七個網路攻擊威脅(Data Link layer)的種類原理與範例

網路攻擊威脅(Data Link Layer)的種類原理與範例

這篇文章主要說明應用 Data Link Layer的網路威脅與攻擊的方式, 原理與工具

分為下列七種

  1. Mac spoofing
  2. Mac flooding
  3. ARP poisoning
  4. DNS spoofing
  5. DNS poisoning
  6. DHCP starvation
  7. Rogue DHCP attacks

 

Physical Layer的網路威脅

 

說到實體層的網路威脅可以聯想到不可能任務電影中的許多電腦駭客行為,

直接侵入到伺服器機房的方式,直接在伺服器主機外機駭客裝置,甚至是摧毀電腦。

網路監聽 Eavesdropping是一種常見的方式,當該網路有實體的隔絕時,

可以在該網路裝置上安裝監聽的裝置,

因此駭客就可以監聽網路的訊息

 

Data Link 的威脅

Data link Layer 主要負責Mac 位址。相關的網路攻擊如下:

  1. Mac spoofing
  2. Mac flooding
  3. ARP poisoning
  4. DNS spoofing
  5. DNS poisoning
  6. DHCP starvation
  7. Rogue DHCP attacks

1. Mac Spoofing

透過假造別人Mac 位址的方式誘導其他電腦來連接。

例如:  電腦A經常到某伺服器B 下載網路更新。

駭客可以假造該伺服器的 Mac Address讓許多電腦都會連線到假造的伺服器

間接達到 Man in the Middle 的攻擊方式

使用的工具 cain and abel

2. Mac flooding

到目前為主我們說的幾個方法都是可以用來監聽或是 Man in the Middle 的攻擊,

可以在實體網路裝置上裝上竊聽裝置,也可以透過 Mac Spoofing 的方式強迫其他電腦連接到駭客電腦,

這裡我們介紹 Mac Flooding 的方式,可以達到同樣的目的。

原理是: 送出大量不同的 Mac Address,當Switch再也無法儲存這些 Mac Address與port對應關係時,

switch就會設定所有的Mac 為FFFFFFFFF也就是廣播,當switch進入廣播模式時,駭客就可以竊聽封包

實作工具 Kali Linux

Kali Linux 提供一個小工具可以在短時間內大量產生各種 Mac Address

macof   -i   eth0

WireShark 看到的Mac Flooding封包如下範例

Mac flooding

3. ARP poisoning

ARP (Address Resolution protocol) 用來IP address與 Mac Address的轉換

每台電腦都有各至的 ARP table,可以使用 arp -a指令來觀察

arp address

 

因此,ARP的攻擊原理就是將受害者電腦的 GateWay Mac 強制變成駭客電腦

如此一來受害者電腦的網路溝通就會透過駭客電腦

ARP Poisoning 攻擊實作

一樣可以使用 cain and abel

ARP poisoing

 

之後再回到受害者電腦,同樣用arp -a看 arp table

就會發現 ARP Table 多一筆駭客電腦的ARP,如下圖所示

ARP Poisoning

 

4. DNS spoofing

攻擊的原理主要也是透過  Mac Address的修改

讓使用者原本要瀏覽 www.google.com最後卻強制變成 www.facebook.com

攻擊的工具一樣可以使用 cain and abel

特別注意的是 DNS spoofing與DNS Poisoning不同的概念

雖然效果相同, 但是原理卻不同

DNS Poisoning主要是利用DNS Server Cache

DNS spoofing 主要還是在 Mac Address上運作

 

5. DHCP Starvation

當有新電腦連接到網路時候-就會發出DHCP “Discover”的訊號

DHCP也會回應並且發送分配的位置

DHCP Starvation的攻擊主要是透過發送大量的  DHCP Discover的訊號讓DHCP不能運作

當有新的電腦連接上網路時, DHCP無法分配IP address, 藉由這個方式癱瘓網路

DHCP  starvation 攻擊所使用的工具可以用

yersinia  -G

DHCP Starvation

 

 

Rogue DHCP attacks

簡單來說這種方式是利用透過在網路上架設一個駭客用的 DHCP伺服器

這個駭客用的 DHCP伺服器在分配 IP address的時候,將 gateway設定為為駭客電腦

因此駭客也可以透過這個方式擷取受害者電腦網路封包

 

Rogue DHCP攻擊工具步驟

1. Rogue DHCP Server
udhcpd/ect/udhcpd.confstart 192.168.1.50
end 192.168.1.100
opt router 192.168.1.2

udhcpd stop
udhcpd start

2. Attacker Server
echo “1” > /proc/sys/net/ipv4/ip_forward

3. iptables –flush

4. re-routing traffic
iptables -t nat -A PREROUTING -p tcp –destination -port 80 -j REDIRECT –to-port 10000

5. DHCP Starvation
dhcpstarv -i eth0 -e 192.168.1.2

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *