В уроке • Активные атаки • Типовые MITM-атаки • Arp-spoofing • Dns-spoofing Активные сетевые атаки Активные сетевые атаки • Под активным воздействием на сеть понимается воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями.
• Очевидным отличием активного воздействия от пассивного является
принципиальная возможность его обнаружения (естественно, с большими или меньшими усилиями), так как в результате его осуществления в системе происходят определенные изменения. ARP - spoofing ARP - spoofing Для адресации IP-пакетов в Internet кроме IP-адреса хоста необходим • либо Ethernet-адрес его сетевого адаптера (в случае адресации внутри одной подсети), • либо Ethernet-адрес маршрутизатора (в случае межсетевой адресации)
Чтобы хост смог найти эти адреса, применяя алгоритмы удаленного
поиска в сети для решения этой задачи используется протокол ARP (Address Resolution Protocol) ARP - spoofing Анализ безопасности протокола ARP показывает, что, перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный ARP- ответ, в котором объявить себя искомым хостом (например, маршрутизатором), и в дальнейшем активно контролировать сетевой трафик дезинформированного хоста. ARP – spoofing (схема атаки) • Ожидание ARP-запроса от жертвы. • При получении такого запроса - передача по сети на запросивший хост ложного ARP-ответа, где указывается адрес сетевого адаптера атакующей станции (ложного ARP-сервера) или тот Ethernet-адрес, на котором будет принимать пакеты ложный ARP- сервер. • Прием, анализ, воздействие на пакеты обмена и передача их между взаимодействующими хостами. ARP – spoofing (схема атаки) • Атакованный хост передает пакеты на ложный ARP-сервер. • Ложный ARP-сервер посылает принятые от атакованного хоста пакеты на маршрутизатор. • Маршрутизатор, в случае получения ответа на запрос, адресует его непосредственно на атакованный хост, минуя ложный ARP- сервер. ARP – spoofing (решение "полуперехвата") Dns - spoofing Dns - spoofing DNS-алгоритм удаленного поиска IP-адреса по имени в сети Internet. • Хост посылает на IP-адрес ближайшего DNS-сервера (он, как правило, устанавливается при настройке сетевой ОС) DNS-запрос, в котором указывает имя сервера, IP-адрес которого необходимо найти. • DNS-сервер, получив такое сообщение, ищет в своей базе имен указанное имя. Если указанное в запросе имя найдено, а, следовательно, найден и соответствующий ему IP-адрес, то DNS- сервер отправляет на хост DNS-ответ, в котором указывает искомый IP- адрес. Если же DNS-сервер не обнаружил такого имени в своей базе имен, то он пересылает DNS-запрос на один из ответственных за домены верхнего уровня DNS-серверов, адреса которых содержатся в файле настроек DNS-сервера, и описанная в этом пункте процедура повторяется, пока имя не будет найдено (или будет не найдено). Dns - spoofing 3 варианта удаленной атаки на DNS 1. Перехват DNS-запроса 2. Направленный шторм ложных DNS-ответов на атакуемый хост 3. Перехват DNS-запроса или создание направленного шторма ложных DNS-ответов на DNS-сервер Перехват DNS-запроса (схема атаки) 1. Ожидание DNS-запроса. 2. Извлечение из полученного сообщения необходимых сведений и передача по сети на запросивший хост ложного DNS-ответа от имени (с IP-адреса) настоящего DNS-сервера с указанием в этом ответе IP- адреса ложного DNS-сервера. 3. В случае получения пакета от хоста - изменение в IP-заголовке пакета его IP-адреса на IP-адрес ложного DNS-сервера и передача пакета на сервер, то есть ложный DNS-сервер ведет работу с сервером от своего имени. 4. В случае получения пакета от сервера - изменение в IP-заголовке пакета его IP-адреса на IP-адрес ложного DNS-сервера и передача пакета на хост. Таким образом, для атакованного для хоста ложный DNS-сервер выглядит как настоящий сервер. Полезные ссылки • https://ru.wikipedia.org/wiki/ARP • http://ettercap.github.io/ettercap/ • http://bit.ly/1C9ge9U (ettercap filters sample) • https://ru.wikipedia.org/wiki/DNS