Innehållsförteckning
I ett kopplat nätverk, till exempel ett hem -Ethernet -LAN, är en switch den enhet som används för att ansluta nätverksenheter.Switch använder länklagret för att utföra nätverksramväxling. I ett vanligt scenario skickar Bob en nätverksram som anger sin MAC -adress som avsändare och Alices adress som destination och skickar ramen genom sin fysiska anslutning till växeln. När omkopplaren tar emot ramen kopplar den Bobs adress (avsändare) till porten där ramen "kom in" till växeln; denna förening lagras i en tabell som kallas "CAM -tabell".
FÖRSTORA
Algoritmen överväger inte validering, och CAM -tabelluppdateringsmekanismen är föremål för mottagning av ramar, så att Bobs MAC -adress kommer att fortsätta att associeras med porten tills "en utgångstid har gått", eller omkopplaren får en ram med Bobs MAC -adress på en annan port. Det senare, till exempel, skulle inträffa om Bob kopplar bort sin nätverkskabel från port "1" och ansluter den till port "2"; I nästa ögonblick, om Bob skickar en ram, kommer omkopplaren att upptäcka Bobs MAC som går in via port “2” och uppdaterar posten i CAM -tabellen.
Från och med nu kommer alla ramar som Alice skickar till Bob att dirigeras till porten som registrerar Bobs MAC -adress i CAM -tabellen.
Enhetens MAC -adresser måste vara unika i Ethernet -nätverk, eftersom om två system har samma MAC -adress och ansluter till olika portar på switch, kommer de att göra att CAM -tabellen uppdateras för varje ram som skickas, vilket orsakar ett tävlingsvillkor för anslutning. av hamnen i CAM -tabellen. Sedan, för varje mottagen ram, kommer switch att leverera ramen på porten som är associerad vid tidpunkten för bearbetning av den, utan möjlighet att bestämma vilket av de två systemen med samma MAC -adress som motsvarar nätverkstrafiken.
Tillämpningen av tekniken kallad "Portstöld"Eller" Portstöld "i datorattacker består i princip av att inducera en uppdatering av CAM -tabellen för en switch, med manipulerad adressinformation, så att switchen associerar en specifik MAC -adress (offersystem) med den anslutna porten till enheten som tillämpar denna teknik.
En "attacker" kan sedan tvinga omkopplaren att associera Bobs MAC -adress med porten där hans utrustning är ansluten, och därmed ta emot nätverksramarna som är avsedda för Bobs MAC -adress.
Alternativt kan angriparen välja att vidarebefordra ramarna eller inte, en åtgärd som kommer att resultera i en Man in the Middle (MitM) respektive Denial of Service (DoS) attack. Det finns en mängd olika applikationer som gör att denna teknik kan tillämpas. Här är en enkel procedur med GNU / Linux.
System inblandadeBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Angripare AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu kommer att användas för det angripande systemet och kommandot harpa (version av Thomas Habets).
Att tillämpa tekniken Portstöld använder sig av harpa, kör som root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
VarMAC_VICTIMA: MAC -adress för systemet från vilket den är avsedd att "stjäla porten".
IP_DESTINATION: eftersom det är ett ARP -begärandemeddelande måste en destinations -IP -adress anges.
SOURCE_IP: källa eller avsändarens IP -adress för ARP -meddelandet.
INTERFAZ_LAN: namnet på nätverksgränssnittet som ska användas.
Från Attacker -systemet som genererar ramar vars källa MAC matchar offrets MAC, Bob:
Argumentet -S avgör källens IP -adress, i det här fallet 2.2.2.2 (det är valfritt och godtyckligt).
Om den inte anges kommer den IP -adress som konfigurerats i nätverkskortet att tas.
IP -adressen 1.1.1.1 är destinationsadressen och eftersom målet bara är att "förvirra omkopplaren" är det valda värdet totalt godtyckligt men krävs.
Detta kommando genererar ARP -trafik med källan MAC AA: BB: CC: 11: 22: 33:
FÖRSTORA
FÖRSTORA
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
Värdet "1" för parametern "-w”Anger att arping väntar 1 mikrosekund innan nästa meddelande skickas. På detta sätt kommer angriparen att med fördel agera för att få offrets port.
När det gäller käll- och destinations -IP -adresser finns det ingen särskild observation, eftersom det inte är viktigt att lösa ARP -frågan, utan snarare när det gäller tillämpningen av portstöldattacken kommer det att vara tillräckligt för ramen att indikera källan Offrets MAC.
Ett antivirussystem, IDS eller inspektion av nätverkstrafik kan avslöja misstänkt aktivitet i nätverket, så en attackerare kanske föredrar att ange data som överensstämmer med "normal" aktivitet för nätverkstrafik:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
VarMAC_ORIGEN: Bob's MAC, AA: BB: CC: 11: 22: 33
DESTINATION_IP: Alices IP, 192.168.0.2
IP_ORGIEN: Bobs IP, 192.168.0.1
MAC_DESTINATION: Alice's MAC, AA: BB: CC: 22: 33: 44
Vid granskning av nätverkstrafiken kommer ARP -frågor att observeras:
FÖRSTORA
ARP -meddelandet har riktats direkt till Alices IP -adress. Dessutom har Alices MAC -adress angetts för att försöka tvinga fram ARP -meddelandet direkt till Alice och undvika en sändningskontroll.
Slutligen anger angriparen Bobs IP som källens IP -adress, så att ARP -meddelandet innehåller giltig information trots att den inte är legitim. Det senare kan förhindra att avvikelsen upptäcks, eftersom om källans MAC- och IP -adress inte matchar en tidigare registrerad ARP -post kan vissa antivirussystem anta ARP -spoofingaktivitet.
Fram till denna tidpunkt får angriparen ramarna som de andra värdarna i nätverket skickar till offret. Detta villkor tar bort länkar till ett denial of service attack -scenario eftersom tomterna inte bara levereras till angriparen men de når aldrig offret.
Eventuellt kan angriparen vidarebefordra ramarna till sitt offer och framkalla en man i mittenattacken, för trafiken som skickas mot Guppa.Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng
