Spisie treści
W sieci przełączanej, takiej jak domowa sieć Ethernet LAN, przełącznik jest urządzeniem używanym do łączenia urządzeń sieciowych.Przełącznik używa warstwy Link do przełączania ramek sieciowych. W typowym scenariuszu Bob wysyła ramkę sieciową określając swój adres MAC jako nadawcę i adres Alicji jako miejsce docelowe i wysyła ramkę poprzez swoje fizyczne połączenie do Switcha. Kiedy Switch odbiera ramkę, kojarzy adres Boba (nadawcy) z portem, w którym ramka "przyszła" do Switcha; to powiązanie jest przechowywane w tabeli znanej jako „Tabela CAM”.
POWIĘKSZAĆ
Z tym samym portem przełącznika może być powiązanych wiele adresów MAC, ale każdy adres MAC będzie powiązany z jednym i tylko jednym portem przełącznika. Po skojarzeniu adresu Boba, Switch przeszukuje tabelę CAM pod kątem docelowego adresu MAC i przechodzi do przekazywania odebranej ramki przez skojarzony port (i tylko przez ten port).Algorytm nie uwzględnia walidacji, a mechanizm aktualizacji tabeli CAM podlega odbiorowi ramek, tak że adres MAC Boba będzie nadal skojarzony z portem, dopóki nie upłynie czas wygaśnięcia lub przełącznik odbierze ramkę z Adres MAC Boba na innym porcie. To drugie, na przykład, może wystąpić, jeśli Bob odłączy swój kabel sieciowy od portu „1” i podłączy go do portu „2”; W następnej chwili, jeśli Bob wyśle ramkę, Switch wykryje adres MAC Boba wchodzący przez port „2” i zaktualizuje wpis w tabeli CAM.
Od teraz każda ramka, którą Alicja wysyła do Boba, będzie kierowana do portu, który rejestruje adres MAC Boba w tabeli CAM.
Adresy MAC urządzeń muszą być unikalne w sieciach Ethernet, ponieważ jeśli dwa systemy mają ten sam adres MAC i łączą się na różnych portach przełącznika, spowodują aktualizację tabeli CAM dla każdej wysłanej ramki, powodując wyścig dla skojarzenie portu w tabeli CAM. Następnie dla każdej odebranej ramki Switch dostarczy ramkę na porcie, który jest skojarzony w momencie jej przetwarzania, bez możliwości określenia, który z dwóch systemów o tym samym adresie MAC odpowiada ruchowi sieciowemu.
Zastosowanie techniki zwanej „Kradzież portów"Lub" kradzież portu" w atakach komputerowych, zasadniczo polega na wywoływaniu aktualizacji tabeli CAM przełącznika, ze zmanipulowanymi informacjami adresowymi, tak aby przełącznik kojarzył określony adres MAC (system ofiary) z podłączonym portem do urządzenia, które stosuje tę technikę.
„Atakujący” może następnie zmusić Switch do skojarzenia adresu MAC Boba z portem, do którego podłączony jest jego sprzęt, otrzymując w ten sposób ramki sieciowe przeznaczone dla adresu MAC Boba.
Opcjonalnie atakujący zdecyduje się na przekazanie ramek lub nie, co spowoduje odpowiednio atak typu Man in the Middle (MitM) lub Denial of Service (DoS). Istnieje wiele różnych zastosowań, które pozwalają na zastosowanie tej techniki. Oto prosta procedura przy użyciu GNU/Linux.
Zaangażowane systemyBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alicja AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Atakujący AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU/Linux Ubuntu będzie używany do atakującego systemu i polecenia harping (wersja Thomasa Habetsa).
Aby zastosować technikę Kradzież portów za pomocą harping, uruchom jako root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
GdzieMAC_VICTIMA: adres MAC systemu, z którego zamierza się „ukraść port”.
IP_DESTINATION: ponieważ jest to wiadomość żądania ARP, należy wskazać docelowy adres IP.
SOURCE_IP: źródłowy lub nadawcy adres IP wiadomości ARP.
INTERFAZ_LAN: nazwa używanego interfejsu sieciowego.
Z systemu Atakującego generującego ramki, których źródłowy MAC odpowiada MAC ofiary, Bob:
Komenda harping pobiera argument -s, aby wskazać adres MAC źródła lub nadawcy, określając w ten sposób adres MAC Boba ofiary.
Argument -S określa źródłowy adres IP, w tym przypadku 2.2.2.2 (jest opcjonalny i arbitralny).
Jeśli nie zostanie określony, zostanie pobrany adres IP skonfigurowany w karcie sieciowej.
Adres IP 1.1.1.1 jest adresem docelowym, a ponieważ celem jest tylko „zmylenie przełącznika”, wybrana wartość jest całkowicie dowolna, ale wymagana.
To polecenie generuje ruch ARP ze źródłowym adresem MAC AA:BB:CC:11:22:33:
POWIĘKSZAĆ
Gdy port atakującego zostanie powiązany z adresem MAC Boba, wszystkie ramki zaadresowane do Boba zostaną skierowane do portu atakującego:POWIĘKSZAĆ
Od tego momentu Spiker wchodzi w stan wyścigu z Bobem. Każda ramka wysłana przez Boba wymusi aktualizację tabeli CAM. Atakujący może określić, jak często polecenie wysyła wiadomości ARP harping za pomocą parametru -w:# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
Wartość „1” dla parametru „-w„Wskazuje, że arping czeka 1 mikrosekundę przed wysłaniem następnej wiadomości. W ten sposób atakujący będzie działał z korzyścią, aby zdobyć port ofiary.
Jeśli chodzi o źródłowe i docelowe adresy IP, nie ma szczególnej obserwacji, ponieważ nie jest ważne rozwiązanie zapytania ARP, ale raczej w zakresie zastosowania ataku kradzieży portów wystarczy, aby ramka wskazała źródło MAC ofiary.
System antywirusowy, IDS lub inspekcja ruchu sieciowego mogą ujawnić podejrzaną aktywność w sieci, więc atakujący może preferować wskazanie danych zgodnych z „normalną” aktywnością ruchu sieciowego:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
GdzieMAC_ORIGEN: MAC Boba, AA: BB: CC: 11: 22: 33
DESTINATION_IP: IP Alicji, 192.168.0.2
IP_ORGIEN: IP Boba, 192.168.0.1
MAC_DESTINATION: MAC Alicji, AA: BB: CC: 22: 33: 44
Przeglądając ruch sieciowy, obserwowane będą zapytania ARP:
POWIĘKSZAĆ
Atakujący określa docelowy adres MAC wraz z adresem MAC Boba (wymagane, ponieważ Bob jest systemem próbującym „ukraść port”).Wiadomość ARP została skierowana bezpośrednio na adres IP Alicji, dodatkowo określono adres MAC Alicji, aby spróbować wymusić dostarczenie wiadomości ARP bezpośrednio do Alicji i uniknąć kontroli emisji.
Na koniec atakujący wskazuje IP Boba jako źródłowy adres IP, dzięki czemu wiadomość ARP zawiera prawidłowe informacje, mimo że nie jest legalna. Ta ostatnia może zapobiec wykryciu anomalii, ponieważ jeśli źródłowy adres MAC i IP nie są zgodne z wcześniej zarejestrowanym wpisem ARP, niektóre systemy antywirusowe mogą zakładać aktywność ARP Spoofing.
Do tego momentu atakujący otrzymuje ramki, które inne hosty w sieci wysyłają do ofiary. Ten warunek odłącza scenariusz ataku typu „odmowa usługi” ponieważ spiski są nie tylko dostarczane Atakującemu, ale nigdy nie docierają do ofiary.
Opcjonalnie atakujący może przekazać ramki do swojej ofiary, wywołując atak typu Man in the middle, dla wysłanego ruchu w kierunku Pion.Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt