Innholdsfortegnelse
I et koblet nettverk, for eksempel et hjemmenethernet -LAN, er en bryter enheten som brukes til å koble sammen nettverksenheter.Bryteren bruker koblingslaget for å utføre bytte av nettverksramme. I et typisk scenario sender Bob en nettverksramme som angir MAC -adressen sin som avsender og Alices adresse som destinasjon, og sender rammen gjennom sin fysiske forbindelse til bryteren. Når bryteren mottar rammen, knytter den Bobs adresse (avsender) til porten der rammen "kom inn" til bryteren; denne assosiasjonen er lagret i en tabell kjent som "CAM -tabell".
FORSTØRRE
Det kan være flere MAC -adresser knyttet til den samme bryterporten, men hver MAC -adresse vil være knyttet til en og bare en bryterport. Når Bobs adresse er tilknyttet, søker bryteren i CAM -tabellen etter destinasjons -MAC -adressen og fortsetter å videresende den mottatte rammen gjennom den tilhørende porten (og bare gjennom den porten).Algoritmen overveier ikke validering, og CAM -tabelloppdateringsmekanismen er gjenstand for mottak av rammer, slik at Bobs MAC -adresse vil fortsette å bli knyttet til porten til "en utløpstid har gått", eller bryteren mottar en ramme med Bobs MAC -adresse på en annen port. Sistnevnte vil for eksempel skje hvis Bob kobler nettverkskabelen fra port "1" og kobler den til port "2"; I det neste øyeblikket, hvis Bob sender en ramme, vil bryteren oppdage Bobs MAC som kommer inn via port “2” og vil oppdatere oppføringen i CAM -tabellen.
Fra nå av vil enhver ramme som Alice sender til Bob bli dirigert til porten som registrerer Bobs MAC -adresse i CAM -tabellen.
MAC -adressene til enhetene må være unike i Ethernet -nettverk, siden hvis to systemer har samme MAC -adresse og kobler seg til forskjellige porter på bryteren, vil de føre til at CAM -tabellen oppdateres for hver ramme som sendes, noe som forårsaker en løpstilstand for foreningen av havnen i CAM -tabellen. Deretter vil switch for hver ramme mottatt levere rammen på porten som er tilknyttet på tidspunktet for behandling, uten mulighet for å bestemme hvilket av de to systemene med samme MAC -adresse som tilsvarer nettverkstrafikken.
Anvendelsen av teknikken kalt "Porttyv"Eller" Port Theft "i datamaskinangrep, består i utgangspunktet av å indusere en oppdatering av CAM -tabellen til en switch, med manipulert adresseringsinformasjon, slik at switchen forbinder en bestemt MAC -adresse (offersystem) med den tilkoblede porten til enheten som bruker denne teknikken.
En "angriper" kan deretter tvinge bryteren til å knytte Bobs MAC -adresse til porten der utstyret hans er tilkoblet, og dermed motta nettverksrammene som er bestemt for Bobs MAC -adresse.
Alternativt vil angriperen velge å videresende rammene eller ikke, en handling som vil resultere i henholdsvis en Man in the Middle (MitM) eller Denial of Service (DoS) angrep. Det er et stort utvalg applikasjoner som gjør at denne teknikken kan brukes. Her er en enkel prosedyre ved bruk av GNU / Linux.
Systemer involvertBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Angriper AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu vil bli brukt for angrepssystemet og kommandoen harping (versjon av Thomas Habets).
Å bruke teknikken Porttyv ved hjelp av harping, kjør som root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
HvorMAC_VICTIMA: MAC -adresse til systemet det er ment å "stjele porten" fra.
IP_DESTINATION: ettersom det er en ARP -forespørselsmelding, må en destinasjons -IP -adresse angis.
SOURCE_IP: kilde- eller avsender -IP -adresse til ARP -meldingen.
INTERFAZ_LAN: navnet på nettverksgrensesnittet som skal brukes.
Fra Attacker -systemet som genererer rammer hvis kilde -MAC samsvarer med offerets MAC, Bob:
Kommandoen harping tar -s -argumentet for å indikere kilden eller avsenderens MAC -adresse, og spesifiserer dermed MAC -adressen til offeret Bob.
Argumentet -S bestemmer kilde -IP -adressen, i dette tilfellet 2.2.2.2 (det er valgfritt og vilkårlig).
Hvis den ikke er angitt, blir IP -adressen som er konfigurert i nettverkskortet tatt.
IP -adressen 1.1.1.1 er destinasjonsadressen, og siden målet bare er å "forvirre bryteren", er den valgte verdien totalt vilkårlig, men nødvendig.
Denne kommandoen genererer ARP -trafikk med kilde MAC AA: BB: CC: 11: 22: 33:
FORSTØRRE
Når angriperens port er knyttet til Bobs MAC -adresse, blir alle rammer adressert til Bob rettet til angriperens port:FORSTØRRE
Fra dette tidspunktet går Spiker i løpetilstand med Bob. Enhver ramme Bob sender vil tvinge CAM -tabellen til å oppdatere. En angriper kan angi hvor ofte kommandoen sender ARP -meldinger harping ved hjelp av parameteren -w:# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
Verdien "1" for parameteren "-w”Indikerer at arping venter 1 mikrosekund før den neste meldingen sendes. På denne måten vil angriperen med fordel opptre for å skaffe offeret.
Når det gjelder kilden og destinasjonens IP -adresser, er det ingen spesiell observasjon, siden det ikke er viktig å løse ARP -spørringen, men snarere når det gjelder anvendelse av porttyveriangrepet, vil det være nok for rammen å indikere kilden Ofrenes MAC.
Et antivirussystem, IDS eller inspeksjon av nettverkstrafikk kan avsløre mistenkelig aktivitet på nettverket, så en angriper foretrekker å angi data som er i samsvar med den "normale" aktiviteten til nettverkstrafikk:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
HvorMAC_ORIGEN: Bob's MAC, AA: BB: CC: 11: 22: 33
DESTINATION_IP: Alice's IP, 192.168.0.2
IP_ORGIEN: Bobs IP, 192.168.0.1
MAC_DESTINATION: Alice's MAC, AA: BB: CC: 22: 33: 44
Ved gjennomgang av nettverkstrafikken vil ARP -spørsmål bli observert:
FORSTØRRE
Angriperen angir destinasjons -MAC -adressen med Bobs MAC -adresse (påkrevd, siden Bob er systemet som prøver å "stjele porten").ARP -meldingen har blitt dirigert direkte til Alice's IP -adresse, i tillegg er Alice's MAC -adresse spesifisert for å prøve å tvinge levering av ARP -meldingen direkte til Alice og unngå en kringkastingskontroll.
Til slutt angir angriperen Bobs IP som kilde -IP -adresse, slik at ARP -meldingen inneholder gyldig informasjon til tross for at den ikke er legitim. Sistnevnte kan forhindre avviket i å bli oppdaget, siden hvis kilde -MAC og IP -adresse ikke samsvarer med en tidligere registrert ARP -oppføring, kan noen antivirus -systemer anta ARP Spoofing -aktivitet.
Frem til dette punktet får angriperen rammer som de andre vertene på nettverket sender til offeret. Denne tilstanden kobler fra et angrepsscenario for tjenestenekt siden tomtene ikke bare blir levert til angriperen, men de når aldri offeret.
Valgfritt kan angriperen videresende rammene til offeret sitt som forårsaker en mann i midten av angrepet, for trafikken som sendes mot Bob.Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng