Basit Liman Çalma Saldırısı

İçindekiler
Ev Ethernet LAN'ı gibi anahtarlamalı bir ağda anahtar, ağ cihazlarını birbirine bağlamak için kullanılan cihazdır.
Anahtar, ağ çerçevesi geçişini gerçekleştirmek için Bağlantı katmanını kullanır. Tipik bir senaryoda, Bob gönderici olarak kendi MAC adresini ve hedef olarak Alice'in adresini belirten bir ağ çerçevesi gönderir ve çerçeveyi fiziksel bağlantısı aracılığıyla Switch'e gönderir. Anahtar çerçeveyi aldığında, Bob'un adresini (gönderen), çerçevenin Anahtar'a "geldiği" bağlantı noktasıyla ilişkilendirir; bu ilişkilendirme, "CAM Tablosu" olarak bilinen bir tabloda saklanır.

BÜYÜT

Aynı anahtar bağlantı noktasıyla ilişkili birden fazla MAC adresi olabilir, ancak her MAC adresi yalnızca bir anahtar bağlantı noktasıyla ilişkilendirilecektir. Bob'un adresi ilişkilendirildiğinde, Anahtar, hedef MAC adresi için CAM tablosunu arar ve alınan çerçeveyi ilişkili bağlantı noktasından (ve yalnızca bu bağlantı noktasından) iletmeye devam eder.
Algoritma doğrulamayı düşünmez ve CAM tablosu güncelleme mekanizması çerçevelerin alımına tabidir, bu nedenle Bob'un MAC adresi "bir son kullanma süresi geçene" veya anahtar bir çerçeve alana kadar bağlantı noktasıyla ilişkilendirilmeye devam eder. Bob'un başka bir bağlantı noktasındaki MAC adresi. Örneğin, Bob ağ kablosunu "1" bağlantı noktasından çıkarır ve "2" bağlantı noktasına bağlarsa ikincisi gerçekleşir; Bir sonraki anda, Bob bir çerçeve gönderirse, Anahtar, Bob'un MAC'inin “2” bağlantı noktasından girdiğini algılayacak ve CAM tablosundaki girişi güncelleyecektir.
Şu andan itibaren, Alice'in Bob'a gönderdiği herhangi bir çerçeve, Bob'un MAC adresini CAM tablosuna kaydeden bağlantı noktasına yönlendirilecektir.
Cihazların MAC adresleri Ethernet ağlarında benzersiz olmalıdır, çünkü iki sistem aynı MAC adresine sahipse ve Switch'in farklı portlarına bağlanırsa, gönderilen her çerçeve için CAM tablosunun güncellenmesine neden olacak ve bu durum için bir yarış koşuluna neden olacaktır. CAM tablosundaki bağlantı noktasının ilişkilendirilmesi. Ardından, alınan her çerçeve için, Anahtar, aynı MAC adresine sahip iki sistemden hangisinin ağ trafiğine karşılık geldiğini belirleme olasılığı olmadan, çerçeveyi işlendiği sırada ilişkili bağlantı noktasına teslim edecektir.
"adlı tekniğin uygulanmasıliman hırsızlığıBilgisayar saldırılarında "Veya" Port Hırsızlığı ", temel olarak, bir Switch'in CAM tablosunun, manipüle edilmiş adresleme bilgileriyle bir güncellemesinin başlatılmasından oluşur, böylece switch, belirli bir MAC adresini (kurban sistemi) bağlı port ile cihaza ilişkilendirir. bu tekniği uygular.
Bir "Saldırgan" daha sonra Switch'i Bob'un MAC adresini ekipmanının bağlı olduğu bağlantı noktasıyla ilişkilendirmeye zorlayabilir ve böylece Bob'un MAC adresine yönelik ağ çerçevelerini alabilir.
İsteğe bağlı olarak, Saldırgan çerçeveleri iletmeyi veya yönlendirmemeyi seçecektir, bu eylem sırasıyla Man in the Middle (MitM) veya Denial of Service (DoS) saldırısı ile sonuçlanacaktır. Bu tekniğin uygulanmasına izin veren çok çeşitli uygulamalar vardır. İşte GNU / Linux kullanan basit bir prosedür.
İlgili sistemlerBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Saldırgan AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
Saldıran sistem ve komut için GNU/Linux Ubuntu kullanılacaktır. arp (Thomas Habets'in versiyonu).
Tekniği uygulamak için liman hırsızlığı kullanarak arp, kök olarak çalıştırın:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN

NeresiMAC_VICTIMA: "bağlantı noktasının çalınması" amaçlanan sistemin MAC adresi.
IP_DESTINATION: Bir ARP istek mesajı olduğu için bir hedef IP adresi belirtilmelidir.
SOURCE_IP: ARP mesajının kaynak veya gönderici IP adresi.
INTERFAZ_LAN: kullanılacak ağ arayüzünün adı.
Kaynak MAC'si kurbanın MAC'iyle eşleşen çerçeveler üreten Saldırgan sisteminden, Bob:

Komuta arp kaynak veya gönderici MAC adresini belirtmek için -s argümanını alır, böylece kurban Bob'un MAC adresini belirtir.
-S argümanı, kaynak IP adresini belirler, bu durumda 2.2.2.2 (isteğe bağlı ve keyfidir).
Belirtilmezse, ağ bağdaştırıcısında yapılandırılan IP adresi alınacaktır.
IP adresi 1.1.1.1 hedef adrestir ve amaç sadece "Anahtarı karıştırmak" olduğundan, seçilen değer tamamen keyfidir ancak zorunludur.
Bu komut, MAC AA: BB: CC: 11: 22: 33 kaynağı ile ARP trafiği oluşturur:

BÜYÜT

Saldırganın bağlantı noktası Bob'un MAC adresiyle ilişkilendirildiğinde, Bob'a gönderilen tüm çerçeveler Saldırganın bağlantı noktasına yönlendirilecektir:

BÜYÜT

Bu noktadan itibaren Spiker, Bob ile yarış durumuna girer. Bob'un gönderdiği herhangi bir kare, CAM tablosunu güncellemeye zorlar. Saldırgan, komutun ARP mesajlarını ne sıklıkla göndereceğini belirleyebilir. arp parametreyi kullanarak -w:
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1

" parametresi için "1" değeri-w”Arping'in sonraki mesajı göndermeden önce 1 mikrosaniye beklediğini gösterir. Bu şekilde saldırgan, kurbanın portunu elde etmek için avantajlı hareket edecektir.
Kaynak ve hedef IP adresleri ile ilgili olarak, ARP sorgusunun çözülmesi önemli olmadığı için özel bir gözlem yoktur, ancak daha çok port hırsızlığı saldırısının uygulanması açısından çerçevenin kaynağı belirtmesi yeterli olacaktır. Kurbanın MAC'i.
Bir virüsten koruma sistemi, IDS veya ağ trafiğinin incelenmesi, ağdaki şüpheli etkinliği ortaya çıkarabilir, bu nedenle bir Saldırgan, ağ trafiğinin "normal" etkinliğiyle tutarlı verileri belirtmeyi tercih edebilir:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44

NeresiMAC_ORIGEN: Bob'un MAC'i, AA: BB: CC: 11: 22: 33
HEDEF_IP: Alice'in IP'si, 192.168.0.2
IP_ORGIEN: Bob'un IP'si, 192.168.0.1
MAC_HEDEF: Alice'in MAC'i, AA: BB: CC: 22: 33: 44
Ağ trafiğini incelerken, ARP sorguları gözlemlenecektir:

BÜYÜT

Saldırgan, hedef MAC adresini Bob'un MAC adresiyle belirtir (Bob, “portu çalmaya” çalışan sistem olduğundan gereklidir).
ARP mesajı doğrudan Alice'in IP adresine yönlendirilmiştir, ayrıca Alice'in MAC adresi, ARP mesajının doğrudan Alice'e teslim edilmesini zorlamak ve bir Yayın kontrolünden kaçınmak için belirtilmiştir.
Son olarak, Saldırgan Bob'un IP'sini kaynak IP adresi olarak belirtir, böylece ARP mesajı meşru olmasa da geçerli bilgiler içerir. Kaynak MAC ve IP adresi önceden kaydedilmiş bir ARP girişiyle eşleşmezse, bazı antivirüs sistemleri ARP Spoofing etkinliğini üstlenebileceğinden, ikincisi anormalliğin algılanmasını önleyebilir.
Bu noktaya kadar saldırgan, ağdaki diğer ana bilgisayarların kurbana gönderdiği çerçeveleri alır. Bu koşul, bir hizmet reddi saldırısı senaryosunun bağlantısını kaldırır çünkü arsalar sadece Saldırgana teslim edilmekle kalmaz, hiçbir zaman kurbana da ulaşmaz.
İsteğe bağlı olarak Saldırgan, gönderilen trafik için çerçeveleri ortadaki bir adam saldırısını tetikleyerek kurbanına iletebilir. karşı Bob.Bu Eğitimi beğendiniz ve yardım ettiniz mi?Yazara olumlu puan vermek için bu düğmeye basarak yazarı ödüllendirebilirsiniz.
wave wave wave wave wave