In einer Switched-Netzwerkumgebung werden Pakete per MAC-Adresse an ihren Zielport gesendet. Dieser Prozess erfordert, dass die Systeme im Netzwerk eine Tabelle führen, die MAC-Adressen Ports zuordnet. In einer Switched-Umgebung werden Pakete nur an Geräte gesendet, für die sie bestimmt sind. Selbst in dieser Switched-Umgebung gibt es Möglichkeiten, die Pakete anderer Geräte zu schnüffeln. Eine solche Möglichkeit besteht darin, Ihre MAC-Adresse zu fälschen und die ARP-Tabelle zu vergiften. Da arp keine Statusinformationen enthält, kann der arp-Cache überschrieben werden (es sei denn, ein Eintrag ist explizit als permanent markiert).
Arp Cache Poisoning versetzt den Angreifer in die Lage, die Kommunikation zwischen den beiden Computern abzufangen. Computer A glaubt, dass er mit Computer B kommuniziert, aber aufgrund der vergifteten ARP-Tabelle geht die Kommunikation tatsächlich zum Computer des Angreifers. Der Angreifer kann dann entweder auf Computer A antworten (vorgeben, Computer B zu sein) oder die Pakete einfach an sein beabsichtigtes Ziel weiterleiten, jedoch erst, nachdem die Paketinformationen erfasst und zur späteren Verwendung durch den Angreifer protokolliert wurden. Ebenso kann die Antwort von Computer B vom Angreifer erfasst und protokolliert werden, der auch Arp-Vergiftung verwendet hat, um Computer B denken zu lassen, dass der Computer des Angreifers Computer A ist.
Dieser Artikel behandelt eine Reihe von Tools, die bei ARP-Cache-Poisoning-Angriffen verwendet werden, darunter ettercap, arpspoof, Nemesis, p0f, dsniff und scapy.
Ausführen von Ettercap
Damit eine ARP-Cache-Vergiftung stattfinden kann, muss sich der Angreifer im selben Netzwerksegment wie die angegriffenen Systeme befinden. Der erste Schritt besteht darin, eine Liste der IP-Adressen und der zugehörigen MAC-Adressen abzurufen. Mehrere Tools helfen Ihnen, diese Informationen zu erhalten; Ein Beispiel ist ein Tool namens ettercap (http://ettercap.sourceforge.net/). Ettercap ist eine Suite für Man-in-the-Middle-Angriffe auf ein lokales LAN. Es bietet Schnüffeln von Live-Verbindungen, Inhaltsfilterung im laufenden Betrieb und vieles mehr. Ettercap unterstützt aktive und passive Dissektion von vielen Protokollen einige von mehreren Protokollen. Der folgende Befehl:
# ettercap -T -M arp:remote //
schnüffelt schnell alle Hosts in Ihrem Subnetz; Um die Ergebnisse anzuzeigen, geben Sie L ein oder drücken Sie h für das Hilfemenü.
Arp Cache DOS
Um eine bestimmte IP-Adresse zu vergiften und das System offline zu schalten, damit es mit niemandem kommunizieren kann, verwenden Sie arpspoof aus der dsniff Suite (http://monkey.org/~dugsong/dsniff/), eine kostenlose Sammlung von Tools für Netzwerküberwachung und Penetrationstests. Die dsniff Suite enthält Tools wie dsniff, filesnarf, mailsnarf, nsgsnarf, urlsnard und webspy, die ein Netzwerk passiv auf interessante Daten überwachen. (Arpspoof-, dnsspoof- und Macof-Tools erleichtern das Abfangen von Netzwerkverkehr, der einem Angreifer aufgrund von Layer-2-Switching normalerweise nicht zur Verfügung steht.)
Arpspoof (http://arpspoof.sourceforge.net/) ist viel einfacher als ettercap zum Umleiten von Paketen:
# arpspoof -i eth0 -t <target> host
Die Angabe der Schnittstelle ist optional, aber erforderlich, wenn mehr als eine Schnittstelle vorhanden ist. Die Option -t gibt den bestimmten Host an, der vergiftet werden soll; Wenn der Host nicht angegeben ist, werden alle Hosts im LAN vergiftet. Der Host kann das Standardgateway sein, wodurch verhindert wird, dass das Ziel über das lokale Segment hinaus kommuniziert. Arpspoof leitet Pakete von einem Zielhost oder allen Hosts im LAN um, indem ARP-Antworten gefälscht werden. Die Schönheit dieses Programms kommt von der Funktion arp_send () , die auch libnet verwendet, um Pakete zu fälschen. arp_send() sendet ein arp-Paket mit Quell-/ Ziel-IP- und Ethernet-Hardware-Adressen, die vom Benutzer angegeben werden. Libnet ist eine generische Netzwerk-API, die Zugriff auf mehrere Protokolle bietet.
Um den ARP-Cache-Vergiftungsprozess besser zu verstehen, sollten Sie ein alternatives Tool namens Nemesis in Betracht ziehen. Wenn Sie die IP- und MAC-Adresse des beabsichtigten Ziels und Hosts haben, können Sie Nemesis verwenden, um das Ziel mit ARP zu vergiften. Nemesis (http://nemesis.sourceforge.net/) ist ein Kommandozeilen-Netzwerk-Paket Crafting und Injektion Dienstprogramm. Nemesis kann ARP-, DNS-, ETHERNET-, ICMP-, IGMP-, IP-, OSPF-, RIP-, TCP- und UDP-Pakete erstellen und injizieren. Indem Sie Ihr eigenes Paket mit Nemesis erstellen, können Sie sehen, wie die ARP-Cache-Vergiftung funktioniert:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E
Dann erstellen Sie ein Paket, das in die andere Richtung gesendet werden soll:
$ sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \-D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C
Diese beiden Befehle fälschen ARP-Antworten von 192.168.1.2 auf 192.168.1.133 und dann von 192.168.1.33 auf 192.168.1.2. Die Nemesis arp-Option -S gibt die Quell-IP-Adresse an, -D gibt die Ziel-IP-Adresse an, -h gibt die MAC-Adresse des Absenders an, -m zeigt die Ziel-MAC-Adresse an, -H die Quell-MAC-Adresse und -M die Ziel-MAC-Adresse. Diese beiden Befehle senden gefälschte ARP-Antworten, um die ARP-Caches vergiftet und den Datenverkehr umgeleitet zu halten.
Um sicherzustellen, dass der Cache vergiftet bleibt, wiederholen Sie die Befehle alle 10 Sekunden mit einer Schleife.
$ while true>do> sudo nemesis arp -v -r -d eth0 -S 192.168.1.2 \-D 192.168.1.133 -h 00:22:6E:71:04:BB -m 00:0C:29:B2:78:9E \-H 00:22:6E:71:04:BB -M 00:0C:29:B2:78:9E> sudo nemesis arp -v -r -d eth0 -S 192.168.1.133 \ -D 192.168.1.2 -h 00:22:6E:71:04:BB -m 00:22:6B:7E:AD:7C \-H 00:22:6E:71:04:BB -M 00:22:6B:7E:AD:7C> echo "Redirecting"> sleep 10> done
Sobald dies erledigt ist, ist die Zielbox offline und kann nicht mehr mit dem Rest des Netzwerks kommunizieren. Ich habe auf meiner Website ein Video erstellt, das diesen Angriff demonstriert und unter http://pbnetworks.net verfügbar ist.
Schnüffeln des LAN
Ein Ziel von arp Cache Poisoning ist es, den Angreifer in die Lage zu versetzen, Netzwerkinformationen zu erfassen und zu protokollieren. Eindringlinge verfügen über mehrere Tools zum Abhören des LAN und zum Protokollieren von Daten für die spätere Analyse.
Mit dem Bridge-Modus von Ettercap können Sie Pakete abfangen, die Sie dann lesen, schnüffeln oder ändern können, bevor Sie sie an das Opfer senden. Der Bridge-Modus erfordert zwei Schnittstellen, die im Netzwerksegment platziert sind. Wenn Sie den Netzwerkbrückenmodus inline einrichten, sind Sie sehr schwer zu erkennen.
# ettercap -Tq -i eth0 -B eth1
Das -i setzt die primäre Schnittstelle als eth0, das -B setzt die zweite Bridging-Schnittstelle. Wenn Sie ettercap in der GTK + -Benutzeroberfläche ausführen, wählen Sie Sniff | Bridged Sniffing.