Jednoduchý útok na falšování DHCP

Jednoduchý útok na falšování DHCP

Pokračováním ve shromažďování „jednoduchých“ počítačových útoků je možné z podváděcí techniky (Spoofing) pomocí protokolu DHCP vygenerovat zajímavou variantu útoků MitM.

DHCPDynamic Host Configuration Protocol je síťový protokol založený na paradigmatu klient / server, který se používá k automatickému přiřazování konfiguračních parametrů sítě.

V síti LAN je server DHCP obvykle konfigurován tak, že jsou uvedeny konfigurace, které musí být klientům DHCP přiděleny, ať už jde o bránu, DNS, masku podsítě a samozřejmě IP adresu (ta je převzata ze skupiny adres nebo přiřazena ze statického seznamu z MAC klienta).

Díky DHCP se při připojení hostitele k síti výše uvedená nastavení a parametry použijí automaticky a není vyžadován žádný zásah správce sítě. Typickým případem je připojení notebooku k domácí síti a modem nám přiřadí příslušná nastavení sítě.

Obecný provozNormální provoz Protokol DHCP naznačuje, že:

  • Hostitel klienta musí nejprve poslat paket „DISCOVERY“ do síťového vysílání, aby požádal o přiřazení a odeslání konfiguračních parametrů.
  • Každý server DHCP v síti obdrží zprávu a odpoví paketem „NABÍDKA“, ve kterém obsahuje informace související s přiřazenou konfigurací.
  • Klient si může vybrat všechny nebo část přijatých parametrů a odpovědět zprávou „REQUEST“ požadující přiřazení uvedených parametrů.
  • Nakonec server ověří přiřazení těchto parametrů a odpoví zprávou „DHCP ACK“, která klientovi oznámí, že konfigurace byla rezervována.

Server DHCP „zná“ adresy IP, které přidělil, a také adresy MAC počítačů, které „nakonfiguroval“.

IP adresa má obvykle „dobu zapůjčení DHCP“ nazývanou „doba zapůjčení DHCP“, která v zásadě označuje dobu, během níž je adresa IP přiřazena hostiteli. Jakmile tato doba uplyne, lze IP adresu obnovit (restartuje se počítání doby pronájmu) nebo lze přiřadit novou adresu.

1. Spoofing DHCP, jednoduchý


Spoofing DHCPTechnika útoku podvodu DHCP v zásadě spočívá v přiřazování konfiguračních parametrů DHCP „z neautorizovaného serveru DHCP“ v síti.

Jeviště více Jednoduchý probíhá, když útočník spustí instanci serveru DHCP v síti LAN a nabídne nastavení IP hostitelům, kteří o ně požádají. V tomto okamžiku útočník zadá spor s legitimním DHCP sítě.

Někdy může hostitel provést nastavení útočníka a někdy legitimní nastavení DHCP.
Útočník musí znát konfiguraci sítě a bude schopen simulovat správné přiřazení hostiteli (například přiřazením adresy IP, která by byla dříve přiřazena legitimním DHCP), ale bude například uvádět jako bránu nebo výchozí bránu, IP adresa hostitele. útočník se tak stane výchozí bránou hostitele a získá zprostředkovatelskou pozici.

2. Ověření konceptu


Alice je hostitelem v síti, její server DHCP jí přidělí IP adresu pomocí DHCP.
Existuje útočník, který spustil server DHCP se speciálně upravenou konfigurací, což naznačuje, že IP adresa by měla být přiřazena Alice, a zejména, že IP adresa útočníka by měla být uvedena jako výchozí brána.

Pokud Alice požaduje konfiguraci prostřednictvím DHCP, může útočník vyhrát závod s legitimním DHCP a úspěšně překonfigurovat výchozí bránu Alice, což jej donutí použít útočníka jako výchozí bránu.

Zapojené systémyAlice:
Adresa MAC: AA: BB: CC: 22: 33: 44
IP adresa: 192.168.1.198/24
OS: Windows XP

Síťová brána: (DNS + DHCP):
IP adresa: 192.168.1.1/24
OS: openwrt
doména: domov

Útočník:
Adresa MAC: AA: BB: CC: 88: 88: 88
IP adresa: 192.168.1.124/24
OS: GNU / Linux Ubuntu 14.04
Doména: dhcp.spoofed.casa

3. Normální scénář


Alice nejprve požaduje IP ze serveru DHCP sítě; v systému Windows lze terminál použít k simulaci této akce pomocí příkazu: 
 C: \ ipconfig / obnovení
Síťový server DHCP přiřadí Alice IP adresu a další parametry sítě. Mezi těmito parametry bylo uvedeno, že IP adresa výchozí brány je 192.168.1.1

Pokud je v Alicině terminálu provedeno trasování do 8.8.8.8 příkazem: 

 C: \ tracert 8.8.8.8 -d
Je vidět, že první skok je výchozí bránou sítě, tj. 192.168.1.1:

4. Scénář útoku na Alice


Útočník chce na Alice použít techniku ​​Spoofing DHCP.
Můžete to provést identifikací IP adresy Alice pomocí místního DNS (nslookup), pomocí nbtscan nebo jinou metodou.

Útočník nainstaluje server DHCP, například isc-dhcp-server. Chcete -li to provést v Ubuntu, spusťte v terminálu: 

 $ sudo apt-get install isc-dhcp-server
Ke konfiguraci serveru DHCP používá útočník známá data, jako je IP Alice, Alice Alice (díky ARP), podsíť, DNS atd. Konfigurace se provádí úpravou souboru dhcpd.conf, v terminálu 
 $ sudo vim /etc/dhcp/dhcpd.conf
Pro tuto případovou studii by měl konfigurační soubor vypadat takto:

Sekce „podsíť“ definuje podsíť, masku, výchozí síťovou bránu, jmenný server atd.
Byl také specifikován jako doména dhcp.spoofed.casa (mimochodem jen pro zvýraznění na screenshotech v tomto tutoriálu).

Všimněte si, že níže byla konfigurace výslovně specifikována pro hostitele Alice (dobře odlišená podle jeho MAC adresy). Zejména IP adresa útočníka byla specifikována jako brána pro Alice pomocí instrukce: 

 směrovače možností 192.168.1.124
A IP 192.168.1.198 bylo vynuceno, aby bylo přiřazeno Alicině MAC, respektující konfiguraci původně přiřazenou legitimním DHCP sítě: 
… Hardware ethernet AA: BB: CC: 22: 33: 44 pevná adresa 192.168.1.198…
Jakmile je útočník nakonfigurován, spustí službu DHCP pomocí příkazu: 
 $ sudo /etc/init.d/isc-dhcp-server start
Začalo by to.

5. Alice je podvedena


Aby bylo možné simulovat spor, může být Alice v kontrolovaném prostředí nucena znovu požádat o konfiguraci pomocí DHCP.

Za tímto účelem Alice uvolní přidělenou IP adresu (spusťte příkaz na Aliceiném terminálu): 

 C: \ ipconfig / release

Poté znovu požádejte o IP adresu: 

 C: \ ipconfig / obnovení
Pokud útočník „vyhraje závod“ na legitimním serveru DHCP v síti, budou přiřazeny předkonfigurované konfigurační parametry DHCP:

Alice získala „správnou“ IP adresu a byla jí přidělena IP adresa útočníka jako výchozí brána. Všimněte si domény „dhcp.spoofed.casa, pro odkaz na počáteční konfiguraci. Od této chvíle bude Alice odesílat pakety určené pro internet útočníkovi, protože jí bylo řečeno, že IP adresa 192.168.1.124 je její výchozí bránou. Pokud je z Alicina terminálu spuštěna stopa do 8.8.8.8, lze pozorovat změnu v prvním skoku:

6. Závěrečné úvahy


Útočník navíc mohl nakonfigurovat předávání paketů a pomocí iptables udělat maškarádu, aby řídil situaci MitM. Taková konfigurace nebyla zahrnuta, protože není součástí konceptu DHCP Spoofing, ale stojí za zmínku.

Provádějí se další mírně složitější techniky Spoofing DHCPJedná se o jeden z nejjednodušších a shodou okolností jeden z nejčastějších.

Typický výskyt tohoto útoku (i když neúmyslně škodlivého) je obvykle v sítích, kde se uživatel nesprávně připojí k bezdrátovému routeru a přistupuje k LAN prostřednictvím wi-fi. Pokud je k místní síti připojen port LAN (správná věc je připojit port WAN), router nabídne hostitelům místní sítě službu DHCP, která bude konkurovat legitimnímu serveru DHCP v síti (například ADSL router).

Ve spravovaných sítích se ke zmírnění těchto typů útoků často používá funkce „DHCP Snooping“. V zásadě se přepínačům označuje port, ke kterému je připojen legitimní DHCP. Toto označuje "cestu" přes přepínače, kterými je povolen provoz zpráv služby DHCP.

Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
Jak vypnout, restartovat a vynutit restart Xiaomi Mi 8 Lite
2
post-title
Aktualizace Windows 10 IoT Core oznámila společnost Microsoft
3
post-title
Zdarma antivirus pro malé firmy
4
post-title
▷ WHITE MESSAGE WhatsApp ✔️ Odeslat prázdnou zprávu
5
post-title
Podvod zmeškaných hovorů, ignorujte neznámá čísla

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -