Spoofing. Wprowadzenie teoretyczne

Podobne dokumenty
dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Router programowy z firewallem oparty o iptables

Laboratorium nr 4 Ataki aktywne

Laboratorium podstaw telekomunikacji

BEZPIECZEŃSTWO W SIECIACH

Problemy z bezpieczeństwem w sieci lokalnej

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

ZAKŁAD SYSTEMÓW ROZPROSZONYCH. Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Metody zabezpieczania transmisji w sieci Ethernet

Problemy z bezpieczeństwem w sieci lokalnej

Ping. ipconfig. getmac

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł

Sieci Komputerowe Translacja adresów sieciowych

ARP Address Resolution Protocol (RFC 826)

Wireshark analizator ruchu sieciowego

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Sieci komputerowe - administracja

Laboratorium Sieci Komputerowych - 2

Instrukcja do laboratorium z przedmiotu Sieci Ethernet i IP Bezpieczeństwo sniffery, podsłuchiwanie

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Protokół ARP Datagram IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Zarządzanie bezpieczeństwem w sieciach

Zagrożenia bezpieczeństwa danych w lokalnych sieciach komputerowych ataki i metody obrony 2. Sniffing pasywny

Przesyłania danych przez protokół TCP/IP

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Paweł Pokrywka. Radar w Ethernecie. Lokalizowanie hostów w sieci LAN

SIECI KOMPUTEROWE - BIOTECHNOLOGIA

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Instrukcja programu Wireshark (wersja 1.8.3) w zakresie TCP/IP

Przyczyny awarii systemów IT

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

pasja-informatyki.pl

Instrukcja konfiguracji funkcji skanowania

Narzędzia diagnostyczne protokołów TCP/IP

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Metody ataków sieciowych

Wyższa Szkoła Informatyki Stosowanej i Zarządzania. Jakub Stelmaszczyk. Sniffing w sieciach przełączalnych

Artykuł pochodzi z magazynu Hakin9. Do ściągnięcia ze strony:

ZiMSK NAT, PAT, ACL 1

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

iptables/netfilter co to takiego?

SIECI KOMPUTEROWE LABORATORIUM ĆWICZENIE 5. Analiza ruchu sieciowego z wykorzystaniem programu WIRESHARK Cz. I podstawy.

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Laboratorium Badanie protokołu ARP w wierszu poleceń systemu Windows oraz w programie Wireshark

MASKI SIECIOWE W IPv4

T: Konfiguracja interfejsu sieciowego. Odwzorowanie nazwy na adres.

Konfigurowanie interfejsu sieciowego może być wykonane na wiele sposobów.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Bezpieczeństwo w sieci lokalnej - prezentacja na potrzeby Systemów operacyjnych

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

Podstawowe protokoły transportowe stosowane w sieciach IP cz.1

z paska narzędzi lub z polecenia Capture

DHCP + udostępnienie Internetu

Bezpieczeństwo w M875

Protokoły sieciowe - TCP/IP

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

PRZYKŁADOWE PYTANIA NA PRÓBNY EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE ZAWODOWE

Windows Serwer 2008 R2. Moduł 3. DNS v.2

Funkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

4. Podstawowa konfiguracja

Ataki na serwery Domain Name System (DNS Cache Poisoning)

Skrócona instrukcja konfiguracji skanowania iwysyłania wiadomości

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Podstawy działania sieci komputerowych

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań

TELEFONIA INTERNETOWA

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Konfigurowanie interfejsu sieciowego może być wykonane na wiele sposobów.

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

Laboratorium 6.7.1: Ping i Traceroute

Podstawowe pojęcia dotyczące sieci komputerowych

Zasady powstałe na bazie zasad klasycznych

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Laboratorium - Przeglądanie tablic routingu hosta

Tomasz Greszata - Koszalin

Sieci komputerowe i bazy danych

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

SIECI KOMPUTEROWE Adresowanie IP

Transkrypt:

