Урок 4

Активные сетевые атаки

В уроке
• Активные атаки
• Типовые MITM-атаки
• Arp-spoofing
• Dns-spoofing
Активные сетевые атаки
Активные сетевые атаки
• Под активным воздействием на сеть понимается воздействие,
оказывающее непосредственное влияние на работу системы
(изменение конфигурации, нарушение работоспособности и т. д.) и
нарушающее принятую в ней политику безопасности.
Практически все типы удаленных атак являются активными
воздействиями.

• Очевидным отличием активного воздействия от пассивного является

принципиальная возможность его обнаружения (естественно, с
большими или меньшими усилиями), так как в результате его
осуществления в системе происходят определенные изменения.
ARP - spoofing
ARP - spoofing
Для адресации IP-пакетов в Internet кроме IP-адреса хоста
необходим
• либо Ethernet-адрес его сетевого адаптера (в случае адресации
внутри одной подсети),
• либо Ethernet-адрес маршрутизатора (в случае межсетевой
адресации)

Чтобы хост смог найти эти адреса, применяя алгоритмы удаленного

поиска в сети для решения этой задачи используется протокол ARP
(Address Resolution Protocol)
ARP - spoofing
Анализ безопасности протокола ARP показывает, что, перехватив
на атакующем хосте внутри данного сегмента сети
широковещательный ARP-запрос, можно послать ложный ARP-
ответ, в котором объявить себя искомым хостом (например,
маршрутизатором), и в дальнейшем активно контролировать
сетевой трафик дезинформированного хоста.
ARP – spoofing (схема атаки)
• Ожидание ARP-запроса от жертвы.
• При получении такого запроса - передача по сети на запросивший
хост ложного ARP-ответа, где указывается адрес сетевого
адаптера атакующей станции (ложного ARP-сервера) или тот
Ethernet-адрес, на котором будет принимать пакеты ложный ARP-
сервер.
• Прием, анализ, воздействие на пакеты обмена и передача их
между взаимодействующими хостами.
ARP – spoofing (схема атаки)
• Атакованный хост передает пакеты на ложный ARP-сервер.
• Ложный ARP-сервер посылает принятые от атакованного хоста
пакеты на маршрутизатор.
• Маршрутизатор, в случае получения ответа на запрос, адресует
его непосредственно на атакованный хост, минуя ложный ARP-
сервер.
ARP – spoofing (решение "полуперехвата")
Dns - spoofing
Dns - spoofing
DNS-алгоритм удаленного поиска IP-адреса по имени в сети Internet.
• Хост посылает на IP-адрес ближайшего DNS-сервера (он, как правило,
устанавливается при настройке сетевой ОС) DNS-запрос, в котором
указывает имя сервера, IP-адрес которого необходимо найти.
• DNS-сервер, получив такое сообщение, ищет в своей базе имен
указанное имя. Если указанное в запросе имя найдено, а,
следовательно, найден и соответствующий ему IP-адрес, то DNS-
сервер отправляет на хост DNS-ответ, в котором указывает искомый IP-
адрес. Если же DNS-сервер не обнаружил такого имени в своей базе
имен, то он пересылает DNS-запрос на один из ответственных за
домены верхнего уровня DNS-серверов, адреса которых содержатся в
файле настроек DNS-сервера, и описанная в этом пункте процедура
повторяется, пока имя не будет найдено (или будет не найдено).
Dns - spoofing
3 варианта удаленной атаки на DNS
1. Перехват DNS-запроса
2. Направленный шторм ложных DNS-ответов на атакуемый хост
3. Перехват DNS-запроса или создание направленного шторма
ложных DNS-ответов на DNS-сервер
Перехват DNS-запроса (схема атаки)
1. Ожидание DNS-запроса.
2. Извлечение из полученного сообщения необходимых сведений и
передача по сети на запросивший хост ложного DNS-ответа от имени
(с IP-адреса) настоящего DNS-сервера с указанием в этом ответе IP-
адреса ложного DNS-сервера.
3. В случае получения пакета от хоста - изменение в IP-заголовке пакета
его IP-адреса на IP-адрес ложного DNS-сервера и передача пакета на
сервер, то есть ложный DNS-сервер ведет работу с сервером от
своего имени.
4. В случае получения пакета от сервера - изменение в IP-заголовке
пакета его IP-адреса на IP-адрес ложного DNS-сервера и передача
пакета на хост. Таким образом, для атакованного для хоста ложный
DNS-сервер выглядит как настоящий сервер.
Полезные ссылки
• https://ru.wikipedia.org/wiki/ARP
• http://ettercap.github.io/ettercap/
• http://bit.ly/1C9ge9U (ettercap filters sample)
• https://ru.wikipedia.org/wiki/DNS