Једноставан напад на крађу портова

Преглед садржаја
У комутираној мрежи, као што је кућни Етхернет ЛАН, прекидач је уређај који се користи за међусобно повезивање мрежних уређаја.
Прекидач користи слој везе за пребацивање мрежног оквира. У типичном сценарију, Боб шаље мрежни оквир који наводи његову МАЦ адресу као пошиљаоца и Алисину адресу као одредиште, а оквир шаље преко своје физичке везе до прекидача. Када прекидач прими оквир, он повезује Бобову адресу (пошиљаоца) са портом на који је оквир "ушао" на прекидачу; ова асоцијација је ускладиштена у табели познатој као "ЦАМ табела".

ЕНЛАРГЕ

Може бити више МАЦ адреса повезаних са истим портом за пребацивање, али свака МАЦ адреса ће бити повезана са једним и само једним портом за пребацивање. Када се Бобова адреса придружи, Свитцх тражи ЦАМ табелу за одредишну МАЦ адресу и наставља да прослеђује примљени оквир преко повезаног порта (и само преко тог порта).
Алгоритам не разматра валидацију, а механизам ажурирања ЦАМ табеле је подложан пријему оквира, тако да ће Бобова МАЦ адреса наставити да буде повезана са портом све док „не истекне време истека“, или прекидач прими оквир са Бобова МАЦ адреса на другом порту. Ово последње би се, на пример, догодило ако Боб одвоји мрежни кабл од порта "1" и повеже га са портом "2"; У следећем тренутку, ако Боб пошаље оквир, прекидач ће открити Бобов МАЦ који улази кроз порт „2“ и ажурираће унос у ЦАМ табели.
Од сада, сваки оквир који Алице шаље Бобу биће преусмерен на порт који региструје Бобову МАЦ адресу у ЦАМ табели.
МАЦ адресе уређаја морају бити јединствене у Етхернет мрежама, јер ако два система имају исту МАЦ адресу и повежу се на различите портове прекидача, то ће узроковати ажурирање ЦАМ табеле за сваки послани оквир, узрокујући стање трке за порта у ЦАМ табели. Затим, за сваки примљени оквир, Свитцх ће испоручити оквир на порт који је повезан у тренутку његове обраде, без могућности да се утврди који од два система са истом МАЦ адресом одговара мрежном саобраћају.
Примена технике под називом "Крађа лука"Или" Крађа порта "у рачунарским нападима, у основи се састоји од изазивања ажурирања ЦАМ табеле прекидача, са манипулисаним подацима о адресирању, тако да прекидач повезује одређену МАЦ адресу (систем жртве) са повезаним портом са уређајем који примењује ову технику.
"Нападач" би тада могао присилити Свитцх да повеже Бобову МАЦ адресу са портом на који је повезана његова опрема, примајући тако мрежне оквире намењене Бобовој МАЦ адреси.
Опционално, нападач ће изабрати да ли ће кадрове проследити или не, што ће довести до напада човека у средини (МитМ) или одбијања услуге (ДоС). Постоји велики број апликација које омогућавају примену ове технике. Ево једноставне процедуре помоћу ГНУ / Линука.
Укључени системиБоб АА: ББ: ЦЦ: 11: 22: 33 (192.168.0.1/24)
Алице АА: ББ: ЦЦ: 22: 33: 44 (192.168.0.2/24)
Нападач АА: ББ: ЦЦ: 33: 44: 55 (192.168.0.3/24)
ГНУ / Линук Убунту ће се користити за систем напада и команду харпинг (верзија Тхомас Хабетс).
За примену технике Крађа лука Користећи харпинг, покрени као роот:
# арпинг -с МАЦ_ВИЦТИМА ИП_ДЕСТИНО -С ИП_ОРИГЕН -и ИНТЕРФАЗ_ЛАН

ГдеМАЦ_ВИЦТИМА: МАЦ адреса система са којег се намерава „украсти порт“.
ИП_ДЕСТИНАТИОН: пошто се ради о АРП захтеву, мора се навести одредишна ИП адреса.
СОУРЦЕ_ИП: ИП адреса извора или пошиљаоца АРП поруке.
ИНТЕРФАЗ_ЛАН: назив мрежног интерфејса који ће се користити.
Из система Аттацкер који генерише оквире чији изворни МАЦ одговара жртвином МАЦ -у, Боб:

Команда харпинг узима аргумент -с за означавање МАЦ адресе извора или пошиљаоца, специфицирајући тако МАЦ адресу жртве Боба.
Аргумент -С одређује изворну ИП адресу, у овом случају 2.2.2.2 (опционална је и произвољна).
Ако није наведено, бит ће преузета ИП адреса конфигурирана у мрежном адаптеру.
ИП адреса 1.1.1.1 је адреса одредишта, а будући да је циљ само "збунити прекидач", одабрана вриједност је потпуно произвољна, али потребна.
Ова команда генерише АРП саобраћај са изворним МАЦ АА: ББ: ЦЦ: 11: 22: 33:

ЕНЛАРГЕ

Када се порт нападача повеже са Бобовом МАЦ адресом, сви оквири адресирани на Боба биће усмерени на порт нападача:

ЕНЛАРГЕ

Од овог тренутка, Спајкер улази у тркачко стање са Бобом. Сваки оквир који Боб пошаље приморава ЦАМ табелу да се ажурира. Нападач може одредити колико често команда шаље АРП поруке харпинг помоћу параметра -в:
# арпинг -с АА: ББ: ЦЦ: 11: 22: 33 1.1.1.1 -С 2.2.2.2 -в 1

Вредност "1" за параметар "”Означава да арпинг чека 1 микросекунду пре слања следеће поруке. На овај начин нападач ће се понашати са предношћу да добије луку жртве.
Што се тиче изворне и одредишне ИП адресе, нема посебног запажања, јер није важно решити АРП упит, већ ће, у смислу примене напада на крађу порта, оквир бити довољан да наведе извор МАЦ жртве.
Антивирусни систем, ИДС или преглед мрежног саобраћаја могли би открити сумњиве активности на мрежи, па би нападач радије назначио податке који су у складу са „нормалном“ активношћу мрежног саобраћаја:
# арпинг -с АА: ББ: ЦЦ: 11: 22: 33 192.168.0.2 -С 192.168.0.1 -т АА: ББ: ЦЦ: 22: 33: 44

ГдеМАЦ_ОРИГЕН: Бобов МАЦ, АА: ББ: ЦЦ: 11: 22: 33
ДЕСТИНАТИОН_ИП: Алисин ИП, 192.168.0.2
ИП_ОРГИЕН: Бобова ИП адреса, 192.168.0.1
МАЦ_ДЕСТИНАЦИЈА: Алисин МАЦ, АА: ББ: ЦЦ: 22: 33: 44
Прегледом мрежног саобраћаја уочиће се АРП упити:

ЕНЛАРГЕ

Нападач наводи одредишну МАЦ адресу са Бобовом МАЦ адресом (потребно, пошто је Боб систем који покушава да „украде порт“).
АРП порука је директно усмерена на Алисину ИП адресу, додатно је наведена Алисина МАЦ адреса како би покушала да присили испоруку АРП поруке директно Алиси и избегла контролу емитовања.
На крају, нападач означава Бобову ИП као изворну ИП адресу, тако да АРП порука садржи важеће податке упркос томе што није легитимна. Ово последње би могло спречити откривање аномалије, јер ако изворна МАЦ и ИП адреса не одговарају претходном регистрованом АРП уносу, неки антивирусни системи би могли преузети АРП Споофинг активност.
До овог тренутка нападач добија оквире које други домаћини на мрежи шаљу жртви. Ово стање поништава сценарио напада ускраћивања услуге пошто се заплети не испоручују само нападачу, већ никада не стижу до жртве.
Опционо, нападач би могао да проследи оквире својој жртви изазивајући човека у средњем нападу, за саобраћај који се шаље према Боб.Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен
wave wave wave wave wave