Методи за атаки към мрежовата сигурност Man in the middle

[Mozo]

Man-in-the-Middle атаки.
Любомир Костадинов Пишинов гр. 63 фак. №121207130

1. Въведение

Едни от най-често срещаните мрежови атаки, използвани срещу голям брой организации и единични потребители , са man-in-the-middle(MITM) атаки. Считана като атака чрез активно подслушване, MITM работи чрез установени връзки между устройствата на потребителите и препредаващи се съобщения между тях. В случаи като тези, жертвата вярва, че комуникира директно с друг потребител, докато всъщност комуникационния поток до хоста се пренасочва. Крайния резултат е че атакувания хост не само се подслушва, но може също така да бъде манипулиран потока от данни през него с цел бъдещ контрол на потрбителите му[1].

2. ARP Cache Poisoning

Една от най-старите форми на модерната MITM атака е ARP( address resolution protocol) Cache Poisoning[2] , също позната като ARP Poison Routing. Тя позволява на атакуващ от същата подмрежа като на жервите да подслушва целия мрежови трафик между тях. Тя е една от най-просто изпълнимите атаки, но е считана като една от най-ефективната атака използвана някога от хакерите.
ARP протокола е проектиран поради необходимост от улеснение на препредаването на мрежовите адреси между второто и третото ниво на OSI модела( канален и мрежови слой). Каналното ниво използва MAC адреси, които хардуерните устройства могат да използват за директна комуникация по между си. Мрежовото ниво използва IP адреси за да създаде големи мащабируеми мрежи, комуникиращи с други мрежи из целия свят. Всеки слой притежава собствена адресираща схема, като те трябва да работят заедно за да се осъществи мрежовата комуникация. За тази цел ARP протокола беше създаден като An Ethernet Address Resolution Protocol.



Фиг. 1 – ARP комуникационен процес
Основните етапи на ARP комуникациите са ARP заявака и ARP отговор. Целта на заявката и отговора е да се открие МАС адреса , който отговаря на дадения IP адрес, така че трафика да може да достигне до крайната дестинация от мрежата. Пакета за заявката се изпраща до всички устройства в мрежовия сегмент. В нея се записват IP и МАС адреса на източника и IP адреса на крайния получател. Това устройство, което разпозане своя ip адрес в тази заявка, отговаря с IP-то си и търсения MAC адрес. Веднъж като се е осъществил този процес, предаващите устройства си обновяват свойта ARP кеш таблица и устройствата имат възможност да комуникират по между си.

Poisoning the Cache : ARP cache poisoning използва незащитената част от ARP протокола. Докато протоколи като DNS, които могат да бъдат конфигурирани да приемат само защитени динамични ъпдейти, устройствата, които използват ARP, ще приемат всички и по всяко време. Това означава , че всяко устройство може да изпрати ARP отговор до даден хост за да обнови неговия ARP кеш с зловредна информация. Изпращането на ARP отговор, когато не е генрирана заявка, се нарича gratuitous ARP(безпричинен). Когато злонамерена намеса предоставя резлутата от няколко добре известни gratuitous ARP пакети, може да предизвика хоста да си мисли, че комуникира с един хост, но всъщност комуникира с атакуващия, който го подслушва.



Фиг. 2 – Комуникация при ARP cache poisoning




2.1. Използване на продукта Cain & Able[4]

Има няколко различни програми които мгат да осъществят нужните стъпки за извършване на ARP cache poisoning. Можем да използваме популярния security tool Cain & Abel. Cain & Abel ни осигурява нужните срества за осъществяване на тази атака.
За да се осъществи атаката ни са нужни данни за интерфейса на мрежата, която искаме да използваме за атаката, както и двата IP адреса на комуникиращите по между си жертви. При първото отваряне на продукта се вижда серия от табове близо до горната част на прозореца. За нашите цели ще използваме Sniffer таба. Когато го отворим ще видим празна таблца. За да я попълним ни е нужно да активираме вградените срества за подслушване на програмата и да сканираме мрежата за хостовете.



Фиг. 3 – Изглед от Cain&Able продукта

Натискаме втората иконка от тулбара, която прилича на мрежова карта. При първото натискане на този бутон, програмата ще ни пита за интерфейса, който желаем да подслу-шваме. Този интерфейс трябва да бъде този, чрез който е свързана мрежата и преставлява нашата цел за ARP cache poisoning. След като сме избрали интерфеска, натискаме ОК и акти-вираме вградените срества за подслушване на програмата. За да попълним списъка с достъпни хостове от мрежата, натискаме бутона приличащ на + от главния тулбар и натискаме ОК( фиг. 4). Преди празния грид вече е попълнен със списък от всички хостове от мрежата, към която сме свързани. Имаме информация за тяхните MAC и IP адреси, както и кой ги предоставя. Чрез този списък ще имаме възможност да осъществим АRP cache poisoning.
В дъното на програмния прозрец ще намерим група от табове. Използваме ARP cache poisoning таба. Предоставят ни се две празни таблици: горна и долна. Горната ни дава информация за устройствата въвлечени в ARP cache poisoning, а долната ни показва всички комуникации между тези устройства.
Добавяме устройства в горната таблица чрез бутона „+”. Прозореца, който се появава има две таблици от ляво и дясно. В лявата имаме списък от всички достъпни устройства. Чрез избор на IP адрес от лявата таблица попълваме дясната, която ни показва списък с всички хостове в мрежата освен този, който сме избрали от ляво. Ибираме адрес от десния списък и натискаме ОК( фиг. 5).
Ip адресите на двете избрани устройства трябва вече да се появят в горната главна таблица на програмата. За да се завърши процеса се натиска жълто-черния бутон с символ за наличие на радиация. Той ще активира АRP cache poisoning срествата на Cain&Abel и ще осъществи сценария на система с „man-in-the-middle” за всичката комуникация между двете жертви.
Съществуват и други подобни продукти. Приемрно „Wireshark „ ни позволява да погледнем какво става зад сцената и да видим какво се случава при активиране на ARP cache poisoning. Позволява ни да видим смущенията в ARP трафика между двата хоста и в реално време да проследяваме трафика между тях.






Фиг. 4 – Сканиране на хостове




Фиг. 5 – Избор на хостове за Poisoning.




Фиг. 6 – ARP traffic injection

2.2. Защита от ARP Cache Poisoning.

Поглеждаки от другата гледна точка на защита, ние сме в много неизгодна позция при този вид атаки. ARP Cache Poisoning процеса се извършва на заден план с много малко срества за контрол директно от нас. На практика няма целенасочено действие за защита от този вид атаки. Всичко се свежда до мрежова сигурност. ARP Cache Poisoning е единствено осъществима техника, когато се прави преграждане на трафика между два хоста в една локална мрежа. Единствената причина да се притесняваме от този род атаки е ако локалните устройства в мрежата компроментирани, може да има наличие на реални потребители сдостъп до устройствата с злонамерени намерения или при хардуерна намеса чрез добавяне на хардуерно устройство по пътя на мрежовия трафик. Въпреки, че твърде често се насочват всички усилия към сигурност на мрежовия периметър, защита срещу вътрешни нарушители и изграждане на добра вътрешна организация може да елиминира шансовете за осъществяване на подобни атаки.

2.3. Hard Coding the ARP Cache :

Един начин да се защитим от злонамерен динамичен ъпдейт на ARP кеш таблицата е да направим процеса малко по-малко динамичен. Тава е опция в Windows базираните хостове, която позволява като допълнение статични двойки към кеш таблицата на ARP. Можем да ви-дим талицата в Windows хостове като в command promt-а използваме комадната arp –a(фиг. 7).

Целият материал: