L'attaque ARP redirect : arp poisoning et spoofing d'adresse IP

Qu'est-ce que l'ARP redirect ?

L'attaque ARP redirect vise les réseaux locaux Ethernet, qu'ils soient partitionnés ou non en sous-réseaux (switchés).
C'est une technique de spoofing efficace bien que détectable dans les logs d'administration (encore faut-il lire les logs). Elle consiste à s'attribuer l'adresse IP de la machine cible, c'est-à-dire à faire correspondre son adresse IP à l'adresse MAC de la machine pirate dans les tables ARP des machines du réseau.
Pour cela il suffit en fait d'envoyer régulièrement des paquets ARP_reply en broadcast, contenant l'adresse IP cible et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau (routeurs compris). Celles-ci enverront donc leur trames Ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches. D'où la notion de redirection grâce au protocole ARP (ARP redirect).
De son côté, la machine pirate stocke le trafic et le renvoie à la vraie machine en forgeant des trames Ethernet comportant la vraie adresse MAC (indépendamment de l'adresse IP). Du coup, la vraie machine ne s’aperçoit de rien, malgré le fait que tout son trafic IP, quelque soit le protocole, est intercepté par une machine pirate.
Cette technique est donc très puissante puisqu'elle opère au niveau Ethernet, permettant ainsi de spoofer le trafic IP et même TCP (cela dépend entre autres des délais engendrés par la machine pirate). D'autre part, elle permet de contourner les barrières que constituent habituellement les switches (partitionnement de réseaux et VLAN).