Projectors : на woland и на машината на Пенчев armada - DNS, http (голям файл), ssh ,web stranichka -- зона за microsoft.com woland: 10.0.1.190 (attacker) armada: 10.0.1.14 (server) straylight: 10.0.1.185 (client) netmask 255.255.255.0 gw,dns -- armada [10.0.1.14] demo, че switch-а по принцип не може да се слуша (връзка от straylight до армада, която не може да се слуша от woland) datalink/network: dsniff, http://www.monkey.org/~dugsong/dsniff/dsniff-2.3.tar.gz arp poisoning - подслушване на нечий трафик на switch (и в 2те посоки) -- ! праща се само към жертвите -- демонстрация при пращане към цялата мрежа -- spoof_gw.sh , spoof_s.gw -- цел на атаката Да подслушаме трафика в switched ethernet мрежа -- Нужни условия Ethernet мрежа със switch-ове, който нямат забит map м/у ip и mac Операционните системи нямат значение (има някои, които имат някаква защита, но тя е неефективна) -- Теоретично обяснение Праща се на всяка от атакуваните машини arp reply, който казва, че другата машина отговаря на нашия mac адрес. Така и 2те машини ще пращат пакетите за другата машина до атакуващата машина. -- Инструменти arpspoof от пакета dsniff -- Схематично представяне/участници client-а прави връзка до server-а, а attacker-а чрез arp poisoning подслушва трафика им. -- Проиграване на атаката Има 2 скрипта в docs/netsec/arp/ , които пускат arpspoof -- защити ping -R , arp -an,traceroute (detection) -- /proc/sys/net/ipv4/ip_record_route -- iptables -I PREROUTING -t mangle -j TTL --ttl-inc 1 ipt_TTL -- проверката с arp работи само в локална мрежа -- филтриране на ниво switch ethereal за разглеждане на данните urlsnarf (показва след като се затвори връзката) -- абе от това има ли особен смисъл ? tcpkill да убие връзка -- Цел на атаката Да се убие tcp връзка м/у 2 машини -- Нужни условия Ethernet мрежа, в която можем да чуваме трафика на 2мата участници Операционните системи нямат значение (от това спасение няма) -- Теоретично обяснение Пращат се RST пакети с правилен sequence номер, и така 2те машини решават, че другата е прекратила връзката. По този начин може да се спре и осъществяването на определен вид tcp връзки. -- Инструменти arpspoof, tcpkill -- Схематични представяне/участници client-а прави връзка до server-а, след което attacker-а я прекъсва с tcpkill, и го оставя включен, така че да не може да се осъществи нова връзка. -- Проиграване на атаката tcpkill host server (или armada) -- опит с browser-а да отвори сайт -- да отворим ssh сесия, и да я убием -- защити Защита по портовете на switch-а, да не допуска друга комбинация от mac/ip адрес на всеки порт tcpnice tcpn.sh -- Цел на атаката Да се забави tcp връзка м/у 2 машини -- Нужни условия Ethernet мрежа, в която можем да чуваме трафика на 2мата участници Операционните системи нямат значение (от това спасение няма) -- Теоретично обяснение Пращат се tcp пакети, които карат или да си намали window-а за предаване на данни, или source quench, или че MTU-то е 68 байта -- Инструменти arpspoof, tcpnice -- Схематични представяне/участници client-а прави връзка до server-а, след което attacker-а пуска tcpnice, и се наблюдава как намалява скоростта -- Проиграване на атаката tcpnice host server (или armada) -- download на голям файл от server-а, по възможност с нещо, което показва текущата скорост -- защити Защита по портовете на switch-а, да не допуска друга комбинация от mac/ip адрес на всеки порт dnsspoof -- Цел на атаката Да се представим като друг сайт/да прехвърлим трафика към нас -- Нужни условия Ethernet мрежа, в която можем да чуваме трафика на 2мата участници Операционните системи нямат значение (от това спасение няма) -- ??? това така ли е,май имаше някаква защита -- Теоретично обяснение Прихващат се dns заявките, и им се праща отговор, който ние сме решили. -- Инструменти arpspoof, dnsspoof -- Схематични представяне/участници Клиента отваря сайт, за който му се подава грешен dns отговор. -- Проиграване на атаката Клиента отваря определен сайт. След това му се изчиства dns cache, пуска се dnsspoof на attacker-а, и се пробва пак да се отвори същия сайт. -- browse на microsoft.com ,windowsupdate.microsoft.com -- защити Защита по портовете на switch-а, да не допуска друга комбинация от mac/ip адрес на всеки порт dnssec Idle scan демонстрация на ръка и автоматично с nmap ще се логне от woland до armada, tcpdump, да се види откъде идват пакети - tcpdump -l not port 22 от woland към stray се пуска hping -r stray и се наблюдава увеличаването на ipid сканирането на armada като се ползва stray за bouncer: hping armada -a stray -S -p 80 (слуша,ipid се увеличава с 2) hping armada -a stray -S -p 81 (не слуша, ipid си върви нормално) nmap -P0 -sI stray -p 1-100 armada (автоматичен idle scan) анализ на трафик - от stray се сваля нещо, като няблюдаваме увеличаването на ipid можем да пресметнем какъв трафик прави. Може да се тества на всеки сървър под windows Атаки в/у TCP: SYN flood -- Цел на атаката Да спрем приемането на нови TCP връзки от определена машина на определени портове -- Нужни условия Машина, която да атакуваме, с операционна система без защита срещу тази атака unreachable машина, за която да се представим някаква по скорост (и 9600 стига) връзка до машината, която атакуваме -- Теоретично обяснение Блах. -- Инструменти synk4 -- Схематични представяне/участници Атакуващия започва да праща syn пакети със фалшив source ip адрес, и препълва опашката за приемане на връзки на атакувания. -- Проиграване на атаката Демонстрира се връзка до сървъра. Пуска се synk4, показва се, че човек не може да се свърже към сървъра, след което се активират syncookies, и се показва, че може да се свърже до сървъра -- защити syncookies blind tcp spoofing SYN flood -- Цел на атаката Да направим tcp връзка до определена машина от произволен IP адрес -- Нужни условия Машина, която да атакуваме, с операционна система със слаби ISN unreachable машина, за която да се представим -- Теоретично обяснение Изпращаме SYN пакет, след което налучкваме ISN на отсрещния syn, и го acknowledge-ваме. След това пращаме нашите данни, и затваряме връзката. -- Инструменти gather, spoof (писани/дописвани от нас) -- Схематични представяне/участници Атакуващия се свързва към атакувания от произволен адрес, и му праща някаква информация. -- Проиграване на атаката ? не е ясно още, май ще го правим със smtp сървър на 98цата -- защити Да се смени операционната система Също така специално за windows Sygate personal fw 5.0 може да randomize-ва TCP ISN.