- MITM-атака в локальной сети
- Мощность железа
- Вот рекомендованные параметры железа:
- Разрешение маршрутизации
- Потенциальный Storm Control
- Обход трассировки (TTL Shift)
- Восстановление ARP-таблицы после атаки
- ICMP Redirect
- Конфигурация NAT
- Модуль nf_conntrack для протоколов No NAT Friendly
- Выбор масок подсетей при ARP Spoofing
- Особенность атаки при STP (MITM)
- Таблица векторов MITM-атак в локальной сети
- Заключение
MITM означает «Man-in-the-Middle» (человек посередине) – это атака, при которой злоумышленник встраивается между двумя узлами в сети и перехватывает или изменяет передаваемые данные. Это может быть использовано для прослушивания и перехват информации, вмешательства в обмен данными или подделке трафика. Сегодня поговорим о MITM-атаке в локальной сети. Я дам несколько советов, которые позволят проводить MITM более аккуратно.
Еще по теме: Перехват файлов в сети с помощью Ettercap
MITM-атака в локальной сети
MITM-атаки внутри инфраструктуры самые мощные по импакту. MITM не только позволяет перехватывать учетные записи, но и открывает возможность для Relay-атак. Но MITM одновременно и самая опасная атака с точки зрения возможности нарушить работу сети. Она не прощает ошибок.
Мощность железа
Позаботься о мощности своего железа, оно должно быть готово к тому, что через него пойдет трафик нескольких десятков легитимных хостов. Это касается и вашего интерфейса. Если вы собираетесь спуфить хосты с гигабитным интерфейсом, а у вас коннект 100 Мбайт/с, то скорость сети серьезно пострадает и может произойти коллапс. Пользователи быстро заметят, что сеть стала зависать, и позовут сисадминов, а те (если не зря получают зарплату) поймут, в чем дело. Так пентест перестанет быть секретом, и придется краснеть перед админами.
Вот рекомендованные параметры железа:
- центральный процессор от четырех ядер;
- оперативная память от 8 Гбайт;
- сетевой интерфейс с полным дуплексом, 1 Гбит/с и выше. Хорошо, если выйдет подключить Ethernet-адаптер через высокоскоростной интерфейс Thunderbolt 3/4.
Однако, скорее всего, вы упретесь в возможности порта коммутатора, к которому вы подключены. Если там линк в 1 Гбит/с, выше этого вы прыгнуть не сможете. Обязательно следите за поведением сети.
Разрешение маршрутизации
Главное правило MITM в локальной сети — разрешить маршрутизацию трафика со своей стороны:
1 |
sudo sysctl -w net.ipv4.ip_forward=1 |
Иначе при атаке легитимный трафик будет упираться в ваш хост и дальше он не пройдет, а это DoS, то есть видимый признак атаки. И снова пентест перестанет быть секретом.
Потенциальный Storm Control
Если на порте атакующего есть Storm Control с контролем трафика UCAST/MCAST/BCAST, может сработать тревога оборудования, потому что порт атакующего при MITM начнет обрабатывать гораздо больше трафика, чем ожидалось по настроенному THRESHOLD. Имейте в виду!
Обход трассировки (TTL Shift)
Смещение TTL в таблице mangle поможет спрятать IP-адрес атакующего из трассировки пакетов. MITM-атаки создают избыточный хоп, и если провести трассировку со стороны легитимной машины, то IP-адрес атакующего окажется в самой трассировке. Такой расклад событий SOC точно не оценит.
1 |
sudo iptables -t mangle -A PREROUTING -i eth0 -J TTL --ttl-inc 1 |
Восстановление ARP-таблицы после атаки
Ваш инструмент обязательно должен генерировать обратные IS-AT-кадры, которые восстанавливают состояние ARP-таблиц хостов еще до атаки. Это очень важный момент. Хост или сервис могут и не запросить ARP, они будут думать, что вы все еще их шлюз. А это DoS. Это очень важный момент, который стоит учитывать.
Кстати говоря, Ettercap и Arpspoof отлично делают эту работу, а по окончании генерируют необходимые IS-AT-кадры и восстанавливают структуру ARP-таблиц хостов (см. Сетевая разведка и перехват трафика с помощью ARP).
ICMP Redirect
Во время MITM-атаки ваша машина может генерировать пакеты ICMP Redirect, что встревожит IDS/IPS, поэтому обязательно выключайыр на своей стороне сообщения ICMP Redirect в sysctl.conf.
1 2 |
sudo sysctl -w net.ipv4.conf.all.send_redirects=0 sudo sysctl -w net.ipv4.conf.eth0.send_redirects=0 |
Конфигурация NAT
Одно из главных правил MITM — настройка NAT. Обычно атакующие обходятся одной командой:
1 |
sudo iptables -t nat -A POSTROUTING -o eth0 -J MASQUERADE |
Без настройки NAT атакующий не сможет увидеть вторую часть трафика, в которой потенциально могут находиться учетные данные. Это происходит из‑за асимметричной маршрутизации — когда трафик идет одним путем, но возвращается другим.
Благодаря маскарадингу асимметричная маршрутизация не помешает атакующему видеть трафик, идущий в обе стороны.
Модуль nf_conntrack для протоколов No NAT Friendly
Сквозь вас может ходить трафик FTP, H.323 и SIP. Это протоколы No NAT Friendly, и вам понадобится модуль nf_conntrack, чтобы они работали с NAT. При MITM атакующий должен включить NAT, чтобы видеть трафик, идущий в обе стороны.
1 |
sudo modprobe nf_conntrack |
Выбор масок подсетей при ARP Spoofing
При проведении ARP-спуфинга следите за маской подсети, с которой собираетесь работать. Если вы возьмете слишком большую маску, ваше железо может просто не выдержать нагрузки и возникнет DoS.
Особенность атаки при STP (MITM)
Присутствие STP-кадров внутри сети — одно из самых частых явлений при анализе трафика. Существуют атаки на протокол STP, связанные с инъекцией BPDU-кадров. Например, чтобы провести MITM, нужно отправить в ответ BPDU-кадр с наименьшим значением приоритета. Тогда компьютер атакующего получит роль корневого коммутатора (см. STP Root Hijacking для перехвата трафика).
Однако на деле не все так просто. При эксплуатации STP вы получите только частичную MITM, так как не весь трафик будет ходить через корневой коммутатор. Поэтому в таких случаях не рассчитывайте на большой поток трафика.
Таблица векторов MITM-атак в локальной сети
В качестве бонуса, я сделал небольшую матрицу самых эффективных атак канального уровня, от которых есть ощутимый импакт.
Атак канального уровня, конечно же, гораздо больше, но я выбрал самые толковые и эффективные векторы, от которых будет польза. Никаких DoS и прочих сомнительных вещей.
Заключение
Надеюсь, что этой статьей я смогу подарить несколько новых техник для пентестеров, а администраторы сетей повысят осведомленность.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Перехват трафика в локальной сети по проводу
- Создание стенда для атак на Active Directory
- Использование SSH-MITM для MITM-атаки на SSH