Analyse défensive · Réseau
ARP et DNS spoofing : comprendre, détecter et contenir
Comprendre les attaques ARP et DNS spoofing dans un laboratoire autorisé, reconnaître leurs traces et renforcer un réseau local.
Ettercap est souvent cité dans les démonstrations d’homme du milieu. Reproduire ces techniques sur un réseau tiers intercepte ou perturbe des communications et n’est pas un test anodin. Les manipulations doivent rester dans un laboratoire isolé dont tous les systèmes sont autorisés.
L’objectif défensif est de reconnaître les conditions nécessaires, les traces et les contrôles. ARP opère dans le voisinage local IPv4 ; DNS agit à un autre niveau. Les deux peuvent être combinés, mais leurs remédiations ne se confondent pas.
Repère pratique
Comprendre la confiance locale d’ARP
ARP associe une adresse IPv4 à une adresse MAC sur le segment local. Les hôtes peuvent mettre à jour leur cache à partir de réponses reçues. Un acteur présent sur le même domaine de diffusion peut tenter d’annoncer une fausse association afin de recevoir un trafic destiné à une passerelle ou à un autre hôte.
Cette position ne garantit pas la lecture de tout le contenu. TLS correctement vérifié protège les échanges applicatifs contre une interception transparente. En revanche, les protocoles non chiffrés, les erreurs de validation et les redirections peuvent rester exposés.
Repère pratique
Séparer empoisonnement ARP et fraude DNS
Le DNS spoofing désigne plusieurs scénarios : réponse falsifiée sur le réseau, résolveur compromis, configuration modifiée ou domaine trompeur. Une observation de mauvaise adresse IP ne prouve pas automatiquement un empoisonnement ARP. Il faut examiner le chemin de résolution, le serveur interrogé, le cache et les journaux.
La résolution sécurisée, DNSSEC lorsqu’il est validé et le chiffrement du transport réduisent certains risques mais ne remplacent pas la gestion du poste et du résolveur. Un domaine visuellement proche reste valide du point de vue DNS : c’est un problème d’identité, pas une falsification technique.
Repère pratique
Monter un laboratoire sans toucher au réseau réel
Utilise des machines virtuelles sur un réseau interne sans pont vers le réseau de l’entreprise, avec une passerelle de laboratoire et des données factices. Documente les adresses et capture une ligne de base avant toute expérience. Vérifie qu’aucune interface n’offre un chemin vers le Wi-Fi ou le réseau physique.
Le test doit avoir un objectif : observer le cache ARP, une alerte du commutateur ou une validation TLS. Arrête après la preuve et restaure les instantanés. Une démonstration qui se contente de détourner une session sans mesurer les contrôles n’améliore pas la défense.
Repère pratique
Chercher les indicateurs côté poste et réseau
Sur un poste, compare les associations ARP dans le temps et cherche plusieurs IP critiques reliées soudainement à la même MAC. Sur le commutateur, examine les changements de port, les fonctions de sécurité et les événements. Une capture Wireshark permet d’observer les annonces répétées, mais elle doit être corrélée à la topologie réelle.
Pour DNS, conserve le résolveur utilisé, la réponse, le TTL et le moment. Compare depuis une source saine sans publier des URL contenant des secrets. Les certificats inattendus, erreurs HSTS ou changements de destination sont des signaux, pas des preuves isolées.
Repère pratique
Renforcer le segment local
Réduis les domaines de diffusion, sépare les populations et limite l’accès physique ou Wi-Fi. Selon le matériel, des fonctions comme DHCP snooping et Dynamic ARP Inspection peuvent valider les associations. Elles exigent une configuration correcte des ports de confiance et des cas statiques.
802.1X peut renforcer le contrôle d’accès au réseau. Les postes doivent utiliser des protocoles chiffrés avec validation stricte des certificats. Les interfaces d’administration ne devraient pas être exposées au même segment que les appareils invités ou non maîtrisés.
Repère pratique
Traiter une suspicion sans détruire les traces
Isole le segment ou l’appareil selon la procédure, conserve les captures et la table des commutateurs, puis vérifie la passerelle, le DHCP et le résolveur. Change les secrets potentiellement exposés depuis un système sain après avoir compris la portée. Ne te limite pas au poste où l’alerte est visible.
Après l’incident, corrige la cause : accès non autorisé, segmentation, protection de commutateur, protocole en clair ou validation de certificat contournée. Rejoue le scénario dans le laboratoire pour vérifier le contrôle sans exposer la production.
Repère pratique
Établir une ligne de base avant l’alerte
Une détection n’est fiable que si le comportement normal est connu. Conserve la liste des passerelles, serveurs DHCP et résolveurs autorisés, les ports associés aux équipements critiques et les changements planifiés. Les réseaux avec haute disponibilité peuvent présenter plusieurs adresses MAC légitimes ; documente ce fonctionnement pour ne pas confondre bascule et attaque.
Teste périodiquement la remontée d’une anomalie de laboratoire vers la supervision. Vérifie que l’alerte contient le segment, l’adresse, le port, l’heure et un contact. Un capteur qui détecte sans permettre de localiser l’équipement ralentit le confinement au moment où chaque minute compte.
Questions d’exploitation
Questions fréquentes
Un VPN protège-t-il contre l’ARP spoofing ?
Un VPN correctement configuré peut protéger le contenu transporté, mais l’attaquant local peut encore perturber la connectivité. La sécurité du segment reste nécessaire.
HTTPS suffit-il ?
HTTPS avec validation correcte protège le contenu applicatif et l’identité du serveur. Il ne bloque pas toutes les perturbations réseau et ne corrige pas un utilisateur qui accepte un certificat invalide.
Pourquoi utiliser Wireshark ?
Il permet d’observer les trames et réponses réelles. Une capture doit être interprétée avec la topologie et les journaux, car un changement ARP peut aussi avoir une cause légitime.
Vérification
Sources et documentation
Ces références permettent de vérifier les recommandations, les valeurs par défaut et le support des outils. Contrôlez toujours la version qui correspond à votre environnement.