Другим способом удостовериться злоумышленнику в том, что все пакеты атакованной машины проходят через его машину, является модификация ARP таблицы на машине жертвы (машинах жертв). ARP-таблицы обеспечивают преобразование МАС-адресов (MAC - Media Access Control, протокол управления доступом к передающей среде. Подуровень канального уровня, задающий методы доступа к среде, формат кадров, способ адресации) в IP-адреса на каждой машине. ARP разработан как динамический протокол, поэтому при добавлении новых машин к сети или при присваивании машинам по разным причинам новых МАС-адресов адреса машин в сети обновляются автоматически в течение сравнительно короткого периода времени. В этом протоколе не предусмотрено никакой аутентификации.

Когда машина жертвы выдает широковещательный запрос (передает одно сообщение сразу всем станциям сети) определения МАС-адреса, соответствующего какому-либо IP-адресу (возможно, это IP-адрес шлюза по умолчанию на машине жертвы), все, что нужно сделать злоумышленнику, - это успеть ответить на него до того, как ответит настоящая машина. Это - классическое состояние гонок. Злоумышленник может повысить свои шансы на успех, загрузив истинный шлюз дополнительной работой, чтобы он не смог слишком быстро ответить.

До тех пор, пока злоумышленник будет правильно транслировать трафик машины жертвы (или успешно фальсифицировать факсимиле сервера, с которым пытается общаться жертва), жертва вряд ли заметит какие-либо изменения. Безусловно, если акцентировать внимание, то можно найти определенные различия. Например, после такой атаки каждый пакет проходит один и тот же сегмент локальной сети дважды, что слегка повышает объем пересылаемых по сети данных и само по себе является подозрительным. Но главный недостаток заключается в изменении на машине жертвы ARP-кэша. Это достаточно просто отследить, если заранее подготовиться к этому. Одним из инструментальных средств отслеживания подобных изменения является программа arpwatch, которую можно найти по адресу: ftp:// ee.lbl.gov/arpwatch.tar.gz.

Инструментарием проведения ARP-атак является программа gratагр, которая из-за отсутствия официального имени так и называется. Программа grat агр была написана Мудге (Mudge) и некоторыми его неизвестными друзьями, как он сам это утверждает. Ее можно найти в разных местах, например по адресу www.securityfocus.com/archive/82/28493. Хорошая статья на данную тему (вместе с прилагаемой программой sendагр.с) расположена по адресу www.securityfocus.com/archive/1/7665.

В дополнение к вышесказанному может быть использована упоминавшаяся в главе 10 программа arpspoof. Она является частью инструментального средства dsniff, доступного на www.monkey.org/~dugsong/dsniff. Программа arpspoof выполняет большую часть работы в автоматическом режиме.

Некоторые из упомянутых выше функциональных возможностей встроены в программу Hunt, которая будет описана ниже в этой главе, в специально посвященном ей пункте.

Заметьте, что ухищрения с протоколом ARP хороши не только для злоумышленника, позволяя ему перенаправлять трафик через свою машину. Их можно использовать для мониторинга всего трафика при переключении конфигурации сети. Обычно когда между машиной злоумышленника и машиной жертвы расположен коммутатор (или любой из мостов уровня канала передачи данных), злоумышленник не может наблюдать за трафиком машины жертвы. Эксперименты с протоколом ARP - один из путей решения этой проблемы. Подробнее об этом рассказано в главе 10.

Перехват tcp-сессий при помощи блокировки пакетов | Защита от хакеров корпоративных сетей | Перехват пользовательского протокола данных udp


Защита от хакеров корпоративных сетей



Новости за месяц

  • Июнь
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс