Oleg Petukhov, advogado na área de Direito Internacional e proteção de dados pessoais, especialista em segurança da informação segurança, proteção de informações e dados pessoais. Canal Telegram: https://t.me/protecaodaInformacao Grupo Telegram: https://t.me/protecaodaInformacao1 Site: https://legascom.ru E-mail: online@legascom.ru #proteçãodaInformação #Segurançadainformação A falsificação de ARP (envenenamento do esconderijo ARP) é um ataque usado para escutar uma rede construída no switches. Arp (inglês Address Resolution Protocol) é um protocolo de baixo nível usado em redes de computadores projetado para determinar o endereço da camada de enlace em um endereço de camada de rede conhecido. A essência desse ataque é a seguinte. O atacante envia pacotes ARP falsos a fim convencer o computador da vítima que o computador de escuta é o destino final. Em seguida, os pacotes do computador da vítima são interceptados e encaminhados para o destinatário real, o endereço MAC do remetente é substituído neles para que os pacotes de resposta também passem pelo computador de escuta. O computador de escuta se torna um "gateway" para o tráfego da vítima, e os invasores têm a oportunidade de ouvir o tráfego realizando um ataque man-in-the-middle. Vale ressaltar que, se você tentar ouvir o tráfego de vários computadores que se comunicam ativamente e, consequentemente, o estouro resultante das tabelas APR pode sobrecarregar e, como resultado, a rede pode falhar. Isso, entre outras coisas, é repleto de detecção de um ataque. Vale ressaltar também que esse ataque só pode ser implementado se você tiver acesso a uma rede local. Ou seja um atacante situado fora da rede local não poderá executar a falsificação ARP. Para implementar este ataque, ele primeiro terá que assumir o controle de uma das máquinas localizadas na LAN corporativa, e só então a partir desta máquina ele terá que envenenar o cache ARP. Você deve admitir, esta não é a maneira mais fácil de implementar um ataque. Vamos fazer um pequeno trabalho prático sobre a implementação do ARP spoofing. Então, quais serão nossos dados iniciais? Existem vários computadores conectados ao switch. Precisamos interceptar o tráfego que é transmitido entre essas máquinas. Se usarmos o utilitário tcpdump descrito anteriormente, só poderemos ver pacotes vindos de ou para nossa máquina. Concordo, não é muito informativo. A fim escutar o tráfego que vai a outros anfitriões, nós precisamos de "envenenar" o esconderijo ARP. Para resolver esse problema, precisaremos de farejadores especiais. Em nosso exemplo, usaremos o utilitário ettercap. Este aplicativo possui edições para as plataformas Windows e *nix. A interceptação pode ser realizada de até três maneiras. E se não estamos particularmente interessados nas opções padrão de MAC e IP, então o sniffing baseado em envenenamento ARP é exatamente a função que precisamos. Ao mesmo tempo, nenhum esforço é necessário para aplicá-lo: toda a configuração se resume a especificar as máquinas de escuta no destino e na origem. Sendo um intermediário, você pode não apenas interceptar pacotes de rede, mas também, usando as ferramentas da ettercap, excluí-los ou até mesmo modificá-los. Separadamente, vale destacar a função de interceptar senhas usando os protocolos criptografados SSH1, SSH2 e SSL/HTTPS. Para usá-lo, você precisa executar um programa com filtros especiais (por exemplo, para ssh assim: ettercap-F etter.filtro.ssh). Agora, na verdade, pratique. A fim escutar o tráfego trocado entre as máquinas 192.168.1.2 e 192.168.1.254, execute o seguinte comando: root@kali : # ettercap -T -M arp -L log /192.168.1.2/ /192.168.1.254/ As opções significam: – T-use a interface de texto (console) ; - M arp-use o módulo ARP-spoofing para executar o ataque; - L log-grava o log de interceptação em arquivos denominados log.*. Os argumentos especificam os endereços IP de um ou Mais Servidores Cisco ICM NT das máquinas contra que o ataque ARP-spoofing deve ser executada. O resultado desse utilitário é exibido na tela e gravado em um arquivo de texto. Para interromper o registro, pressione Q. É altamente indesejável interromper o utilitário de outras formas (por exemplo, Ctrl-Z), pois assim as tabelas ARP dessas duas máquinas permanecerão envenenadas. E como o programa intermediário ettercap não funcionará mais, a conexão entre os hosts desaparecerá, o que parecerá muito suspeito. Você pode usar o utilitário etterlog para visualizar o tráfego interceptado. O arquivo de log é denominado log.eci