Sieci komputerowe III
Transkrypt
Sieci komputerowe III
Sieci komputerowe III dr inż. Robert Banasiak, Wyższa Szkoła Gospodarki Krajowej w Kutnie Lab 2: Ataki sieciowe: ArpSpoof oraz DNSSpoof ARPSPOOFING Celem ćwiczenia jest (przypomnienie) zapoznanie się z mechanizmem ataków sieciowych ArpSpoof oraz DNSSpoof. Znajomość tych ataków umożliwi przeprowadzenie ostatniego projektu kolejnych laboratoriach. 1. Przygotuj sieć wirtualną (VirtualBOX: brama NAT do sieci zewnętrznej + intnet do wewnątrz, host atakujący i ofiara -> intnet) według poniższego rysunku: Klienci sieci wewnętrznej to hosty, które mogą być zarówno pod kontrolą systemów Windows, jak i Linux (Ubuntu, Backtrack), natomiast bramkę stanowi host pracujący pod kontrolą systemu Linux (Ubuntu). Wobec powyższego proszę skonfigurować sieć tak, aby klientami byli Windows XP (host atakowany) oraz Ubuntu (host atakujący). UWAGA!! W celu uniknięcia „wyłączania się” wirtualnych interfejsów sieciowych dla potrzeb konfiguracji protokołu IPv4 korzystamy z właściwości danego interfejsu sieciowego, dostępnych w górnym pasku stanu. Nie konfigurujemy interfejsów przy pomocy komendy ifconfig! Konfiguracja ta również dotyczy bramy oraz adresu serwera DNS. Po przeprowadzonej konfiguracji sprawdzamy, czy tak skonfigurowana sieć działa w zakresie podstawowym (za pomocą protokołu ICMP – polecenie ping.). Następnie: 1.1 Skonfigurujmy bramkę tak, aby miała dostęp do Internetu. 2. Na hoście – bramce stwórzmy plik o nazwie firewall i nadajmy mu prawa wykonywania. 2.1 Przy pomocy wiedzy z poprzednich ćwiczeń proszę skonfigurować standardowego firewall’a na bramce wraz z maskaradą – proszę zajrzeć do instrukcji poświęconych iptables 2.2 Proszę nie zapomnieć o włączeniu przekazywania pakietów, aby umożliwić routing. Sieci komputerowe III dr inż. Robert Banasiak, Wyższa Szkoła Gospodarki Krajowej w Kutnie echo "1" > /proc/sys/net/ipv4/ip_forward 2.3 Przygotowywanie hosta atakującego. Aby umożliwić atak należy ustawić w opcjach VirtualBox kartę sieciową hosta atakującego w tryb promiscous (Allow All). Następnie na komputerze atakującym, aby umożliwić przekazywanie pakietów do hosta atakowanego, należy również włączyć przekazywanie pakietów. echo "1" > /proc/sys/net/ipv4/ip_forward Do podsłuchiwania i zatrucia tablicy ARP hosta atakowanego będą nam potrzebne następujące pakiety: dsniff oraz ssldump. Można je pobrać bezpośrednio przy pomocy instalatora apt-get. Dodatkowo, aby przekierować odpowiednie porty obsługujące WWW należy na hoście atakującym ustawić odpowiednie reguły w iptables (proponuję również i tu stworzyć odpowiedni skrypt bash i nadać mu prawo do wykonywania): iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT iptables -A FORWARD -j ACCEPT Można już przystąpić do ataku: Faza 1: Zatrucie hosta atakowanego: arpspoof -t (opcjonalnie -i ethXXX) IP_ATAKOWANEGO IP_BRAMY Po wykonaniu tego polecenia nasza maszyna zacznie „zalewać” pakietami ARP reply host - ofiarę, aby „przekonać” go, iż host atakujący jest bramą. Faza 2: Przechwytywanie pakietów: webmitm –d Ponieważ pierwszy terminal zajęty jest „zalewaniem” pakietami ARP reply otwieramy drugi terminal i za pomocą polecenia webmitm –d nakazujemy maszynie przechwytywanie pakietów, które host - ofiara wysyła na nasz interfejs sieciowy, nie wiedząc, że nie jesteśmy bramą. Faza 3: Odczyt i translacja pakietów: ssldump -n -d -k webmitm.crt | tee ssldump.log Chcąc podejrzeć aktualną zawartość przesyłanych pakietów z hosta - ofiary uruchamiamy powyższą komendę. Po uruchomieniu należy w miarę szybko wejść na dowolną stronę i zalogować się na dowolną pocztę przez WWW (hasło i login nie muszą być prawdziwe). Aby zobaczyć prawdziwy (nieszyfrowany) wynik działania arpspoof-sniffingu trzeba znaleźć nieszyfrowany serwer pocztowy i/lub nieszyfrowany serwis WWW. DNSSPOOFING Po wykonaniu poprawnego zatrucia tablicy ARP w atakowanym hoście możemy przystąpić do zatrucia jego wewnętrznej tablicy DNS, a którą jego system komunikuje się w pierwszej kolejności Sieci komputerowe III dr inż. Robert Banasiak, Wyższa Szkoła Gospodarki Krajowej w Kutnie poszukując poprawnego adresu IP dla wybranej nazwy domenowej. Aby zatruć tablicę DNS atakowanego hosta należy utworzyć plik, który będzie zawierał listę „oszukanych wpisów DNS” (nazwa dowolna). Powinien on wyglądać następująco: 111.222.333.444 *.zatruwamy.dns.pl Przykład: (trzeba ustalić i podać tu Adres_dns_WSGK) *.google.pl Jeśli mamy utworzony plik z listą wpisów DNS uruchamiamy dnsspoof komendą: dnsspoof –i INTERFEJS_KARTY_SIECIOWEJ_ATAKUJĄCEGO –f NAZWA_PLIKU_Z_LISTĄ Przykład: dnsspoof –i eth1 –f list Proszę wejść teraz na stronę www.google.pl na zaatakowanym komputerze.