Sadržaj
U komutiranoj mreži, poput kućnog Ethernet LAN -a, prekidač je uređaj koji se koristi za međusobno povezivanje mrežnih uređaja.Switch koristi sloj veze za izvršavanje izmjene okvira mreže. U tipičnom scenariju, Bob šalje mrežni okvir u kojem je navedena njegova MAC adresa kao pošiljatelja, a Alisina adresa kao odredište te okvir šalje putem svoje fizičke veze do prekidača. Kad prekidač primi okvir, pridružuje Bobovu adresu (pošiljatelja) priključku na koji je okvir "ušao" prekidaču; ta je povezanost pohranjena u tablici poznatoj kao "CAM tablica".
POVEĆAJTE
Algoritam ne razmatra provjeru valjanosti, a mehanizam ažuriranja tablice CAM podložan je prijemu okvira, tako da će Bobova MAC adresa nastaviti biti povezana s portom sve dok "ne istekne vrijeme isteka", ili prekidač primi okvir s Bobova MAC adresa na drugom portu. Do potonjeg bi, na primjer, došlo ako Bob odspoji mrežni kabel s priključka "1" i poveže ga s priključkom "2"; U sljedećem trenutku, ako Bob pošalje okvir, Switch će otkriti Bobov MAC koji ulazi kroz port “2” i ažurirat će unos u CAM tablici.
Od sada će svaki okvir koji Alice pošalje Bobu biti usmjeren na port koji registrira Bobovu MAC adresu u CAM tablici.
MAC adrese uređaja moraju biti jedinstvene u Ethernet mrežama, jer ako dva sustava imaju istu MAC adresu i povežu se na različitim priključcima prekidača, uzrokovat će ažuriranje CAM tablice za svaki poslani okvir, uzrokujući uvjete utrke za porta u CAM tablici. Zatim će za svaki primljeni okvir Switch isporučiti okvir na priključku koji je povezan u vrijeme njegove obrade, bez mogućnosti utvrđivanja koji od dva sustava s istom MAC adresom odgovara mrežnom prometu.
Primjena tehnike pod nazivom "Krađa luka"Ili" Krađa porta "u računalnim napadima u osnovi se sastoji od izazivanja ažuriranja CAM tablice prekidača, s manipuliranim podacima o adresiranju, tako da prekidač povezuje određenu MAC adresu (sustav žrtve) s priključenim priključkom na uređaj koji primjenjuje ovu tehniku.
"Napadač" bi tada mogao prisiliti Switch da poveže Bobovu MAC adresu s priključkom na koji je spojena njegova oprema, čime prima mrežne okvire namijenjene Bobovoj MAC adresi.
Opcionalno, napadač će odlučiti proslijediti okvire ili ne, što će dovesti do napada čovjeka u sredini (MitM) ili odbijanja usluge (DoS). Postoji veliki broj aplikacija koje omogućuju primjenu ove tehnike. Evo jednostavnog postupka pomoću GNU / Linuxa.
Uključeni sustaviBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Napadač AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu će se koristiti za napadački sustav i naredbu harping (verzija Thomas Habets).
Za primjenu tehnike Krađa luka koristeći harping, pokreni kao root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
GdjeMAC_VICTIMA: MAC adresa sustava s kojeg se namjerava "ukrasti port".
IP_DESTINATION: budući da se radi o ARP zahtjevu, mora se navesti odredišna IP adresa.
SOURCE_IP: IP adresa izvora ili pošiljatelja ARP poruke.
INTERFAZ_LAN: naziv mrežnog sučelja za korištenje.
Iz sustava Napadač koji generira okvire čiji izvorni MAC odgovara žrtvinom MAC -u, Bob:
Argument -S određuje izvornu IP adresu, u ovom slučaju 2.2.2.2 (opcionalna je i proizvoljna).
Ako nije navedeno, bit će preuzeta IP adresa konfigurirana u mrežnom adapteru.
IP adresa 1.1.1.1 je odredišna adresa, a budući da je cilj samo "zbuniti Switch", odabrana vrijednost je potpuno proizvoljna, ali potrebna.
Ova naredba generira ARP promet s izvorom MAC AA: BB: CC: 11: 22: 33:
POVEĆAJTE
POVEĆAJTE
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
Vrijednost "1" za parametar "-w”Pokazuje da arping čeka 1 mikrosekundu prije slanja sljedeće poruke. Na ovaj način napadač će djelovati s prednošću da dobije luku žrtve.
Što se tiče izvorne i odredišne IP adrese, nema posebnog zapažanja, jer nije važno riješiti ARP upit, već će, u smislu primjene napada na krađu porta, okvir biti dovoljan da navede izvor MAC žrtve.
Antivirusni sustav, IDS ili pregled mrežnog prometa mogli bi otkriti sumnjive aktivnosti na mreži, pa bi napadač mogao radije naznačiti podatke u skladu s "normalnom" aktivnošću mrežnog prometa:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
GdjeMAC_ORIGEN: Bobov MAC, AA: BB: CC: 11: 22: 33
DESTINACIJA_IP: Alisin IP, 192.168.0.2
IP_ORGIEN: Bobova IP, 192.168.0.1
MAC_DESTINACIJA: Alisin MAC, AA: BB: CC: 22: 33: 44
Pregledom mrežnog prometa primijetit će se ARP upiti:
POVEĆAJTE
ARP poruka je usmjerena izravno na Aliceinu IP adresu, dodatno je navedena Aliceina MAC adresa kako bi se pokušalo prisiliti isporuku ARP poruke izravno Alice i izbjeći kontrolu emitiranja.
Na kraju, napadač označava Bobovu IP kao izvornu IP adresu, tako da ARP poruka sadrži valjane podatke, iako nije legitimna. Ovo posljednje moglo bi spriječiti otkrivanje anomalije, jer ako izvorna MAC i IP adresa ne odgovaraju prethodno registriranom ARP unosu, neki bi antivirusni sustavi mogli preuzeti ARP Spoofing aktivnost.
Do ovog trenutka napadač dobiva okvire koje drugi domaćini na mreži šalju žrtvi. Ovaj uvjet uklanja vezu sa scenarijem napada uskraćivanja usluge budući da se zavjere ne isporučuju samo napadaču, već nikada ne stižu do žrtve.
Opcionalno, napadač bi mogao proslijediti okvire svojoj žrtvi izazivajući čovjeka u srednjem napadu, za promet koji se šalje prema Bob.Je li vam se svidio i pomogao ovaj vodič?Autor možete nagraditi pritiskom na ovaj gumb kako biste mu dali pozitivan bod
