MITM-атака в локальной сети

MITM атака локальная сеть Ethernet

MITM означает «Man-in-the-Middle» (человек посередине) – это атака, при которой злоумышленник встраивается между двумя узлами в сети и перехватывает или изменяет передаваемые данные. Это может быть использовано для прослушивания и перехват информации, вмешательства в обмен данными или подделке трафика. Сегодня поговорим о MITM-ата­ке в локальной сети. Я дам нес­коль­ко советов, которые поз­волят про­водить MITM более акку­рат­но.

Еще по теме: Перехват файлов в сети с помощью Ettercap

MITM-ата­ка в локальной сети

MITM-ата­ки внут­ри инфраструк­туры самые мощ­ные по импакту. MITM не толь­ко поз­воля­ет перех­ватывать учет­ные записи, но и откры­вает воз­можность для Relay-атак. Но MITM одновре­мен­но и самая опас­ная ата­ка с точ­ки зре­ния воз­можнос­ти нарушить работу сети. Она не про­щает оши­бок.

Мощность железа

По­заботь­ся о мощ­ности сво­его железа, оно дол­жно быть готово к тому, что через него пой­дет тра­фик нес­коль­ких десят­ков легитим­ных хос­тов. Это каса­ется и вашего интерфей­са. Если вы собира­етесь спу­фить хос­ты с гигабит­ным интерфей­сом, а у вас кон­нект 100 Мбайт/с, то ско­рость сети серь­езно пос­тра­дает и может про­изой­ти кол­лапс. Поль­зовате­ли быс­тро заметят, что сеть ста­ла зависать, и позовут сисад­минов, а те (если не зря получа­ют зар­пла­ту) пой­мут, в чем дело. Так пен­тест перес­танет быть сек­ретом, и при­дет­ся крас­неть перед адми­нами.

Вот рекомен­дован­ные парамет­ры железа:

  1. цен­траль­ный про­цес­сор от четырех ядер;
  2. опе­ратив­ная память от 8 Гбайт;
  3. се­тевой интерфейс с пол­ным дуп­лексом, 1 Гбит/с и выше. Хорошо, если вый­дет под­клю­чить Ethernet-адап­тер через высокос­корос­тной интерфейс Thunderbolt 3/4.

Од­нако, ско­рее все­го, вы упретесь в воз­можнос­ти пор­та ком­мутато­ра, к которо­му вы под­клю­чены. Если там линк в 1 Гбит/с, выше это­го вы прыг­нуть не смо­жете. Обя­затель­но сле­дите за поведе­нием сети.

Разрешение маршрутизации

Глав­ное пра­вило MITM в локальной сети — раз­решить мар­шру­тиза­цию тра­фика со сво­ей сто­роны:

Ина­че при ата­ке легитим­ный тра­фик будет упи­рать­ся в ваш хост и даль­ше он не прой­дет, а это DoS, то есть видимый приз­нак ата­ки. И сно­ва пен­тест перес­танет быть сек­ретом.

Потенциальный Storm Control

Ес­ли на пор­те ата­кующе­го есть Storm Control с кон­тро­лем тра­фика UCAST/MCAST/BCAST, может сра­ботать тре­вога обо­рудо­вания, потому что порт ата­кующе­го при MITM нач­нет обра­баты­вать гораз­до боль­ше тра­фика, чем ожи­далось по нас­тро­енно­му THRESHOLD. Имейте в виду!

Обход трассировки (TTL Shift)

Сме­щение TTL в таб­лице mangle поможет спря­тать IP-адрес ата­кующе­го из трас­сиров­ки пакетов. MITM-ата­ки соз­дают избы­точ­ный хоп, и если про­вес­ти трас­сиров­ку со сто­роны легитим­ной машины, то IP-адрес ата­кующе­го ока­жет­ся в самой трас­сиров­ке. Такой рас­клад событий SOC точ­но не оце­нит.

