Fortsetter med samlingen av "enkle" datamaskinangrep, kan en interessant variant av MitM -angrep genereres fra en bedragsteknikk (Spoofing) ved bruk av DHCP -protokollen.
DHCPDynamic Host Configuration Protocol er en nettverksprotokoll, basert på klient / server -paradigmet, som brukes til automatisk tildeling av nettverkskonfigurasjonsparametere.
I et LAN -nettverk er en DHCP -server vanligvis konfigurert der konfigurasjonene som må gis til DHCP -klientene er angitt, det være seg gateway, DNS, nettverksmaske og selvfølgelig IP -adresse (sistnevnte er hentet fra en samling adresser eller tildelt fra en statisk liste fra klient -MAC).
Takket være DHCP, når en vert er koblet til nettverket, brukes de ovennevnte innstillingene og parametrene automatisk, og det kreves ingen inngrep fra nettverksadministratoren. Et typisk tilfelle av dette er når vi kobler en bærbar datamaskin til hjemmenettverket og modemet tildeler oss de riktige nettverksinnstillingene.
Generell driftNormal drift av DHCP -protokoll indikerer at:
- I utgangspunktet må en klientvert sende en “DISCOVERY” -pakke til nettverkssendingen for å be om at konfigurasjonsparametrene tildeles og sendes.
- Hver DHCP -server på nettverket mottar meldingen og svarer med en "TILBUD" -pakke der den inneholder informasjon relatert til den tildelte konfigurasjonen.
- Klienten kan velge hele eller deler av de mottatte parametrene og svare med en "FORESPØRSEL" melding som ber om at parameterne tildeles.
- Til slutt validerer serveren tildelingen av disse parameterne og svarer med en "DHCP ACK" -melding som indikerer for klienten at konfigurasjonen er reservert.
DHCP -serveren "kjenner" de IP -adressene den har tildelt, så vel som MAC -adressene til datamaskinene den har "konfigurert".
Vanligvis har IP -adressen en "DHCP -leietid" kalt "DHCP -leietid", som i utgangspunktet angir tiden IP -adressen tildeles verten. Når denne tiden er utløpt, kan IP -adressen fornyes (antallet leietider startes på nytt) eller en ny adresse kan tildeles.
1. DHCP Spoofing, enkel
DHCP SpoofingDHCP bedragingsangrepsteknikken består i utgangspunktet av å tildele DHCP -konfigurasjonsparametere "fra en uautorisert DHCP -server" på nettverket.
Scenen mer Enkel det skjer når en angriper starter en DHCP -serverinstans på LAN -en som tilbyr IP -innstillinger til vertene som ber dem. På dette tidspunktet går angriperen inn i en løpstilstand med den legitime DHCP for nettverket.
Noen ganger kan en vert ta angriperens innstillinger og noen ganger de legitime DHCP -innstillingene.
Angriperen må kjenne til nettverkskonfigurasjonen og vil kunne simulere en riktig tildeling til verten (for eksempel ved å tildele IP -adressen som tidligere hadde blitt tildelt av legitim DHCP), men angir for eksempel som Gateway eller standard gateway, IP -adressen til verten. Angriper; dermed blir angriperen vertens standard gateway og får en mellomliggende posisjon.
2. Bevis for konsept
Alice er en vert på nettverket, hennes DHCP -server tildeler henne en IP -adresse ved hjelp av DHCP.
Det er en angriper som har startet en DHCP -server med en spesielt manipulert konfigurasjon, som indikerer at IP -adressen skal tildeles Alice og spesielt at angriperens IP -adresse skal angis som standard gateway.
Hvis Alice ber om konfigurasjon via DHCP, kan angriperen vinne løpet for å legitimere DHCP og lykkes med å omkonfigurere Alice standard gateway, og tvinge den til å bruke angriperen som standard gateway.
Systemer involvertAlice:
MAC -adresse: AA: BB: CC: 22: 33: 44
IP -adresse: 192.168.1.198/24
Operativsystem: Windows XP
Nettverksgateway: (DNS + DHCP):
IP -adresse: 192.168.1.1/24
OS: openwrt
domene: hjem
Angriper:
MAC -adresse: AA: BB: CC: 88: 88: 88
IP -adresse: 192.168.1.124/24
Operativsystem: GNU / Linux Ubuntu 14.04
Domene: dhcp.spoofed.casa
3. Normalt scenario
Alice ber først om en IP fra nettverkets DHCP -server; i Windows kan terminalen brukes til å simulere denne handlingen med kommandoen:
C: \ ipconfig / fornyeNettverkets DHCP -server tildeler Alice en IP -adresse og andre nettverksparametere. Blant disse parameterne er det indikert at IP -adressen til standardgatewayen er 192.168.1.1
Hvis et spor til 8.8.8.8 utføres i Alice's terminal med kommandoen:
C: \ tracert 8.8.8.8 -dDet kan sees at det første hoppet er standard gateway for nettverket, det vil si 192.168.1.1:
4. Angrepsscenario på Alice
Angriperen ønsker å bruke en DHCP Spoofing -teknikk på Alice.
Du kan gjøre dette ved å identifisere Alices IP -adresse ved hjelp av lokal DNS (nslookup), ved hjelp av nbtscan eller annen metode.
Angriperen installerer en DHCP-server, for eksempel isc-dhcp-server. For å gjøre dette i Ubuntu, kjør i en terminal:
$ sudo apt-get install isc-dhcp-serverFor å konfigurere DHCP -serveren bruker Attacker kjente data, for eksempel Alice's IP, Alice's MAC (takket være ARP), Subnet, DNS, etc. Konfigurasjonen gjøres ved å redigere filen dhcpd.conf, i en terminal på
$ sudo vim /etc/dhcp/dhcpd.confFor denne casestudien skal konfigurasjonsfilen se slik ut:
"Delnett" -delen definerer delnett, maske, standard nettverksgateway, navneserver og så videre.
Det har også blitt spesifisert som domenet dhcp.spoofed.casa (forresten, bare for å markere det i skjermbildene i denne opplæringen).
Vær oppmerksom på at en konfigurasjon nedenfor er eksplisitt spesifisert for Alice -verten (godt differensiert av MAC -adressen). Spesielt har angriperens IP -adresse blitt spesifisert som gateway for Alice ved hjelp av instruksjonen:
alternativrutere 192.168.1.124Og IP 192.168.1.198 har blitt tvunget til å bli tilordnet Alice's MAC, med respekt for konfigurasjonen som opprinnelig ble tildelt av nettverkets legitime DHCP:
… Hardware ethernet AA: BB: CC: 22: 33: 44 fast adresse 192.168.1.198…Når den er konfigurert, starter angriperen DHCP -tjenesten med kommandoen:
$ sudo /etc/init.d/isc-dhcp-server startDet ville bli startet.
5. Alice blir lurt
For å simulere løpstilstanden kan Alice i et kontrollert miljø bli tvunget til å be om konfigurasjon igjen ved hjelp av DHCP.
For å gjøre dette, slipper Alice den tildelte IP -adressen (utfør kommandoen i Alices terminal):
C: \ ipconfig / release
Be deretter om en IP -adresse igjen:
C: \ ipconfig / fornyeHvis angriperen "vinner løpet" til den legitime DHCP -serveren på nettverket, vil de forhåndskonfigurerte DHCP -konfigurasjonsparametrene bli tildelt:
Alice har fått den "riktige" IP -adressen og har blitt tildelt angriperens IP -adresse som standard gateway. Legg merke til domenet "dhcp.spoofed.casa, for referanse til den opprinnelige konfigurasjonen. Fra dette tidspunktet vil Alice sende pakkene som er beregnet for Internett til angriperen, siden hun har blitt fortalt at IP -adressen 192.168.1.124 er standard gateway. Hvis et spor til 8.8.8.8 blir utført fra Alice's terminal, kan endringen i det første hoppet observeres:
6. Avsluttende betraktninger
I tillegg kunne angriperen konfigurere videresending av pakker og med iptables gjøre en maskerade for å kontrollere MitM -situasjonen. Slik konfigurasjon har ikke blitt inkludert, da den ikke er en del av DHCP Spoofing proof of concept, men det er verdt å nevne.
Det er andre litt mer komplekse teknikker å utføre DHCP SpoofingDette er en av de enkleste og tilfeldigvis en av de hyppigste.
En typisk forekomst av dette angrepet (om enn utilsiktet skadelig) er vanligvis på nettverk der en bruker kobler en trådløs ruter feil for å få tilgang til LAN via wi-fi. Hvis en LAN -port er tilkoblet (det riktige ville være å koble WAN -porten) til det lokale nettverket, vil ruteren tilby DHCP -service til vertene i det lokale nettverket, som konkurrerer med den legitime DHCP -serveren i nettverket (for eksempel ADSL -ruter).
I administrerte nettverk brukes ofte "DHCP Snooping" -funksjonalitet for å dempe denne typen angrep. I utgangspunktet er det som er gjort å indikere portene der den legitime DHCP er koblet til bryterne. Dette indikerer "banen" gjennom switchene som DHCP -tjenestemeldingstrafikk er tillatt med.
Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng
