🕵️

Test de l'attaque MITM — ARP Poisoning

Man-In-The-Middle · Ettercap · Wireshark · Kali Linux

📚 Matière

Cyber-Sécurité

📅 Date

13 novembre 2025

☑️ État

Terminé

⚔️ Type d'attaque

MITM ARP Poisoning

🛠️ Outils

Ettercap Wireshark

🌐 Réseau

192.168.10.0/24

⚠️

Avertissement : Ce TP est réalisé dans un environnement de laboratoire isolé à des fins pédagogiques uniquement. Toute attaque non autorisée sur des systèmes tiers est illégale.

📋 Table des matières

IntroComprendre l'ARP Poisoning §1Topologie — Équipements et adressage §2Configuration du Switch Cisco (SW1) §3Configuration du Routeur §4Configuration de Kali Linux (attaquant) §5Observation des caches ARP initiaux §6Lancement de l'attaque — Ettercap §7Observation avec Wireshark §8Analyse et conclusion

🎯

Comprendre l'ARP Poisoning

Principe du Man-In-The-Middle et vulnérabilité ARP

Une attaque Man-In-The-Middle (MITM) est réalisée lorsqu'un attaquant empoisonne le cache ARP de 2 périphériques avec l'adresse MAC de sa propre carte réseau. Une fois les caches empoisonnés, chaque victime envoie ses paquets à l'attaquant — celui-ci se positionne au centre de la communication.

💡

Pourquoi ARP est vulnérable ? Le protocole ARP n'a aucune authentification. N'importe quel équipement peut envoyer une réponse ARP non sollicitée (gratuitous ARP) pour modifier le cache d'un autre appareil.

🎯

Objectif : intercepter les communications entre PC0 et le routeur, capturer les identifiants Telnet en clair, et démontrer l'importance des protocoles chiffrés (SSH, HTTPS).

🖥️ Topologie — Équipements et adressage

Réseau 192.168.10.0/24

Équipement	Adresse IP	Adresse MAC	Rôle
PC0 (Windows 10)	`192.168.10.1`	`0A-00-27-00-00-09`	Victime
PC1 (Kali Linux)	`192.168.10.2`	`0800.2748.EA1F`	Attaquant
Switch SW1	`192.168.10.10`	Port1: `0C27.2444.1481` Port2: `0C27.2444.1482` Port24: `0C27.2444.1492`	Commutation
Routeur	`192.168.10.254`	`001B.54DB.34D7`	Passerelle

🔵 Configuration du Switch Cisco (SW1)

Nommage · VLAN · Trunk · SSH

Nommage et configuration de base

Cisco IOS — SW1

conf t
hostname SW1

Interface VLAN 1 — Gestion

Cisco IOS — SW1

interface vlan 1
  ip address 192.168.10.10 255.255.255.0
  no shutdown
exit

Port Trunk

Cisco IOS — SW1

interface gi0/1
  switchport mode trunk
exit

Sécurisation SSH

Cisco IOS — SW1

service password-encryption
ip domain-name local.lab
crypto key generate rsa
ip ssh version 2

! Vérification
show crypto key mypubkey rsa

🟠 Configuration du Routeur

Telnet volontairement non chiffré — à des fins pédagogiques

⚠️

Telnet est utilisé volontairement pour illustrer les risques des protocoles non chiffrés. Dans un environnement de production, toujours utiliser SSH.

Cisco IOS — Routeur

conf t

! Mot de passe enable
enable secret sio

! Accès Telnet (non chiffré — pédagogique)
line vty 0 4
  transport input telnet
  username etudiant secret sisr
  login local
exit

! Chiffrement des mots de passe
service password-encryption

! Interface réseau — passerelle
interface fa0/1
  ip address 192.168.10.254 255.255.255.0
  no shutdown
exit

💀 Configuration de Kali Linux (attaquant)

Attribution IP · Tests de connectivité

Attribution de l'adresse IP

Ouvrir Network Connections
Sélectionner la carte réseau
Aller dans l'onglet IPv4
Cliquer sur Add et configurer :

Kali Linux — Config réseau

IP      : 192.168.10.2
Masque  : 255.255.255.0
Gateway : 192.168.10.254

Tests de connectivité avant l'attaque

Kali Linux — Terminal

ping 192.168.10.10   # → Switch
ping 192.168.10.254  # → Routeur
ping 192.168.10.1   # → PC0 (victime)

✅

Tous les équipements doivent être joignables avant de lancer l'attaque.

🔍 Observation des caches ARP initiaux

Relever les valeurs de référence avant l'empoisonnement

Relever le cache ARP de chaque équipement avant l'attaque pour comparer avec l'état après empoisonnement.

PC0 — Windows 10

Afficher le cache ARP de PC0 (victime)
C:\> arp -a

Kali Linux — PC1

# Cache ARP de Kali (attaquant)
arp -n

Cisco IOS — Switch / Routeur

! Cache ARP du switch
show arp

! Cache ARP du routeur
show ip arp

⚡ Lancement de l'attaque — Ettercap

Unified Sniffing · ARP Poisoning · Plugins

Ouvrir Ettercap en mode Unified Sniffing

Lancer Ettercap → sélectionner le mode Unified Sniffing → choisir l'interface Ethernet (réseau Stations).

Scanner le réseau — Hosts → Scan for hosts

Découverte automatique des équipements présents sur le réseau 192.168.10.0/24.

Définir les cibles MITM

Target 1 : PC0 victime (192.168.10.1)
Target 2 : Routeur (192.168.10.254)

Démarrer le sniffing — Start → Start sniffing

Ettercap commence à intercepter le trafic entre les deux cibles.

Lancer l'ARP Poisoning — MITM → ARP Poisoning

Cocher l'option Sniff remote connections. Ettercap envoie des réponses ARP falsifiées aux deux victimes.

Activer les plugins — Plugins → Manage the plugins

repoison_arp : surveille les broadcasts ARP et ré-empoisonne la cible si nécessaire
remote_browser : visualise les pages Web consultées par la victime

📌

Après le lancement de l'ARP Poisoning, vérifier que les caches ARP ont été modifiés :
• Sur PC0 : arp -a → l'adresse MAC du routeur doit maintenant correspondre à la MAC de Kali
• Sur le routeur : show ip arp → l'adresse MAC de PC0 doit correspondre à la MAC de Kali

Test — Capture du mot de passe Telnet

PC0 — Windows 10

Depuis PC0, se connecter en Telnet au routeur
C:\> telnet 192.168.10.254

Saisir : etudiant / sisr
→ Ettercap capture les identifiants en clair !

🔵 Observation avec Wireshark

Capture et filtrage du trafic Telnet en clair

Wireshark permet d'observer les données transitant en clair depuis le poste attaquant Kali.

Wireshark — Filtres

Filtrer le trafic Telnet (non chiffré)
telnet

Filtrer le trafic ARP (voir les broadcasts d'empoisonnement)
arp

Filtrer la communication entre PC0 et le routeur
ip.addr == 192.168.10.1 && ip.addr == 192.168.10.254

👁️

Dans Wireshark, les identifiants Telnet (etudiant / sisr) apparaissent en clair dans les paquets capturés. C'est exactement pourquoi Telnet est dangereux sur un réseau non sécurisé.

✅ Analyse finale et conclusion

Résultats observés et bonnes pratiques

Résultats observés

Les caches ARP de PC0 et du routeur ont été modifiés avec la MAC de Kali
Tout le trafic PC0 ↔ Routeur transite par l'attaquant
Les identifiants Telnet sont capturés en clair dans Ettercap et Wireshark
Les pages Web HTTP consultées par PC0 sont visibles via remote_browser

Ce que ce TP démontre

Protocole	Sécurité	Alternative recommandée
Telnet	❌ Non chiffré	SSH
HTTP	❌ Non chiffré	HTTPS
ARP	❌ Sans auth	DAI (Dynamic ARP Inspection)

🛡️

Contre-mesures recommandées :
• Dynamic ARP Inspection (DAI) sur les switches Cisco pour valider les réponses ARP
• DHCP Snooping associé à DAI pour créer une table de liaisons IP/MAC de confiance
• Toujours utiliser SSH à la place de Telnet et HTTPS à la place de HTTP

BTS SIO SISR — Cyber-Sécurité — TP MITM ARP Poisoning — Kali Linux · Ettercap · Wireshark