette pas de configurer des entrées ARP statiques ?

Je comprends bien pour Wheezy et je vous remercie, vous dîtes qu’il est possible d’utiliser les outils de base arp et ip mais quand j’essaye de les utiliser il me dit “Aucune commande de ce type” pourtant il reconnait bien la commande en question avec le “man”

C’est pour cela que j’ai cru que ces commandes provenait de Arpon.

Au niveau du routeur, je n’en vois pas. Il faudrait intercaler un autre routeur qui le permette entre le routeur et le reste du réseau, ou que le switch ethernet soit “intelligent” et capable de faire du filtrage MAC et ARP par port.

[mono]arp[/mono] et [mono]ip[/mono] sont des commandes “privilégiées”, il faut être root pour créer des entrées statiques. Aussi les commandes privilégiées sont souvent dans /sbin ou /usr/sbin qui ne figurent pas dans le $PATH par défaut des utilisateurs normaux.

Super merci, j’ai réussi pour arp et ip à faire ce que je voulais, tout c’est bien dérouler, plus qu’à faire quelques tests entre nous pour vérifier si tout fonctionne comme voulu.