Kontynuując zbiór „prostych” ataków komputerowych, ciekawy wariant ataków MitM można wygenerować z techniki oszustwa (Spoofing) z wykorzystaniem protokołu DHCP.
DHCPDynamic Host Configuration Protocol to protokół sieciowy, oparty na paradygmacie klient/serwer, używany do automatycznego przypisywania parametrów konfiguracyjnych sieci.
W sieci LAN serwer DHCP jest zwykle konfigurowany, gdzie wskazane są konfiguracje, które muszą być przyznane klientom DHCP, czy to brama, DNS, maska podsieci i oczywiście adres IP (ten ostatni jest pobierany z puli adresów lub przypisywany ze statycznej listy z klienta MAC).
Dzięki DHCP, gdy host jest podłączony do sieci, powyższe ustawienia i parametry są stosowane automatycznie i nie jest wymagana interwencja administratora sieci. Typowym przypadkiem jest to, że podłączamy laptopa do sieci domowej i modem przypisuje nam odpowiednie ustawienia sieciowe.
Ogólna obsługaNormalne działanie Protokół DHCP wskazuje, że:
- Początkowo host klienta musi wysłać pakiet „DISCOVERY” do emisji sieciowej, aby zażądać przypisania i wysłania parametrów konfiguracyjnych.
- Każdy serwer DHCP w sieci odbiera wiadomość i odpowiada pakietem „OFFER”, w którym zawiera informacje związane z przypisaną konfiguracją.
- Klient może wybrać wszystkie lub część otrzymanych parametrów i odpowiedzieć komunikatem „REQUEST” z żądaniem przypisania tych parametrów.
- Na koniec serwer potwierdza przypisanie tych parametrów i odpowiada komunikatem „DHCP ACK” wskazującym klientowi, że konfiguracja została zarezerwowana.
Serwer DHCP „zna” te adresy IP, które przypisał, a także adresy MAC komputerów, które „skonfigurował”.
Zazwyczaj adres IP ma „czas dzierżawy DHCP” zwany „czasem dzierżawy DHCP”, który zasadniczo wskazuje czas, w którym adres IP jest przypisywany do hosta. Po upływie tego czasu adres IP można odnowić (odliczanie czasu wypożyczenia jest ponownie uruchamiane) lub można przypisać nowy adres.
1. Podszywanie się pod DHCP, proste
Podszywanie się pod DHCPTechnika ataku polegającego na oszustwie DHCP polega zasadniczo na przypisaniu parametrów konfiguracyjnych DHCP „z nieautoryzowanego serwera DHCP” w sieci.
Scena więcej Prosty ma to miejsce, gdy atakujący uruchamia instancję serwera DHCP w sieci LAN, oferując ustawienia IP hostom, które ich żądają. W tym momencie atakujący wchodzi w stan wyścigu z uzasadnionym DHCP sieci.
Czasami host może przejąć ustawienia atakującego, a czasami prawidłowe ustawienia DHCP.
Atakujący musi znać konfigurację sieci i będzie w stanie zasymulować poprawne przypisanie do hosta (np. poprzez przypisanie adresu IP, który byłby wcześniej przydzielony przez legalny DHCP), ale wskazując np. jako Bramę lub bramę domyślną, adres IP hosta Atakujący; w ten sposób atakujący staje się domyślną bramą hosta i zyskuje pozycję pośrednią.
2. Dowód koncepcji
Alicja jest hostem w sieci, jej serwer DHCP przypisuje jej adres IP za pomocą DHCP.
Atakujący, który uruchomił serwer DHCP ze specjalnie zmanipulowaną konfiguracją, wskazującą, że adres IP powinien być przypisany Alicji, aw szczególności, że adres IP atakującego powinien być wskazany jako brama domyślna.
Jeśli Alicja zażąda konfiguracji przez DHCP, atakujący może wygrać wyścig o legalny DHCP i pomyślnie przekonfigurować domyślną bramę Alicji, zmuszając ją do używania atakującego jako bramy domyślnej.
Zaangażowane systemyAlicja:
Adres MAC: AA: BB: CC: 22: 33: 44
Adres IP: 192.168.1.198/24
System operacyjny: Windows XP
Brama sieciowa: (DNS + DHCP):
Adres IP: 192.168.1.1/24
System operacyjny: openwrt
Domena główna
Napastnik:
Adres MAC: AA: BB: CC: 88: 88: 88
Adres IP: 192.168.1.124/24
System operacyjny: GNU / Linux Ubuntu 14.04
Domena: dhcp.spoofed.casa
3. Scenariusz normalny
Alicja najpierw żąda adresu IP z sieciowego serwera DHCP; w systemie Windows terminal może być użyty do zasymulowania tej akcji za pomocą polecenia:
C: \ ipconfig / odnowićSerwer DHCP sieci przypisuje Alicji adres IP i inne parametry sieciowe. Wśród tych parametrów wskazano, że adres IP bramy domyślnej to 192.168.1.1
Jeśli ślad do 8.8.8.8 jest wykonywany w terminalu Alicji za pomocą polecenia:
C: \ tracert 8.8.8.8 -dWidać, że pierwszy przeskok to domyślna brama sieci, czyli 192.168.1.1:
4. Scenariusz ataku na Alice
Atakujący chce zastosować na Alicji technikę DHCP Spoofing.
