Une capture Wireshark d'un réseau local montre une attaque ARP en cours. Analysez les trames :
N° Temps Source Destination Protocole Info
1 0.000 00:11:22:33:44:55 Broadcast ARP Who has 192.168.1.1? Tell 192.168.1.50
2 0.001 AA:BB:CC:DD:EE:FF 00:11:22:33:44:55 ARP 192.168.1.1 is at AA:BB:CC:DD:EE:FF
3 0.002 AA:BB:CC:DD:EE:FF Broadcast ARP 192.168.1.1 is at AA:BB:CC:DD:EE:FF (Gratuitous)
4 0.003 AA:BB:CC:DD:EE:FF Broadcast ARP 192.168.1.50 is at AA:BB:CC:DD:EE:FF (Gratuitous)
5 0.100 00:11:22:33:44:55 AA:BB:CC:DD:EE:FF TCP 192.168.1.50 → 192.168.1.1:80 [SYN]
6 0.101 AA:BB:CC:DD:EE:FF 00:11:22:33:44:55 TCP [SYN-ACK] — man-in-the-middle actif
...
997 1.200 AA:BB:CC:DD:EE:FF 00:11:22:33:44:55 HTTP HTTP/1.1 200 OK | X-Intercept-Flag: CSA{4rp_p01s0n1ng_d3t3ct3d}Trouvez le flag dans les en-têtes HTTP interceptés.
ARP Poisoning / ARP Spoofing
ARP n'a pas d'authentification. Un attaquant envoie de fausses réponses ARP pour associer sa MAC à l'IP d'une autre machine (routeur, victime). Résultat : tout le trafic passe par lui (Man-in-the-Middle). Protection : ARP dynamique sécurisé (DAI), VLAN, monitoring.
Connectez-vous pour sauvegarder votre score.