Turinys
Perjungtame tinkle, pvz., Namų eterneto LAN, jungiklis yra įrenginys, naudojamas tinklo įrenginiams sujungti.„Switch“ naudoja „Link“ sluoksnį tinklo kadrų perjungimui atlikti. Įprastu atveju Bobas siunčia tinklo kadrą, nurodydamas savo MAC adresą kaip siuntėją, o Alisos adresą kaip paskirties vietą, ir siunčia kadrą per savo fizinį ryšį su jungikliu. Kai jungiklis gauna kadrą, jis susieja Bobo adresą (siuntėją) su prievadu, kuriame kadras „įėjo“ prie komutatoriaus; ši asociacija saugoma lentelėje, vadinamoje „CAM lentelė“.
DIDELIS
Algoritmas nesvarsto patvirtinimo, o CAM lentelės atnaujinimo mechanizmas priklauso nuo kadrų priėmimo, todėl Bobo MAC adresas ir toliau bus susietas su prievadu, kol „pasibaigs galiojimo laikas“, arba jungiklis gaus kadrą su Bobo MAC adresas kitame uoste. Pastarasis, pavyzdžiui, atsirastų, jei Bobas atjungtų savo tinklo kabelį nuo „1“ prievado ir prijungtų prie „2“ prievado; Kitą akimirką, jei Bobas atsiunčia kadrą, jungiklis aptiks Bobo MAC, įeinantį per „2“ prievadą, ir atnaujins įrašą CAM lentelėje.
Nuo šiol bet koks kadras, kurį Alisa siunčia Bobui, bus nukreiptas į prievadą, kuris CAM lentelėje užregistruoja Bobo MAC adresą.
Įrenginių MAC adresai turi būti unikalūs eterneto tinkluose, nes jei dvi sistemos turi tą patį MAC adresą ir jungiasi prie skirtingų jungiklio prievadų, dėl to CAM lentelė bus atnaujinta kiekvienam siunčiamam kadrui, sukeldama lenktynių sąlygas. uosto susiejimas CAM lentelėje. Tada už kiekvieną gautą kadrą jungiklis pateiks kadrą prievade, kuris yra susietas jį apdorojant, be galimybės nustatyti, kuri iš dviejų sistemų su tuo pačiu MAC adresu atitinka tinklo srautą.
Technikos, vadinamos „Uosto vagystė„Arba„ prievado vagystė “kompiuterių atakose iš esmės apima komutatoriaus CAM lentelės atnaujinimo skatinimą su manipuliuojama adresavimo informacija, kad jungiklis susietų konkretų MAC adresą (aukų sistemą) su prijungtu prievadu prie įrenginio, taiko šią techniką.
Tada „užpuolikas“ galėtų priversti jungiklį susieti Bobo MAC adresą su prievadu, prie kurio prijungta jo įranga, ir taip gauti tinklo kadrus, skirtus Bobo MAC adresui.
Pasirinktinai, užpuolikas nuspręs persiųsti kadrus arba ne, o tai sukels atitinkamai „Man in the Middle“ („MitM“) arba „Denial of Service“ (DoS) ataką. Yra daugybė programų, leidžiančių taikyti šią techniką. Čia yra paprasta procedūra naudojant GNU / Linux.
Dalyvaujančios sistemosBobas AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alisa AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Puolėjas AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux „Ubuntu“ bus naudojama atakuojančiai sistemai ir komandai arfavimas (Thomas Habets versija).
Norėdami pritaikyti techniką Uosto vagystė naudojant arfavimas, paleiskite kaip root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
KurMAC_VICTIMA: sistemos, iš kurios ketinama „pavogti prievadą“, MAC adresas.
IP_DESTINATION: kadangi tai yra ARP užklausos pranešimas, turi būti nurodytas paskirties IP adresas.
ŠALTINIS_IP: ARP pranešimo šaltinio arba siuntėjo IP adresas.
INTERFAZ_LAN: naudojamos tinklo sąsajos pavadinimas.
Bobas iš „Attacker“ sistemos, generuojančios kadrus, kurių šaltinio MAC atitinka aukos MAC:
Argumentas -S nustato šaltinio IP adresą, šiuo atveju 2.2.2.2 (jis yra neprivalomas ir savavališkas).
Jei nenurodyta, bus paimtas tinklo adapteryje sukonfigūruotas IP adresas.
IP adresas 1.1.1.1 yra paskirties adresas ir kadangi tikslas yra tik „supainioti jungiklį“, pasirinkta vertė yra visiškai savavališka, tačiau būtina.
Ši komanda generuoja ARP srautą su šaltiniu MAC AA: BB: CC: 11: 22: 33:
DIDELIS
DIDELIS
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
Parametro "reikšmė" 1 "-w“Nurodo, kad prieš išsiunčiant kitą pranešimą, arpavimas laukia 1 mikrosekundės. Tokiu būdu užpuolikas veiks naudingai, kad gautų aukos uostą.
Kalbant apie šaltinio ir paskirties IP adresus, nėra jokių ypatingų pastebėjimų, nes nėra svarbu išspręsti ARP užklausą, bet, kalbant apie uosto vagystės išpuolį, pakaks, kad kadras nurodytų šaltinį Aukos MAC.
Antivirusinė sistema, IDS arba tinklo srauto patikrinimas gali atskleisti įtartiną veiklą tinkle, todėl užpuolikas gali norėti nurodyti duomenis, atitinkančius „įprastą“ tinklo srauto veiklą:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
KurMAC_ORIGEN: Bobo MAC, AA: BB: CC: 11: 22: 33
DESTINATION_IP: Alisos IP, 192.168.0.2
IP_ORGIENAS: Bobo IP, 192.168.0.1
MAC_DESTINATION: Alisos MAC, AA: BB: CC: 22: 33: 44
Peržiūrint tinklo srautą, bus stebimos ARP užklausos:
DIDELIS
ARP pranešimas buvo nukreiptas tiesiai į Alisos IP adresą, be to, buvo nurodytas Alisos MAC adresas, kad būtų galima priversti ARP pranešimą pristatyti tiesiai Alisai ir išvengti transliacijos valdymo.
Galiausiai, užpuolikas nurodo Bobo IP kaip šaltinio IP adresą, todėl ARP pranešime yra teisingos informacijos, nepaisant to, kad jis nėra teisėtas. Pastarasis gali užkirsti kelią anomalijos aptikimui, nes jei šaltinio MAC ir IP adresas nesutampa su anksčiau užregistruotu ARP įrašu, kai kurios antivirusinės sistemos gali prisiimti ARP apgaulės veiklą.
Iki šiol užpuolikas gauna kadrus, kuriuos kiti tinklo šeimininkai siunčia aukai. Ši sąlyga atsieja paslaugų neigimo atakos scenarijų nes sklypai ne tik perduodami užpuolikui, bet ir niekada nepasiekia aukos.
Pasirinktinai užpuolikas galėjo persiųsti rėmus savo auka, paskatindamas vyrą atakos viduryje, už srautą link Bobas.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
