• 網路攻擊威脅(Data Link Layer)的種類原理與範例

    這篇文章主要說明應用 Data Link Layer的網路威脅與攻擊的方式, 原理與工具

    分為下列七種

    1. Mac spoofing
    2. Mac flooding
    3. ARP poisoning
    4. DNS spoofing
    5. DNS poisoning
    6. DHCP starvation
    7. Rogue DHCP attacks

     

    Physical Layer的網路威脅

     

    說到實體層的網路威脅可以聯想到不可能任務電影中的許多電腦駭客行為,

    直接侵入到伺服器機房的方式,直接在伺服器主機外機駭客裝置,甚至是摧毀電腦。

    網路監聽 Eavesdropping是一種常見的方式,當該網路有實體的隔絕時,

    可以在該網路裝置上安裝監聽的裝置,

    因此駭客就可以監聽網路的訊息

     

    Data Link 的威脅

    Data link Layer 主要負責Mac 位址。相關的網路攻擊如下:

    1. Mac spoofing
    2. Mac flooding
    3. ARP poisoning
    4. DNS spoofing
    5. DNS poisoning
    6. DHCP starvation
    7. Rogue DHCP attacks

    1. Mac Spoofing

    透過假造別人Mac 位址的方式誘導其他電腦來連接。

    例如:  電腦A經常到某伺服器B 下載網路更新。

    駭客可以假造該伺服器的 Mac Address讓許多電腦都會連線到假造的伺服器

    間接達到 Man in the Middle 的攻擊方式

    使用的工具 cain and abel

    2. Mac flooding

    到目前為主我們說的幾個方法都是可以用來監聽或是 Man in the Middle 的攻擊,

    可以在實體網路裝置上裝上竊聽裝置,也可以透過 Mac Spoofing 的方式強迫其他電腦連接到駭客電腦,

    這裡我們介紹 Mac Flooding 的方式,可以達到同樣的目的。

    原理是: 送出大量不同的 Mac Address,當Switch再也無法儲存這些 Mac Address與port對應關係時,

    switch就會設定所有的Mac 為FFFFFFFFF也就是廣播,當switch進入廣播模式時,駭客就可以竊聽封包

    實作工具 Kali Linux

    Kali Linux 提供一個小工具可以在短時間內大量產生各種 Mac Address

    macof   -i   eth0

    WireShark 看到的Mac Flooding封包如下範例

    Mac flooding

    3. ARP poisoning

    ARP (Address Resolution protocol) 用來IP address與 Mac Address的轉換

    每台電腦都有各至的 ARP table,可以使用 arp -a指令來觀察

    arp address

     

    因此,ARP的攻擊原理就是將受害者電腦的 GateWay Mac 強制變成駭客電腦

    如此一來受害者電腦的網路溝通就會透過駭客電腦

    ARP Poisoning 攻擊實作

    一樣可以使用 cain and abel

    ARP poisoing

     

    之後再回到受害者電腦,同樣用arp -a看 arp table

    就會發現 ARP Table 多一筆駭客電腦的ARP,如下圖所示

    ARP Poisoning

     

    4. DNS spoofing

    攻擊的原理主要也是透過  Mac Address的修改

    讓使用者原本要瀏覽 www.google.com最後卻強制變成 www.facebook.com

    攻擊的工具一樣可以使用 cain and abel

    特別注意的是 DNS spoofing與DNS Poisoning不同的概念

    雖然效果相同, 但是原理卻不同

    DNS Poisoning主要是利用DNS Server Cache

    DNS spoofing 主要還是在 Mac Address上運作

     

    5. DHCP Starvation

    當有新電腦連接到網路時候-就會發出DHCP “Discover”的訊號

    DHCP也會回應並且發送分配的位置

    DHCP Starvation的攻擊主要是透過發送大量的  DHCP Discover的訊號讓DHCP不能運作

    當有新的電腦連接上網路時, DHCP無法分配IP address, 藉由這個方式癱瘓網路

    DHCP  starvation 攻擊所使用的工具可以用

    yersinia  -G

    DHCP Starvation

     

     

    Rogue DHCP attacks

    簡單來說這種方式是利用透過在網路上架設一個駭客用的 DHCP伺服器

    這個駭客用的 DHCP伺服器在分配 IP address的時候,將 gateway設定為為駭客電腦

    因此駭客也可以透過這個方式擷取受害者電腦網路封包

     

    Rogue DHCP攻擊工具步驟

    1. Rogue DHCP Server
    udhcpd/ect/udhcpd.confstart 192.168.1.50
    end 192.168.1.100
    opt router 192.168.1.2

    udhcpd stop
    udhcpd start

    2. Attacker Server
    echo “1” > /proc/sys/net/ipv4/ip_forward

    3. iptables –flush

    4. re-routing traffic
    iptables -t nat -A PREROUTING -p tcp –destination -port 80 -j REDIRECT –to-port 10000

    5. DHCP Starvation
    dhcpstarv -i eth0 -e 192.168.1.2

     

     

     

    Posted by Tony @ 1:06 pm

  • Leave a Reply

    Your email address will not be published.