Obsah
V přepínané síti, jako je domácí ethernetová síť LAN, je přepínač zařízení používané k propojení síťových zařízení.Přepínač používá vrstvu Link k provádění přepínání síťového rámce. V typickém scénáři Bob odešle síťový rámec určující jeho adresu MAC jako odesílatele a adresu Alice jako cíl a odešle rámec prostřednictvím svého fyzického připojení k přepínači. Když přepínač přijme rámec, přiřadí Bobovu adresu (odesílatele) k portu, kde rámeček „přišel“ do přepínače; toto přidružení je uloženo v tabulce známé jako "Tabulka CAM".
ZVĚTŠIT
Algoritmus nepočítá s validací a mechanismus aktualizace tabulky CAM podléhá příjmu rámců, takže Bobova MAC adresa bude i nadále spojována s portem, dokud „neuplyne doba vypršení platnosti“, nebo dokud přepínač neobdrží rám s Bobova MAC adresa na jiném portu. K tomu druhému by například došlo, kdyby Bob odpojil svůj síťový kabel od portu „1“ a připojil jej k portu „2“; V příštím okamžiku, pokud Bob odešle rámec, přepínač detekuje Bobův MAC vstup přes port „2“ a aktualizuje záznam v tabulce CAM.
Od této chvíle bude každý rámec, který Alice pošle Bobovi, směrován na port, který registruje Bobovu MAC adresu v tabulce CAM.
MAC adresy zařízení musí být v ethernetových sítích jedinečné, protože pokud mají dva systémy stejnou MAC adresu a připojují se na různých portech přepínače, způsobí aktualizaci tabulky CAM pro každý odeslaný rámec, což způsobí spor o přiřazení portu v tabulce CAM. Poté přepínač pro každý přijatý rámec doručí rámec na portu, který je přidružen v době jeho zpracování, bez možnosti určit, který ze dvou systémů se stejnou adresou MAC odpovídá síťovému provozu.
Aplikace techniky zvané „Krádež přístavu„Nebo„ Krádež portu “při počítačových útocích v zásadě spočívá v vyvolání aktualizace tabulky CAM přepínače s manipulovanými informacemi o adresování, takže přepínač spojí konkrétní adresu MAC (systém oběti) s připojeným portem k zařízení, které používá tuto techniku.
„Útočník“ by pak mohl vynutit přepínači, aby přidružil Bobovu MAC adresu k portu, kde je připojeno jeho zařízení, a tak přijal síťové rámce určené pro Bobovu MAC adresu.
Volitelně se útočník rozhodne předat rámce nebo ne, což je akce, která povede k útoku Man in the Middle (MitM) nebo Denial of Service (DoS). Existuje široká škála aplikací, které umožňují použití této techniky. Zde je jednoduchý postup pomocí GNU / Linux.
Zapojené systémyBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Útočník AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
Pro útočící systém a příkaz bude použit GNU / Linux Ubuntu harfování (verze Thomas Habets).
Aplikovat techniku Krádež přístavu použitím harfování, spustit jako root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
KdeMAC_VICTIMA: MAC adresa systému, ze kterého má „ukrást port“.
IP_DESTINATION: protože se jedná o zprávu požadavku ARP, musí být uvedena cílová IP adresa.
SOURCE_IP: adresa IP zdroje nebo odesílatele zprávy ARP.
INTERFAZ_LAN: název síťového rozhraní, které se má použít.
Ze systému Attacker generujícího rámce, jejichž zdrojový MAC odpovídá MAC oběti, Bob:
Argument -S určuje zdrojovou IP adresu, v tomto případě 2.2.2.2 (je volitelná a libovolná).
Pokud není zadáno, bude převzata adresa IP nakonfigurovaná v síťovém adaptéru.
IP adresa 1.1.1.1 je cílová adresa a protože cílem je pouze „zmást přepínač“, je vybraná hodnota zcela libovolná, ale požadovaná.
Tento příkaz generuje provoz ARP se zdrojem MAC AA: BB: CC: 11: 22: 33:
ZVĚTŠIT
ZVĚTŠIT
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
Hodnota „1“ pro parametr „-w”Označuje, že arping čeká 1 mikrosekundu před odesláním další zprávy. Tímto způsobem bude útočník jednat s výhodou, aby získal port oběti.
Pokud jde o zdrojové a cílové IP adresy, neexistuje žádné zvláštní pozorování, protože není důležité vyřešit dotaz ARP, ale pokud jde o aplikaci útoku na krádež portu, bude stačit, aby rámec označil zdroj MAC oběti.
Antivirový systém, IDS nebo kontrola síťového provozu by mohly odhalit podezřelou aktivitu v síti, takže útočník by mohl raději označit data konzistentní s „normální“ aktivitou síťového provozu:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
KdeMAC_ORIGEN: Bobův MAC, AA: BB: CC: 11: 22: 33
DESTINATION_IP: Alice's IP, 192.168.0.2
IP_ORGIEN: Bobova IP, 192.168.0.1
MAC_DESTINATION: Alice's MAC, AA: BB: CC: 22: 33: 44
Při kontrole síťového provozu budou sledovány dotazy ARP:
ZVĚTŠIT
Zpráva ARP byla směrována přímo na IP adresu Alice, navíc byla specifikována MAC adresa Alice, aby se pokusila vynutit doručení zprávy ARP přímo Alice a vyhnout se ovládání vysílání.
Nakonec útočník označuje Bobovu IP jako zdrojovou IP adresu, takže zpráva ARP obsahuje platné informace, přestože není legitimní. Ten by mohl zabránit detekci anomálie, protože pokud se zdrojová MAC a IP adresa neshoduje s dříve registrovanou položkou ARP, některé antivirové systémy by mohly předpokládat aktivitu ARP Spoofing.
Do tohoto okamžiku útočník získává rámce, které ostatní hostitelé v síti posílají oběti. Tato podmínka odpojí scénář útoku odmítnutí služby protože spiknutí není doručeno pouze útočníkovi, ale nikdy se nedostane k oběti.
Útočník případně mohl přeposlat rámce své oběti a vyvolat muže uprostřed útoku za odeslaný provoz směrem k Bob.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
