Всего за 20 руб. Купить полную версию
Рисунок 2.7 Пользователь аутентифицируется на ресурсе
Если аутентификация проходит по открытому протоколу, то используя сниффер можно перехватить учетные данные пользователя.
Как можно увидеть данная атака реализуется даже проще, чем MAC-spoofing, всего 1-й командой. Теперь рассмотрим главные методы защиты от нее.
2.3 Защита
Одними из главных контрмер против атаки типа MAC-flooding являются:
Port Security запрещает нескольким MAC-адресам присоединятся к одному порту (установка статического MAC-адреса).
Реализация протокола 802.1X позволяет применять правила фильтрации пакетов, выпускаемые централизованным сервером AAA, на основе динамического обучения клиентов.
Фильтрация MAC Ограничивает количество MAC-адресов на коммутаторе.
3 ARP-spoofing
3.1 Описание
Протокол ARP
Протокол ARP предназначен для преобразования IP-адресов в MAC-адреса. Познакомиться с протоколом можно в соответствующем RFC.
3.2 Реализация атаки
Для реализации данной атаки воспользуемся сетевой топологией из предыдущего задания и утилитой Ettercap, которая доступна в репозиториях Kali Linux.
Целью данной атаки будет попытка атакующего вклиниться в канал передачи данных от PC-1 до R1. Таким образом атакующий будет иметь доступ ко всему трафику, который получает и отправляет жертва.
Взглянем на ARP-таблицу на PC-1 (рисунок 3.2).
Рисунок 3.2 ARP-таблица на компьютере жертвы
Как можно заметить IP-адрес шлюза закреплен за MAC-адресом роутера. Посмотрим на аналогичную таблицу на маршрутизаторе (рисунок 3.3).
Рисунок 3.3 ARP-таблица коммутатора
Все данные совпадают с тем, что мы увидели на PC-1. Теперь воспользуемся программой Ettercap и проведем ARP-spoofing атаку. Можно использовать консольный интерфейс, но мы воспользуемся графической оболочкой (рисунки 3.4 3.5).
Листинг 3.1 Открытие графической оболочки ettercap
Рисунок 3.4 Начальная настройка Ettercap
Рисунок 3.5 Главное окно Ettercap
Запустим сканирование сети, чтобы определить хосты внутри сети (рисунки 3.6 3.7).
Рисунок 3.6 Трафик после нажатия кнопки сканирования
Рисунок 3.7 Список обнаруженных хостов в сети
Как можно увидеть из рисунка 3.6 Ettercap выполняет сканирование сети, путем отправки широковещательных запросов для каждого IP-адреса. Диапазон IP-адресов для запросов вычисляется на основе IP-адреса и маски сети, которые прописаны на выбранном интерфейсе. Однако следует заметить, что в графе отправитель указан MAC-адрес злоумышленника, поэтому, чтобы в настоящей атаке скрыть свое присутствие следует сменить MAC-адрес на используемом интерфейсе утилитой macchanger.
Теперь выберем 2 цели, против которых собираемся проводить атаку ARP-spoofing (рисунок 3.8)
Рисунок 3.8 Выбор целей
Последовательность выбора на имеет значение. Чтобы проверить, какие цели были выбраны выбираем «Ettercap Menu Targets Current Targets» (рисунок 3.9)
Рисунок 3.9 Выбранные цели
Далее в меню «MITM menu» выбираем атаку ARP poisoning и прослушиваем весь трафик (рисунки 3.10 3.11).
Рисунок 3.10 Выбор MITM атаки
Рисунок 3.11 Подтверждение
Теперь просмотри трафик, сгенерированный Ettercap (рисунок 3.12)
Рисунок 3.12 Отравление ARP-таблиц
Как можно увидеть компьютер злоумышленника отсылает 2 ARP-пакета. В первом утверждается, что IP-адрес 192.168.1.100 теперь привязан к MAC-адресу злоумышленника. Второй пакет повторяет то же самое с IP-адресом 192.168.1.1.
Посмотрим теперь на ARP-таблицы на PC-1 и R1 (рисунки 3.13 3.14).
Рисунок 3.13 Отравленная ARP-таблица на PC-1
Рисунок 3.14 Отравленная ARP-таблица на R1
Атака прошла успешно. Теперь компьютер жертвы верит, что IP-адрес маршрутизатора привязан к MAC-адресу злоумышленника, а маршрутизатор верит, что IP-адрес PC-1 привязан к MAC-адресу злоумышленника.
