Einfacher Port-Stealing-Angriff

Inhaltsverzeichnis
In einem geswitchten Netzwerk, wie einem Heim-Ethernet-LAN, ist ein Switch das Gerät, das zum Verbinden von Netzwerkgeräten verwendet wird.
Der Switch verwendet die Link-Schicht, um Netzwerk-Frame-Switching durchzuführen. In einem typischen Szenario sendet Bob einen Netzwerk-Frame, der seine MAC-Adresse als Absender und Alices Adresse als Ziel angibt, und sendet den Frame über seine physische Verbindung an den Switch. Wenn der Switch den Frame empfängt, ordnet er Bobs Adresse (Absender) dem Port zu, an dem der Frame beim Switch „eingegangen“ ist; diese Zuordnung wird in einer als "CAM-Tabelle" bekannten Tabelle gespeichert.

VERGRÖSSERN

Dem gleichen Switch-Port können mehrere MAC-Adressen zugeordnet sein, aber jede MAC-Adresse wird nur einem Switch-Port zugeordnet. Sobald Bobs Adresse zugeordnet ist, durchsucht der Switch die CAM-Tabelle nach der Ziel-MAC-Adresse und leitet den empfangenen Frame über den zugeordneten Port (und nur über diesen Port) weiter.
Der Algorithmus berücksichtigt keine Validierung, und der CAM-Tabellen-Aktualisierungsmechanismus unterliegt dem Empfang von Frames, sodass Bobs MAC-Adresse weiterhin mit dem Port verknüpft ist, bis "eine Ablaufzeit abgelaufen ist" oder der Switch einen Frame mit . empfängt Bobs MAC-Adresse an einem anderen Port. Letzteres würde beispielsweise eintreten, wenn Bob sein Netzwerkkabel von Port "1" abzieht und an Port "2" anschließt; Im nächsten Moment, wenn Bob einen Frame sendet, erkennt der Switch Bobs MAC, die über Port „2“ eintritt, und aktualisiert den Eintrag in der CAM-Tabelle.
Von nun an wird jeder Frame, den Alice an Bob sendet, an den Port geleitet, der Bobs MAC-Adresse in der CAM-Tabelle registriert.
Die MAC-Adressen von Geräten müssen in Ethernet-Netzwerken eindeutig sein, da, wenn zwei Systeme dieselbe MAC-Adresse haben und an verschiedenen Ports des Switches verbunden sind, dies dazu führt, dass die CAM-Tabelle für jeden gesendeten Frame aktualisiert wird, was zu einer Race-Bedingung für die Zuordnung des Ports in der CAM-Tabelle. Dann liefert der Switch für jeden empfangenen Frame den Frame auf dem Port, der zum Zeitpunkt der Verarbeitung zugeordnet ist, ohne feststellen zu können, welches der beiden Systeme mit derselben MAC-Adresse dem Netzwerkverkehr entspricht.
Die Anwendung der Technik namens "Hafendiebstahl"Oder" Port Theft "bei Computerangriffen besteht im Wesentlichen darin, mit manipulierten Adressinformationen ein Update der CAM-Tabelle eines Switches zu veranlassen, sodass der Switch dem angeschlossenen Port eine bestimmte MAC-Adresse (Opfersystem) zuordnet, die wendet diese Technik an.
Ein "Angreifer" könnte dann den Switch zwingen, Bobs MAC-Adresse dem Port zuzuordnen, an dem seine Ausrüstung angeschlossen ist, und so die Netzwerk-Frames empfangen, die für Bobs MAC-Adresse bestimmt sind.
Optional entscheidet der Angreifer, ob er die Frames weiterleitet oder nicht, was zu einem Man-in-the-Middle- (MitM) bzw. Denial of Service (DoS)-Angriff führt. Es gibt eine Vielzahl von Anwendungen, die die Anwendung dieser Technik ermöglichen. Hier ist ein einfaches Verfahren unter Verwendung von GNU / Linux.
Beteiligte SystemeBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Angreifer AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu wird für das angreifende System und den Befehl verwendet harfen (Version von Thomas Habets).
Um die Technik anzuwenden Hafendiebstahl mit harfen, als root ausführen:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN

WoMAC_VICTIMA: MAC-Adresse des Systems, von dem es beabsichtigt ist, den Port zu stehlen.
IP_DESTINATION: Da es sich um eine ARP-Anfragenachricht handelt, muss eine Ziel-IP-Adresse angegeben werden.
SOURCE_IP: Quell- oder Absender-IP-Adresse der ARP-Nachricht.
INTERFAZ_LAN: Name der zu verwendenden Netzwerkschnittstelle.
Von dem Angreifersystem, das Frames generiert, deren Quell-MAC mit dem MAC des Opfers übereinstimmt, Bob:

