Проста атака за кражба на порт

Съдържание
В комутирана мрежа, като домашна Ethernet LAN, превключвателят е устройството, използвано за свързване на мрежови устройства.
Превключвателят използва слоя Link за извършване на превключване на мрежова рамка. В типичен сценарий Боб изпраща мрежов кадър, посочващ неговия MAC адрес като изпращач и адреса на Алиса като дестинация, и изпраща рамката чрез физическата си връзка към Switch. Когато комутаторът получи рамката, той свързва адреса (изпращача) на Боб с порта, където кадърът „е влязъл“ в Switch; тази асоциация се съхранява в таблица, известна като "CAM таблица".

Увеличете

Може да има множество MAC адреси, свързани с един и същ порт за превключване, но всеки MAC адрес ще бъде свързан с един и само един порт за превключване. След като адресът на Bob е свързан, комутаторът търси в CAM таблицата дестинацията MAC адрес и продължава да препраща получената рамка през свързания порт (и само през този порт).
Алгоритъмът не предвижда валидиране и механизмът за актуализиране на таблицата CAM подлежи на приемане на кадри, така че MAC адресът на Bob ще продължи да бъде свързан с порта, докато "изтече време на изтичане", или комутаторът получи кадър с MAC адресът на Боб на друг порт. Последното например би възникнало, ако Боб изключи мрежовия си кабел от порт „1“ и го свърже с порт „2“; В следващия момент, ако Боб изпрати кадър, превключвателят ще открие MAC на Bob, влизащ през порт „2“ и ще актуализира записа в CAM таблицата.
Отсега нататък всеки кадър, който Алиса изпраща на Боб, ще бъде насочен към порта, който регистрира MAC адреса на Боб в CAM таблицата.
MAC адресите на устройствата трябва да са уникални в Ethernet мрежите, тъй като ако две системи имат един и същ MAC адрес и се свържат на различни портове на Switch, те ще доведат до актуализиране на CAM таблицата за всеки изпратен кадър, което ще предизвика състезателно състояние за на пристанището в CAM таблицата. След това, за всеки получен кадър, комутаторът ще достави кадъра на порта, който е свързан към момента на обработката му, без възможността да се определи коя от двете системи със същия MAC адрес съответства на мрежовия трафик.
Прилагането на техниката, наречена "Кражба на пристанища„Или„ Кражба на порт “при компютърни атаки, основно се състои в предизвикване на актуализация на CAM таблицата на комутатор, с манипулирана информация за адресиране, така че превключвателят свързва определен MAC адрес (система жертва) със свързания порт към устройството, което прилага тази техника.
След това „Нападател“ може да принуди превключвателя да свърже MAC адреса на Боб с порта, където е свързано оборудването му, като по този начин получава мрежовите рамки, предназначени за MAC адреса на Боб.
По избор нападателят ще избере да препрати кадрите или не, действие, което ще доведе съответно до атака на човек в средата (MitM) или отказ на услуга (DoS). Съществува голямо разнообразие от приложения, които позволяват прилагането на тази техника. Ето една проста процедура, използваща GNU / Linux.
Включени системиБоб AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Алиса АА: BB: CC: 22: 33: 44 (192.168.0.2/24)
Нападател AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu ще се използва за атакуващата система и командата арфинг (версия на Томас Хабец).
За прилагане на техниката Кражба на пристанища използвайки арфинг, стартирайте като root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN

КъдетоMAC_VICTIMA: MAC адрес на системата, от която се предвижда „кражба на порта“.
IP_DESTINATION: тъй като това е съобщение за ARP заявка, трябва да се посочи целеви IP адрес.
SOURCE_IP: IP адрес на източника или изпращача на ARP съобщението.
INTERFAZ_LAN: име на мрежовия интерфейс, който да се използва.
От системата Attacker, генерираща рамки, чийто източник MAC съвпада с MAC на жертвата, Боб:

Командата арфинг приема аргумента -s, за да посочи MAC адреса на източника или изпращача, като по този начин посочва MAC адреса на жертвата Боб.
Аргументът -S определя IP адреса на източника, в този случай 2.2.2.2 (той е незадължителен и произволен).
Ако не е посочено, IP адресът, конфигуриран в мрежовия адаптер, ще бъде взет.
IP адресът 1.1.1.1 е адресът на местоназначението и тъй като целта е само да се „обърка комутатора“, избраната стойност е напълно произволна, но задължителна.
Тази команда генерира ARP трафик с източник MAC AA: BB: CC: 11: 22: 33:

Увеличете

След като портът на нападателя е свързан с MAC адреса на Боб, всички рамки, адресирани до Боб, ще бъдат насочени към порта на нападателя:

Увеличете

От този момент Спайкърът влиза в състезателно състояние с Боб. Всеки кадър, който Боб изпраща, ще принуди CAM таблицата да се актуализира. Нападателят може да определи колко често командата изпраща ARP съобщения арфинг използвайки параметъра -w:
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1

Стойността "1" за параметъра "-w”Показва, че arping изчаква 1 микросекунда, преди да изпрати следващото съобщение. По този начин нападателят ще действа с предимство, за да получи пристанището на жертвата.
По отношение на IP адреса на източника и местоназначението няма конкретно наблюдение, тъй като не е важно да се разреши ARP заявката, а по -скоро, по отношение на прилагането на атаката за кражба на порт, ще бъде достатъчно рамката да посочи източника MAC на жертвата.
Антивирусна система, IDS или проверка на мрежовия трафик може да разкрие подозрителна активност в мрежата, така че нападателят може да предпочете да посочи данни, съответстващи на „нормалната“ активност на мрежовия трафик:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44

КъдетоMAC_ORIGEN: MAC на Боб, AA: BB: CC: 11: 22: 33
DESTINATION_IP: IP на Алиса, 192.168.0.2
IP_ORGIEN: IP на Боб, 192.168.0.1
MAC_DESTINATION: MAC на Алиса, AA: BB: CC: 22: 33: 44
Преглеждайки мрежовия трафик, ще се наблюдават ARP заявки:

Увеличете

Нападателят определя MAC адреса на местоназначението с MAC адреса на Bob (задължително, тъй като Bob е системата, която се опитва да „открадне порта“).
ARP съобщението е насочено директно към IP адреса на Alice, освен това е посочен MAC адресът на Alice, за да се опита да принуди доставянето на ARP съобщението директно до Alice и да се избегне контрола за Broadcast.
И накрая, Нападателят посочва IP на Bob като изходен IP адрес, така че ARP съобщението съдържа валидна информация, въпреки че не е легитимна. Последното може да попречи на аномалията да бъде открита, тъй като ако MAC и IP адресът на източника не съвпадат с предварително регистриран ARP запис, някои антивирусни системи биха могли да приемат ARP Spoofing дейност.
До този момент нападателят получава кадрите, които другите хостове в мрежата изпращат на жертвата. Това условие прекъсва връзката със сценарий за отказ на услуга тъй като парцелите не само се доставят на Нападателя, но те никога не достигат до жертвата.
По желание нападателят може да препрати кадрите на жертвата си, като предизвика човек в средната атака, за изпратения трафик към Боб.Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка
wave wave wave wave wave