Inhoudsopgave
In een geschakeld netwerk, zoals een Ethernet-LAN voor thuisgebruik, is een switch het apparaat dat wordt gebruikt om netwerkapparaten met elkaar te verbinden.De Switch gebruikt de Link-laag om netwerkframe-switching uit te voeren. In een typisch scenario verzendt Bob een netwerkframe met zijn MAC-adres als afzender en het adres van Alice als bestemming, en stuurt het frame via zijn fysieke verbinding naar de Switch. Wanneer de Switch het frame ontvangt, koppelt het Bob's adres (afzender) aan de poort waar het frame "binnenkwam" aan de Switch; deze associatie wordt opgeslagen in een tabel die bekend staat als "CAM Table".
VERGROTEN
Er kunnen meerdere MAC-adressen zijn gekoppeld aan dezelfde switchpoort, maar elk MAC-adres wordt gekoppeld aan één en slechts één switchpoort. Zodra het adres van Bob is gekoppeld, zoekt de switch in de CAM-tabel naar het MAC-adres van de bestemming en gaat het ontvangen frame door met de bijbehorende poort (en alleen via die poort).Het algoritme houdt geen rekening met validatie en het CAM-tabelupdatemechanisme is onderhevig aan de ontvangst van frames, zodat het MAC-adres van Bob aan de poort gekoppeld blijft totdat "een vervaltijd is verstreken", of de switch een frame ontvangt met Bob's MAC-adres op een andere poort. Dit laatste zou bijvoorbeeld gebeuren als Bob zijn netwerkkabel loskoppelt van poort "1" en deze verbindt met poort "2"; Het volgende moment, als Bob een frame verzendt, zal de Switch de MAC van Bob detecteren die via poort "2" binnenkomt en de invoer in de CAM-tabel bijwerken.
Vanaf nu wordt elk frame dat Alice naar Bob stuurt, gerouteerd naar de poort die het MAC-adres van Bob in de CAM-tabel registreert.
De MAC-adressen van apparaten moeten uniek zijn in Ethernet-netwerken, want als twee systemen hetzelfde MAC-adres hebben en verbinding maken met verschillende poorten van de switch, zullen ze ervoor zorgen dat de CAM-tabel wordt bijgewerkt voor elk verzonden frame, wat een race-conditie veroorzaakt voor de associatie van de poort in de CAM-tabel. Vervolgens levert de Switch voor elk ontvangen frame het frame op de poort die is gekoppeld op het moment van verwerking, zonder de mogelijkheid te bepalen welk van de twee systemen met hetzelfde MAC-adres overeenkomt met het netwerkverkeer.
De toepassing van de techniek genaamd "Poort stelen"Of" Port Theft "bestaat bij computeraanvallen in feite uit het induceren van een update van de CAM-tabel van een switch, met gemanipuleerde adresseringsinformatie, zodat de switch een specifiek MAC-adres (slachtoffersysteem) associeert met de aangesloten poort aan het apparaat dat past deze techniek toe.
Een "aanvaller" zou de switch dan kunnen dwingen om het MAC-adres van Bob te associëren met de poort waarop zijn apparatuur is aangesloten, en zo de netwerkframes te ontvangen die bestemd zijn voor het MAC-adres van Bob.
Optioneel kan de aanvaller ervoor kiezen om de frames al dan niet door te sturen, een actie die respectievelijk resulteert in een Man in the Middle (MitM) of Denial of Service (DoS)-aanval. Er is een grote verscheidenheid aan toepassingen waarmee deze techniek kan worden toegepast. Hier is een eenvoudige procedure met GNU / Linux.
Betrokken systemenBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Aanvaller AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu zal worden gebruikt voor het aanvallende systeem en de opdracht harp spelen (versie door Thomas Habets).
Om de techniek toe te passen Poort stelen gebruik makend van harp spelen, voer uit als root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
WaarMAC_VICTIMA: MAC-adres van het systeem waarvan het de bedoeling is om "de poort te stelen".
IP_DESTINATION: aangezien het een ARP-verzoekbericht is, moet een bestemmings-IP-adres worden aangegeven.
SOURCE_IP: IP-adres van bron of afzender van het ARP-bericht.
INTERFAZ_LAN: naam van de te gebruiken netwerkinterface.
Van het aanvallersysteem dat frames genereert waarvan de bron-MAC overeenkomt met de MAC van het slachtoffer, Bob:
Het bevel harp spelen neemt het argument -s om het MAC-adres van de bron of afzender aan te geven, en specificeert dus het MAC-adres van slachtoffer Bob.
Het argument -S bepaalt het bron-IP-adres, in dit geval 2.2.2.2 (het is optioneel en willekeurig).
Als dit niet is opgegeven, wordt het IP-adres dat in de netwerkadapter is geconfigureerd, gebruikt.
Het IP-adres 1.1.1.1 is het bestemmingsadres en aangezien het alleen de bedoeling is om "de Switch in de war te brengen", is de geselecteerde waarde volkomen willekeurig maar vereist.
Deze opdracht genereert ARP-verkeer met bron MAC AA: BB: CC: 11: 22: 33:
VERGROTEN
Zodra de poort van de aanvaller is gekoppeld aan het MAC-adres van Bob, worden alle frames die aan Bob zijn geadresseerd naar de poort van de aanvaller gerouteerd:VERGROTEN
Vanaf dit punt komt de Spiker in raceconditie met Bob. Elk frame dat Bob verzendt, dwingt de CAM-tabel om te updaten. Een aanvaller kan specificeren hoe vaak de opdracht ARP-berichten verzendt harp spelen met behulp van de parameter -w:# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
De waarde "1" voor de parameter "-w”Geeft aan dat arping 1 microseconde wacht voordat het volgende bericht wordt verzonden. Op deze manier zal de aanvaller met voordeel handelen om de poort van het slachtoffer te verkrijgen.
Met betrekking tot de bron- en bestemmings-IP-adressen is er geen specifieke opmerking, aangezien het niet belangrijk is om de ARP-query op te lossen, maar in termen van de toepassing van de poortdiefstalaanval, zal het voldoende zijn dat het frame de bron aangeeft MAC van het slachtoffer.
Een antivirussysteem, IDS of inspectie van netwerkverkeer kan verdachte activiteit op het netwerk aan het licht brengen, dus een aanvaller kan er de voorkeur aan geven gegevens aan te geven die consistent zijn met de "normale" activiteit van netwerkverkeer:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
WaarMAC_ORIGEN: Bob's MAC, AA: BB: CC: 11: 22: 33
DESTINATION_IP: Alice's IP, 192.168.0.2
IP_ORGIEN: Bob's IP, 192.168.0.1
MAC_DESTINATION: Alice's MAC, AA: BB: CC: 22: 33: 44
Als u het netwerkverkeer bekijkt, worden ARP-query's waargenomen:
VERGROTEN
De aanvaller specificeert het bestemmings-MAC-adres met Bob's MAC-adres (vereist, aangezien Bob het systeem is dat probeert de poort te stelen).Het ARP-bericht is rechtstreeks naar het IP-adres van Alice gestuurd, daarnaast is het MAC-adres van Alice gespecificeerd om te proberen het ARP-bericht rechtstreeks aan Alice af te dwingen en een broadcast-controle te vermijden.
Ten slotte geeft de aanvaller het IP-adres van Bob aan als het bron-IP-adres, zodat het ARP-bericht geldige informatie bevat ondanks dat het niet legitiem is. Dit laatste zou kunnen voorkomen dat de anomalie wordt gedetecteerd, want als het bron-MAC en IP-adres niet overeenkomen met een eerder geregistreerd ARP-item, kunnen sommige antivirussystemen ARP-spoofing-activiteit aannemen.
Tot nu toe krijgt de aanvaller de frames die de andere hosts op het netwerk naar het slachtoffer sturen. Deze voorwaarde ontkoppelt een denial of service-aanvalscenario aangezien de plots niet alleen aan de aanvaller worden bezorgd, maar nooit het slachtoffer bereiken.
Optioneel kan de aanvaller de frames doorsturen naar zijn slachtoffer en een Man in the middle-aanval veroorzaken, voor het verzonden verkeer in de richting van Bob.Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een positief punt te geven