Der Befehl harfen nimmt das Argument -s, um die Quell- oder Absender-MAC-Adresse anzugeben, wodurch die MAC-Adresse des Opfers Bob angegeben wird.
Das Argument -S bestimmt die Quell-IP-Adresse, in diesem Fall 2.2.2.2 (ist optional und willkürlich).
Wenn nicht angegeben, wird die im Netzwerkadapter konfigurierte IP-Adresse verwendet.
Die IP-Adresse 1.1.1.1 ist die Zieladresse und da das Ziel nur darin besteht, den Switch zu "verwirren", ist der gewählte Wert völlig willkürlich, aber erforderlich.
Dieser Befehl generiert ARP-Datenverkehr mit Quell-MAC AA: BB: CC: 11: 22: 33:

VERGRÖSSERN

Sobald der Port des Angreifers mit Bobs MAC-Adresse verknüpft ist, werden alle an Bob adressierten Frames an den Port des Angreifers weitergeleitet:

VERGRÖSSERN

Ab diesem Zeitpunkt tritt der Spiker mit Bob in den Rennzustand ein. Jeder Frame, den Bob sendet, erzwingt eine Aktualisierung der CAM-Tabelle. Ein Angreifer könnte angeben, wie oft der Befehl ARP-Nachrichten sendet harfen mit dem Parameter -w:
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1

Der Wert "1" für den Parameter "-w”Zeigt an, dass Arping 1 Mikrosekunde wartet, bevor die nächste Nachricht gesendet wird. Auf diese Weise wird der Angreifer mit Vorteil handeln, um den Port des Opfers zu erhalten.
Bezüglich der Quell- und Ziel-IP-Adressen gibt es keine besonderen Beobachtungen, da es nicht darauf ankommt, die ARP-Anfrage aufzulösen, sondern im Hinblick auf die Anwendung des Port-Diebstahl-Angriffs genügt es, wenn der Frame die Quelle anzeigt MAC des Opfers.
Ein Antivirensystem, IDS oder die Überprüfung des Netzwerkverkehrs könnten verdächtige Aktivitäten im Netzwerk aufdecken, sodass ein Angreifer es vorziehen könnte, Daten anzuzeigen, die mit der „normalen“ Aktivität des Netzwerkverkehrs übereinstimmen:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44

WoMAC_ORIGEN: Bobs MAC, AA: BB: CC: 11: 22: 33
DESTINATION_IP: Alices IP, 192.168.0.2
IP_ORGIEN: Bobs IP, 192.168.0.1
MAC_DESTINATION: Alices MAC, AA: BB: CC: 22: 33: 44
Bei der Überprüfung des Netzwerkverkehrs werden ARP-Abfragen beobachtet:

VERGRÖSSERN

Der Angreifer gibt die Ziel-MAC-Adresse mit Bobs MAC-Adresse an (erforderlich, da Bob das System ist, das versucht, den „Port zu stehlen“).
Die ARP-Nachricht wurde direkt an Alices IP-Adresse gerichtet, zusätzlich wurde Alices MAC-Adresse angegeben, um zu versuchen, die Zustellung der ARP-Nachricht direkt an Alice zu erzwingen und eine Broadcast-Kontrolle zu vermeiden.
Schließlich gibt der Angreifer Bobs IP als Quell-IP-Adresse an, sodass die ARP-Nachricht gültige Informationen enthält, obwohl sie nicht legitim sind. Letzteres könnte verhindern, dass die Anomalie erkannt wird, denn wenn die Quell-MAC und die IP-Adresse nicht mit einem zuvor registrierten ARP-Eintrag übereinstimmen, könnten einige Antivirensysteme von ARP-Spoofing-Aktivität ausgehen.
Bis zu diesem Zeitpunkt erhält der Angreifer die Frames, die die anderen Hosts im Netzwerk an das Opfer senden. Diese Bedingung hebt die Verknüpfung eines Denial-of-Service-Angriffsszenarios auf da die Verschwörungen nicht nur dem Angreifer zugestellt werden, sondern niemals das Opfer erreichen.
Optional kann der Angreifer die Frames an sein Opfer weiterleiten und einen Man-in-the-Middle-Angriff für den gesendeten Verkehr auslösen zu Bob.Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
wave wave wave wave wave