Eenvoudige DHCP-spoofing-aanval

Als we doorgaan met het verzamelen van "eenvoudige" computeraanvallen, kan een interessante variant van MitM-aanvallen worden gegenereerd met een misleidingstechniek (spoofing) met behulp van het DHCP-protocol.

DHCPDynamic Host Configuration Protocol is een netwerkprotocol, gebaseerd op het client/server-paradigma, dat wordt gebruikt voor de automatische toewijzing van netwerkconfiguratieparameters.

In een LAN-netwerk wordt meestal een DHCP-server geconfigureerd waar de configuraties worden aangegeven die aan de DHCP-clients moeten worden verleend, of dit nu gateway, DNS, subnetmasker en natuurlijk IP-adres is (de laatste wordt genomen uit een pool van adressen of toegewezen uit een statische lijst van client MAC).

Dankzij DHCP worden de bovengenoemde instellingen en parameters automatisch toegepast wanneer een host op het netwerk wordt aangesloten en is er geen tussenkomst van de netwerkbeheerder nodig. Een typisch geval hiervan is wanneer we een laptop aansluiten op het thuisnetwerk en de modem ons de juiste netwerkinstellingen toewijst.

Algemene operatieNormale werking van de DHCP-protocol geeft aan dat:

  • In eerste instantie moet een clienthost een "DISCOVERY"-pakket naar de netwerkbroadcast sturen om te vragen dat de configuratieparameters worden toegewezen en verzonden.
  • Elke DHCP-server op het netwerk ontvangt het bericht en antwoordt met een "AANBIEDING"-pakket waarin het informatie bevat met betrekking tot de toegewezen configuratie.
  • De klant kan alle of een deel van de ontvangen parameters selecteren en reageren met een "VERZOEK"-bericht met het verzoek om deze parameters toe te wijzen.
  • Ten slotte valideert de server de toewijzing van deze parameters en reageert met een "DHCP ACK"-bericht dat aan de client aangeeft dat de configuratie is gereserveerd.

De DHCP-server "kent" de IP-adressen die hij heeft toegewezen, evenals de MAC-adressen van de computers die hij heeft "geconfigureerd".

Meestal heeft het IP-adres een "DHCP-leasetijd" genaamd "DHCP-leasetijd", die in feite de tijd aangeeft gedurende welke het IP-adres aan de host is toegewezen. Zodra deze tijd is verstreken, kan het IP-adres worden vernieuwd (een huurtijdtelling wordt opnieuw gestart) of een nieuw adres worden toegewezen.

1. DHCP-spoofing, eenvoudig


DHCP-spoofingDe aanvalstechniek voor DHCP-misleiding bestaat in feite uit het toewijzen van DHCP-configuratieparameters "van een niet-geautoriseerde DHCP-server" op het netwerk.

Het podium meer Gemakkelijk het vindt plaats wanneer een aanvaller een DHCP-serverinstantie op het LAN start en IP-instellingen aanbiedt aan de hosts die erom vragen. Op dit punt komt de aanvaller in een raceconditie met de legitieme DHCP van het netwerk.

Soms kan een host de instellingen van de aanvaller overnemen en soms de legitieme DHCP-instellingen.
De aanvaller moet de netwerkconfiguratie kennen en een correcte toewijzing aan de host kunnen simuleren (bijvoorbeeld door het IP-adres toe te wijzen dat eerder zou zijn toegewezen door legitieme DHCP), maar door bijvoorbeeld als Gateway of standaardgateway aan te geven, het IP-adres van de host Aanvaller; dus de aanvaller wordt de standaard gateway van de host en krijgt een tussenpositie.

2. Bewijs van concept


Alice is een host op het netwerk, haar DHCP-server wijst haar een IP-adres toe met behulp van DHCP.
Er is een aanvaller die een DHCP-server heeft gestart met een speciaal gemanipuleerde configuratie, die aangeeft dat het IP-adres aan Alice moet worden toegewezen en in het bijzonder dat het IP-adres van de aanvaller moet worden aangegeven als de standaardgateway.

Als Alice om configuratie via DHCP vraagt, kan de aanvaller de race naar legitieme DHCP winnen en de standaardgateway van Alice opnieuw configureren, waardoor deze gedwongen wordt de aanvaller als de standaardgateway te gebruiken.

Betrokken systemenAlice:
MAC-adres: AA: BB: CC: 22: 33: 44
IP-adres: 192.168.1.198/24
Besturingssysteem: Windows XP

Netwerkgateway: (DNS + DHCP):
IP-adres: 192.168.1.1/24
OS: openwrt
domein: thuis

Aanvaller:
MAC-adres: AA: BB: CC: 88: 88: 88
IP-adres: 192.168.1.124/24
Besturingssysteem: GNU / Linux Ubuntu 14.04
Domein: dhcp.spoofed.casa

3. Normaal scenario


Alice vraagt ​​eerst een IP aan bij de DHCP-server van het netwerk; in windows kan de terminal worden gebruikt om deze actie te simuleren met het commando:
 C: \ ipconfig / vernieuwen
De DHCP-server van het netwerk wijst Alice een IP-adres en andere netwerkparameters toe. Van deze parameters is aangegeven dat het IP-adres van de standaardgateway 192.168.1.1 is

Als een tracering naar 8.8.8.8 wordt uitgevoerd in de terminal van Alice met het commando:

 C: \ tracert 8.8.8.8 -d
Het is te zien dat de eerste hop de standaardgateway van het netwerk is, dat wil zeggen 192.168.1.1:

4. Aanvalscenario op Alice


De aanvaller wil een DHCP-spoofing-techniek toepassen op Alice.
U kunt dit doen door het IP-adres van Alice te identificeren met behulp van lokale DNS (nslookup), met behulp van nbtscan of een andere methode.