Теперь злоумышленник прослушивает весь трафик между PC-1 и роутером. Для того, чтобы отобразить текущее соединение в Ettercap откройте «Ettercap Menu View Connections» (рисунок 3.15).
Рисунок 3.15 Трафик между атакованными хостами
Чтобы просмотреть подробнее какой-либо пакет достаточно просто кликнуть по строке 2 раза.
Теперь пусть PC-1 аутентифицируется на некотором сайте, а злоумышленник попытается перехватить данные (рисунки 3.16 3.18).
Рисунок 3.16 Пользователь аутентифицируется на ресурсе
В ettercap так же будут видны данные пользователя при использовании открытых протоколов.
После окончание атаки обязательно нажимайте на кнопку «Stop MITM», чтобы закрыть все атаки и восстановить все отравленные ARP-таблицы до их исходного состояния, чтобы замести следы.
За счет наличия графического интерфейса данная атака выполняется очень легко. Теперь рассмотрим методы для противодействия атаке ARP-spoofing.
4 DHCP-spoofing4.1 ОписаниеDHCP позволяет устройствам автоматически получать конфигурацию сети при подключении к сетевому интерфейсу (обычно при загрузке).
Эта конфигурация обычно включает, помимо прочего, IP-адрес, присваиваемый устройству, доменное имя DNS и IP-адрес маршрутизатора по умолчанию, сервера DNS и сервера имен NetBIOS.
4.2 Реализация
В этом задании топология немного изменится по сравнению с предыдущими (рисунок 4.2).
Рисунок 4.2 Сетевая топология для атаки DHCP-spoofing
DHCP-сервер сконфигурирован на роутере. Его пул приведен на рисунке. Как и в прошлом задании для проведения атаки воспользуемся утилитой Ettercap.
Посмотрим настройки сетевого интерфейса на PC-1 (рисунок 4.3).
Рисунок 4.3 Настройки сетевого интерфейса на PC-1
DHCP-сервер выдал нашему компьютеру адрес 192.168.1.102. Теперь атакующий запускает на своем компьютере Ettercap и производить атаку DHCP-spoofing (рисунок 4.4 4.6).
Рисунок 4.4 Выбор DHCP-spoofing
Рисунок 4.5 Ввод параметров
Рисунок 4.6 DHCP-spoofing запущен
Заметим, что мы не выбираем цели для атаки, так как, по сути, мы разворачиваем свой DHCP-сервер, а поэтому у нас нет конкретных целей для атаки.
Рассмотрим поподробнее параметры на рисунке 4.5:
Пустой диапазон IP-адресов: Ettercap будет подделывать только ACK-сообщения. Если в это поле вписать диапазон адресов, например, 192.168.1.50192.168.1.99, то Ettercap будет отсылать сообщения OFFER.
255.255.255.0: маска сети.
192.168.1.1: адрес DNS-сервера (это значение бессмысленно, но этот аргумент обязателен).
Теперь, когда ложный сервер запущен представим ситуацию, что пользователь PC-1 только включил свой компьютер в начале рабочего дня и попытался получить адрес от DHCP-сервера. Посмотрим на трафик в этот момент времени (рисунок 4.7)
Рисунок 4.7 Процесс получение нового адреса от DHCP-сервера
Сначала Ettercap обнаружил широковещательное сообщение DISCOVER, но, поскольку мы не указали диапазон IP-адресов, он не реагировал на него.
Затем Ettercap обнаружил широковещательное сообщение REQUEST, содержащее IP-адрес, выделенный законным сервером DHCP, и отреагировало, отправив поддельный ACK клиенту с нашим настроенным адресом маршрутизатора.
В зависимости от удачи, атакующему может потребоваться попытаться второй или даже третий раз, прежде чем преуспеть (в реальной жизни будет несколько компьютеров, загружающихся вместе в начале рабочего дня, поэтому есть много шансов на успешный перехват).
Если по какой-то причине Ettercap систематически проигрывает гонку против DHCP-сервера, перенастройте DHCP-spoofing на отправку OFFER-сообщений.
Рисунок 4.8 Сетевые настройки на PC-1
Рисунок 4.9 Логи Ettercap
Теперь вновь попробуем аутентифицироваться на сайте (рисунки 4.10 4.12).