Semplice attacco per rubare il porto

Sommario
In una rete commutata, come una LAN Ethernet domestica, uno switch è il dispositivo utilizzato per interconnettere i dispositivi di rete.
Lo Switch utilizza il livello Link per eseguire la commutazione dei frame di rete. In uno scenario tipico, Bob invia un frame di rete specificando il suo indirizzo MAC come mittente e l'indirizzo di Alice come destinazione e invia il frame tramite la sua connessione fisica allo Switch. Quando lo Switch riceve il frame, associa l'indirizzo di Bob (mittente) alla porta in cui il frame "è arrivato" allo Switch; questa associazione è memorizzata in una tabella denominata "CAM Table".

INGRANDIRE

Possono esserci più indirizzi MAC associati alla stessa porta dello switch, ma ogni indirizzo MAC sarà associato a una e una sola porta dello switch. Una volta che l'indirizzo di Bob è associato, lo Switch cerca nella tabella CAM l'indirizzo MAC di destinazione e procede a inoltrare il frame ricevuto attraverso la porta associata (e solo attraverso quella porta).
L'algoritmo non prevede la convalida, e il meccanismo di aggiornamento della tabella CAM è soggetto alla ricezione di frame, in modo che l'indirizzo MAC di Bob continuerà ad essere associato alla porta finché "è trascorso un tempo di scadenza", o lo switch riceve un frame con L'indirizzo MAC di Bob su un'altra porta. Quest'ultimo, ad esempio, si verificherebbe se Bob disconnettesse il suo cavo di rete dalla porta "1" e lo collegasse alla porta "2"; Nell'istante successivo, se Bob invia un frame, lo Switch rileverà il MAC di Bob che entra attraverso la porta "2" e aggiornerà la voce nella tabella CAM.
D'ora in poi, qualsiasi frame che Alice invia a Bob verrà instradato alla porta che registra l'indirizzo MAC di Bob nella tabella CAM.
Gli indirizzi MAC dei dispositivi devono essere univoci nelle reti Ethernet, poiché se due sistemi hanno lo stesso indirizzo MAC e si collegano su porte diverse dello Switch, causeranno l'aggiornamento della tabella CAM per ogni frame inviato, causando una race condition per la associazione della porta nella tabella CAM. Quindi, per ogni frame ricevuto, lo Switch consegnerà il frame sulla porta che è associata al momento dell'elaborazione, senza possibilità di determinare quale dei due sistemi con lo stesso indirizzo MAC corrisponda al traffico di rete.
L'applicazione della tecnica denominata "Rubare il porto"O" Port Theft" negli attacchi informatici, consiste sostanzialmente nell'indurre un aggiornamento della tabella CAM di uno Switch, con informazioni di indirizzamento manipolate, in modo che lo switch associ uno specifico indirizzo MAC (sistema vittima) alla porta collegata al dispositivo che applica questa tecnica.
Un "attaccante" potrebbe quindi forzare lo Switch ad associare l'indirizzo MAC di Bob alla porta a cui è collegata la sua attrezzatura, ricevendo così i frame di rete destinati all'indirizzo MAC di Bob.
Facoltativamente, l'attaccante sceglierà di inoltrare o meno i frame, un'azione che si tradurrà rispettivamente in un attacco Man in the Middle (MitM) o Denial of Service (DoS). Esiste un'ampia varietà di applicazioni che consentono di applicare questa tecnica. Ecco una semplice procedura utilizzando GNU/Linux.
Sistemi coinvoltiBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Attaccante AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU/Linux Ubuntu verrà utilizzato per il sistema di attacco e il comando arpa (versione di Thomas Habets).
Per applicare la tecnica Rubare il porto usando arpa, esegui come root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN

In cui siMAC_VICTIMA: indirizzo MAC del sistema dal quale si intende "rubare la porta".
IP_DESTINATION: trattandosi di un messaggio di richiesta ARP, deve essere indicato un indirizzo IP di destinazione.
SOURCE_IP: indirizzo IP di origine o mittente del messaggio ARP.
INTERFAZ_LAN: nome dell'interfaccia di rete da utilizzare.
Dal sistema dell'attaccante che genera frame il cui MAC sorgente corrisponde al MAC della vittima, Bob:

Il comando arpa prende l'argomento -s per indicare l'indirizzo MAC di origine o mittente, specificando così l'indirizzo MAC della vittima Bob.
L'argomento -S determina l'indirizzo IP di origine, in questo caso 2.2.2.2 (è facoltativo e arbitrario).
Se non specificato, verrà preso l'indirizzo IP configurato nella scheda di rete.
L'indirizzo IP 1.1.1.1 è l'indirizzo di destinazione e poiché l'obiettivo è solo quello di "confondere lo Switch", il valore selezionato è totalmente arbitrario ma obbligatorio.
Questo comando genera traffico ARP con sorgente MAC AA: BB: CC: 11: 22: 33:

INGRANDIRE

Una volta che la porta dell'attaccante è associata all'indirizzo MAC di Bob, tutti i frame indirizzati a Bob verranno instradati alla porta dell'attaccante:

INGRANDIRE

Da questo punto, lo Spiker entra in race condition con Bob. Qualsiasi frame inviato da Bob forzerà l'aggiornamento della tabella CAM. Un utente malintenzionato potrebbe specificare la frequenza con cui il comando invia i messaggi ARP arpa usando il parametro -w:
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1

Il valore "1" per il parametro "-w”Indica che l'arping attende 1 microsecondo prima di inviare il messaggio successivo. In questo modo l'aggressore agirà con vantaggio per ottenere il porto della vittima.
Per quanto riguarda gli indirizzi IP di origine e di destinazione, non vi è alcuna osservazione particolare, poiché non è importante risolvere la query ARP, ma piuttosto, in termini di applicazione dell'attacco di furto di porte, sarà sufficiente che il frame indichi la fonte MAC della vittima.
Un sistema antivirus, IDS o l'ispezione del traffico di rete potrebbero rivelare attività sospette sulla rete, quindi un utente malintenzionato potrebbe preferire indicare dati coerenti con l'attività "normale" del traffico di rete:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44

In cui siMAC_ORIGEN: MAC di Bob, AA: BB: CC: 11: 22: 33
DESTINATION_IP: IP di Alice, 192.168.0.2
IP_ORGIEN: IP di Bob, 192.168.0.1
MAC_DESTINATION: MAC di Alice, AA: BB: CC: 22: 33: 44
Esaminando il traffico di rete, verranno osservate le query ARP:

INGRANDIRE

L'attaccante specifica l'indirizzo MAC di destinazione con l'indirizzo MAC di Bob (obbligatorio, poiché Bob è il sistema che cerca di "rubare la porta").
Il messaggio ARP è stato diretto direttamente all'indirizzo IP di Alice, inoltre è stato specificato l'indirizzo MAC di Alice per tentare di forzare la consegna del messaggio ARP direttamente ad Alice ed evitare un controllo Broadcast.
Infine, l'attaccante indica l'IP di Bob come indirizzo IP di origine, in modo che il messaggio ARP contenga informazioni valide nonostante non sia legittimo. Quest'ultimo potrebbe impedire il rilevamento dell'anomalia, poiché se il MAC e l'indirizzo IP di origine non corrispondono a una voce ARP precedentemente registrata, alcuni sistemi antivirus potrebbero assumere attività di ARP Spoofing.
Fino a questo punto, l'attaccante ottiene i frame che gli altri host della rete inviano alla vittima. Questa condizione scollega uno scenario di attacco Denial of Service poiché le trame non solo vengono consegnate all'aggressore ma non raggiungono mai la vittima.
Facoltativamente, l'attaccante potrebbe inoltrare i frame alla sua vittima inducendo un attacco Man in the middle, per il traffico inviato verso Bob.Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
wave wave wave wave wave