Сетевая разведка и перехват трафика с помощью ARP

Сетевая разведка и перехват трафика с помощью ARPtinified

При пентесте канального уровня важной частью является сетевая разведка. В сегодняшней статье поговорим о технике сетевой разведке (ARP Harvesting) и перехвате трафика с помощью ARP (ARP Cache Poisoning).

Еще по теме: Перехват трафика в локальной сети по проводу

Сетевая разведка и перехват трафика с помощью ARP

ARP Harvesting

Про­токол ARP может быть очень полезен в рам­ках сетевой раз­ведки. Ска­ниро­вание ARP поз­воля­ет про­вес­ти перечис­ление активных хос­тов и име­ет неболь­шое пре­иму­щес­тво перед ICMP-ска­ниро­вани­ем, пос­коль­ку тра­фик ICMP в кор­поратив­ной сети может быть огра­ничен, а то и вов­се вык­лючен.

Проб­лема ска­ниро­вания ARP в том, что это очень шум­ный спо­соб сетевой раз­ведки. С этим спо­собом нуж­но быть осто­рож­ным, что­бы не спро­воци­ровать тре­вогу сис­тем безопас­ности IPS/IDS. Да и на пор­те, к которо­му ты под­клю­чен, может быть скон­фигури­рован Storm Control, бло­киру­ющий порт при ано­маль­ном широко­веща­тель­ном тра­фике (тра­фик про­токо­ла ARP — широко­веща­тель­ный).

C помощью ARPScanner.py можем обна­ружить активные хос­ты в сети 10.1.1.0/24 и их MAC-адре­са. В моем слу­чае тес­товая сеть малень­кая, но тем не менее.

ARP Harvesting
Ре­зуль­тат ARP-ска­ниро­вания

ARP Cache Poisoning

Тех­ника этой сетевой ата­ки зак­люча­ется в исполь­зовании недос­татков про­токо­ла ARP. Абсо­лют­но любой хост в сети может вызывать ARP-зап­росы и при­нимать их, они это дела­ют без механиз­ма аутен­тифика­ции (в про­токо­ле ARP не пре­дус­мотрен механизм аутен­тифика­ции), поэто­му все хос­ты доверя­ют друг дру­гу. Зло­умыш­ленни­ку дос­таточ­но отпра­вить фаль­сифици­рован­ные отве­ты ARP в сто­рону цели A и цели B.

С помощью под­делыва­ния отве­тов ARP компь­ютер ата­кующе­го позици­они­рует­ся целью А для цели B и наобо­рот, тем самым встав посере­дине. Это соз­дает усло­вия для перех­вата тра­фика.

На кар­тинке ниже пред­став­лен при­мер отравле­ния кеша ARP.

ARP Cache Poisoning
Схе­ма ата­ки на про­токол ARP

Пе­рей­дем к прак­тике. Для начала необ­ходимо перек­лючить наш интерфейс в нераз­борчи­вый режим и раз­решить фор­вардинг меж­ду интерфей­сами. Ина­че два хос­та потеря­ют связ­ность меж­ду собой, ведь тра­фик будет идти через нас, а фор­вардин­га меж­ду интерфей­сами нет.

С помощью скрип­та ARPSpoofer.py запус­каем про­цесс отравле­ния ARP. В качес­тве пер­вой цели ука­жем машину на Windows с IP-адре­сом 10.1.1.2, в качес­тве вто­рой — FTP-сер­вер с адре­сом 10.1.1.5.

Пос­ле это­го мож­но перехо­дить к эта­пу прос­лушива­ния сетево­го тра­фика.

ARP Cache Poisoning
Пе­рех­вачен­ный тра­фик FTP

Полезные ссылки:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий