ARP-spoofing. 2
Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.
Telegramm-Kanal: https://t.me/datenschutzmit
Die Gruppe im Telegramm: https://t.me/datenschutzmit1
Website: https://legascom.ru
E-Mail: online@legascom.ru
#informationssicherheit #informationssicherheit
ARP spoofing (ARP Cache Poisoning) ist ein Angriff, der verwendet wird, um auf ein Netzwerk zu hören, das auf Switches aufgebaut ist.
ARP (engl. Address Resolution Protocol (Address Resolution Protocol) ist ein in Computernetzen verwendetes Low-Level–Protokoll, mit dem die Adresse der Kanalebene an einer bekannten Adresse der Netzwerkschicht ermittelt werden kann.
Der Kern dieses Angriffs ist wie folgt. Der Angreifer sendet falsche ARP-Pakete, um den Computer des Opfers davon zu überzeugen, dass der abhörende Computer das Endziel ist. Anschließend werden die Pakete vom Computer des Opfers abgefangen und an den tatsächlichen Empfänger weitergeleitet, die MAC-Adresse des Absenders wird ersetzt, damit die Antwortpakete auch über den abhörenden Computer weitergeleitet werden. Der abhörende Computer wird zum »Gateway« für den Datenverkehr des Opfers, und Angreifer erhalten die Möglichkeit, den Datenverkehr abzuhören, indem sie einen Mann-in-the-Middle-Angriff ausführen.
Es ist erwähnenswert, dass beim Versuch, den Datenverkehr mehrerer Computer anzuhören, die aktiv kommunizieren, und dementsprechend ein Überlauf der APR-Tabellen auftreten, eine Überlastung und ein Netzwerkabfall auftreten können. Dies ist unter anderem mit der Erkennung eines Angriffs behaftet.
Es ist auch erwähnenswert, dass dieser Angriff nur ausgeführt werden kann, wenn Sie Zugang zum lokalen Netzwerk haben. Das heißt, ein Angreifer, der sich außerhalb des lokalen Netzwerks befindet, kann ARP-Spoofing nicht ausführen. Um diesen Angriff zu implementieren, muss er zuerst die Kontrolle über eine der Maschinen im lokalen Netzwerk des Unternehmens übernehmen und dann den ARP-Cache von dieser Maschine aus vergiften. Zustimmen, nicht der einfachste Weg, einen Angriff zu implementieren.
Lassen Sie uns ein wenig praktische Arbeit an der Implementierung von ARP-Spoofing durchführen.
Also, was werden wir die ursprünglichen Daten haben?
Es gibt mehrere Computer, die an den Switch angeschlossen sind. Wir müssen den Verkehr abfangen, der zwischen diesen Maschinen übertragen wird. Wenn wir das zuvor beschriebene Dienstprogramm tcpdump verwenden, können wir nur die Pakete sehen, die von oder zu unserer Maschine kommen. Zustimmen, nicht sehr informativ. Um den Datenverkehr zu anderen Hosts zu hören, müssen wir den ARP-Cache «vergiften». Um dieses Problem zu lösen, benötigen wir spezielle Sniffer.
In unserem Beispiel verwenden wir das Dienstprogramm ettercap Diese Anwendung hat sowohl für die Windows- als auch für die *nix-Plattform Editionen.
Das Abfangen kann auf drei Arten durchgeführt werden. Und wenn uns die Standard-MAC- und IP-Optionen nicht besonders interessieren, dann ist ARP poisoning based Sniffing genau die Funktion, die wir brauchen. Es ist jedoch kein Aufwand erforderlich, sie anzuwenden: Die gesamte Konfiguration beruht auf der Angabe der zu überwachenden Maschinen in destination und source.
Als Vermittler können Sie nicht nur Netzwerkpakete abfangen, sondern Sie können auch ettercap-Tools verwenden, um sie zu entfernen oder sogar zu modifizieren. Abgesehen davon ist die Funktion zum Abfangen von Passwörtern zu beachten, die verschlüsselte SSH1-, SSH2- und SSL / HTTPS-Protokolle verwenden. Um es zu verwenden, müssen Sie ein Programm mit speziellen Filtern ausführen (zum Beispiel für ssh wie folgt: ettercap -F etter.filter.ssh).
Jetzt ist es tatsächlich Praxis. Um den Verkehr abzuhören, den die Maschinen 192.168.1.2 und 192.168.1.254 austauschen, müssen Sie den folgenden Befehl ausführen:
root@kali : # ettercap -T -M arp -L log /192.168.1.2/ /192.168.1.254/
Optionen bedeuten:
–T - Verwenden Sie eine textbasierte (Konsolen-) Schnittstelle;
-M arp - Benutze das ARP-Spoofing-Modul, um einen Angriff auszuführen;
-L log - Protokolliert das Abfangprotokoll in Dateien mit dem Namen log.*.
Als Argumente werden die IP-Adressen der Maschinen angegeben, gegen die ein ARP-Spoofing-Angriff ausgeführt werden soll.
Das Ergebnis dieses Dienstprogramms wird angezeigt und in eine Textdatei geschrieben. Um die Protokollierung zu stoppen, müssen Sie q drücken.
Es ist äußerst unerwünscht, das Dienstprogramm auf andere Weise zu unterbrechen (z. B. Strg-Z), da dann die ARP-Tabellen der beiden Maschinen vergiftet bleiben. Und da das Vermittlungsprogramm ettercap nicht mehr funktioniert, wird die Kommunikation zwischen den Hosts unterbrochen, was sehr verdächtig aussieht.
Sie können das Dienstprogramm etterlog verwenden, um den abgefangenen Datenverkehr anzuzeigen. Die Protokolldatei wird standardmäßig als log bezeichnet.eci.
So können beispielsweise abgefangene Anmeldeinformationen für ein POP-3-E-Mail-Postfach aussehen.
etterlog log.eci
etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Log file version : NG-0.7.3
Timestamp : Thu Jan 21 12:23:11 2012
Type : LOG_INFO
1698 tcp OS fingerprint
7587 mac vendor fingerprint
2183 known services
==================================================
IP address : 192.168.15.2
MAC address : 00:04:75:75:46:B1
...
MANUFACTURER : Sohoware
DISTANCE : 0
TYPE : LAN host
FINGERPRINT :
OPERATING SYSTEM : UNKNOWN
PORT : TCP 110 | pop-3 []
ACCOUNT : user
/ password
(192.168.15.2)
==================================================
Betrachten wir auch die Arbeit dieses Hilfsprogramms mit einer grafischen Oberfläche. Dazu müssen Sie den Befehl ausführen
ettercap –G
Dann müssen wir uns für die Art des Abfangens von Unified- oder Bridged-Datenverkehr entscheiden. Der erste erzeugt ein einfaches Abfangen des Datenverkehrs, während der zweite entworfen wurde, um den Prozess der Übertragung des Datenverkehrs zu stören. Wählen Sie unified. Als nächstes geben Sie die verwendete Netzwerkschnittstelle an. Sie können sowohl eine kabelgebundene als auch eine drahtlose Option angeben.
Dann müssen wir entscheiden, von wem wir den Verkehr abfangen wollen. Um dies zu tun, müssen Sie das Netzwerk auf aktive Knoten scannen. Um den Scan zu starten, wählen Sie Hosts und dann Scan for Hosts aus. Wir erhalten eine Liste der aktiven Knoten mit IP- und MAC-Adressen. Wählen Sie den gewünschten Knoten aus und klicken Sie auf Add To Target 1. In diesem Fenster befindet sich noch die Schaltfläche Add To Target 2. Wenn wir nur den Datenverkehr zwischen zwei bestimmten Knoten aus der Liste abfangen möchten, müssen Sie den zweiten Knoten angeben und auf Add To Target 2 klicken. Und wenn wir den gesamten Datenverkehr für einen bestimmten Knoten abfangen möchten, müssen Sie keinen zweiten Knoten auswählen.
Dann starten Sie den Scan, indem Sie auf Start, Start Sniffing klicken. Als nächstes beenden wir den Prozess der ARP-Vergiftung, indem Sie MITM / ARP Poisoning auswählen. Die Option Sniff Remote Connections muss aktiviert sein.
Dann können Sie bereits in Wireshark den Datenverkehr ähnlich wie zuvor abfangen.
Nachdem Sie die Pakete in Ettercap gesammelt haben, müssen Sie ARP poison deaktivieren, indem Sie auf Start / Stop sniffing klicken.
Ein Angreifer, der in das Netzwerk gelangt ist, kann einen Angriff wie «Mann in der Mitte, MitM» ausführen, dh versuchen, ein Vermittler zwischen legalen Knoten zu werden. Mit MitM können Sie viele verschiedene Angriffe implementieren, die nicht nur mit dem Abhören, sondern auch mit der Änderung des durchlaufenden Datenverkehrs verbunden sind. Aber im Kontext des Themas implementieren wir das Abfangen von Passwörtern und lernen gleichzeitig ein paar nützliche Werkzeuge aus Kali Linux kennen.
Nehmen wir also an, dass wir wissen, welche Knoten derzeit im Netzwerk aktiv sind. Da die Maschine des Angreifers als Vermittler fungiert, müssen wir zunächst die Weiterleitung von IP-Paketen zulassen (ip forwarding). Sie können dies wie folgt tun:
echo 1 > /proc/sys/net/ipv4/ip_forward
Jetzt müssen Sie ARP Spoofing implementieren (dh MAC-Adressen für bestimmte IP-Adressen ersetzen). Die Maschine des Angreifers wird der Vermittler zwischen dem Standardgateway und dem lokalen Netzwerk sein. Wenn die Gateway-Adresse 192.168.1.1 ist und unsere Adresse 192.168.1.100 ist, müssen wir Folgendes tun, um sie zu ersetzen.
arpspoof –t 192.168.1.1 192.168.1.100
Das Dienstprogramm arpspoof dient lediglich dazu, MAC-Adressen zu ersetzen.
Damit ARP spoofing richtig funktioniert, müssen Sie auch in die entgegengesetzte Richtung wechseln.
arpspoof –t 192.168.1.100 192.168.1.1
Als nächstes müssen wir beginnen, den Verkehr abzufangen. Im Gegensatz zu den vorherigen Beispielen werden wir hier jedoch nicht den gesamten Datenverkehr abfangen, sondern nur Passwörter aus verschiedenen Anwendungen anzeigen. Dazu verwenden wir das Dienstprogramm dsniff.
root@kali:~# dsniff
---------------
05/21/00 10:49:10 bob -> unix-server (ftp)
USER bob
PASS dontlook
---------------
05/21/00 10:53:22 karen -> lax-cisco (telnet)
karen
supersecret
---------------
05/21/00 11:01:11 karen -> lax-cisco (snmp)
[version 1]
private
Als Ergebnis der Arbeit haben wir einige Passwörter abgefangen.
Dsniff ermöglicht das Abfangen von Passwörtern, die durch HTTP, POST-Daten, HTTP Basic and Digest authentications, FTP, IRC, POP, IMAP, SMTP, NTLMv1/v2 (HTTP, SMB, LDAP usw.) gesendet werden.
Sie können das Dienstprogramm arpwatch verwenden, um ARP-Spoofing zu verhindern. Dieses Dienstprogramm ermöglicht es Ihnen, einen Angriff zu beheben, muss jedoch auf beiden angegriffenen Maschinen ausgeführt werden, sonst kann ein Angreifer versuchen, einen einseitigen Angriff durchzuführen. Außerdem erfasst arpwatch den Angriff nur, verhindert ihn jedoch nicht. Um dies zu verhindern, müssen zusätzliche Skripts und Ereignishandler entwickelt werden.
Eine mögliche Methode zum Schutz ist die Verwendung von statischem ARP. Sie können eine ARP-Tabelle manuell erstellen, sodass sie nicht anfällig für ARP-Angriffe wird. Dazu müssen Sie der Tabelle die erforderlichen MAC-Adressen hinzufügen.
Wenn Sie die Verwendung von ARP auf Netzwerkschnittstellen deaktivieren, sind nur Systeme verfügbar, deren (1) MAC-Adressen zur ARP-Tabelle unseres Knotens hinzugefügt wurden und (2) unsere MAC-Adresse zu den ARP-Tabellen des Knotens hinzugefügt wurde,
mit denen der Verkehr ausgetauscht wird.
Wenn Sie die Verwendung von ARP auf Netzwerkschnittstellen nicht deaktivieren, hat die statisch festgelegte MAC-Adresse Vorrang. Wenn für eine IP-Adresse keine MAC-Adresse angegeben ist, wird eine ARP-Anforderung verwendet.
Andere Methoden zur Bekämpfung von ARP-Spoofing sind die Verwendung von Verschlüsselung sowie die Verwendung von VLAN-VLANs.
Der Computer eines Angreifers kann ARP-Spoofing nur dann gegen den Computer des Opfers verwenden, wenn er sich im selben Netzwerk auf Kanalebene befindet. Für den Fall, dass sie vom Router getrennt sind, ist ein Angriff nicht möglich (ein Angriff auf den Router ist möglich, aber das ist eine ganz andere Sache).
VLANs helfen dabei, ein Netzwerk zu segmentieren, indem Sie ein einzelnes Netzwerk in viele isolierte Fragmente auf Kanalebene umwandeln, die über einen Router miteinander verbunden sind. Ein ARP-Spoofing-Angriff ist nur zwischen Computern möglich, die sich im selben VLAN befinden. Im extremsten Fall, wenn sich in jedem VLAN nur zwei Computer befinden: der eigentliche Computer und der Router, wird ein ARP−Spoofing-Angriff grundsätzlich unmöglich. Leider ist eine solche Netzwerkorganisation sehr anspruchsvoll für die Ressourcen des Routers und wird selten verwendet.
Einer der Hauptgründe, warum diese Sicherheitsmethode unbeliebt ist, ist die Notwendigkeit, VLAN-Switches zu unterstützen, und die Notwendigkeit, zusätzliche Netzwerkhardware zu konfigurieren, ist zeitaufwendig.
