лад

ARP-spoofing: старая песня на новый лад » CiscoLab - Лаборатория Сетей @import url(/templates/biblio/css/style.css); @import url(/templates/biblio/css/engine.css); Загрузка. Пожалуйста, подождите... RSS 2.0 Новости | Добавить в избранное CiscoLab.RU - Лаборатория сетей Главная Форум Протоколы TCP/IP Безопасность лад VPN Коммутация LAN Маршрутизация WAN MPLS Регистрация Онлайн тесты Библиотека Поиск : Логин : Пароль : Регистрация | Напомнить пароль? популярные статьи Реклама от ЯД cообщения с форума »проблемы с изи впном »501.как ограничить кол-во хост ... »VPN на Cisco ASA »CATALYST 3750ME лад IVR7200 »3560G »static лад static PAT »Фишки ICMP »ГДЕ найти нормальную доку по ... »Обновление sftware asa 5510 »Переподнятие IPSec канала SMS Копилка топ партнёров Unix.KG Добавить сайт календарь событий « Апрель 2008 »ПнВтСрЧтПтСбВс 123456789101112131415161718192021222324252627282930 Онлайн статистика Пользователей: 0 Отсутствуют. Роботов: 2 GooglebotYahoo Гостей: 6 Всех: 8 клиенты проекта » фирменный дизайн упаковки» стальные двери» Характеристики шин: летние шины данлоп - шины на все времена. Архив Март 2008 (3)Февраль 2008 (17)Декабрь 2007 (9)Октябрь 2007 (1)Август 2007 (2)Июль 2007 (11)Июнь 2007 (6)Май 2007 (10)Апрель 2007 (1)Март 2007 (22)Февраль 2007 (13)Январь 2007 (9)Декабрь 2006 (13)Ноябрь 2006 (3)Сентябрь 2006 (2) счетчики CiscoLab.RU » Безопасность лад VPN » ARP-spoofing: старая песня на новый лад ARP-spoofing: старая песня на новый лад Безопасность лад VPN Автор: Агиевич Игорь (aka Shanker)ARP-spoofing (ARP-poisoning) — техника сетевой атаки применяемая преимущественно в Ethernet, но возможная лад в других, использующих протокол ARP сетях, основанная на использовании недостатков протокола ARP лад позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена.Итак, исходные данные:Локальная сеть типа Ethernet, построенная на неуправляемых коммутаторахОтсутствие статических arp-таблиц у жертвы Наличие персонального брэндмауэра у жертвыАтакующий должен создать фиктивную запись в arp-таблице жертвы в обход персонального брэндмауэраАнализ работы персонального брэндмауэраВ последнее время внедрение защиты от arp-спуфинга стало популярной идеей среди разработчиков персональных межсетевых экранов. Я точно не знаю какой производитель первым реализовал данный механизм. Однако, первый продукт попавший мне на глаза с такой функцией был Agnitum Outpost Firewall. Потом компания Агава объявила о выходе своего Agava Firewall с поддержкой аналогичной защиты. И, на сколько мне известно, лаборатория Касперского тоже вдохновилась идеей реализации подобной функции в будущую версию Kaspersky Internet Security 8.0Как же работают перечисленные брэндмауэры? На самом деле, не смотря на то, что продукты разные, защита у них построена по схожему принципу: если приходит arp-ответ, лад система не посылала arp-запрос - делается вывод, что была попытка фиктивной записи в arp-таблицу. Это логично, ведь вероятность того, что придёт достоверный arp-ответ притом, что запрос не посылался, равна нулю.Некоторые персональные брэндмауэры (к примеру Outpost) принимают только самый первый ответ на arp-запрос, считая остальные запросы фиктивными. Выходит, если атакующему удастся ответить на запрос раньше, чем придёт легитимный ответ – брэндмауэр примет его ответ, лад легитимный ответ будет отброшен. То есть произойдёт подмена записи в arp-таблице жертвы. Но этот путь очень тернист: послать свой ответ раньше, чем придёт легитимный ответ не так-то просто. Есть более лёгкий способ провести атаку. Действительно: существует же возможность модифицирования ARP-таблицы путём посылки фиктивных ARP-запросов. Такие ответы брэндмауэры с лёгкостью пропускают.Кроме того, внесение компьютера в список атакующих в том случае, если от него пришёл arp-ответ, когда система не посылала запроса не всегда является правильным решением. Пример: компьютер А посылает arp-запрос компьютеру В от имени компьютера С. В итоге компьютер В пошлёт arp-ответ компьютеру С. Но компьютер С запроса не посылал. Соответственно брэндмауэр, находящийся на компьютере С, сочтёт компьютер В атакующей системой. Какой практический толк от такой атаки? Если брэндмауэр сконфигурирован на внесение в «чёрный список» системы, которая, по его мнению, производила попытку атаки получим DoS-атаку. Ведь в итоге связь легитимного компьютера с жертвой нарушится. Вывод: современные персональные межсетевые экраны не могут эффективно предотвращать атаки, направленные на изменение записей ARP-таблицы.Анализ работы программ, реализующих атаку типа arp-poisoningСовременные программы такого типа предоставляют два вида атаки:Атака arp-request пакетамиАтака arp-reply пакетамиОсобенностью arp-reply пакетов является их направленность: заранее известно на какие физические лад IP адреса нужно отправлять ответ. У arp-request пакетов заранее неизвестно какой именно станции их отправлять. Поэтому поля получателя (в Ethernet-кадре) заполняются как Broadcast. Такой пакет получат все станции подсети, которой принадлежит компьютер, отправляющий arp-запрос. В случае, если физический адрес компьютера принимающего запрос совпадает с адресом, указанном в поле ARP-протокола arp-request пакета – компьютер отвечает на такой запрос arp-reply пакетом. В противном случае такой пакет отбрасывается.Рассмотрим реализации этих двух типов атак на примере утилиты Cain&Able.така arp-reply пакетами обычно выглядит так: сначала жертве единожды посылается arp-request пакет, лад потом уже посылаются arp-reply пакеты через заданный промежуток времени. Это делается для того, чтобы у жертвы в arp-таблице наверняка появилась запись об адресах подменяемого узла. Если в данный момент времени такой записи не будет, то жертва, принимая пакет arp-reply, никаких данных в свою таблицу не внесёт. Значит, никакой подмены не произойдёт.Атака arp-request пакетами имеет следующий вид: посылаются пакеты arp-request через заданный промежуток времени. При чём обычно адреса получателя указываются не как Broadcast, лад как истинный адрес получателя. То есть такой пакет будет послан только жертве. Другие станции подсети такой пакет не получат. Это разумно: исключается особенность arp-request пакета лад атака становится направленной. Зачем другим станциям получать такой пакет? Их таблицу он не отравит. А вот если на какой-то станции стоит ПО для поиска аномалий в сети – это раскроет сам факт атаки. А аномалия здесь налицо: пойман пакет, в котором физический адрес не соответствует легитимному IP-адресу.Некоторые снифферы (например, ettercap) отравляют arp-таблицу только arp-reply пакетами. Атака выглядит так: компьютеру B сначала посылается какой-нибудь фиктивный пакет от компьютера A. Ettercap создаёт ICMP-echo пакет от IP-адреса компьютера C. После этого посылаются arp-reply пакеты с IP-адресом компьютера C, но МАС-адресом компьютера атакующего. В том случае, если у компьютера B в arp-таблице нет данных о компьютере C – он отправит arp-request пакет, на что получит фиктивный arp-reply. А если в arp-таблице компьютера B присутствует запись о компьютере C, то приходящие фиктивные пакеты arp-reply также отравят таблицу.В случае с ettercap, такая атака будет полностью пресечена, например, Аутпостом: по-умолчанию, этот брэндмауэр сконфигурирован на запрет приёма ICMP-echo пакетов. Значит, никакого arp-request компьютер жертвы не отправит. Следовательно, ни один arp-reply не пройдёт через Аутпост лад не отравит arp-таблицу.После того, как в arp-таблицах появятся фиктивные записи, трафик от атакованных компьютеров будет проходить через компьютер атакующего. Такой тип атак называется «Man in the Middle» (Человек посередине, MitM). Чтоб связь не разрывалась между компьютерами, компьютер атакующего должен модифицировать проходящий трафик. Модификация заключается в изменении физических (MAC) адресов в полях Ethernet-пакетов: меняется адрес отправителя с легитимного адреса на адрес атакующего.ARP-poisoning лад port-securityТеперь представим ту же ситуацию, но теперь сеть построена на управляемых коммутаторах, на которых настроена привязка физических адресов к портам коммутатора. Обсуждение создания VLAN-ов лад других мер противодействия выходит за рамки данной статьи.Очень часто на форумах по сетевой безопасности можно встретить суждения вроде: «Привязка MAC-адреса компьютера к порту управляемого коммутатора не пресекает саму атаку MitM, но она поможет найти физическое расположение нарушителя». Это действительно так. Но зачастую люди, высказывающиеся таким образом, забывают, один серьёзный факт. Даже при привязке физического адреса компьютера к порту коммутатора можно отравить arp-таблицу фиктивной записью от имени третьего лица. То есть: компьютер С может создать запись в arp-таблице компьютера А от имени компьютера В. Конечно, атаки MitM здесь не получится, но зато возможна DoS-атака. И неопытный администратор может долго пытаться найти ответ на вопрос: каким образом в arp-таблице появилась запись с MAC-адресом 00:11:22:33:44:55, если он не принадлежит ни одному компьютеру в сети? Ведь port-security должен пресекать посылки пакетов с фиктивными MAC-адресами! На самом деле, всё очень просто: при привязке физического адреса к порту коммутатора, коммутатор проверяет приходящие на этот порт пакеты по заголовкам Ethernet. Arp-пакеты имеют 4 поля с физическими адресами: два принадлежат уровню Ethernet (адрес отправителя лад адрес получателя) лад два – собственно ARP-протоколу (так же: адрес отправителя лад адрес получателя). Значит, достаточно задать верными поля Ethernet, лад поле ARP-протокола с физическим адресом отправителя любым лад такой пакет спокойно пройдёт через коммутатор лад создаст фиктивную запись в таблице жертвы.