De SergiTurWiki

Contingut 1 DNS Spoofing 2 DHCP Spoofing 2.1 DHCP Snooping 3 Port Stealing (atracament de ports) 4 Altres atacs Mitm 4.1 ICMP Redirect 5 MAC Flooding 6 ARP-SPOOFING 7 Recursos

DNS Spoofing

L'atac consisteix en llançar respostes falses de resolució de DNS a les peticions de resolució DNS de les víctimes.

Dos mètodes:

• DNS "ID Spoofing": Es basa en obtenir els identificadors de petició de resolució de DNS a través d'algun atac d'sniffing. Si l'atacant pot escoltar les peticions de DNS pot intentar contestar abans que el servidor real, enganyar a la víctima i enviar la seva petició on l'atacant desitgi.
• "Cache poisoning" (envenenamiento de la cache): similar a l'anterior però dirigit als servidors de cache de DNS.

Per aquesta raó, els servidors de cache de DNS utilitzen identificadors aleatoris.Els IDS són capaços de detectar aquests atacs. DNSSec també és una solució.

DHCP Spoofing

Els paquets DHCP-REQUEST són enviats a tota la xarxa en mode broadcast i per tant poden ser escoltats per tots els dispositius de la xarxa. Un atacant pot aprofitar per respondre abans que el servidor de DHCP vàlid. L'atacant pot aprofitar per enviar informació incorrecta al client. Per exemple pot indicar-li a la màquina que el gateway és ell i capturar tot el tràfic cap a Internet de la màquina. És fàcil respondre abans que els servidors de DHCP ja que aquest fan algunes verificacions abans de respondre al client. Aquests atacs són fàcils de detectar per un IDS quan es troben múltiples respostes DHCP en una mateixa xarxa.

Ettercap pot fer atacs de DHCP Spoofing.

Intrusion Detection System:

• snort

DHCP Snooping

Els switches Cisco tenen el que anomenen DHCP Snooping ("tafaner DHCP") que permet controlar atacs d'spoofing DHCP.

Recursos:

• http://en.wikipedia.org/wiki/DHCP_Snooping
• http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html
• http://www.thtech.net/article/10
• http://www.enterprisenetworkingplanet.com/netsecur/print.php/3462211

Port Stealing (atracament de ports)

Es basa en enviar molts frames (unitats de dades del nivel 2 d'enllaç) amb l'adreça MAC de la víctima. El resultat és que el switch creu que la víctima esta connectada al port de l'atacant. Quan l'atacant rep un paquet la destinació del qual era la víctima, l'atacant genera un AR-request preguntant per la IP de la víctima. Quan la víctima respon el switch torna a conèixer la MAC de la víctima i aleshores reenviar el paquet capturat a la víctima (modificat o sense modificar). El procés es repeteix periodicament. La connexió de la víctima es degrada notablement i és un atac fàcil de detectar per un IDS. L'ús de taules estàtiques en els clients no resol el problema. El mapeig estàtic s'ha de fer al switch (port security, 802.1x, Nap o NAC)

Ettercap suporta Port Stealing.

Altres atacs Mitm

• STP Mangling
• Port stealing
• ICMP redirection
• IRDP spoofing
• Route mangling

ICMP Redirect

Com no acceptar ICMP redirects?:

Posar a 0 la variable:

$ sudo cat /proc/sys/net/ipv4/conf/all/accept_redirects

$ sudo -i
# echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

Vegeu també:

• ICMP

MAC Flooding

Ettercap o dsniff són eines que permeten fer aquest atac. Consulteu la secció Mac Flooding de l'article sobre ettercap.

Recursos:

• MAC Flooding a la wikipedia

ARP-SPOOFING

Consulteu l'article ARP-SPOOFING.

Recursos

• Ataques MITM