De aanvaller installeert een DHCP-server, bijvoorbeeld isc-dhcp-server. Om dit in Ubuntu te doen in een terminal:

 $ sudo apt-get install isc-dhcp-server
Om de DHCP-server te configureren, gebruikt de aanvaller bekende gegevens, zoals het IP-adres van Alice, de MAC van Alice (dankzij ARP), subnet, DNS, enz. De configuratie wordt gedaan door het bestand te bewerken dhcpd.conf, in een terminal van
 $ sudo vim /etc/dhcp/dhcpd.conf
Voor deze case study zou het configuratiebestand er als volgt uit moeten zien:

De sectie "subnet" definieert het subnet, het masker, de standaardnetwerkgateway, de naamserver, enzovoort.
Het is ook gespecificeerd als het domein dhcp.spoofed.casa (trouwens, gewoon om het te markeren in de schermafbeeldingen in deze tutorial).

Merk op dat hieronder een configuratie expliciet is gespecificeerd voor de host van Alice (goed gedifferentieerd door zijn MAC-adres). Met name het IP-adres van de aanvaller is gespecificeerd als de gateway voor Alice door middel van de instructie:

 optie routers 192.168.1.124
En het IP-adres 192.168.1.198 is gedwongen toegewezen aan de MAC van Alice, met respect voor de configuratie die aanvankelijk was toegewezen door de legitieme DHCP van het netwerk:
… Hardware-ethernet AA: BB: CC: 22: 33: 44 vast adres 192.168.1.198… 
Eenmaal geconfigureerd, start de aanvaller de DHCP-service met de opdracht:
 $ sudo /etc/init.d/isc-dhcp-server start
Er zou gestart worden.

5. Alice wordt bedrogen


Om de raceconditie te simuleren, kan Alice in een gecontroleerde omgeving gedwongen worden om opnieuw configuratie aan te vragen met behulp van DHCP.

Om dit te doen, geeft Alice het toegewezen IP-adres vrij (voer de opdracht uit in de terminal van Alice):

 C: \ ipconfig / release

Vraag dan opnieuw een IP-adres aan:

 C: \ ipconfig / vernieuwen
Als de aanvaller "de race wint" naar de legitieme DHCP-server op het netwerk, worden de vooraf geconfigureerde DHCP-configuratieparameters toegewezen:

Alice heeft het "juiste" IP-adres verkregen en heeft het IP-adres van de aanvaller als standaardgateway toegewezen gekregen. Let op het domein "dhcp.spoofed.casa", voor verwijzing naar de initiële configuratie. Vanaf dit punt zal Alice de pakketten die bestemd zijn voor internet naar de aanvaller sturen, aangezien haar is verteld dat het IP-adres 192.168.1.124 haar standaardgateway is. Als een trace naar 8.8.8.8 wordt uitgevoerd vanaf de terminal van Alice, kan de verandering in de eerste sprong worden waargenomen:

6. Laatste overwegingen


Bovendien kan de aanvaller pakketdoorschakeling configureren en met iptables een maskerade uitvoeren om de MitM-situatie onder controle te houden. Een dergelijke configuratie is niet opgenomen omdat het geen deel uitmaakt van de DHCP Spoofing proof of concept, maar het is het vermelden waard.

Er zijn andere, iets complexere technieken om uit te voeren DHCP-spoofingDit is een van de eenvoudigste en, toevallig, een van de meest voorkomende.

Een typische gebeurtenis van deze aanval (zij het onbedoeld schadelijk) is meestal op netwerken waar een gebruiker ten onrechte een draadloze router verbindt om via wifi toegang tot het LAN te krijgen. Als een LAN-poort is aangesloten (het juiste zou zijn om de WAN-poort aan te sluiten) op het lokale netwerk, zal de router DHCP-service aanbieden aan de hosts van het lokale netwerk, en concurreert met de legitieme DHCP-server van het netwerk (bijvoorbeeld de ADSL-router).

In beheerde netwerken wordt vaak de "DHCP Snooping"-functionaliteit gebruikt om dit soort aanvallen te beperken. Wat er in feite wordt gedaan, is om aan de switches de poort aan te geven waarop de legitieme DHCP is aangesloten. Dit geeft "het pad" door de Switches aan waarmee berichtenverkeer van de DHCP-service is toegestaan.

Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een ​​positief punt te geven
wave wave wave wave wave