Восстановление ARP-таблицы после атаки

Ваш инс­тру­мент обя­затель­но дол­жен генери­ровать обратные IS-AT-кад­ры, которые вос­ста­нав­лива­ют сос­тояние ARP-таб­лиц хос­тов еще до ата­ки. Это очень важ­ный момент. Хост или сер­вис могут и не зап­росить ARP, они будут думать, что вы все еще их шлюз. А это DoS. Это очень важ­ный момент, который сто­ит учи­тывать.

Кста­ти говоря, Ettercap и Arpspoof отлично дела­ют эту работу, а по окон­чании генери­руют необ­ходимые IS-AT-кад­ры и вос­ста­нав­лива­ют струк­туру ARP-таб­лиц хос­тов (см. Сетевая разведка и перехват трафика с помощью ARP).

ICMP Redirect

Во вре­мя MITM-ата­ки ваша машина может генери­ровать пакеты ICMP Redirect, что встре­вожит IDS/IPS, поэто­му обя­затель­но вык­лючайыр на сво­ей сто­роне сооб­щения ICMP Redirect в sysctl.conf.

Конфигурация NAT

Од­но из глав­ных пра­вил MITM — нас­трой­ка NAT. Обыч­но ата­кующие обхо­дят­ся одной коман­дой:

Без нас­трой­ки NAT ата­кующий не смо­жет уви­деть вто­рую часть тра­фика, в которой потен­циаль­но могут находить­ся учет­ные дан­ные. Это про­исхо­дит из‑за асим­метрич­ной мар­шру­тиза­ции — ког­да тра­фик идет одним путем, но воз­вра­щает­ся дру­гим.

Бла­года­ря мас­карадин­гу асим­метрич­ная мар­шру­тиза­ция не помеша­ет ата­кующе­му видеть тра­фик, иду­щий в обе сто­роны.

Модуль nf_conntrack для протоколов No NAT Friendly

Сквозь вас может ходить тра­фик FTP, H.323 и SIP. Это про­токо­лы No NAT Friendly, и вам понадо­бит­ся модуль nf_conntrack, что­бы они работа­ли с NAT. При MITM ата­кующий дол­жен вклю­чить NAT, что­бы видеть тра­фик, иду­щий в обе сто­роны.

Выбор масок подсетей при ARP Spoofing

При про­веде­нии ARP-спу­фин­га сле­дите за мас­кой под­сети, с которой собира­етесь работать. Если вы возь­мете слиш­ком боль­шую мас­ку, ваше железо может прос­то не выдер­жать наг­рузки и воз­никнет DoS.

Особенность атаки при STP (MITM)

При­сутс­твие STP-кад­ров внут­ри сети — одно из самых час­тых явле­ний при ана­лизе тра­фика. Сущес­тву­ют ата­ки на про­токол STP, свя­зан­ные с инъ­екци­ей BPDU-кад­ров. Нап­ример, что­бы про­вес­ти MITM, нуж­но отпра­вить в ответ BPDU-кадр с наимень­шим зна­чени­ем при­ори­тета. Тог­да компь­ютер ата­кующе­го получит роль кор­невого ком­мутато­ра (см. STP Root Hijacking для перехвата трафика).

Од­нако на деле не все так прос­то. При экс­плу­ата­ции STP вы получите толь­ко час­тичную MITM, так как не весь тра­фик будет ходить через кор­невой ком­мутатор. Поэто­му в таких слу­чаях не рас­счи­тывайте на боль­шой поток тра­фика.

Таблица векторов MITM-атак в локальной сети

В качестве бонуса, я сде­лал неболь­шую мат­рицу самых эффектив­ных атак каналь­ного уров­ня, от которых есть ощу­тимый импакт.

MITM локальная сеть

Атак каналь­ного уров­ня, конеч­но же, гораз­до боль­ше, но я выб­рал самые тол­ковые и эффектив­ные век­торы, от которых будет поль­за. Никаких DoS и про­чих сом­нитель­ных вещей.

Заключение

Наде­юсь, что этой стать­ей я смо­гу подарить нес­коль­ко новых тех­ник для пен­тесте­ров, а адми­нис­тра­торы сетей повысят осве­дом­ленность.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий