Atac de furt furt simplu

Cuprins
Într-o rețea comutată, cum ar fi o rețea LAN locală, un comutator este dispozitivul utilizat pentru interconectarea dispozitivelor de rețea.
Comutatorul folosește stratul Link pentru a efectua comutarea cadrului de rețea. Într-un scenariu tipic, Bob trimite un cadru de rețea specificând adresa MAC ca expeditor și adresa lui Alice ca destinație și trimite cadrul prin conexiunea sa fizică la Switch. Când comutatorul primește cadrul, asociază adresa (expeditorul) lui Bob la portul în care cadrul „a intrat” la comutator; această asociație este stocată într-un tabel cunoscut sub numele de "CAM Table".

MARI

Pot exista mai multe adrese MAC asociate cu același port de comutare, dar fiecare adresă MAC va fi asociată cu un singur și singur port de comutare. Odată ce adresa lui Bob este asociată, comutatorul caută în tabelul CAM adresa MAC de destinație și continuă să redirecționeze cadrul primit prin portul asociat (și numai prin acel port).
Algoritmul nu are în vedere validarea, iar mecanismul de actualizare a tabelelor CAM este supus recepției cadrelor, astfel încât adresa MAC a lui Bob va continua să fie asociată cu portul până când „s-a scurs un timp de expirare” sau comutatorul primește un cadru cu Adresa MAC a lui Bob pe un alt port. Acesta din urmă, de exemplu, ar avea loc dacă Bob își deconectează cablul de rețea de la portul "1" și îl conectează la portul "2"; În următoarea clipă, dacă Bob trimite un cadru, comutatorul va detecta MAC-ul lui Bob care intră prin portul „2” și va actualiza intrarea în tabelul CAM.
De acum înainte, orice cadru pe care Alice îl trimite lui Bob va fi direcționat către portul care înregistrează adresa MAC a lui Bob în tabelul CAM.
Adresele MAC ale dispozitivelor trebuie să fie unice în rețelele Ethernet, deoarece dacă două sisteme au aceeași adresă MAC și se conectează pe diferite porturi ale comutatorului, acestea vor face ca tabelul CAM să fie actualizat pentru fiecare cadru trimis, provocând o condiție de cursă pentru asocierea.portului în tabelul CAM. Apoi, pentru fiecare cadru primit, Comutatorul va livra cadrul pe portul asociat în momentul procesării acestuia, fără posibilitatea de a determina care dintre cele două sisteme cu aceeași adresă MAC corespunde traficului de rețea.
Aplicarea tehnicii numite „Furt de port„Sau„ furt de porturi ”în atacurile computerizate, constă practic în inducerea unei actualizări a tabelei CAM a unui comutator, cu informații de adresare manipulate, astfel încât comutatorul să asocieze o anumită adresă MAC (sistemul victimei) cu portul conectat la dispozitivul care aplică această tehnică.
Un „atacator” ar putea forța comutatorul să asocieze adresa MAC a lui Bob cu portul la care este conectat echipamentul său, primind astfel cadrele de rețea destinate adresei MAC a lui Bob.
Opțional, atacatorul va alege să redirecționeze cadrele sau nu, acțiune care va avea ca rezultat un atac Man in the Middle (MitM) sau respectiv Denial of Service (DoS). Există o mare varietate de aplicații care permit aplicarea acestei tehnici. Iată o procedură simplă folosind GNU / Linux.
Sisteme implicateBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Atacant AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu va fi folosit pentru sistemul de atac și comandă harpă (versiune de Thomas Habets).
Pentru a aplica tehnica Furt de port folosind harpă, rulează ca root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN

UndeMAC_VICTIMA: adresa MAC a sistemului de la care se intenționează să „fure portul”.
IP_DESTINATION: deoarece este un mesaj de solicitare ARP, trebuie indicată o adresă IP de destinație.
SOURCE_IP: adresa IP sursă sau expeditor a mesajului ARP.
INTERFAZ_LAN: numele interfeței de rețea de utilizat.
Din sistemul Attacker care generează cadre a căror sursă MAC se potrivește cu MAC-ul victimei, Bob:

Comanda harpă ia argumentul -s pentru a indica sursa sau expeditorul adresă MAC, specificând astfel adresa MAC a victimei Bob.
Argumentul -S determină adresa IP sursă, în acest caz 2.2.2.2 (este opțională și arbitrară).
Dacă nu este specificat, va fi luată adresa IP configurată în adaptorul de rețea.
Adresa IP 1.1.1.1 este adresa de destinație și întrucât scopul este doar de a „confunda comutatorul”, valoarea selectată este total arbitrară, dar este necesară.
Această comandă generează trafic ARP cu sursa MAC AA: BB: CC: 11: 22: 33:

MARI

Odată ce portul atacatorului este asociat cu adresa MAC a lui Bob, toate cadrele adresate lui Bob vor fi direcționate către portul atacatorului:

MARI

Din acest moment, Spiker intră în starea de cursă alături de Bob. Orice cadru pe care îl trimite Bob va forța tabelul CAM să se actualizeze. Un atacator ar putea specifica cât de des comanda trimite mesaje ARP harpă folosind parametrul -w:
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1

Valoarea „1” pentru parametrul „-w”Indică faptul că arpingul așteaptă 1 microsecundă înainte de a trimite următorul mesaj. În acest fel, atacatorul va acționa cu avantaj pentru a obține portul victimei.
În ceea ce privește adresele IP sursă și destinație, nu există o observație specială, deoarece nu este important să se rezolve interogarea ARP, ci mai degrabă, în ceea ce privește aplicarea atacului de furt de port, va fi suficient ca cadrul să indice sursa MAC al victimei.
Un sistem antivirus, IDS sau o inspecție a traficului de rețea ar putea dezvălui activitate suspectă în rețea, astfel încât un atacator ar putea prefera să indice date compatibile cu activitatea „normală” a traficului de rețea:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44

UndeMAC_ORIGEN: MAC lui Bob, AA: BB: CC: 11: 22: 33
DESTINAȚIE_IP: IP-ul lui Alice, 192.168.0.2
IP_ORGIEN: IP-ul lui Bob, 192.168.0.1
MAC_DESTINATION: MAC-ul lui Alice, AA: BB: CC: 22: 33: 44
Revizuind traficul de rețea, vor fi respectate interogările ARP:

MARI

Atacatorul specifică adresa MAC de destinație cu adresa MAC a lui Bob (obligatoriu, deoarece Bob este sistemul care încearcă să „fure portul”).
Mesajul ARP a fost direcționat direct la adresa IP a lui Alice, în plus, adresa MAC a lui Alice a fost specificată pentru a încerca să forțeze livrarea mesajului ARP direct către Alice și pentru a evita un control Broadcast.
În cele din urmă, atacatorul indică IP-ul lui Bob ca adresa IP sursă, astfel încât mesajul ARP să conțină informații valabile, în ciuda faptului că nu este legitim. Acesta din urmă ar putea preveni detectarea anomaliei, deoarece dacă sursa MAC și adresa IP nu se potrivesc cu o intrare ARP înregistrată anterior, unele sisteme antivirus ar putea să își asume activitatea ARP Spoofing.
Până în acest moment, atacatorul primește cadrele pe care celelalte gazde din rețea le transmit victimei. Această condiție deconectează un scenariu de atac de refuz de serviciu întrucât comploturile nu sunt livrate numai atacatorului, ci nu ajung niciodată la victimă.
Opțional, atacatorul ar putea transmite cadrele victimei sale, inducând un om în atacul central, pentru traficul trimis spre Bob.V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv
wave wave wave wave wave