Техника и технология атак злоумышленников в распределенных информационных системах. Часть 2. Атакуем и продолжаем рекогносцировку. SQL injection. Иван Андреевич Трещев
Читать онлайн книгу.
Ettercap будет подделывать только ACK-сообщения. Если в это поле вписать диапазон адресов, например, 192.168.1.50—192.168.1.99, то Ettercap будет отсылать сообщения OFFER.
– 255.255.255.0: маска сети.
– 192.168.1.1: адрес DNS-сервера (это значение бессмысленно, но этот аргумент обязателен).
Теперь, когда ложный сервер запущен представим ситуацию, что пользователь PC-1 только включил свой компьютер в начале рабочего дня и попытался получить адрес от DHCP-сервера. Посмотрим на трафик в этот момент времени (рисунок 4.7)
Рисунок 4.7 – Процесс получение нового адреса от DHCP-сервера
Сначала Ettercap обнаружил широковещательное сообщение DISCOVER, но, поскольку мы не указали диапазон IP-адресов, он не реагировал на него.
Затем Ettercap обнаружил широковещательное сообщение REQUEST, содержащее IP-адрес, выделенный законным сервером DHCP, и отреагировало, отправив поддельный ACK клиенту с нашим настроенным адресом маршрутизатора.
В зависимости от удачи, атакующему может потребоваться попытаться второй или даже третий раз, прежде чем преуспеть (в реальной жизни будет несколько компьютеров, загружающихся вместе в начале рабочего дня, поэтому есть много шансов на успешный перехват).
Если по какой-то причине Ettercap систематически проигрывает гонку против DHCP-сервера, перенастройте DHCP-spoofing на отправку OFFER-сообщений.
Рисунок 4.8 – Сетевые настройки на PC-1
Рисунок 4.9 – Логи Ettercap
Теперь вновь попробуем аутентифицироваться на сайте (рисунки 4.10 – 4.12).
Рисунок 4.10 – Пользователь аутентифицируется на ресурсе
Рисунок 4.11 – Перехваченные пакеты
Как видно из всего вышесказанного данная атака тоже является достаточно несложной. Теперь рассмотрим методы защиты от нее.
5 DHCP Starvation
5.1 Описание
Для реализации DHCP DISCOVER flood можно воспользоваться функциональностью утилиты Yersinia. Yersinia предлагает функциональность DHCP DISCOVER flood, однако не следует путать эту атаку с фактической атакой DHCP Starvation, поскольку эффект от этой атаки является гораздо более временным (это может быть или не быть преимуществом, в зависимости от того, что вы пытаетесь достичь).
5.2 Реализация
Посмотрим состояние сетевого интерфейса на компьютере PC-1 и состояние пула DHCP до начала атаки (рисунки 5.1 – 5.2).
Рисунок 5.1 – Состояние сетевого интерфейса на PC-1 до атаки
Рисунок 5.2 – DHCP-пул роутера до атаки
На интерфейсе PC-1 находится адрес 192.168.1.189, выданный из DHCP-пула INTRANET.
Теперь запустим Yersinia (рисунок 5.3).
Рисунок 5.3 – Внешний вид графического интерфейса утилиты Yersinia
По умолчанию в программе включен MAC-spoofing. Чтобы его отключить зайдите в меню «Options».
Первым делом определим адрес DHCP-сервера в сети. Для этого выберем меню «Launch attack – DHCP – sending RAW packet» и подтвердите выбор (рисунок 5.4).
Рисунок 5.4 – Посылка одного DHCP-пакета
Программа отправила широковещательный DISCOVER запрос и в ответ получила