книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

2.3.3.3 2. Шаг 3. Создайте пакет запроса вредоносного ARP

Вредоносный пакет ARP, выпущенный с хоста C, намерен испортить кэш ARP хоста A. Поля заголовков вредоносного пакета запроса ARP устанавливаются следующим образом:

CommView Visual Packet Builder используется для создания вредоносного пакета одноадресного ARP-запроса для повреждения кэша ARP узла A. На следующем снимке экрана показано содержимое вредоносного пакета одноадресного ARP-запроса.

На следующем снимке экрана показано поврежденное содержимое кэша ARP узла A после атаки.

2.3.3.4 Шаг 4: Проведите DoS-атаку

Чтобы провести DoS-атаку, хост A пингует хост B из командного окна MS-DOS (C: \> ping 192.168.1.3). На следующем снимке экрана четко видно, что узел A не получает никакого ответа Ping от узла B. Это не потому, что узел B не подключен к сети или отклоняет запросы Ping от узла A с помощью брандмауэра. Скорее, это связано с тем, что кэш ARP хоста A поврежден, и запрос Ping

(эхо-пакет ICMP) не достиг хоста B для генерации ответа Ping (пакет ответа ICMP). Запрос Ping был отправлен на несуществующий хост, чей MAC-адрес является «aa-aa-aa-aa-aa- aa». Следовательно, узел B не генерирует ответный пакет ICMP.

2.4 Лабораторная работа 2.3: MiM-атака на основе отравления ARP Cache

2.4.1 Результат

Цель этого практического упражнения состоит в том, чтобы студенты научились выполнять MiM-атаку в локальной сети на основе метода отравления кэша ARP.

2.4.2 MiM-атака на основе отравления ARP-кэша

Атака MiM является распространенным методом, используемым для прослушивания сетевого трафика в коммутируемых локальных сетях, и основана на поддельных сообщениях ARP. Эта атака состоит в перенаправлении (перенаправлении) сетевого трафика между двумя целевыми узлами на вредоносный узел. Затем злонамеренный хост перенаправит полученные пакеты в исходное место назначения, так что связь между двумя целевыми хостами не будет прервана, и пользователи двух хостов не заметят, что их трафик прослушивается злоумышленником.

При такого рода атаках злонамеренный пользователь сначала включает маршрутизацию IP-пакетов своего хоста, чтобы действовать в качестве маршрутизатора и иметь возможность пересылать перенаправленные пакеты, как показано на следующем рисунке.

Затем, используя технику отравления кэша ARP, злонамеренный пользователь повреждает кэши ARP двух целевых хостов, чтобы заставить два хоста переслать все свои пакеты вредоносному хосту. Это чрезвычайно эффективно, если учесть, что могут быть отравлены не только хосты, но и маршрутизаторы / шлюзы. Весь интернет-трафик для хоста может быть перехвачен с помощью атаки MiM на хост и маршрутизатор локальной сети.

Важно отметить, что если злонамеренный хост повреждает кэши ARP двух целевых хостов, не включив свою маршрутизацию IP-пакетов, то эти два хоста не смогут обмениваться пакетами, и это будет ситуация атаки DoS, как показано в следующая цифра В этом случае злонамеренный хост не пересылает полученные пакеты их законным адресатам.

IP packet routing disabled

Host C (Attacker host)

Атака MiM, как показано выше (то есть второй предыдущий рисунок), где хост C является вредоносным хостом, а хосты A и B являются двумя целевыми хостами, выполняется следующим образом. Во-первых, Host C включает маршрутизацию своих IP-пакетов,

а затем разрушает кэши ARP хостов A и B, используя метод отравления кэша ARP. На рисунке ниже показаны начальные записи в кэшах ARP хостов A и B до атаки отравления кешем ARP.

После атаки на следующем рисунке показаны недопустимые записи в кэшах ARP хостов A и B.

То есть хост A связывает IP-адрес хоста B с MAC-адресом хоста C, а хост B связывает IP-адрес хоста A с MAC-адресом хоста C. Следовательно, все пакеты, отправленные хостом A на хост B, сначала будут отправлены на хост C. Затем хост C перенаправит их на хост B, так как маршрутизация IP-пакетов на хосте C включена. Точно так же все пакеты, отправленные хостом B хосту A, сначала будут отправлены хосту C; затем узел C перенаправляет их на узел A.

Существует множество простых в использовании инструментов, которые позволяют проводить атаку MiM, используя в основном описанную выше технику. Примерами таких инструментов являются ARP

Spoof Tool, Winarp_mim, SwitchSniffer, WinArpSpoof, WinArpAttacker и Cain

& Abel. Однако, используя эти готовые к использованию инструменты, студенты не смогут узнать, как практически выполняется атака MiM. Таким образом, только для образовательных целей в приведенном ниже эксперименте описываются действия по выполнению атаки MiM.

В качестве примера на следующем снимке экрана представлен снимок экрана с графическим интерфейсом инструмента SwitchSniffer. Пользователь сначала сканирует LAN, чтобы определить подключенные узлы, а затем просто выбирает целевые узлы. Затем инструмент повредит кэши ARP выбранных целевых хостов, что позволит пользователю прослушивать их трафик.

2.4.3 Эксперимент

В следующем эксперименте описывается, как практически выполнить атаку MiM с использованием метода отравления кэша ARP. В эксперименте используется та же сетевая архитектура которая описана

в лабораторной работе 2.1. Кроме того, мы предполагаем, что хост C является вредоносным хостом и намеревается перехватить трафик, которым обмениваются хост A и хост B, используя атаку MiM. Чтобы выполнить эту атаку с прослушиванием, хосту C необходимо повредить кэши ARP хостов A и B, вставив поддельные записи в их кэши ARP.

Эксперимент состоит из следующих этапов:

Шаг 1: Назначьте статические IP-адреса хостам сети. Шаг 2. Включите IP-маршрутизацию на хосте C. Шаг 3: Просмотр ARP-кэшей хостов A и B.

Шаг 4: Создайте два вредоносных пакета запроса ARP. Шаг 5: Проверьте атаку MiM.

Шаг 6: Сниффим и анализируем трафик между хостами A и B.

2.4.3.1Шаг 1. Назначьте статические IP-адреса хостам сети

Обратитесь к Главе 1.

2.4.3.2 Шаг 2. Включите IP-маршрутизацию на хосте C

По умолчанию IP-маршрутизация отключена. Вредоносный узел C должен включить маршрутизацию IP-пакетов, чтобы действовать в качестве маршрутизатора и иметь возможность пересылать перенаправленные IP-пакеты, которые он получает.

Команда «C:>ipconfig/all» позволяет проверить, включена ли IPмаршрутизация на хосте. На следующем снимке экрана показано, что IPмаршрутизация отключена на хосте C.

Мы предполагаем, что хост C работает под управлением Windows XP или Windows 7. Чтобы включить IP-маршрутизацию, необходимо изменить значение системной регистрации, связанной с IPмаршрутизацией, следующим образом:

1.В меню «Пуск» (Start) выберите «Выполнить» (Run).

2.Введите regedt32.exe или regedit.exe и нажмите кнопку ОК.

3.В редакторе реестра перейдите к:

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\ Services\Tcpip \Parameters

4.Выберите запись «IPEnableRouter» (см. cледующий снимок экрана для включения IP-маршрутизации в Windows XP или Windows 7).

5.Чтобы включить IP-маршрутизацию, присвойте значение

1 записи «IPEnableRouter».

6.Закройте редактор реестра.

Необходимо перезагрузить Хост С, чтобы это изменение вступило в силу. Следующий снимок экрана показывает, что IP-маршрутизация включена на хосте C.

2.4.3.3Шаг 3. Просмотр ARP-кэшей хоста A

ихоста B

Схоста A, пинг хоста B и наоборот; затем просмотрите их кэши ARP. Например, на следующем снимке экрана показано содержимое ARP-кэша хоста A.

2.4.3.4Шаг 4: Создайте два вредоносных пакета запроса ARP

Чтобы отравить кэши ARP хоста A и хоста B, с помощью CommView Visual Packet Builder создаются два поддельных пакета одноадресных ARP-запросов. Сначала узел C отправляет поддельный пакет ARPзапроса одноадресной передачи на узел A, чтобы повредить его кэш ARP (как показано на следующем снимке экрана).

На следующих снимках экрана показаны поврежденные кэши ARP хостов A (верхний экран) и B (нижний экран), соответственно, после отправки двух вышеупомянутых поддельных пакетов одноадресного ARP-запроса.