por padrão. É assim que, por exemplo, as credenciais interceptadas para uma caixa de correio de E-mail usando o protocolo POP 3 podem parecer. etterlog log.eci etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA Log file version : NG-0.7.3 Timestamp : Thu Jan 21 12:23:11 2012 Type : LOG_INFO 1698 tcp OS fingerprint 7587 mac vendor fingerprint 2183 known services ================================================== IP address : 192.168.15.2 MAC address : 00:04:75:75:46:B1 ... MANUFACTURER : Sohoware DISTANCE : 0 TYPE : LAN host FINGERPRINT : OPERATING SYSTEM : UNKNOWN PORT : TCP 110 | pop-3 [] ACCOUNT : user / password (192.168.15.2) ================================================== Vamos considerar também como esse utilitário funciona com uma interface gráfica. Para isso, execute o comando ettercap –G Então devemos escolher o tipo de interceptação de tráfego unificada ou em Ponte. O primeiro realiza interceptação de tráfego simples, enquanto o segundo é projetado para interferir no processo de transmissão de tráfego. Vamos escolher unificado. Em seguida, especifique a interface de rede usada. Você pode especificar as opções com e sem fio. Então precisamos decidir de quem queremos interceptar o tráfego. Para fazer isso, verifique a rede em busca de nós ativos. Para iniciar a verificação, selecione Hosts e, em seguida, procurar hosts. Obtemos uma lista de nós ativos com endereços IP e MAC. Selecione o nó desejado e clique em Add To Target 1. Há também um botão Adicionar Ao Alvo 2 nesta janela. Se quisermos interceptar apenas o tráfego entre dois nós específicos da lista, precisamos especificar o segundo nó e clicar em Adicionar ao destino 2. E se quisermos interceptar todo o tráfego para este nó, não precisamos selecionar o segundo nó. Em seguida, iniciamos a varredura pressionando Iniciar, comece a farejar. Em seguida, concluímos o processo de envenenamento por ARP selecionando envenenamento por MITM / ARP. A opção Sniff Remote Connections deve estar habilitada. Então você pode interceptar o tráfego no Wireshark, semelhante a como fizemos anteriormente. Após ter recolhido pacotes no Ettercap, você deve desabilitar o veneno ARP pressionando o sniffing do começo/parada. Um invasor, uma vez na rede, pode realizar um ataque man-in-the-middle, MitM, ou seja, tentar se tornar um intermediário entre nós legítimos. Usando o MitM, você pode implementar muitos ataques diferentes relacionados não apenas à escuta, mas também à modificação do tráfego de entrada. Mas, no contexto do tópico, implementaremos a interceptação de senhas, ao mesmo tempo em que nos familiarizaremos com mais alguns utilitários úteis do Kali Linux. Então, vamos supor que sabemos quais nós estão ativos atualmente na rede. Como a máquina do invasor atua como intermediária, primeiro precisamos permitir o encaminhamento de pacotes IP (encaminhamento de ip). Isso pode ser feito da seguinte forma: echo 1 > /proc/sys/net/ipv4/ip_forward Agora você precisa executar ARP spoofing (ou seja, a substituição de endereços MAC por determinados endereços IP). A máquina do invasor fará a mediação entre o gateway padrão e a rede local. Se o endereço do gateway for 192.168.1.1 e nosso endereço for 192.168.1.100, precisamos fazer o seguinte para substituí-lo. arpspoof –t 192.168.1.1 192.168.1.100 O utilitário arpspoof foi projetado para substituir endereços MAC. Para que o ARP spoofing funcione corretamente, é necessário fazer uma substituição na direção oposta. arpspoof –t 192.168.1.100 192.168.1.1 Em seguida, precisamos começar a interceptar o tráfego. No entanto, ao contrário dos exemplos anteriores, aqui vamos interceptar, ou melhor, exibir, Não todo o tráfego, mas apenas senhas de vários aplicativos. Para isso, usaremos o utilitário dsniff. root@kali:~# dsniff --------------- 05/21/00 10:49:10 bob -> unix-server (ftp) USER bob PASS dontlook --------------- 05/21/00 10:53:22 karen -> lax-cisco (telnet) karen supersecret --------------- 05/21/00 11:01:11 karen -> lax-cisco (snmp) [version 1] private Como resultado do nosso trabalho, interceptamos várias senhas. O Dsniff permite interceptar senhas enviadas usando HTTP, dados POST, autenticações HTTP Basic e Digest, FTP, IRC, POP, IMAP, SMTP, NTLMv1/v2 (HTTP, SMB, LDAP, etc.). Para evitar a falsificação de ARP, você pode usar o utilitário arpwatch. Este utilitário permite detectar um ataque, mas ele deve ser executado em ambas as máquinas sob ataque, caso contrário, o invasor pode tentar realizar um ataque unilateral. Além disso, o arpwatch apenas captura o ataque, mas não o impede. Cenários adicionais e manipuladores de eventos precisam ser desenvolvidos para evitar isso. Um método de proteção possível é usar o ARP estático. A tabela ARP pode ser gerada manualmente, assim torna-se não vulnerável aos ataques ARP. Para fazer isso, adicione os endereços MAC necessários à tabela. Se você desabilita o uso do ARP em interfaces de rede, a seguir somente aqueles sistemas estarão disponíveis, (1) cujos os endereços MAC são adicionados à tabela ARP de nosso nó e (2) Nosso MAC address é adicionado às tabelas ARP dos nós com o qual o tráfego é trocado. Se você não desabilita o uso do ARP em interfaces de rede, estaticamente o MAC address ajustado toma a precedência. Se o MAC address para um IP address não é especificado, uma requisição ARP está usada. Outros métodos de combate à falsificação de ARP são o uso de criptografia, bem como o uso de redes locais virtuais (VLANs). O computador do invasor pode usar o ARP-spoofing contra o computador da vítima somente se eles estiverem na mesma rede de camada de link. Se eles estiverem separados por um roteador, um ataque não é possível (um ataque ao roteador é possível, mas essa é uma questão completamente diferente). As VLANs ajudam a segmentar uma rede-para transformar uma rede em muitos fragmentos isolados no nível do link, que são interconectados por um roteador. Um ataque ARP-spoofing só é possível entre computadores na mesma VLAN. No caso o mais extremo, quando há somente dois computadores em cada VLAN: o computador próprio e o roteador, um ataque ARP−spoofing torna-se impossível em princípio. Infelizmente, essa organização de rede exige muito dos recursos do roteador e raramente é usada. Um dos principais motivos da impopularidade desse método de proteção é a necessidade de switches VLAN, bem como a necessidade de gastar tempo em Configurações adicionais de equipamentos de rede.
Компания ЛЕГАС: адвокат, юрист, жалобы в ЕСПЧ
ARP-spoofing.
Oleg Petukhov, advogado na área de Direito Internacional e proteção de dados pessoais, especialista em segurança da informação segurança, proteção de informações e dados pessoais.
Canal Telegram: https://t.me/protecaodaInformacao Grupo Telegram: https://t.me/protecaodaInformacao1 Site: https://legascom.ru E-mail: online@legascom.ru #proteçãodaInformação #Segurançadainformação
A falsificação de ARP (envenenamento do esconderijo ARP) é um ataque usado para escutar uma rede construída no switches.
Arp (inglês Address Resolution Protocol) é um protocolo de baixo nível usado em redes de computadores projetado para determinar o endereço da camada de enlace em um endereço de camada de rede conhecido.
A essência desse ataque é a seguinte. O atacante envia pacotes ARP falsos a fim convencer o computador da vítima que o computador de escuta é o destino final. Em seguida, os pacotes do computador da vítima são interceptados e encaminhados para o destinatário real, o endereço MAC do remetente é substituído neles para que os pacotes de resposta também passem pelo computador de escuta. O computador de escuta se torna um "gateway" para o tráfego da vítima, e os invasores têm a oportunidade de ouvir o tráfego realizando um ataque man-in-the-middle.
Vale ressaltar que, se você tentar ouvir o tráfego de vários computadores que se comunicam ativamente e, consequentemente, o estouro resultante das tabelas APR pode sobrecarregar e, como resultado, a rede pode falhar. Isso, entre outras coisas, é repleto de detecção de um ataque.
Vale ressaltar também que esse ataque só pode ser implementado se você tiver acesso a uma rede local. Ou seja um atacante situado fora da rede local não poderá executar a falsificação ARP. Para implementar este ataque, ele primeiro terá que assumir o controle de uma das máquinas localizadas na LAN corporativa, e só então a partir desta máquina ele terá que envenenar o cache ARP. Você deve admitir, esta não é a maneira mais fácil de implementar um ataque.
Vamos fazer um pequeno trabalho prático sobre a implementação do ARP spoofing.
Então, quais serão nossos dados iniciais?
Existem vários computadores conectados ao switch. Precisamos interceptar o tráfego que é transmitido entre essas máquinas. Se usarmos o utilitário tcpdump descrito anteriormente, só poderemos ver pacotes vindos de ou para nossa máquina. Concordo, não é muito informativo. A fim escutar o tráfego que vai a outros anfitriões, nós precisamos de "envenenar" o esconderijo ARP. Para resolver esse problema, precisaremos de farejadores especiais.
Em nosso exemplo, usaremos o utilitário ettercap. Este aplicativo possui edições para as plataformas Windows e *nix.
A interceptação pode ser realizada de até três maneiras. E se não estamos particularmente interessados nas opções padrão de MAC e IP, então o sniffing baseado em envenenamento ARP é exatamente a função que precisamos. Ao mesmo tempo, nenhum esforço é necessário para aplicá-lo: toda a configuração se resume a especificar as máquinas de escuta no destino e na origem.
Sendo um intermediário, você pode não apenas interceptar pacotes de rede, mas também, usando as ferramentas da ettercap, excluí-los ou até mesmo modificá-los. Separadamente, vale destacar a função de interceptar senhas usando os protocolos criptografados SSH1, SSH2 e SSL/HTTPS. Para usá-lo, você precisa executar um programa com filtros especiais (por exemplo, para ssh assim: ettercap-F etter.filtro.ssh).
Agora, na verdade, pratique. A fim escutar o tráfego trocado entre as máquinas 192.168.1.2 e 192.168.1.254, execute o seguinte comando:
root@kali : # ettercap -T -M arp -L log /192.168.1.2/ /192.168.1.254/
As opções significam:
– T-use a interface de texto (console) ;
- M arp-use o módulo ARP-spoofing para executar o ataque;
- L log-grava o log de interceptação em arquivos denominados log.*.
Os argumentos especificam os endereços IP de um ou Mais Servidores Cisco ICM NT das máquinas contra que o ataque ARP-spoofing deve ser executada.
O resultado desse utilitário é exibido na tela e gravado em um arquivo de texto. Para interromper o registro, pressione Q.
É altamente indesejável interromper o utilitário de outras formas (por exemplo, Ctrl-Z), pois assim as tabelas ARP dessas duas máquinas permanecerão envenenadas. E como o programa intermediário ettercap não funcionará mais, a conexão entre os hosts desaparecerá, o que parecerá muito suspeito.
Você pode usar o utilitário etterlog para visualizar o tráfego interceptado. O arquivo de log é denominado log.eci por padrão.
É assim que, por exemplo, as credenciais interceptadas para uma caixa de correio de E-mail usando o protocolo POP 3 podem parecer.
etterlog log.eci
etterlog NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Log file version : NG-0.7.3
Timestamp : Thu Jan 21 12:23:11 2012
Type : LOG_INFO
1698 tcp OS fingerprint
7587 mac vendor fingerprint
2183 known services
==================================================
IP address : 192.168.15.2
MAC address : 00:04:75:75:46:B1
...
MANUFACTURER : Sohoware
DISTANCE : 0
TYPE : LAN host
FINGERPRINT :
OPERATING SYSTEM : UNKNOWN
PORT : TCP 110 | pop-3 []
ACCOUNT : user
/ password
(192.168.15.2)
==================================================
Vamos considerar também como esse utilitário funciona com uma interface gráfica. Para isso, execute o comando
ettercap –G
Então devemos escolher o tipo de interceptação de tráfego unificada ou em Ponte. O primeiro realiza interceptação de tráfego simples, enquanto o segundo é projetado para interferir no processo de transmissão de tráfego. Vamos escolher unificado. Em seguida, especifique a interface de rede usada. Você pode especificar as opções com e sem fio.
Então precisamos decidir de quem queremos interceptar o tráfego. Para fazer isso, verifique a rede em busca de nós ativos. Para iniciar a verificação, selecione Hosts e, em seguida, procurar hosts. Obtemos uma lista de nós ativos com endereços IP e MAC. Selecione o nó desejado e clique em Add To Target 1. Há também um botão Adicionar Ao Alvo 2 nesta janela. Se quisermos interceptar apenas o tráfego entre dois nós específicos da lista, precisamos especificar o segundo nó e clicar em Adicionar ao destino 2. E se quisermos interceptar todo o tráfego para este nó, não precisamos selecionar o segundo nó.
Em seguida, iniciamos a varredura pressionando Iniciar, comece a farejar. Em seguida, concluímos o processo de envenenamento por ARP selecionando envenenamento por MITM / ARP. A opção Sniff Remote Connections deve estar habilitada.
Então você pode interceptar o tráfego no Wireshark, semelhante a como fizemos anteriormente.
Após ter recolhido pacotes no Ettercap, você deve desabilitar o veneno ARP pressionando o sniffing do começo/parada.
Um invasor, uma vez na rede, pode realizar um ataque man-in-the-middle, MitM, ou seja, tentar se tornar um intermediário entre nós legítimos. Usando o MitM, você pode implementar muitos ataques diferentes relacionados não apenas à escuta, mas também à modificação do tráfego de entrada. Mas, no contexto do tópico, implementaremos a interceptação de senhas, ao mesmo tempo em que nos familiarizaremos com mais alguns utilitários úteis do Kali Linux.
Então, vamos supor que sabemos quais nós estão ativos atualmente na rede. Como a máquina do invasor atua como intermediária, primeiro precisamos permitir o encaminhamento de pacotes IP (encaminhamento de ip). Isso pode ser feito da seguinte forma:
echo 1 > /proc/sys/net/ipv4/ip_forward
Agora você precisa executar ARP spoofing (ou seja, a substituição de endereços MAC por determinados endereços IP). A máquina do invasor fará a mediação entre o gateway padrão e a rede local. Se o endereço do gateway for 192.168.1.1 e nosso endereço for 192.168.1.100, precisamos fazer o seguinte para substituí-lo.
arpspoof –t 192.168.1.1 192.168.1.100
O utilitário arpspoof foi projetado para substituir endereços MAC.
Para que o ARP spoofing funcione corretamente, é necessário fazer uma substituição na direção oposta.
arpspoof –t 192.168.1.100 192.168.1.1
Em seguida, precisamos começar a interceptar o tráfego. No entanto, ao contrário dos exemplos anteriores, aqui vamos interceptar, ou melhor, exibir, Não todo o tráfego, mas apenas senhas de vários aplicativos. Para isso, usaremos o utilitário dsniff.
root@kali:~# dsniff
---------------
05/21/00 10:49:10 bob -> unix-server (ftp)
USER bob
PASS dontlook
---------------
05/21/00 10:53:22 karen -> lax-cisco (telnet)
karen
supersecret
---------------
05/21/00 11:01:11 karen -> lax-cisco (snmp)
[version 1]
private
Como resultado do nosso trabalho, interceptamos várias senhas.
O Dsniff permite interceptar senhas enviadas usando HTTP, dados POST, autenticações HTTP Basic e Digest, FTP, IRC, POP, IMAP, SMTP, NTLMv1/v2 (HTTP, SMB, LDAP, etc.).
Para evitar a falsificação de ARP, você pode usar o utilitário arpwatch. Este utilitário permite detectar um ataque, mas ele deve ser executado em ambas as máquinas sob ataque, caso contrário, o invasor pode tentar realizar um ataque unilateral. Além disso, o arpwatch apenas captura o ataque, mas não o impede. Cenários adicionais e manipuladores de eventos precisam ser desenvolvidos para evitar isso.
Um método de proteção possível é usar o ARP estático. A tabela ARP pode ser gerada manualmente, assim torna-se não vulnerável aos ataques ARP. Para fazer isso, adicione os endereços MAC necessários à tabela.
Se você desabilita o uso do ARP em interfaces de rede, a seguir somente aqueles sistemas estarão disponíveis, (1) cujos os endereços MAC são adicionados à tabela ARP de nosso nó e (2) Nosso MAC address é adicionado às tabelas ARP dos nós
com o qual o tráfego é trocado.
Se você não desabilita o uso do ARP em interfaces de rede, estaticamente o MAC address ajustado toma a precedência. Se o MAC address para um IP address não é especificado, uma requisição ARP está usada.
Outros métodos de combate à falsificação de ARP são o uso de criptografia, bem como o uso de redes locais virtuais (VLANs).
O computador do invasor pode usar o ARP-spoofing contra o computador da vítima somente se eles estiverem na mesma rede de camada de link. Se eles estiverem separados por um roteador, um ataque não é possível (um ataque ao roteador é possível, mas essa é uma questão completamente diferente).
As VLANs ajudam a segmentar uma rede-para transformar uma rede em muitos fragmentos isolados no nível do link, que são interconectados por um roteador. Um ataque ARP-spoofing só é possível entre computadores na mesma VLAN. No caso o mais extremo, quando há somente dois computadores em cada VLAN: o computador próprio e o roteador, um ataque ARP−spoofing torna-se impossível em princípio. Infelizmente, essa organização de rede exige muito dos recursos do roteador e raramente é usada.
Um dos principais motivos da impopularidade desse método de proteção é a necessidade de switches VLAN, bem como a necessidade de gastar tempo em Configurações adicionais de equipamentos de rede.