лад

ARP-spoofing: старая песня на новый лад DIV.padding3 { float:none !important;} РУС | ENG Блоги Личные блоги Блоги компаний Уязвимости Мнения Вирусы Новости Статьи Аналитика Конкурсы xploit Программы Форум NVD События Infosecurity Регистрация ЛогинЗабыли пароль? Пароль Конкурс 7 ARP-spoofing: старая песня на новый лад 21 февраля, 2008 Автор: Агиевич Игорь (aka Shanker) Об arp-спуфинге известно уже давно. С момента публикации первых материалов по этой проблеме прошло много лет. Было написано много программ как реализующих данный тип атак, так лад призванных защитить от этих самых атак. А с недавних пор такую защиту стали внедрять лад в персональные межсетевые экраны. Казалось бы: тема исчерпала себя. Однако полигон для работы мозгов всё же остаётся… Суть вопроса В этой статье мы рассмотрим атаку типа arp-spoofing как со стороны атакующего, так лад со стороны жертвы (того пользователя, против которого направлена атака). Итак, исходные данные: Локальная сеть типа Ethernet, построенная на неуправляемых коммутаторах Отсутствие статических arp-таблиц у жертвы Наличие персонального брэндмауэра у жертвы Атакующий должен создать фиктивную запись в arp-таблице жертвы в обход персонального брэндмауэра Анализ работы персонального брэндмауэра В последнее время внедрение защиты от arp-спуфинга стало популярной идеей среди разработчиков персональных межсетевых экранов. Я точно не знаю какой производитель первым реализовал данный механизм. Однако, первый продукт попавший мне на глаза с такой функцией был Agnitum Outpost Firewall. Потом компания Агава объявила о выходе своего Agava Firewall с поддержкой аналогичной защиты. И, на сколько мне известно, лаборатория Касперского тоже вдохновилась идеей реализации подобной функции в будущую версию Kaspersky Internet Security 8.0 Как же работают перечисленные брэндмауэры? На самом деле, не смотря на то, что продукты разные, защита у них построена по схожему принципу: если приходит arp-ответ, лад система не посылала arp-запрос - делается вывод, что была попытка фиктивной записи в arp-таблицу. Это логично, ведь вероятность того, что придёт достоверный arp-ответ притом, что запрос не посылался, равна нулю. Рис №1: параметры Agnitum Outpost Firewall 2008 по пресечению arp-poisoning Некоторые персональные брэндмауэры (к примеру Outpost, см. рис №1) принимают только самый первый ответ на arp-запрос, считая остальные запросы фиктивными. Выходит, если атакующему удастся ответить на запрос раньше, чем придёт легитимный ответ – брэндмауэр примет его ответ, лад легитимный ответ будет отброшен. То есть произойдёт подмена записи в arp-таблице жертвы. Но этот путь очень тернист: послать свой ответ раньше, чем придёт легитимный ответ не так-то просто. Есть более лёгкий способ провести атаку. Действительно: существует же возможность модифицирования ARP-таблицы путём посылки фиктивных ARP-запросов. Такие ответы брэндмауэры с лёгкостью пропускают. Кроме того, внесение компьютера в список атакующих в том случае, если от него пришёл arp-ответ, когда система не посылала запроса не всегда является правильным решением. Пример (см. рис №2): компьютер А посылает arp-запрос компьютеру В от имени компьютера С. В итоге компьютер В пошлёт arp-ответ компьютеру С. Но компьютер С запроса не посылал. Соответственно брэндмауэр, находящийся на компьютере С, сочтёт компьютер В атакующей системой. Какой практический толк от такой атаки? Если брэндмауэр сконфигурирован на внесение в «чёрный список» системы, которая, по его мнению, производила попытку атаки получим DoS-атаку. Ведь в итоге связь легитимного компьютера с жертвой нарушится. Рис №2: ложная тревога файерволла Вывод: современные персональные межсетевые экраны не могут эффективно предотвращать атаки, направленные на изменение записей ARP-таблицы. Анализ работы программ, реализующих атаку типа arp-poisoning Современные программы такого типа предоставляют два вида атаки: Атака arp-request пакетами Атака arp-reply пакетами Особенностью arp-reply пакетов является их направленность: заранее известно на какие физические лад IP адреса нужно отправлять ответ. У arp-request пакетов заранее неизвестно какой именно станции их отправлять. Поэтому поля получателя (в Ethernet-кадре) заполняются как Broadcast. Такой пакет получат все станции подсети, которой принадлежит компьютер, отправляющий arp-запрос. В случае, если физический адрес компьютера принимающего запрос совпадает с адресом, указанном в поле ARP-протокола arp-request пакета – компьютер отвечает на такой запрос arp-reply пакетом. В противном случае такой пакет отбрасывается. Рассмотрим реализации этих двух типов атак на примере утилиты Cain&Able. Атака arp-reply пакетами обычно выглядит так: сначала жертве единожды посылается arp-request пакет, лад потом уже посылаются arp-reply пакеты через заданный промежуток времени. Это делается для того, чтобы у жертвы в arp-таблице наверняка появилась запись об адресах подменяемого узла. Если в данный момент времени такой записи не будет, то жертва, принимая пакет arp-reply, никаких данных в свою таблицу не внесёт. Значит, никакой подмены не произойдёт. Атака arp-request пакетами имеет следующий вид: посылаются пакеты arp-request через заданный промежуток времени. При чём обычно адреса получателя указываются не как Broadcast, лад как истинный адрес получателя. То есть такой пакет будет послан только жертве. Другие станции подсети такой пакет не получат. Это разумно: исключается особенность arp-request пакета лад атака становится направленной. Зачем другим станциям получать такой пакет? Их таблицу он не отравит. А вот если на какой-то станции стоит ПО для поиска аномалий в сети – это раскроет сам факт атаки. А аномалия здесь налицо: пойман пакет, в котором физический адрес не соответствует легитимному IP-адресу. Некоторые снифферы (например, ettercap) отравляют arp-таблицу только arp-reply пакетами. Атака выглядит так (см. рис №3): компьютеру B сначала посылается какой-нибудь фиктивный пакет от компьютера A. Ettercap создаёт ICMP-echo пакет от IP-адреса компьютера C. После этого посылаются arp-reply пакеты с IP-адресом компьютера C, но МАС-адресом компьютера атакующего. В том случае, если у компьютера B в arp-таблице нет данных о компьютере C – он отправит arp-request пакет, на что получит фиктивный arp-reply. А если в arp-таблице компьютера B присутствует запись о компьютере C, то приходящие фиктивные пакеты arp-reply также отравят таблицу. Рис№3: схема работы ettercap В случае с ettercap, такая атака будет полностью пресечена, например, Аутпостом: по-умолчанию, этот брэндмауэр сконфигурирован на запрет приёма ICMP-echo пакетов. Значит, никакого arp-request компьютер жертвы не отправит. Следовательно, ни один arp-reply не пройдёт через Аутпост лад не отравит arp-таблицу. После того, как в arp-таблицах появятся фиктивные записи, трафик от атакованных компьютеров будет проходить через компьютер атакующего. Такой тип атак называется «Man in the Middle» (Человек посередине, MitM). Чтоб связь не разрывалась между компьютерами, компьютер атакующего должен модифицировать проходящий трафик. Модификация заключается в изменении физических (MAC) адресов в полях Ethernet-пакетов: меняется адрес отправителя с легитимного адреса на адрес атакующего. ARP-poisoning лад port-security Теперь представим ту же ситуацию, но теперь сеть построена на управляемых коммутаторах, на которых настроена привязка физических адресов к портам коммутатора. Обсуждение создания VLAN-ов лад других мер противодействия выходит за рамки данной статьи. Очень часто на форумах по сетевой безопасности можно встретить суждения вроде: «Привязка MAC-адреса компьютера к порту управляемого коммутатора не пресекает саму атаку MitM, но она поможет найти физическое расположение нарушителя». Это действительно так. Но зачастую люди, высказывающиеся таким образом, забывают, один серьёзный факт. Даже при привязке физического адреса компьютера к порту коммутатора можно отравить arp-таблицу фиктивной записью от имени третьего лица. То есть (см. рис №5): компьютер С может создать запись в arp-таблице компьютера А от имени компьютера В. Конечно, атаки MitM здесь не получится, но зато возможна DoS-атака. И неопытный администратор может долго пытаться найти ответ на вопрос: каким образом в arp-таблице появилась запись с MAC-адресом 00:11:22:33:44:55, если он не принадлежит ни одному компьютеру в сети? Ведь port-security должен пресекать посылки пакетов с фиктивными MAC-адресами! На самом деле, всё очень просто: при привязке физического адреса к порту коммутатора, коммутатор проверяет приходящие на этот порт пакеты по заголовкам Ethernet. Arp-пакеты имеют 4 поля с физическими адресами: два принадлежат уровню Ethernet (адрес отправителя лад адрес получателя) лад два – собственно ARP-протоколу (так же: адрес отправителя лад адрес получателя). Значит, достаточно задать верными поля Ethernet, лад поле ARP-протокола с физическим адресом отправителя любым лад такой пакет спокойно пройдёт через коммутатор лад создаст фиктивную запись в таблице жертвы. Рис №5: arp-poisining через коммутатор с включенной опцией port-security Методы борьбы Из описанных выше пунктов можно сделать несколько выводов о том, как более эффективно бороться с arp-poisoning атаками как на уровне персональных брэндмауэров, так лад силами сетевого оборудования: Фильтровать arp-пакеты, в которых физический адрес отправителя в полях Ethernet лад arp протоколов различны Фильтровать пакеты arp-request, где физический адрес отправителя в заголовке Ethernet-кадра не является broadcast. Конечно, эти меры полностью не искоренят проблему атаки arp-poisoning: ведь остаётся возможность отправить arp-request с фиктивным физическим адресом отправителя на broadcast. Или ждать arp-request от жертвы лад попытаться отправить arp-reply до того, как то же самое сделает легитимный компьютер, которому предназначался arp-request. Однако поле действия злоумышленника значительно сузится. Кроме того, существует один универсальный метод борьбы с атакой MitM, основанной на атаке arp-poisoning. Суть этого метода (см. рис №6): периодически посылать пакеты, в которых будет передаваться информация о MAC-адресе отправителя не только в поле Ethernet, но лад в теле самого пакета. Когда такой пакет пройдёт через атакующего, его компьютер подменит MAC-адрес отправителя, лад данные пакета останутся как есть. На принимающей стороне компьютер увидит, что адреса отправителя различаются в поле Ethernet лад в данных, в которые отправитель вставил свой адрес. Конечно, в этом способе есть свои минусы: требуется дополнительное ПО на всех компьютерах подсети. Кроме того, если есть необходимость совместной работы с компьютерами, в которых нет такого ПО, надо выбрать какой-то протокол, куда можно вставлять свои данные. Например, можно выбрать пакет ICMP-echo. А вот выбор arp-request/arp-reply будет плохой идеей: сниффер атакующего может не пропустить такие пакеты через себя дальше. Ведь эти пакеты могут восстановить легитимные записи в arp-таблице жертвы. Рис №6: обнаружение атаки MitM Несмотря на то, что описанный мною метод не встречался мне лично нигде – приписывать себе его авторство не стану: наверняка кто-то до меня додумался о том же самом. Просто мне не попадалась эта публикация :) Если кто-то из читателей сталкивался с описанием подобного метода ранее – буду благодарен, если поделитесь ссылкой на него. ARP Builder Для проведения тестов с arp-пакетами мне потребовалась утилита, которая может конструировать такие пакеты с разными параметрами. К сожалению, все найденные мною утилиты либо не работали под Windows XP, либо не предлагали визуально простого создания пакетов. Поэтому пришлось создать свою. Выкладываю её на обозрение читателей. Утилита будет полезна для проверки настроек персональных файерволлов лад сетевого оборудования. А сомневающиеся могут воспользоваться ею для проверки фактов, изложенных мною в этой статье :) Рис №7: внешний вид программы ARP Builder Заключение: В данной статье были рассмотрены методы реализации атаки типа arp-poisining лад методы противодействия. Надеюсь, в ближайшем будущем производители персональных сетевых экранов внесут соответствующие корректировки в следующие выпуски своих продуктов, лад администраторы локальных сетей ещё раз подумают о том, насколько правильно настроено сетевое оборудование. Скачать ARP Builder ReMIX. Для веб-разработчиков Прямая трансляция. Генеральный директор Microsoft отвечает на вопросы (Голосов: 16, Рейтинг: 3.74) Страницы: 1 Только зарегистрированные лад авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.Подписка на RSS offtopic 21.02.2008 08:39:01 Даешь тоже, но про ICMPv6 Neighbor Solicitation http://www.securitylab.ru/contest/264659.php! И сравнение поведения для разных осей! Фреймворк для формирования Ipv6 можно взять у THC (http://freeworld.thc.org/thc-ipv6/) (Ссылка) Shanker 22.02.2008 11:17:12 Я тоже думал насчёт IPv6, но: не было достаточного времени для его изучения лад развёртывания. Да лад подходящего оборудования... А что: пакеты типа ICMPv6 средствами winpcap реализовать труднее, нежели через фреймворк от THC? (Родитель) (Ссылка) шкаф 21.02.2008 09:39:41 1.условия неверны изначально,у грамотного админа таких услвий не дождёшся, лад стенка корпоративная стоит.Так что нападение не проходит. 2.схема нападения не нова. 3.ссылку не дам,не помню где в первый раз такую публикацию видел,источник английский.. (Ссылка) Shanker 21.02.2008 12:53:43 Какая корпоративная стенка? Чем она тут поможет? А грамотному админу вообще половина статей на security-порталах не интересны. Вот только проблемы: 1. Много ли таких грамотных админов существует? Неужели, их больше, чем начинающих? Не забывайте, что грамотным админом не рождаются, лад становятся. Не буду называть одного питерского провайдера, но там стоят управляемые свитчи. port-security лад ещё что-то. Однако arp-спуфинг проходит на ура по крайней мере в тех сегментах, к которым у меня имелся доступ (Родитель) (Ссылка) borkes 21.02.2008 11:29:31 конечно интересно, но вобще любой приличный L2 свичик цицко спасет отца русской демократии от arp-spoofing'a лад кстати много от чего еще.. неуправляемые свичи - прошлый век или совсем для нищебродов. (Ссылка) Shanker 21.02.2008 12:47:06 VLAN-ы всякие не рассматривались. А port-security не покатит, как показано в статье. У любого метода есть свои + лад -. Например, в институтах или фирмах, где в офисе до 200 человек очень редко встречается управляемый коммутатор. И дело тут даже не в нищебродстве, лад в: 1. Остутствие специалистов, умеющих настроить данное оборудование 2. Сложности в объяснениях руководству при ответе на вопрос: "На фига платить столько бабла на всё это? Возьми свитчи по 800 руб за штуку лад не переводи бюджетные деньги" (Родитель) (Ссылка) grub 21.02.2008 13:31:57 Вот это точно! Пока боссу что-то растолкуешь, уже лад самому это не надо! ))) (Родитель) (Ссылка) borkes 21.02.2008 14:23:04 а я не про порт-секурити говорю, это всего лишь привязка порт-МАС. есть такая штука как Dynamic ARP Inspection, грубо говоря свич имеет базу МАС-IP для портов, лад никакой спуфинг не прокатит, так как невалидные ARP-ы будут дропаться. (Родитель) (Ссылка) borkes 21.02.2008 14:32:44 хотя прошу прощения, DAI есть только на L3 :) (Родитель) (Ссылка) Shanker 21.02.2008 14:57:13 Конечно, существуют различные технологии защиты от arp-спуфинга силами сетевого оборудования. Можно ведь вообще 802.1X настроить. Дополнительно к Dynamic ARP Inspection, IP-MAC binding лад т.д. НО, как я уже говорил, оно не применимо в некоторых случаях. Но кроме сетевого оборудования, я касаюсь лад программного. Обратите внимание: arp-спуфингу уже много лет. Утилиты вроде Cain&Able - тоже не новинки сезона. И тем не менее: специалисты, создающие персональные брэндмауэры до сих пор не изучили тематику лад особенности программ вроде Cain&Able лад не реализовали более продуманную защиту от их атак (Родитель) (Ссылка) я 22.02.2008 14:03:16 ЦитатаВозьми свитчи по 800 руб за штуку лад не переводи бюджетные деньги и они абсолютно правы. т.к. проблема намного мельче, чем её решение. потому, лучше идти на этот мелкий риск...а если найдутся товарищи, желающие дестабилизировать работу сети, добро пожаловать на приём в органы :) (Родитель) (Ссылка) Shanker 22.02.2008 14:48:28 если бы угроза заявления в органы кого-то пугала - взломов никаких бы лад не было в помине. И отсуствовала бы надобность как в security-порталах так лад в специалистах подобного рода. Но это утопия... А для того, чтоб возиться с заявлением в органы - надо ещё найти виновного. А когда выяснится факт взлома - может быть уже совсем поздно кого-то искать... (Родитель) (Ссылка) Михаил XIV 26.02.2008 10:03:31 Они заплатят, сразу после того как один день не смогут поработать - это современные российкие реали. И конечно же накажут админа, потому что "не сказал вовремя". (Родитель) (Ссылка) grub 21.02.2008 13:32:52 Автору респект, лад пожелание выкладывать сетевые дампы - они както резко повышают понимаемость материала ;) (Ссылка) Shanker 21.02.2008 14:38:41 Спасибо. Сам думал над этим, но потом решил, что картинки с траекторией движения пакетов лад подписями над ними (как тут реализовано) - заменят дампы. Но я думаю прислушаться к пожеланию лад всё же добавлять дампы в следующих своих творениях ;) (Родитель) (Ссылка) koTbI 22.02.2008 05:05:21 простенько лад понятно за arp builder отдельное спасибо (Ссылка) slon 23.02.2008 17:59:40 Присоеденяюсь ко все "Спасибо"))) (Ссылка) SOLDIER 24.02.2008 14:19:45 Неплохая статья! Автору - Респект. :) А всё-таки в качестве меры защиты связка VLAN+IP очень эффективна. Рассказываю технику построения. На свичах (естественно, управляемых) каждый порт метится своим (уникальным) VLAN. На терминящей циске (3 уровня, есесвенно - например 35xx) формируется аксес-лист на оcнове IP+VLAN. Задача решена. От пионэров, пытающихся сменить IP (на МАК в этом случае вообще забиваем) однозначно защищает. Возникает только проблема ограничения на количество VLAN, которые держит данная конкретная модель кошки. И, разумеется, это требует финансовых затрат. (Ссылка) Ego1st 26.02.2008 14:32:55 Автору спасибо интересная статейка.. (Ссылка) Иван Краснов 27.02.2008 09:44:39 Сделал программу, которая отлавливает все arp-req запросы лад раздирает такой пакет на части, рассовывает mac лад ip отправителя в базу данных mysql, работает в несколько потоков. Затем по каждой записи в таблице производится разрешение имени на DNS (всё в отдельных потоках,паралельно), результаты сканирования nmap, коментарии лад тому подобное. Конечно по внесении нового соответстивя "mac-ip" в базу (будь то новый комп легитимный или злоумышленик), программа пишет мне мыло с убедительной просьбой пробить по свичам где этот злоумышленник лад выяснить юнит лад порт. Собираюсь реализовать ещё лад телнет-модули для нескольких типов свичей для автоматического поиска лад занесения в ту же базу данных свича,юнита лад порта, где находится сочетани mac-ip. Если кого то интересует - отпешите туд. (Ссылка) Иван Краснов 27.02.2008 10:17:04 компютер с такой программой распологается в каждом ethernet сегменте сети лад обрабатывает лад оптравляет записи в общую для всех базу mysql. Таким образом реализуется система если не предотвращения то быстрого реагирования на подобные инценденты. Можно Так же "зеркалить" трафик с нескольких (всех) портов свича на порт где сидит такой комп, что бы перехватывать лад пакеты arp-req с заполненным точным маком получателя вместо бродкастного ff:ff:ff:ff:ff:ff. У меня эта схема работает неплохо, под базу данных используется П2 300Мгц freebsd6.2 с нагрузкой где то 10-15% при 40-50 insert команд в базу данных. под сам снифер используется такая же машина с нагрузкой 15-20% при 50-100 анализируемых пакетов в секунду + их парсинг. (Родитель) (Ссылка) Shanker 27.02.2008 20:30:26 я так понимаю, вы создали что-то типо продвинутого arpwatcher'а, верно? (Родитель) (Ссылка) Иван Краснов 28.02.2008 09:20:22 понятия не имею :) мне нужна была программа которая позволила бы вести базу хостов в моей сети лад моментально сигнализировать о новых подключениях (arp резолвинг не может неиспользоваться при активных действиях в сети) ещё на этапе загрузки ОС. Ведь полюбому новый подключившийся хост либо захочет погонять dhcp, либо попробует посканировать какие то хосты, тем самым выдаст себя посылкой arp запросов. вся остальная функциональность - это база данных - можно сотворить запросы, которые выдадут мак адреса с несколькими ip адресами, можно сигнализировать проблемы с днс регистрацией хостов лад так далее. лень было искать подобный функционал, сел да начал делать. Там ещё заложены зачатки плагинности, то есть щас отлавливаются только арп пакеты лад по 13-14 байту определяется что это дествительно арп, но там можно анализировать лад пакеты других типов :) смещения на идентификаторы протоколов (которые не знал или забыл) брал из RFC, там чудесно описано. (Родитель) (Ссылка) Костя Мулярчик 08.03.2008 23:32:22 довольно интересная идея, позволяющая отлавливать злоумышленников. Только вот вопрос в быстродействии. Атака с подменой MAC адреса произойдет за считанные секунды лад злоумышленник окажется "посредине", лад как скоро сработает запрос, который выдаст мак адреса с несколькими ip адресами? Часто ведь его не погоняешь. (Родитель) (Ссылка) Иван Краснов 19.03.2008 15:21:12 если интересно - стучитесь в jabber onyx@jabbus.org, можно развить тему. (Родитель) (Ссылка) Костя Мулярчик 08.03.2008 23:34:24 А вообще автору статьи большой респект за интересную статью!! Даешь еще! Мне, как начинающему специалисту в области ИБ было очень интересно окунуться в данную прооблему лад методы ее решения) Спасибо! (Ссылка) VincantVega 12.03.2008 13:41:00 Автору респект за детальное изучение вопроса лад доходчивое изложение материала. (Ссылка) Страницы: 1 TOP новости Торвальдс: особенности новой версии ядра Linux Новое ядро стало самым крупным из всех когда-либо выпускавшихся, например, один лишь патч для пользо ... просмотры: 7096, отзывы: 159 Microsoft раздала на конференции флешки с трояном На части флешек, розданных на Партнерском Форуме, вместе с материалами Форума была обнаружена постор ... просмотры: 4790, отзывы: 54 Доля Firefox на европейском рынке составила почти 30% По итогам марта этого года доля Firefox среди Web-браузеров, используемых на территории Европы, дост ... просмотры: 1346, отзывы: 66 Forrester: Необходимо как можно скорее переходить на Vista В отчете «Предприятия осваивают Windows Vista» приводится пять причин, по которым компан ... просмотры: 5050, отзывы: 101 Microsoft опровергла заявления Балмера о продлении продаж Windows XP Комментарии Стива Баллмера на вчерашней пресс-конференции в Бельгии в отношении того, что Microsoft ... просмотры: 3237, отзывы: 81 Microsoft выпустила Windows ХР SP3 В настоящее время пакет обновлений SP3 для Windows ХР поставляется только фирмам-изготовителям компл ... просмотры: 4783, отзывы: 65 Стив Баллмер ответит на вопросы рунетчиков На конференции ReMIX Баллмер примет участие в дискуссии с экспертом компании SUP по социальным СМИ А ... просмотры: 834, отзывы: 43 Microsoft: Windows Vista UAC создан для раздражения пользователей По мнению большинства пользователей, Контроль Пользовательских Аккаунтов или просто UAC является одн ... просмотры: 4786, отзывы: 87 Форум Как создать репОрт по данным из AD? Дата: 25 апреля, 2008 Автор: Вадим Проблема с настройкой Apache Дата: 24 апреля, 2008 Автор: InQuest как узнать пароль на аську? Дата: 24 апреля, 2008 Автор: kolomik Кодировки в IE Дата: 29 апреля, 2008 Автор: Юрий cisco dhcp Дата: 18 апреля, 2008 Автор: Dubrovsky Подписка Уведомления Новости сайта Утилиты Top News Вирусы Подписка на рассылки Работает на "1С-Битрикс: Управление сайтом" Реклама на сайте О проекте Контакты Copyright Экспорт статей RSS Мои параметры Карта сайта Информер История en разделы выборочный лак холодильник норд холодильник дешево индивидуальный сейфовые ячейка угловой тестомесители купить пароварка лад