Możesz to zrobić, identyfikując adres IP Alicji za pomocą lokalnego DNS (nslookup), używając nbtscan lub dowolnej innej metody.
Atakujący instaluje serwer DHCP, na przykład isc-dhcp-server. Aby to zrobić w Ubuntu uruchom w terminalu:
$ sudo apt-get install isc-dhcp-serverAby skonfigurować serwer DHCP, Atakujący używa znanych danych, takich jak IP Alicji, MAC Alicji (dzięki ARP), podsieć, DNS itp. Konfiguracja odbywa się poprzez edycję pliku dhcpd.conf, w terminalu
$ sudo vim /etc/dhcp/dhcpd.confW tym studium przypadku plik konfiguracyjny powinien wyglądać tak:
Sekcja „podsieć” definiuje podsieć, maskę, domyślną bramę sieciową, serwer nazw i tak dalej.
Została również określona jako domena dhcp.spoofed.casa (przy okazji, żeby zaznaczyć ją na zrzutach ekranu w tym samouczku).
Zauważ, że poniżej konfiguracja została wyraźnie określona dla hosta Alicji (dobrze rozróżniana przez jego adres MAC). W szczególności adres IP Atakującego został określony jako brama dla Alicji za pomocą instrukcji:
routery opcjonalne 192.168.1.124A adres IP 192.168.1.198 został wymuszony do przypisania do MAC Alicji, z poszanowaniem konfiguracji początkowo przypisanej przez legalny DHCP sieci:
… Sprzętowa sieć Ethernet AA: BB: CC: 22: 33: 44 stały adres 192.168.1.198…Po skonfigurowaniu atakujący uruchamia usługę DHCP poleceniem:
$ sudo /etc/init.d/isc-dhcp-server startTo by się zaczęło.
5. Alicja jest oszukana
Aby zasymulować wyścig, w kontrolowanym środowisku Alicja może zostać zmuszona do ponownego zażądania konfiguracji przy użyciu protokołu DHCP.
W tym celu Alicja zwalnia przypisany adres IP (wykonaj polecenie w terminalu Alicji):
C: \ipconfig/release
Następnie ponownie poproś o adres IP:
C: \ ipconfig / odnowićJeśli atakujący „wygra wyścig” do legalnego serwera DHCP w sieci, zostaną przypisane wstępnie skonfigurowane parametry konfiguracji DHCP:
Alicja uzyskała „poprawny” adres IP i został przypisany adres IP atakującego jako brama domyślna. Zwróć uwagę na domenę „dhcp.spoofed.casa, w celu odniesienia się do konfiguracji początkowej. Od tego momentu Alicja będzie wysyłać pakiety przeznaczone do Internetu do atakującego, ponieważ powiedziano jej, że adres IP 192.168.1.124 jest jej domyślną bramą. Jeśli z terminala Alicji zostanie wykonany ślad do 8.8.8.8, można zaobserwować zmianę w pierwszym skoku:
6. Rozważania końcowe
Dodatkowo atakujący może skonfigurować przekazywanie pakietów, a za pomocą iptables wykonać maskaradę, aby kontrolować sytuację MitM. Taka konfiguracja nie została uwzględniona, ponieważ nie jest częścią weryfikacji koncepcji DHCP Spoofing, ale warto o niej wspomnieć.
Istnieją inne, nieco bardziej złożone techniki do wykonania Podszywanie się pod DHCPJest to jeden z najprostszych i przypadkowo jeden z najczęstszych.
Typowe wystąpienie tego ataku (choć nieumyślnie szkodliwego) ma miejsce zwykle w sieciach, w których użytkownik nieprawidłowo podłącza router bezprzewodowy, aby uzyskać dostęp do sieci LAN przez wi-fi. Jeśli port LAN jest podłączony (prawidłowe byłoby podłączenie portu WAN) do sieci lokalnej, router zaoferuje usługę DHCP hostom sieci lokalnej, konkurując z legalnym serwerem DHCP sieci (np. router ADSL) .
W zarządzanych sieciach funkcja „DHCP Snooping” jest często używana do łagodzenia tego typu ataków. Zasadniczo należy wskazać przełącznikom port, do którego podłączony jest właściwy protokół DHCP. Wskazuje to „ścieżkę” przez przełączniki, przez które dozwolony jest ruch komunikatów usługi DHCP.
Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
