Академический Документы
Профессиональный Документы
Культура Документы
Introduccin (1)
Una computadora conectada a una red
Ethernet tiene dos direcciones
Direccin de NIC (direccin MAC)
Globalmente nica y no modificable que se
almacena en la NIC.
El header Ethernet contiene la direccin MAC de las
mquinas fuente y destino.
Direccin IP
Cada computadora en una red debe tener una
direccin IP nica.
Virtual y asignada por software.
2
Introduccin (2)
1. Paquetes Ethernet
1.
2.
3.
4.
Introduccin (3)
En el momento en que el frame Ethernet es
construido a partir de un paquete IP no se
tiene idea de la MAC de la mquina destino.
La nica informacin disponible es la
direccin IP destino.
Debe existir una forma para que el
protocolo Ethernet obtenga la MAC de la
mquina destino dado el IP destino.
Aqu es donde el protocolo ARP (Address
Resolution Protocol) aparece en escena.
Encapsulamiento de ARP
Mensaje unicast.
11
12
Proxy ARP
13
14
15
Encapsulamiento RARP
16
17
ARP Spoofing
Construir respuestas ARP falsas.
Una mquina target puede ser convencida
de enviar frames a la computadora B, frames
que originalmente estaban destinados a A.
La computadora A no tendr idea de esta
redireccin.
Este proceso de actualizar la cache ARP de la
mquina target se conoce como
ARP poisoning.
18
switch
Hacker
IP:10.0.0.1
MAC:aa:aa:aa:aa
IP:10.0.0.2
MAC:bb:bb:bb:bb
IP:10.0.0.3
MAC:cc:cc:cc:cc
ARP cache
ARP cache
IP
MAC
IP
MAC
10.0.0.2
bb:bb:bb:bb
10.0.0.1
aa:aa:aa:aa
19
switch
Hacker
IP:10.0.0.1
MAC:aa:aa:aa:aa
IP:10.0.0.2
MAC:bb:bb:bb:bb
IP:10.0.0.3
MAC:cc:cc:cc:cc
ARP cache
ARP cache
IP
MAC
IP
MAC
10.0.0.2
cc:cc:cc:cc
10.0.0.1
aa:aa:aa:aa
20
ARP Spoofing
Desde ahora todos los paquetes que A pretende
enviar a B van a la mquina del hacker.
La entrada en la cache tiende a expirar por lo tanto
deber enviar nuevamente el ARP reply.
Qu tan seguido?
Depende del sistema particular.
Generalmente cada 40 segundos es suficiente.
Complicacin (1)
Algunos sistemas pueden tratar de actualizar su
cache enviando un pedido ARP (unicast).
Como cuando mi mujer me llama slo para saber si
estoy aqu.
Complicacin (2)
Ms vale prevenir que curar
Se logra alimentando el sistema mujer con
respuestas y de esta forma nunca necesitar
preguntar.
Un paquete (real) desde B hacia A ser enviado por la
mquina de hacker.
Qu tan seguido?
Una vez ms: 40 segundos es suficiente.
23
1.
2.
3.
switch
T1
T2
Hacker
IP:10.0.0.1
MAC:aa:aa:aa:aa
IP:10.0.0.2
MAC:bb:bb:bb:bb
IP:10.0.0.3
MAC:cc:cc:cc:cc
ARP cache
ARP cache
IP
MAC
IP
MAC
10.0.0.2
bb:bb:bb:bb
10.0.0.1
aa:aa:aa:aa
26
switch
T1
T2
Hacker
IP:10.0.0.1
MAC:aa:aa:aa:aa
IP:10.0.0.2
MAC:bb:bb:bb:bb
IP:10.0.0.3
MAC:cc:cc:cc:cc
ARP cache
ARP cache
IP
MAC
IP
MAC
10.0.0.2
cc:cc:cc:cc
10.0.0.1
aa:aa:aa:aa
switch
T1
T2
Hacker
IP:10.0.0.1
MAC:aa:aa:aa:aa
IP:10.0.0.2
MAC:bb:bb:bb:bb
IP:10.0.0.3
MAC:cc:cc:cc:cc
ARP cache
ARP cache
IP
MAC
IP
MAC
10.0.0.2
cc:cc:cc:cc
10.0.0.1
aa:aa:aa:aa
28
switch
T1
T2
Hacker
IP:10.0.0.1
MAC:aa:aa:aa:aa
IP:10.0.0.2
MAC:bb:bb:bb:bb
IP:10.0.0.3
MAC:cc:cc:cc:cc
ARP cache
ARP cache
IP
MAC
IP
MAC
10.0.0.2
cc:cc:cc:cc
10.0.0.1
cc:cc:cc:cc
switch
El Hacker
har el fw del
mensaje
T1
T2
Hacker
IP:10.0.0.1
MAC:aa:aa:aa:aa
IP:10.0.0.2
MAC:bb:bb:bb:bb
IP:10.0.0.3
MAC:cc:cc:cc:cc
ARP cache
ARP cache
IP
MAC
IP
MAC
10.0.0.2
cc:cc:cc:cc
10.0.0.1
cc:cc:cc:cc
30
switch
Mensaje que
debera ir a
T1
T1
T2
Hacker
IP:10.0.0.1
MAC:aa:aa:aa:aa
IP:10.0.0.2
MAC:bb:bb:bb:bb
IP:10.0.0.3
MAC:cc:cc:cc:cc
ARP cache
ARP cache
IP
MAC
IP
MAC
10.0.0.2
cc:cc:cc:cc
10.0.0.1
cc:cc:cc:cc
31
Hijacking
Utilizando el ataque MiM todo el trfico de una
conexin TCP pasar primero por el hacker.
Comparado con los exploits TCP ahora es mucho
ms sencillo hacer el hijack (apropiacin) de una
sesin TCP.
33
Port Security
Tambin conocido como port binding o MAC
Binding.
Es una caracterstica presente en los switches de alta
calidad.
Previene cambios en las tablas MAC de un switch.
A menos que un administrador lo haga manualmente.
38
39
Notas (1)
Diferentes S.Os. pueden comportarse distinto
Solaris acepta actualizaciones ARP solamente
despus de un perodo de timeout.
Para envenenar la cache de una mquina Solaris
un atacante tendra que lograr un DoS sobre la
segunda mquina target.
Este DoS puede detectarse empleando algunas
herramientas.
40
Notas (2)
ARP gratuito
El IP fuente y destino en el pedido ARP es el
mismo.
En forma de broadcast.
Algunas implementaciones lo reconocen como
un caso especial, donde un sistema enva
informacin actualizada acerca de l mismo a
todo el mundo.
Un solo paquete puede estropear toda la red.
41
Introduccin
El mensaje ICMP route redirect es generalmente enviado por el default router al
sistema para indicar que existe una ruta ms
corta para un destino particular.
Un hacker puede falsificar un mensaje
ICMP redirect para lograr un efecto similar
al provocado por el problema de ARP cache
poisoning.
43
44
45
Mensaje ICMP
47
Mensajes ICMP
3: Destination unreachable
4: Source quench
11: time exceeded
12: Parameter Problem
5: Redirection
48
Redireccin (1)
Cuando un router o un host necesita enviar un
paquete destinado a otra red, debe conocer la
direccin IP apropiada del router prximo.
Cada router y cada host debe tener una tabla de
ruteo.
Por cuestiones de eficiencia usualmente los
hosts no toman parte en el proceso de actualizacin del ruteo.
Ruteo esttico.
49
Redireccin (2)
Habitualmente la tabla de ruteo de un host tiene un
nmero limitado de entradas.
Conoce el IP de un nico router, el default router.
Redireccin (3)
51
Redireccin (4)
Redireccin (5)
53
Redireccin (6)
Algunos hosts realizan algunos chequeos antes
de modificar su tabla de ruteo al recibir un
mensaje ICMP redirect.
Estos chequeos tratan de prevenir problemas a
partir de un router/host que se encuentra
funcionando mal o un usuario malicioso, que
esta modificando una tabla de ruteo de un
sistema.
Sin embargo no es difcil crear un mensaje
ICMP falso, el cual puede pasar exitosamente
todos estos tests.
54
Redireccin (7)
ICMP Spoofing
Un hacker puede falsificar un mensaje
ICMP redirect para lograr un efecto similar
al producido por ARP cache poisoning.
Suponga que el hacker (137.189.89.179)
trata de convencer al target (137.189.89.176)
que el camino ms corto a 123.123.123.123
es a travs de 137.189.89.179. Suponga que
el router original es 137.189.91.254.
Se enviar el siguiente paquete falso.
56
VER
HLEN
Service Type
PACKET_LEN
Identification
Protocol (ICMP)
Fragmentation offset
Header Checksum
IP header
Time to live
Flag
Checksum
HLEN
Service Type
PACKET_LEN
Identification
Flag
Protocol (IPPROTO_IP)
Fragmentation offset
Header Checksum
Embedded header
Time to live
ICMP
Type (5)
8 bytes of data
No necesita llenarse en el mensaje falso
57
Propiedades
Algunas propiedades del ICMP redirect
A diferencia de las entradas de la cache ARP
las entradas de ruteo no expiran con el tiempo.
en algunos sistemas si expiran (ej. redhat 7.2)
Sniffing
Man-in-the-middle
Session hijack
DoS
Nameserver
Router
59
Prevencin (1)
Firewall
Bloquea todos los mensajes ICMP redirect
provenientes del exterior de la LAN.
No es bueno confiar ciegamente y unicamente
en el firewall.
No puede bloquear hackers que tienen acceso a
nuestra red local.
Prevencin (2)
Para redhat 6.1
for f in /proc/sys/net/ipv4/a
done