Sieci komputerowe III

Sieci komputerowe III
dr inż. Robert Banasiak, Wyższa Szkoła Gospodarki Krajowej w Kutnie
Lab 2: Ataki sieciowe: ArpSpoof oraz DNSSpoof
ARPSPOOFING
Celem ćwiczenia jest (przypomnienie) zapoznanie się z mechanizmem ataków sieciowych
ArpSpoof oraz DNSSpoof. Znajomość tych ataków umożliwi przeprowadzenie ostatniego projektu
kolejnych laboratoriach.
1. Przygotuj sieć wirtualną (VirtualBOX: brama NAT do sieci zewnętrznej + intnet do wewnątrz, host
atakujący i ofiara -> intnet) według poniższego rysunku:
Klienci sieci wewnętrznej to hosty, które mogą być zarówno pod kontrolą systemów Windows,
jak i Linux (Ubuntu, Backtrack), natomiast bramkę stanowi host pracujący pod kontrolą systemu Linux
(Ubuntu). Wobec powyższego proszę skonfigurować sieć tak, aby klientami byli Windows XP (host
atakowany) oraz Ubuntu (host atakujący).
UWAGA!! W celu uniknięcia „wyłączania się” wirtualnych interfejsów sieciowych dla
potrzeb konfiguracji protokołu IPv4 korzystamy z właściwości danego interfejsu sieciowego,
dostępnych w górnym pasku stanu. Nie konfigurujemy interfejsów przy pomocy komendy
ifconfig! Konfiguracja ta również dotyczy bramy oraz adresu serwera DNS.
Po przeprowadzonej konfiguracji sprawdzamy, czy tak skonfigurowana sieć działa w zakresie
podstawowym (za pomocą protokołu ICMP – polecenie ping.). Następnie:
1.1 Skonfigurujmy bramkę tak, aby miała dostęp do Internetu.
2. Na hoście – bramce stwórzmy plik o nazwie firewall i nadajmy mu prawa wykonywania.
2.1 Przy pomocy wiedzy z poprzednich ćwiczeń proszę skonfigurować standardowego
firewall’a na bramce wraz z maskaradą – proszę zajrzeć do instrukcji poświęconych iptables
2.2 Proszę nie zapomnieć o włączeniu przekazywania pakietów, aby umożliwić routing.
Sieci komputerowe III
dr inż. Robert Banasiak, Wyższa Szkoła Gospodarki Krajowej w Kutnie
echo "1" > /proc/sys/net/ipv4/ip_forward
2.3 Przygotowywanie hosta atakującego.
Aby umożliwić atak należy ustawić w opcjach VirtualBox kartę sieciową hosta atakującego w tryb
promiscous (Allow All). Następnie na komputerze atakującym, aby umożliwić przekazywanie pakietów
do hosta atakowanego, należy również włączyć przekazywanie pakietów.
echo "1" > /proc/sys/net/ipv4/ip_forward
Do podsłuchiwania i zatrucia tablicy ARP hosta atakowanego będą nam potrzebne następujące
pakiety: dsniff oraz ssldump. Można je pobrać bezpośrednio przy pomocy instalatora apt-get.
Dodatkowo, aby przekierować odpowiednie porty obsługujące WWW należy na hoście
atakującym ustawić odpowiednie reguły w iptables (proponuję również i tu stworzyć odpowiedni skrypt
bash i nadać mu prawo do wykonywania):
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT
iptables -A FORWARD -j ACCEPT
Można już przystąpić do ataku:
Faza 1: Zatrucie hosta atakowanego:
arpspoof -t (opcjonalnie -i ethXXX) IP_ATAKOWANEGO IP_BRAMY
Po wykonaniu tego polecenia nasza maszyna zacznie „zalewać” pakietami ARP reply host
- ofiarę, aby „przekonać” go, iż host atakujący jest bramą.
Faza 2: Przechwytywanie pakietów:
webmitm –d
Ponieważ pierwszy terminal zajęty jest „zalewaniem” pakietami ARP reply otwieramy drugi
terminal i za pomocą polecenia webmitm –d nakazujemy maszynie przechwytywanie pakietów, które
host - ofiara wysyła na nasz interfejs sieciowy, nie wiedząc, że nie jesteśmy bramą.
Faza 3: Odczyt i translacja pakietów:
ssldump -n -d -k webmitm.crt | tee ssldump.log
Chcąc podejrzeć aktualną zawartość przesyłanych pakietów z hosta - ofiary uruchamiamy
powyższą komendę. Po uruchomieniu należy w miarę szybko wejść na dowolną stronę i zalogować się
na dowolną pocztę przez WWW (hasło i login nie muszą być prawdziwe). Aby zobaczyć prawdziwy
(nieszyfrowany) wynik działania arpspoof-sniffingu trzeba znaleźć nieszyfrowany serwer pocztowy
i/lub nieszyfrowany serwis WWW.
DNSSPOOFING
Po wykonaniu poprawnego zatrucia tablicy ARP w atakowanym hoście możemy przystąpić do
zatrucia jego wewnętrznej tablicy DNS, a którą jego system komunikuje się w pierwszej kolejności
Sieci komputerowe III
dr inż. Robert Banasiak, Wyższa Szkoła Gospodarki Krajowej w Kutnie
poszukując poprawnego adresu IP dla wybranej nazwy domenowej. Aby zatruć tablicę DNS
atakowanego hosta należy utworzyć plik, który będzie zawierał listę „oszukanych wpisów DNS” (nazwa
dowolna). Powinien on wyglądać następująco:
111.222.333.444
*.zatruwamy.dns.pl
Przykład:
(trzeba ustalić i podać tu Adres_dns_WSGK)
*.google.pl
Jeśli mamy utworzony plik z listą wpisów DNS uruchamiamy dnsspoof komendą:
dnsspoof –i INTERFEJS_KARTY_SIECIOWEJ_ATAKUJĄCEGO –f NAZWA_PLIKU_Z_LISTĄ
Przykład:
dnsspoof –i eth1 –f list
Proszę wejść teraz na stronę www.google.pl na zaatakowanym komputerze. 