1. Φόρουμ
  2. Tutorials
  3. Tips

BackTrack – ARP Spoofing – Man in the Middle Attack

Kevingr | Τετ, 02/20/2013 - 23:28 | 9'
Μπες στα φόρουμ του Linux Insider και βρες βοήθεια και λύσεις σε προβλήματα με λογισμικό και hardware, άνοιξε συζήτηση για το ελεύθερο λογισμικό και τον ανοικτό κώδικα και γράψε δικά σου άρθρα και σχόλια για ότι σου κινεί το ενδιαφέρον.

BackTrack – ARP Spoofing – Man in the Middle Attack

Νομίζω ότι όσοι διαβάζετε αυτό το περιοδικό είσαστε σίγουρα γνώστες για την περίφημη διανομή λίνουξ με την ονομασία BackTrack.. Εσίως έφτασε στην 5η έκδοσή του και όπως μας πληροφορούν από την ιστοσελίδα της εταιρείας αναμένουμε και την καινούρια έκδοση με την κωδική ονομασία Kali Linux...

Μέχρι όμως να πάρουμε στα χέρια μας το νεό μας όπλο καλό είναι να παίξουμε με την τελευταία έκδοση του, την 5 R3..

Θα πούμε πολλά, πάρα πολλά... Για αρχή θα ασχοληθούμε με μια τακτική γνωστή για την φήμη της ως αποτελεσματική και ακριβής.. Ονομάζεται man – in – the – middle – attack.. Για να γίνει όμως αυτό θα πρέπει να <<παίξουμε>> με το πρωτόκολλο ARP..

Τι εννοώ..

Το ARP spoofing (πλαστοπροσωπεία ARP) ή ARP poisoning (δηλητηρίαση ARP) είναι ένας τύπος παραβίασης σε δίκτυο υπολογιστών το οποίο βασίζεται στο πρωτόκολλο ARP.
Ο κακόβουλος χρήστης μπορεί, μεταδίδοντας λανθασμένα πακέτα ARP, να μπερδέψει άλλους host ώστε να στείλουν τα πλαίσια δεδομένων (αγγλ. data frames) τους σε άλλον υπολογιστή χωρίς να το αντιληφθούν. Μπορεί τότε να παρακολουθήσει την επικοινωνία μεταξύ (π.χ. ως βάση για μια επίθεση τύπου man-in-the-middle attack):
1. δύο host
2. ενός host και ενός υποδικτύου
3. ενός host και του Διαδικτύου
4. οποιοδήποτε συνδυασμό των παραπάνω παραβιάσεων
Έχει επίσης την δυνατότητα να αποκλείσει έναν host από ένα δίκτυο (βλ. denial-of-service attack).
Αυτό σε επόμενο κεφάλαιο..

Ας δούμε καταρχήν προφορικά ένα παράδειγμα παραβίασης :

Man-in-the-middle attack

Σκοπός του C είναι να "μπει" ανάμεσα από τον Α και το Β. Για να γίνει αυτό, στέλνει πακέτα ARP στον Α με διεύθυνση πρωτοκόλλου 192.168.0.20 και διεύθυνση MAC 30:30:30:30:30:30. Όταν λοιπόν ο Α θέλει να στείλει δεδομένα στον Β, θα χρησιμοποιήσει την διεύθυνση MAC του C. Με τον ίδιο τρόπο, εξαπατεί τον Β, ώστε στον κατάλογο ARP του τελευταίου να βρίσκεται το ζεύγος 192.168.0.10 → 30:30:30:30:30:30 αντί του 192.168.0.10 → 10:10:10:10:10:10.

Σ'αυτό το σημείο, ο Α στέλνει τα πακέτα με αποδέκτη τον Β στον κακόβουλο χρήστη C (και αντιστρόφως). Παρ'όλα αυτά, για να λειτουργήσει σωστά η παραβίαση αυτή, ο C πρέπει επίσης να δρομολογήσει όποιο πακέτο δεν του απευθύνεται (με βάση την διεύθυνση πρωτοκόλλου) ή όποιο πακέτο δεν θα έπρεπε να λαμβάνει στον επιθυμητό τελικό αποδέκτη, έτσι ώστε οι δυο host (εδώ Α και Β) να μην καταλάβουν πως η επικοινωνία τους παρακολουθείται[1].

Denial-of-service attack

Στην επίθεση άρνησης υπηρεσιών (denial of service attack), ο σκοπός είναι ο αποκλεισμός ενός host ή υποδικτύου από το δίκτυο που βρίσκεται ο C. Η τακτική είναι η ίδια με την παραβίαση τύπου man-in-the-middle. Για να μην φαίνεται ο Αως μέρος του δικτύου του παραδείγματος και να μην μπορεί να στείλει κανένα πακέτο σε άλλους host, στέλνονται ακριβώς τα ίδια πακέτα με πριν στους άλλους δυο host. Όταν ένα πακέτο του Β με προορισμό τον Α φτάσει στον C, αυτός δεν το δρομολογεί και απαντάει πως ο host αυτός δεν υπάρχει. Όλα τα πακέτα του Α καταφθάνουν στον C και απλώς απορρίπτονται.

Για να το καταλάβουμε καλύτερα θα το επιχειρήσουμε με real παράδειγμα..
Για τις ανάγκες του άρθρου μας βασιστήκαμε σε δύο εικονικές μηχανές.. Η μία θα τρέχει μια κλασσική διανομή Ubuntu Linux με ip 192.168.1.127 και ο επιτιθέμενος μας θα βρίσκεται πίσω από το BackTrack 5 R1 με ip 192.168.1.108...

Άρα :

Θύμα 192.168.1.127
Επιτιθέμενος : 192.168.1.108

Από το box του επιτιθέμενου θα χρησιμοποιήσουμε το πρόγραμμα Ettercap... To Ettercap είναι μια ολοκληρωμένη σουίτα για τέτοιου είδους επιθέσεις.. Διαθέτει σνιφάρισμα σε real time των συνδέσεων, φιλτράρισμα περιεχομένου και πολλά ενδιαφέροντα κόλπα..

Ανοίγοντας ένα τερματικό γράφουμε : ettercap -G

Ανοίγοντας το Ettercap θα πρέπει να δηλώσουμε σε πιο δίκτυο είμαστε, στην δική μας περίπτωση είναι το eth1..

Aπό την γραμμή εργαλείων του προγράμματος πατάμε Hosts και διαδοχικά Scan for Hosts για να εξακριβώσουμε πόσοι υπολογιστές είναι συνδεδεμένοι στο δίκτυο μας.. Μετα από ένα σύντομο σκανάρισμα μας βγάζει ότι στο δίκτυο μας είναι συνδεδεμένοι 3 υπολογιστές..

Για να δούμε τα ακριβή τους στοιχεία, δηλαδή IP και MAC Address πάλι από την καρτέλα Host πατάμε Host List και μας εμφανίζει τα παρακάτω :

Ας σηκώσουμε τα μανίκια και ας ξεκίνησουμε..

Σαν Target 1 θα δηλώσουμε την ip του ρούτερ μας 192.168.1.1 και σαν Target 2 το μηχάνημα που θέλουμε να επιτεθούμε με ip 192.168.1.127

Στη συνέχεια : Mitm > ARP Poisoning > Sniff remote connections

Για να ξεκίνησει ο δηλητιριασμός της Arp του μηχανήματος :

Start > Start Sniffing

Ας γυρίσουμε στο box του θύματος και ας κάνουμε login σε μια σελίδα που είμαστε μέλοι :

Θα δούμε στο BackTrack και συγκεκριμένα στο παράθυρο του Ettercap

Βέβαια, όλες οι επιθέσεις έχουν και τρόπο αντιμετώπισης και η δική μας μπορεί να <<παρακαμπτεί>> βάζοντας το “s” στο http, δηλαδή να γίνει https.... αλλά και αυτό δεν έιναι αρκετό..

Περισσότερα θέματα αποκλέιστικα με το BackTrack στο επόμενο τεύχος... Ως τότε, προσοχή στα κλικς..
ΥΓ : Το παρόν άρθρο ήταν να δημοσιευτεί στο περιοδικό Linux Format αλλά δυστηχώς σταμάτησε η κυκλοφορία του

Φόρουμ
Tips
Δώσε αστέρια!

MO: 3.5 (ψήφοι: 2)