v přepnutém síťovém prostředí jsou pakety odesílány na jejich cílový port MAC adresou. Tento proces vyžaduje, aby systémy v síti udržovaly tabulku přidružující MAC adresy k portům. V přepnutém prostředí jsou pakety odesílány pouze na zařízení, pro která jsou určeny. I v tomto přepnutém prostředí existují způsoby, jak čichat pakety jiných zařízení. Jedním z takových způsobů je zfalšovat vaši MAC adresu a otrávit tabulku arp. Protože arp neuchovává žádné informace o stavu, mezipaměť arp může být přepsána (pokud není položka výslovně označena jako trvalá).
ARP cache otrava klade útočník v pozici zachytit komunikaci mezi dvěma počítači. Počítač A věří, že komunikuje s počítačem B, ale kvůli otrávené tabulce arp, komunikace skutečně jde do počítače útočníka. Útočník pak může buď reagovat na počítač A (předstírá, že je počítač B), nebo jednoduše přeposlat pakety na určené místo určení, ale až poté, co jsou informace o paketu zachyceny a zaznamenány pro pozdější použití útočníkem. Podobně, odpověď z počítače B může být zachycena a zaznamenána útočníkem, který také použil otravu Arp, aby počítač B myslel, že počítač útočníka je počítač a. tento typ útoku je známý jako muž ve středním útoku.
tento článek zahrnuje řadu nástrojů používaných v ARP cache otravy útoky, včetně ettercap, arpspoof, nemesis, p0f, dsniff a scapy.
spuštění Ettercap
aby došlo k otravě mezipaměti arp, musí být útočník ve stejném segmentu sítě jako napadené systémy. Prvním krokem je získání seznamu IP adres a jejich přidružených MAC adres. Tyto informace vám pomůže získat několik nástrojů; jedním z příkladů je nástroj s názvem ettercap (http://ettercap.sourceforge.net/). Ettercap je sada pro muže ve středu útoky na místní LAN. Je vybaven čichání živých připojení, filtrování obsahu za běhu, a více. Ettercap podporuje aktivní a pasivní pitvu mnoha protokolů, některé z několika protokolů. Následující příkaz:
# ettercap -T -M arp:remote //
rychle čichat všechny hostitele v podsíti; Chcete-li zobrazit výsledky, zadejte L nebo hit h pro menu nápovědy a uvidíte seznam příkazů.
ARP Cache DOS
Chcete-li ARP otrávit danou IP adresu a zaklepat systém offline, aby nemohl s nikým komunikovat, použijte arpspoof ze sady dsniff (http://monkey.org/~dugsong/dsniff/), bezplatnou sbírku nástrojů pro audit sítě a penetrační testování. Sada dsniff obsahuje nástroje jako dsniff, filesnarf, mailsnarf, nsgsnarf, urlsnard a webspy, které pasivně monitorují síť pro zajímavá data. (Nástroje Arpspoof, dnsspoof a macof usnadňují zachycení síťového provozu, který je útočníkovi běžně nedostupný kvůli přepínání vrstvy 2.)
Arpspoof (http://arpspoof.sourceforge.net/) je mnohem jednodušší než ettercap pro přesměrování paketů:
# arpspoof-i eth0-t <cíl> hostitel
zadání rozhraní je volitelné, ale vyžaduje se, pokud je přítomno více než jedno rozhraní. Volba-t určuje konkrétního hostitele jedu arp; pokud hostitel není specifikován, všichni hostitelé v síti LAN budou otráveni. Hostitel může být výchozí bránou, a to zabrání tomu, aby cíl komunikoval mimo místní segment. Arpspoof přesměruje pakety z cílového hostitele nebo všech hostitelů v síti LAN kováním odpovědí ARP. Krása tohoto programu pochází z funkce arp_send (), která také používá libnet k spoofování paketů. arp_send () vyšle jeden ARP paket se zdrojovou / cílovou IP a ethernetovou hardwarovou adresou dodanou uživatelem. Libnet je obecné síťové API, které poskytuje přístup k několika protokolům.
Chcete-li lépe porozumět procesu otravy mezipaměti arp, zvažte alternativní nástroj nazvaný Nemesis. Pokud máte IP a MAC zamýšleného cíle a hostitele, můžete použít Nemesis k ARP otrávit cíl. Nemesis (http://nemesis.sourceforge.net/) je nástroj pro vytváření a vstřikování síťových paketů příkazového řádku. Nemesis může vytvářet a vstřikovat pakety ARP, DNS, ETHERNET, ICMP, IGMP, IP, OSPF, RIP, TCP a UDP. Vytvořením vlastního paketu pomocí Nemesis můžete vidět, jak otrava mezipaměti arp funguje:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E
pak vytvoříte paket, který chcete odeslat v opačném směru:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \-D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C
tyto dva příkazy spoof ARP odpovědi od 192.168.1.2 do 192.168.1.133 pak od 192.168.1.33 do 192.168.1.2. Volba Nemesis arp-s určuje zdrojovou IP adresu, – D určuje cílovou IP adresu, – h určuje MAC adresu odesílatele, – m ukazuje cílovou MAC adresu, – H zdrojovou MAC adresu a-M cílovou MAC adresu. Tyto dva příkazy odesílají falešné odpovědi ARP, aby byly mezipaměti ARP otráveny a provoz přesměrován.
Chcete-li se ujistit, že mezipaměť zůstane otrávená, opakujte příkazy každých 10 sekund smyčkou.
$ while true>do> sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E> sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \ -D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C> echo "Redirecting"> sleep 10> done
jakmile je toto provedeno, bude cílový box vypnutý a nebude schopen komunikovat se zbytkem sítě. Na svém webu jsem vytvořil video, které demonstruje tento útok a je k dispozici na http://pbnetworks.net.
čichání sítě LAN
jedním z cílů otravy mezipaměti arp je umístit útočníka do polohy pro zachycení a zaznamenání informací o síti. Vetřelci mají několik nástrojů pro poslech v síti LAN a protokolování dat pro pozdější analýzu.
režim můstku Ettercap vám umožní zachytit pakety, které pak můžete číst, čichat nebo měnit před odesláním oběti. Režim Bridge vyžaduje dvě rozhraní, která jsou umístěna v segmentu sítě. Pokud nastavíte inline s režimem síťového mostu, je velmi těžké zjistit.
# ettercap -Tq -i eth0 -B eth1
– i nastaví primární rozhraní jako eth0,- B nastaví druhé překlenovací rozhraní. Pokud spustíte ettercap v uživatelském rozhraní GTK+, vyberte Sniff | Bridged sniffing.