Техника и технология атак злоумышленников в распределенных информационных системах. Часть 2. Атакуем и продолжаем рекогносцировку. SQL injection - страница 4
2.3 Защита
Одними из главных контрмер против атаки типа MAC-flooding являются:
– Port Security – запрещает нескольким MAC-адресам присоединятся к одному порту (установка статического MAC-адреса).
– Реализация протокола 802.1X – позволяет применять правила фильтрации пакетов, выпускаемые централизованным сервером AAA, на основе динамического обучения клиентов.
– Фильтрация MAC — Ограничивает количество MAC-адресов на коммутаторе.
3 ARP-spoofing
3.1 Описание
Протокол ARP
Протокол ARP предназначен для преобразования IP-адресов в MAC-адреса. Познакомиться с протоколом можно в соответствующем RFC.
3.2 Реализация атаки
Для реализации данной атаки воспользуемся сетевой топологией из предыдущего задания и утилитой Ettercap, которая доступна в репозиториях Kali Linux.
Целью данной атаки будет попытка атакующего вклиниться в канал передачи данных от PC-1 до R1. Таким образом атакующий будет иметь доступ ко всему трафику, который получает и отправляет жертва.
Взглянем на ARP-таблицу на PC-1 (рисунок 3.2).
Рисунок 3.2 – ARP-таблица на компьютере жертвы
Как можно заметить IP-адрес шлюза закреплен за MAC-адресом роутера. Посмотрим на аналогичную таблицу на маршрутизаторе (рисунок 3.3).
Рисунок 3.3 – ARP-таблица коммутатора
Все данные совпадают с тем, что мы увидели на PC-1. Теперь воспользуемся программой Ettercap и проведем ARP-spoofing атаку. Можно использовать консольный интерфейс, но мы воспользуемся графической оболочкой (рисунки 3.4 – 3.5).
Листинг 3.1 – Открытие графической оболочки ettercap
Рисунок 3.4 – Начальная настройка Ettercap
Рисунок 3.5 – Главное окно Ettercap
Запустим сканирование сети, чтобы определить хосты внутри сети (рисунки 3.6 – 3.7).
Рисунок 3.6 – Трафик после нажатия кнопки сканирования
Рисунок 3.7 – Список обнаруженных хостов в сети
Как можно увидеть из рисунка 3.6 Ettercap выполняет сканирование сети, путем отправки широковещательных запросов для каждого IP-адреса. Диапазон IP-адресов для запросов вычисляется на основе IP-адреса и маски сети, которые прописаны на выбранном интерфейсе. Однако следует заметить, что в графе отправитель указан MAC-адрес злоумышленника, поэтому, чтобы в настоящей атаке скрыть свое присутствие следует сменить MAC-адрес на используемом интерфейсе утилитой macchanger.
Теперь выберем 2 цели, против которых собираемся проводить атаку ARP-spoofing (рисунок 3.8)