Spoofing Zadanie (Celem ćwiczenia jest zapoznanie się z metodami podsłuchiwania w sieciach zbudowanych w oparciu o przełączniki. Rozpoznawanie metodologii ataku i jego zapobieganie.) 1. Z wykorzystaniem narzędzia do arpspoofingu należy przeprowadzić przechwycenie ruchu między komputerem ofiarą a bramą sieciową w pracowni. Jaka część ruchu możliwa jest do przechwycenia? Jaka jest skuteczna metoda zabezpieczająca przed w/w atakiem? Wykonanie Ściągnąć program Wireshark (lub podobny) i zainstalować. Ściągnąć program WinArpSpoof i zainstalować. Uruchom w Windowsie program WinArpSpoof. Przeprowadź atak na jeden komputer Zarejestruj sesję HTTP (lub innego protokołu sieciowego) atakowanego komputera. Sprawdź na atakowanym komputerze trasy do dowolnych hostów w internecie przy pomocy programy tracert. Czy można przy pomocy tego programu wykryć spoofing? Zarejestruj snifferem przebieg ataku. Przeanalizuj ruch arp Dodaj statyczny wpis do tablicy arp wskazujący na bramę (polecenie arp). Spróbuj ponowić atak. Wprowadzenie teoretyczne MAC-flooding i ARP-Spoofing to dwie metody podsłuchu, które mogą być wykorzystywane w przypadku sieci przełączanych. Jak wiadomo przełącznik (switch) w odróżnieniu od koncentratora (huba) przesyła ramki tylko pomiędzy odpowiednimi portami (tymi, do których przyłączeni sa odpowiednio nadawca i odbiorca wiadomości). Decyzje o przesłaniu nadchodzącej porcji danych do właściwego portu podejmowane są na podstawie przechowywanej w pamięci switcha tablicy adresów sprzętowych MAC powiązanych z numerami jego portów. Switch przez cały czas swojej pracy uczy się (na podstawie adresu nadawcy umieszczonego w przychodzących doń ramkach) adresów sprzętowych urządzeń przyłączanych do poszczególnych portów. Przez krótki czas po włączeniu lub zresetowaniu switcha ramki przesyłane są na wszystkie pozostałe porty (podobnie jak ma to miejsce w przypadku huba). Po tym okresie będą trafiały wyłącznie do portu powiązanego z tym adresem. W przypadku, kiedy przepniemy jakieś urządzenie z jednego portu do innego nie będzie ono mogło odbierać ramek do czasu, kiedy samo nie wyśle jakiejś informacji, na podstawie której swotch zorientuje się, że jest przyłaczone do innego portu. MAC-flooding polega na zalewaniu przełącznika bardzo dużą liczbą ramek z różnymi, nie istniejącymi w sieci źródłowymi adresami MAC, tak aby zapełnić pamięć przeznaczoną na przypisanie adresów do poszczególnych portów. Zalany przełącznik zaczyna zachowywać się jak zwykły koncentrator i przesyłać otrzymane prawdziwe ramki na wszystkie swoje porty. Metoda ta jest skuteczna tylko w odniesieniu do tańszych przełączników, w których pamięć na odwzorowania MAC - numer portu jest mała i wspólna dla wszystkich portów. ARP-spoofing polega na podszywaniu się agresora pod jeden z komputerów w sieci lokalnej (często z oczywistych względów pod bramę do Internetu) poprzez wysyłanie sfałszowanych pakietów ARP-Reply zawierających podrobione odwzorowanie, które informuje ofiarę, że fizyczny adres owej bramy to adres, który w rzeczywistości należy do komputera agresora. W ten sposób, to co powinno trafić do Źródło: wiki.kis.p.lodz.pl 1

bramy trafia do agresora, który aby atak pozostał niezauważony powinien przesłać otrzymane pakiety do prawdziwej bramy. Warto zauważyć, że odwzorowania ARP (czyli odwzorowania adresów IP na adresy MAC) przechowywane w pamięci podręcznej (ARP-cache) uaktualniane są przez system nawet w przypadku, gdy odbierze on pakiet ARP-reply mimo, że nie wysyłała zapytania ARP-request, co znacząco ułatwia życie crackerom. ARP-spoofing jest metodą bardzo skuteczną nie atakuje bowiem samego przełącznika, ale samą ofiarę ataku, która wysyła informacje pod niewłaściwy adres fizyczny. Narzędzia WinArpSpoof Program WinArpSpoof jest skutecznym narzędziem do przeprowadzenia ataku ARP-spoofing w środowisku Windows. Program został napisany przez firmę NextSecurity (obecnie Softahead) i należy do kategorii freeware. Uwaga: obecnie nie można go pobrać ze strony, gdyż został zastąpiony płatnym programem SwitchSniffer. Dostępny jest jednak na serwerze producenta oraz na innych serwerach z darmowym oprogramowaniem. Pomimo, że WinArpSpoof jest prostym programem pozwala na realizację 3 funkcji niezbędnych do ataku ARP-spoofing: Skanowanie sieci - poszukiwanie potencjalnych ofiar APR-spoofnig Przesyłanie pakietów (ip forwarding) Okno konfiguracji interfejsu sieciowego w programie WinArpSpoof Przed rozpoczęciem pracy należy wybrać przycisk Options i określić interfejs na którym będzie prowadzony atak. Źródło: wiki.kis.p.lodz.pl 2

Okno opcji spoofingu w programie WinArpSpoof Następnie, także w oknie Options określamy rodzaj ataku: Na hosta Na bramę W obie strony oraz czy nasz komuter ma pracować jako router (ip forwarding). Aby przeprowadzić atak należy: Okno główne programu WinArpSpoof Wybrać przycisk Scan w celu zebrania informacji o sieci Zaznaczyć hosty, którę chcemy atakować Wcisnąć przycisk Start aby rozpocząć atak Źródło: wiki.kis.p.lodz.pl 3

Podczas ataku możemy podsłuchiwać transmisję przy pomocy dowolnego sniffera, np.: Wireshark arpspoof (pakiet dsniff) Program arpspoof z pakietu dsniff jest prostym narzędziem pozwalającym na podszywanie się pod inny komputer przy pomocy ataku ARP-spoofing. Idealnie nadaje się do podsłuchiwania pakietów w sieciach opartych na przełącznikach. Program pozwala atakować pojedyńczego hosta jak i całą sieć. Składnia polecenia: arpspoof [-i interface] [-t target] host -i interface Określa używany interfejs sieciowy. -t target Określa atakowany host (czyli ten, którego arp cache na zostać "zatruty"). Jeśli prametr nie zostatnie podany - atakowana jest cała sieć. host Określa host za który będziemy się podszywać. Zazwyczaj lokalna brama. Przykład użycia: Przyjmijmy, że brama w naszej sieci ma adres 192.168.1.1, zaś atakowany komputer 192.168.1.23. Aby przechycić sesje internetowe tego komputera należy wydać polecenie: arpspoof -i eth0 -t 192.168.1.23 192.168.1.1 Od tej chwili pakiety będą kierowane do naszego komputera zamiast do bramy. Ponieważ nasz komputer nie potrafi obsużyć tych pakietów - zostaną one odrzucone (i ewentualnie podsłuchane). W efekcie atakowany użytkownik straci połączenie z internetem. Aby temu zapobiec należy wymusić przesyłanie (forwarding) pakietów. Wykonać to można poleceniem: echo 1 > /proc/sys/net/ipv4/ip_forward Od tej chwilii atakowany użytkownik będzie miał dostęp do internetu, lecz my będziemy w stanie podsłuchać tylko połowę transmisji. Statnie się tak dlatego, iż brama nie została "oszukana" i odpowiada bezpośrednio do komputera ofiary. Można by spróbować zaatakować bramę w podobny sposób. Jednakże można uniknąć zbędnej ingerencji w cache ARP bramy i zastosować translację adresów. Wykonać to można poleceniem: iptables -t nat -A POSTROUTING -j MASQUERADE dnsspoof (pakiet dsniff) Narzędzie dnsspoof z pakietu dsniff pozwala na podmianę odpowiedzi serwera DNS. Umożliwia to przekierowanie połączenia na niepradziwy adres. Pozwla ono na poszycie się pod dowolny serwer w internecie. Znajduje zastosowanie przy realizacji różnych ataków typu man-in-the-middle. Wymaga bezpośredniego dostępu do atakowanego hosta. dnsspoof [-i interface] [-f hostsfile] [expression] -i interface Określa interfejs sieciowy -f hostsfile Źródło: wiki.kis.p.lodz.pl 4

Określa plik z danymi (patrz niżej). Jeśli nie podano parametru, podmieniane będą wszystkie zapytania expression Określa filtr pakietów zgodny z formatem tcpdump Format pliku z danymi: adres_ip nazwa_dns Na przykład 192.168.1.2 www.wp.pl W nazwach DNS dopuszczalne są jokery "*", np.: 192.168.2.45 *.kis.p.lodz.pl Przykład zastosowania: Aby dokonać ataku tworzymy plik z adresami. Na przykład poleceniem: echo '10.1.1.5 www.wp.pl' >> adresy Następnie uruchamiamy profram dnsspoof: dnsspoof -f adresy Podczas pracy programu powinniśmy dostawać komunikaty o podaminach pakietów, np.: angband ~ # dnsspoof -f adresy dnsspoof: listenig on eth0 [udp dst port 53 and not src 10.1.1.5] 10.1.1.7.1024 > 10.1.1.2.53: 20683+ A? www.wp.pl Uwaga: dnsspoof wymaga bezpośredniego dostępu do sieci. W sieciach opartych na przełącznikach wymaga wcześniejszego ataku ARP-spoofing. Aby sprawdzić działanie można uruchomić lokalny serwer ww poleceniem: /etc/init.d/apache2 start A następnie umieścić podrobioną stronę www w katalogu: /var/www/localhost/htdocs/ macof (pakiet dsniff) Program macof z pakietu dsniff jest narzędziem pozwalającym na wykonanie ataku MAC flooding. Znaczenie ataku tego typu spada wraz z powstawaniem nowocześniejszych typów przełączników sieciowych. Składnia polecenia: macof [-i interface] [-s src] [-d dst] [-e tha] [-x sport] [-y dport] [-n times] -i interface Określa interfejs sieciowy -s src Źródło: wiki.kis.p.lodz.pl 5

Określa adres żródłowy IP -d dst Określa adres docelowy IP -e tha Określa docelowy adres sprzętowy -x sport Określa port żródłowy -y sport Określa port docelowy -n times Określa liczbę wysłanych pakietów Sprzętowe adresy żródłowe są generowane losowo. dsniff Sniffer pozwalający na wychwytywanie haseł z transmisji sieciowych. Omówione powyżej narzędzia są dołączane do programu dsniff. Działanie programu dniff nie stanowi tematu dzisiejszych zajęć. W związku z tym zainteresowanych odsyłam do manuala systemowego: man dsniff Źródło: wiki.kis.p.lodz.pl 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres