"Basit" bilgisayar saldırılarının toplanmasıyla devam ederek, DHCP protokolü kullanılarak bir aldatma tekniğinden (Spoofing) MitM saldırılarının ilginç bir çeşidi oluşturulabilir.
DHCPDinamik Ana Bilgisayar Yapılandırma Protokolü, ağ yapılandırma parametrelerinin otomatik olarak atanması için kullanılan istemci/sunucu paradigmasına dayalı bir ağ protokolüdür.
Bir LAN ağında, bir DHCP sunucusu genellikle, Ağ Geçidi, DNS, Alt ağ maskesi ve elbette IP adresi (ikincisi bir adres havuzundan alınır veya atanır) olsun, DHCP istemcilerine verilmesi gereken yapılandırmaların belirtildiği yerde yapılandırılır. istemci MAC'deki statik bir listeden).
DHCP sayesinde ağa bir host bağlandığında yukarıda belirtilen ayarlar ve parametreler otomatik olarak uygulanır ve ağ yöneticisinin herhangi bir müdahalesine gerek kalmaz. Bunun tipik bir örneği, bir dizüstü bilgisayarı ev ağına bağladığımız ve modemin bize uygun ağ ayarlarını atamasıdır.
Genel operasyonNormal çalışma DHCP protokolü belirtir:
- Başlangıçta, bir istemci ana bilgisayarı, yapılandırma parametrelerinin atanmasını ve gönderilmesini istemek için ağ yayınına bir "KEŞİF" paketi göndermelidir.
- Ağdaki her DHCP sunucusu mesajı alır ve atanan yapılandırmayla ilgili bilgileri içeren bir "TEKLİF" paketiyle yanıt verir.
- İstemci, alınan parametrelerin tümünü veya bir kısmını seçip, söz konusu parametrelerin atanmasını talep eden bir “REQUEST” mesajı ile yanıt verebilir.
- Son olarak, sunucu bu parametrelerin atanmasını doğrular ve istemciye konfigürasyonun rezerve edildiğini belirten bir "DHCP ACK" mesajı ile yanıt verir.
DHCP sunucusu, atadığı IP adreslerini ve "yapılandırdığı" bilgisayarların MAC adreslerini "bilir".
Tipik olarak IP adresinin, temelde IP adresinin ana bilgisayara atandığı süreyi belirten "DHCP kiralama süresi" adı verilen bir "DHCP kiralama süresi" vardır. Bu süre geçtikten sonra IP adresi yenilenebilir (bir kiralama süresi yeniden başlatılır) veya yeni bir adres atanabilir.
1. DHCP Sahtekarlığı, Basit
DHCP SahtekarlığıDHCP aldatma saldırısı tekniği temel olarak ağ üzerinde "yetkisiz bir DHCP sunucusundan" DHCP yapılandırma parametrelerinin atanmasından oluşur.
sahne daha Basit bir saldırgan, LAN'da, onları isteyen ana bilgisayarlara IP ayarları sunan bir DHCP sunucusu örneğini başlattığında gerçekleşir. Bu noktada saldırgan, ağın meşru DHCP'si ile bir yarış durumuna girer.
Bazen bir ana bilgisayar, Saldırganın ayarlarını ve bazen de meşru DHCP ayarlarını alabilir.
Saldırganın ağ yapılandırmasını bilmesi ve ana bilgisayara doğru bir atamayı simüle edebilmesi gerekir (örneğin, daha önce meşru DHCP tarafından atanacak olan IP adresini atayarak), ancak örneğin, Ağ Geçidi veya varsayılan ağ geçidi olarak belirterek, ana bilgisayarın IP adresi Saldırgan; böylece Saldırgan, ana bilgisayarın varsayılan ağ geçidi olur ve bir ara konum kazanır.
2. Kavramın ispatı
Alice ağda bir ana bilgisayardır, DHCP sunucusu ona DHCP kullanarak bir IP adresi atar.
IP adresinin Alice'e atanması gerektiğini ve özellikle Saldırganın IP adresinin varsayılan ağ geçidi olarak belirtilmesi gerektiğini belirten, özel olarak değiştirilmiş bir konfigürasyonla bir DHCP sunucusunu başlatan bir saldırgan var.
Alice, DHCP aracılığıyla yapılandırma talep ederse, Saldırgan, DHCP'yi meşrulaştırma yarışını kazanabilir ve Alice'in varsayılan ağ geçidini başarıyla yeniden yapılandırarak, onu Saldırganı varsayılan ağ geçidi olarak kullanmaya zorlayabilir.
İlgili SistemlerAlice:
MAC adresi: AA: BB: CC: 22: 33: 44
IP adresi: 192.168.1.198/24
İşletim Sistemi: Windows XP
Ağ geçidi: (DNS + DHCP):
IP adresi: 192.168.1.1/24
işletim sistemi: openwrt
alan: ev
Saldırgan:
MAC adresi: AA: BB: CC: 88: 88: 88
IP adresi: 192.168.1.124/24
İşletim Sistemi: GNU / Linux Ubuntu 14.04
Etki alanı: dhcp.spoofed.casa
3. Normal Senaryo
Alice önce ağın DHCP sunucusundan bir IP ister; pencerelerde terminal, bu eylemi şu komutla simüle etmek için kullanılabilir:
C: \ ipconfig / yenilemeAğın DHCP sunucusu, Alice'e bir IP adresi ve diğer ağ parametrelerini atar. Bu parametreler arasında varsayılan ağ geçidinin IP adresinin 192.168.1.1 olduğu belirtilmiştir.
Alice'in terminalinde şu komutla 8.8.8.8'e yönelik bir izleme yürütülürse:
C: \ tracert 8.8.8.8 -dİlk atlamanın ağın varsayılan ağ geçidi olduğu, yani 192.168.1.1 olduğu görülebilir:
4. Alice'e saldırı senaryosu
Saldırgan, Alice'e bir DHCP Spoofing tekniği uygulamak istiyor.
Bunu, yerel DNS (nslookup), nbtscan veya başka bir yöntem kullanarak Alice'in IP adresini belirleyerek yapabilirsiniz.
Saldırgan, örneğin isc-dhcp-server gibi bir DHCP sunucusu kurar. Bunu Ubuntu'da yapmak için bir terminalde çalıştırın:
$ sudo apt-get kurulum isc-dhcp-serverDHCP sunucusunu yapılandırmak için Saldırgan, Alice'in IP'si, Alice'in MAC'si (ARP sayesinde), Alt Ağ, DNS vb. gibi bilinen verileri kullanır. Yapılandırma, dosya düzenlenerek yapılır dhcpd.conf, bir terminalde
$ sudo vim /etc/dhcp/dhcpd.confBu vaka çalışması için yapılandırma dosyası şöyle görünmelidir:
"Alt ağ" bölümü, alt ağı, maskeyi, varsayılan ağ geçidini, ad sunucusunu vb. tanımlar.
Ayrıca dhcp.spoofed.casa etki alanı olarak da belirtilmiştir (bu arada, bu eğitimdeki ekran görüntülerinde bunu vurgulamak için).
Aşağıda, Alice'in ana bilgisayarı için bir yapılandırmanın açıkça belirtildiğine dikkat edin (MAC adresiyle iyi bir şekilde ayırt edilmiştir). Özellikle, Saldırganın IP adresi, talimat aracılığıyla Alice için ağ geçidi olarak belirlenmiştir:
seçenek yönlendiriciler 192.168.1.124Ve IP 192.168.1.198, ağın meşru DHCP'si tarafından başlangıçta atanan konfigürasyona saygı duyarak Alice'in MAC'ine atanmaya zorlandı:
… Donanım ethernet AA: BB: CC: 22: 33: 44 sabit adres 192.168.1.198…Yapılandırıldıktan sonra saldırgan DHCP hizmetini şu komutla başlatır:
$ sudo /etc/init.d/isc-dhcp-server başlangıcıBaşlanacaktı.
5. Alice kandırıldı
Yarış durumunu simüle etmek için, kontrollü bir ortamda Alice, DHCP kullanarak yeniden yapılandırma talep etmeye zorlanabilir.
Bunu yapmak için, Alice atanan IP adresini serbest bırakır (komutu Alice'in terminalinde yürütün):
C: \ ipconfig / yayın
Ardından tekrar bir IP adresi isteyin:
C: \ ipconfig / yenilemeSaldırgan ağdaki meşru DHCP sunucusuna "yarışı kazanırsa", önceden yapılandırılmış DHCP yapılandırma parametreleri atanır:
Alice "doğru" IP adresini aldı ve varsayılan ağ geçidi olarak Saldırganın IP adresine atandı. “dhcp.spoofed.casa” alanını not edin, ilk yapılandırmaya referans için. Bu noktadan itibaren, Alice, kendisine 192.168.1.124 IP adresinin varsayılan ağ geçidi olduğu söylendiği için, İnternet için hedeflenen paketleri Saldırgana gönderecektir. Alice'in terminalinden 8.8.8.8'e bir izleme yapılırsa, ilk atlamadaki değişiklik gözlemlenebilir:
6. Son muhakemeler
Ek olarak Saldırgan, paket iletmeyi yapılandırabilir ve iptables ile MitM durumunu kontrol etmek için bir maskeli balo yapabilir. Bu yapılandırma, DHCP Spoofing kavram kanıtının bir parçası olmadığı için dahil edilmemiştir, ancak bahsetmeye değer.
Gerçekleştirilecek biraz daha karmaşık teknikler var DHCP SahtekarlığıBu en basit ve tesadüfen en sık görülenlerden biridir.
Bu saldırının tipik bir örneği (kasıtsız olarak zararlı olsa da) genellikle bir kullanıcının wi-fi üzerinden LAN'a erişmek için bir kablosuz yönlendiriciyi yanlış bir şekilde bağladığı ağlarda olur. Yerel ağa bir LAN bağlantı noktası bağlıysa (WAN bağlantı noktasını bağlamak doğru olacaktır), yönlendirici, ağın meşru DHCP sunucusuyla rekabet ederek yerel ağın ana bilgisayarlarına DHCP hizmeti sunacaktır (örneğin, ADSL yönlendirici) .
Yönetilen ağlarda, bu tür saldırıları azaltmak için genellikle "DHCP Snooping" işlevi kullanılır. Temel olarak yapılan, meşru DHCP'nin bağlı olduğu bağlantı noktasını anahtarlara belirtmektir. Bu, DHCP hizmeti mesaj trafiğine izin verilen Anahtarlar üzerinden "yolu" gösterir.
Bu Eğitimi beğendiniz ve yardım ettiniz mi?Yazara olumlu puan vermek için bu düğmeye basarak yazarı ödüllendirebilirsiniz.