Методы борьбыИз описанных выше пунктов можно сделать несколько выводов о том, как более эффективно бороться с arp-poisoning атаками как на уровне персональных брэндмауэров, так лад силами сетевого оборудования:Фильтровать arp-пакеты, в которых физический адрес отправителя в полях Ethernet лад arp протоколов различныФильтровать пакеты arp-request, где физический адрес отправителя в заголовке Ethernet-кадра не является broadcast. Конечно, эти меры полностью не искоренят проблему атаки arp-poisoning: ведь остаётся возможность отправить arp-request с фиктивным физическим адресом отправителя на broadcast. Или ждать arp-request от жертвы лад попытаться отправить arp-reply до того, как то же самое сделает легитимный компьютер, которому предназначался arp-request. Однако поле действия злоумышленника значительно сузится.Кроме того, существует один универсальный метод борьбы с атакой MitM, основанной на атаке arp-poisoning. Суть этого метода: периодически посылать пакеты, в которых будет передаваться информация о MAC-адресе отправителя не только в поле Ethernet, но лад в теле самого пакета. Когда такой пакет пройдёт через атакующего, его компьютер подменит MAC-адрес отправителя, лад данные пакета останутся как есть. На принимающей стороне компьютер увидит, что адреса отправителя различаются в поле Ethernet лад в данных, в которые отправитель вставил свой адрес.Конечно, в этом способе есть свои минусы: требуется дополнительное ПО на всех компьютерах подсети. Кроме того, если есть необходимость совместной работы с компьютерами, в которых нет такого ПО, надо выбрать какой-то протокол, куда можно вставлять свои данные. Например, можно выбрать пакет ICMP-echo. А вот выбор arp-request/arp-reply будет плохой идеей: сниффер атакующего может не пропустить такие пакеты через себя дальше. Ведь эти пакеты могут восстановить легитимные записи в arp-таблице жертвы.ARP BuilderДля проведения тестов с arp-пакетами мне потребовалась утилита, которая может конструировать такие пакеты с разными параметрами. К сожалению, все найденные мною утилиты либо не работали под Windows XP, либо не предлагали визуально простого создания пакетов. Поэтому пришлось создать свою. Выкладываю её на обозрение читателей. Утилита будет полезна для проверки настроек персональных файерволлов лад сетевого оборудования. А сомневающиеся могут воспользоваться ею для проверки фактов, изложенных мною в этой статье :) Скачать ARP BuilderЗаключениеВ данной статье были рассмотрены методы реализации атаки типа arp-poisining лад методы противодействия. Надеюсь, в ближайшем будущем производители персональных сетевых экранов внесут соответствующие корректировки в следующие выпуски своих продуктов, лад администраторы локальных сетей ещё раз подумают о том, насколько правильно настроено сетевое оборудование.Источник: Securitylab.RU Публикация статьи с сайта разрешена только при обязательном указании источника www.ciscolab.ru Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем. Другие новости по теме: Как работает NATМалоизвестные подробности работы NATТехнологии фаерволовHacking LAYER 2 fun with Ethernet switchesИнкапсуляция ISL лад 802.1Q 68 1 2 3 4 5 (голосов: 4) автор: HunSolo - 28 февраля 2008 | Версия для печати | Просмотров: 1728 | Группа: Посетители | kozo | 4 марта 2008 08:26 ICQ: -- Интересная статья, спасибо. Регистрация: 11.02.2008 | Публикаций: 0 | Комментариев: 3 Информация Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости. Главная | Регистрация | Форум | Обратная связь Copyright © 2007 CiscoLab.RU. Design by DLETemplates.com разделы шумок дмитрий владимирович красный площадь сегодня ваттметр шарошка алмазный архыз скс флаг заказ тройник цвет гармония автоматический резка бак накопитель пбоюл лидо пекарня купить 6131 доставка хим. реагент узи тошиба сэндвич кофе-бар кофе колониальный товар информационный валаам 5440.14 (крышка) корпаративные вечеринка степ-аэробика электрокамин dimplex model silver (sp4) электропечь dimplex model elba 5440.16 (крышка) карл гиря ичп пбоюл белый кофе fargo 5004.14 (крышка) бензопила stihl билет цдкж гелусил лак управление архангельск помыть потолок бюгельные зубной протез сервис alfa laval трехмерный презентация масло форма договор суррогатный мать бюро переводчик флаг заказ блюдо фарфор kyiv apartaments rent fag подбор эмаль детский мир wow промышленный аккумулятор антенна бустер mobil cut откачка туалет ariston опт вино заказ этикетировщик переводческий бюро колодец канализационный пластиковый бензопила dolmar зал аэробика shell тонирование стеклопакетов лечение щитовидный железа купить архиватор заказать обед предохранитель пкэ шарошка алмазный кулер комп купить fifa 2006 protherm акриловый пряжа холодильник либхер горячий обед стоматологический услуга ваттметр гиря торговый калибровочный поставка холодильный камера иностранный долг rittal лад