Indholdsfortegnelse
I et koblet netværk, f.eks. Et hjemmenethernet -LAN, er en switch den enhed, der bruges til at forbinde netværksenheder.Omskifteren bruger linklaget til at udføre netværksrammeskift. I et typisk scenario sender Bob en netværksramme, der angiver sin MAC -adresse som afsender og Alice's adresse som destination, og sender rammen gennem sin fysiske forbindelse til switchen. Når switchen modtager rammen, knytter den Bobs adresse (afsender) til porten, hvor rammen "kom ind" til switchen; denne forening lagres i en tabel kendt som "CAM -tabel".
FORSTØRRE
Algoritmen overvejer ikke validering, og CAM -tabelopdateringsmekanismen er genstand for modtagelse af rammer, så Bobs MAC -adresse fortsat vil blive tilknyttet porten, indtil "en udløbstid er gået", eller kontakten modtager en ramme med Bobs MAC -adresse på en anden port. Sidstnævnte ville for eksempel forekomme, hvis Bob kobler sit netværkskabel fra port "1" og forbinder det med port "2"; I det næste øjeblik, hvis Bob sender en ramme, registrerer kontakten Bobs MAC, der kommer ind via port “2” og opdaterer posten i CAM -tabellen.
Fra nu af vil enhver ramme, Alice sender til Bob, blive dirigeret til den port, der registrerer Bobs MAC -adresse i CAM -tabellen.
Enhedernes MAC -adresser skal være unikke i Ethernet -netværk, da hvis to systemer har den samme MAC -adresse og forbinder på forskellige porte på switchen, vil de få CAM -tabellen til at blive opdateret for hver sendt ramme, hvilket forårsager en løbstilstand for forening. af havnen i CAM -tabellen. Derefter vil switchen for hver modtaget ramme levere rammen på den port, der er tilknyttet på tidspunktet for behandlingen, uden mulighed for at bestemme, hvilket af de to systemer med den samme MAC -adresse, der svarer til netværkstrafikken.
Anvendelsen af teknikken kaldet "Portstjæling"Eller" Porttyveri "i computerangreb består grundlæggende i at fremkalde en opdatering af CAM -tabellen på en switch med manipulerede adresseringsoplysninger, så kontakten forbinder en bestemt MAC -adresse (offersystem) med den tilsluttede port til den enhed, der anvender denne teknik.
En "angriber" kunne derefter tvinge switch til at knytte Bobs MAC -adresse til porten, hvor hans udstyr er tilsluttet, og dermed modtage netværksrammerne, der er bestemt til Bobs MAC -adresse.
Eventuelt vil angriberen vælge at videresende rammerne eller ej, en handling, der vil resultere i henholdsvis en Man in the Middle (MitM) eller Denial of Service (DoS) angreb. Der er en lang række applikationer, der gør det muligt at anvende denne teknik. Her er en enkel procedure ved hjælp af GNU / Linux.
Systemer involveretBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Angriber AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu vil blive brugt til det angribende system og kommandoen harping (version af Thomas Habets).
At anvende teknikken Portstjæling ved brug af harping, køre som root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
HvorMAC_VICTIMA: MAC -adresse på systemet, hvorfra det er beregnet til at "stjæle porten".
IP_DESTINATION: da det er en ARP -anmodningsmeddelelse, skal en destinations -IP -adresse angives.
SOURCE_IP: kilde- eller afsender -IP -adresse for ARP -meddelelsen.
INTERFAZ_LAN: navnet på den netværksgrænseflade, der skal bruges.
Fra Attacker -systemet, der genererer rammer, hvis kilde -MAC matcher offerets MAC, Bob:
Argumentet -S bestemmer kilde -IP -adressen, i dette tilfælde 2.2.2.2 (det er valgfrit og vilkårligt).
Hvis den ikke er angivet, tages den IP -adresse, der er konfigureret i netværkskortet.
IP -adressen 1.1.1.1 er destinationsadressen, og da målet kun er at "forvirre kontakten", er den valgte værdi totalt vilkårlig, men påkrævet.
Denne kommando genererer ARP -trafik med kilde MAC AA: BB: CC: 11: 22: 33:
FORSTØRRE
FORSTØRRE
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
Værdien "1" for parameteren "-w”Angiver, at arping venter 1 mikrosekund, før den næste besked sendes. På denne måde vil angriberen med fordel handle for at opnå offerets havn.
Med hensyn til kilde- og destinations -IP -adresser er der ingen særlig observation, da det ikke er vigtigt at løse ARP -forespørgslen, men snarere hvad angår anvendelsen af porttyveriangrebet, vil det være nok for rammen at angive kilden Ofrets MAC.
Et antivirussystem, IDS eller inspektion af netværkstrafik kan afsløre mistænkelig aktivitet på netværket, så en angriber foretrækker måske at angive data, der er i overensstemmelse med den "normale" aktivitet af netværkstrafik:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
HvorMAC_ORIGEN: Bob's MAC, AA: BB: CC: 11: 22: 33
DESTINATION_IP: Alice's IP, 192.168.0.2
IP_ORGIEN: Bobs IP, 192.168.0.1
MAC_DESTINATION: Alice's MAC, AA: BB: CC: 22: 33: 44
Ved gennemgang af netværkstrafikken vil ARP -forespørgsler blive observeret:
FORSTØRRE
ARP -meddelelsen er blevet dirigeret direkte til Alice's IP -adresse, derudover er Alice's MAC -adresse blevet specificeret for at forsøge at tvinge levering af ARP -beskeden direkte til Alice og undgå en Broadcast -kontrol.
Endelig angriber angriberen Bobs IP som kilde -IP -adresse, så ARP -meddelelsen indeholder gyldige oplysninger på trods af ikke at være legitim. Sidstnævnte kunne forhindre anomalien i at blive opdaget, da hvis kilde -MAC og IP -adresse ikke matcher en tidligere registreret ARP -post, kan nogle antivirussystemer antage ARP -spoofingaktivitet.
Op til dette punkt får angriberen de rammer, som de andre værter på netværket sender til offeret. Denne betingelse fjerner links til et denial of service -angrebsscenario da parcellerne ikke kun leveres til angriberen, men de når aldrig offeret.
Eventuelt kunne angriberen videresende rammerne til sit offer, der fremkaldte en mand i det midterste angreb for den trafik, der blev sendt imod Bob.Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt
