Port stealing là một loại tấn công, nơi mà bất kỳ ai đó có thể "đánh cắp" lưu lượng được direted đến một cổng của switch Ethernet. các cuộc tấn công này cho phép một người nào đó có thể nhận các gói tin ban đầu trước khi được chuyển tới một máy tính khác.
Để hiểu Port stealing đầu tiên bạn phải hiểu làm thế nào Ethernet, chuyển mạch Ethernet và cách chúng làm việc.
Đầu tiên, đó là địa chỉ MAC, đó là địa chỉ duy nhất của mỗi máy tính được kết nối với một mạng Ethernet, và được ghi lại trong các adapter của mạng. khung Ethernet có hai địa chỉ MAC đóng dấu cho nó: một là địa chỉ nguồn, trong đó xác định các máy tính gửi các khung; và một trong những cái khác là địa chỉ đích, đó là địa chỉ của máy tính mà các khung đã được chuyển giao.
Trong những ngày đầu của Ethernet ra đời tới giữa các năm 1990 tất cả các khung đã được gửi đến tất cả mọi người, sử dụng một phương tiện truyền thông chia sẻ, chẳng hạn như một dây cáp đồng trục, vì vậy mọi người có thể nghe tất cả các tín hiệu. Điều này có một số vấn đề về an ninh đó là là một ai đó trong số họ dùng chuyển mạch Ethernet tránh tình trạng trên người dùng cách cách phân đoạn mạng. Cách mà mọi máy tính hiện nay có cổng riêng của nó để kết nối với internet.
Một chuyển mạch Ethernet có thể biết ai là người kết nối với một cổng. Nói như vậy nghĩ là bằng cách lắng nghe lưu lượng qua cổng mạng. Ngay khi máy tính của bạn gửi một dữ liệu qua Ethernet - dữ liệu bất kỳ - switch nhìn vào địa chỉ nguồn và ghi nó vào một bảng. Khi nhận được một khung được dành cho các máy tính của bạn, nó sẽ gửi các khung chỉ cho bạn. Các máy tính trong các cổng khác không nhận được cùng một khung.
Một khi bạn hiểu cách hoạt động đến thời điểm này thì tấn công Port stealing trở nên dễ hiểu. Một kẻ tấn công được kết nối với một cổng của switch, và như vậy, anh ta bị chặn xem lưu lượng dữ liệu của bạn. Nhưng những kẻ tấn công có thể gửi các khung giả để chuyển đổi, có chứa địa chỉ MAC của bạn là địa chỉ nguồn. hacker đang giả mạo máy tính của bạn, và dẫn tới chuyển đổi bị nhầm lẫn. Việc chuyển đổi thường truyền các frame đến port cuối cùng mà dường như đích của địa chỉ MAC, và nếu kẻ tấn công đang gửi nhiều dữ liệu, anh ta sẽ nhận được dữ liệu của bạn ở vị trí của bạn.
Những gì xảy ra tiếp theo phụ thuộc vào ý định của kẻ tấn công. Anh ta có thể nhận được gói tin của bạn và giữ nó cho riêng mình. Tuy nhiên, hacker cũng có thể gửi các gói tin trở lại một vài phút sau đó, do đó bạn nhận được nó, với một chút chậm trễ, và không có cách nào để xác định rằng nó đã bị xâm nhập.
Port stealing dựa trên thực tế rằng việc chuyển đổi cần phải cập nhật bảng địa chỉ của nó năng động, bởi vì các mạng thực sự không phải là hoàn toàn tĩnh. Ví dụ, nếu bạn di chuyển máy tính của bạn từ một cổng vào cổng khác, bạn mong muốn lưu lượng được gửi đến cổng mới thay cho cái cũ. Tuy nhiên, có một số cấu hình cao cấp hơn mà bạn có thể áp dụng cho một chuyển đổi để làm cho loại hình tấn công này khó khăn hơn để thực hiện. Các tính năng này là điển hình của thiết bị chuyển mạch "entreprise layer"
Nhưng đồng thời, điều này không phải là một cuộc tấn công rất hữu ích cho các mạng nhỏ, vì liên quan đến rất nhiều công việc để nắm bắt chỉ một lượng nhỏ của lưu lượng mạng.
Đối với hình thức tấn công dạng này chúng ta có thể sử dụng công cụ ettercap
để tấn công victim bạn có thể đọc và xem thêm về công cụ này ở đây
https://github.com/Ettercap/ettercap
Bạn có thể xem video hướng dẫn tấn công loại này với video sau đây
Bảo vệ mạng với hình thức tấn công Port stealing
Sử dụng port bảo mật
Port-an ninh là một chức năng bảo mật có sẵn trên một số switch cao cấp.
Nó sẽ cho phép các thiết bị chỉ với địa chỉ MAC nhất định để kết nối với các cổng chuyển đổi, và trong trường hợp một máy là không được phép, chuyển đổi có thể có những hành động như cảnh báo cho quản trị viên với một cái bẫy SNMP hoặc tắt các cổng bị lỗi ngay lập tức.
Cấu hình bằng cách sau đây:
Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
Sau khi cấu hình switch, ta cắm một thiết bị có địa chỉ MAC 1122.3344.5566 trên cổng Fast Ethernet 0/1, mà nó sẽ chấp nhận không có địa chỉ MAC khác.
Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa1/0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272
Secure Mac Address Table
----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 1122.3344.5566 SecureSticky Fa0/1 -
----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272
Max Địa chỉ giới hạn trong hệ thống (trừ một mac mỗi cổng): 6272
Chúng tôi tháo thiết bị hiện tại của chúng tôi (MAC: 1122.3344.5566) và cắm một thiết bị (MAC: 1122.3344.9999). Như đã thấy dưới đây, việc chuyển đổi sẽ tắt máy và port đầu tiên của nó và đặt nó trong tình trạng lỗi
If you want to reactivate the port in the err-disabled state, use the following commands:
Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Ngoài ra chúng tôi khuyên cáo các bạn nên sử dụng IDS
Các bài viết có liên quan tới kỹ thuật này bạn có thể tham khảo thêm
Hiểu Về Cuộc Tấn Công Man-In-The-Middle - Phần 3: Session Hijacking
Hiểu Về Cuộc Tấn Công Man-In-The-Middle - ARP Cache Poisoning (Phần 2)
Hiểu Về Cuộc Tấn Công Man-In-The-Middle - Phần 1: DNS Spoofing
Để hiểu Port stealing đầu tiên bạn phải hiểu làm thế nào Ethernet, chuyển mạch Ethernet và cách chúng làm việc.
Đầu tiên, đó là địa chỉ MAC, đó là địa chỉ duy nhất của mỗi máy tính được kết nối với một mạng Ethernet, và được ghi lại trong các adapter của mạng. khung Ethernet có hai địa chỉ MAC đóng dấu cho nó: một là địa chỉ nguồn, trong đó xác định các máy tính gửi các khung; và một trong những cái khác là địa chỉ đích, đó là địa chỉ của máy tính mà các khung đã được chuyển giao.
Trong những ngày đầu của Ethernet ra đời tới giữa các năm 1990 tất cả các khung đã được gửi đến tất cả mọi người, sử dụng một phương tiện truyền thông chia sẻ, chẳng hạn như một dây cáp đồng trục, vì vậy mọi người có thể nghe tất cả các tín hiệu. Điều này có một số vấn đề về an ninh đó là là một ai đó trong số họ dùng chuyển mạch Ethernet tránh tình trạng trên người dùng cách cách phân đoạn mạng. Cách mà mọi máy tính hiện nay có cổng riêng của nó để kết nối với internet.
Một chuyển mạch Ethernet có thể biết ai là người kết nối với một cổng. Nói như vậy nghĩ là bằng cách lắng nghe lưu lượng qua cổng mạng. Ngay khi máy tính của bạn gửi một dữ liệu qua Ethernet - dữ liệu bất kỳ - switch nhìn vào địa chỉ nguồn và ghi nó vào một bảng. Khi nhận được một khung được dành cho các máy tính của bạn, nó sẽ gửi các khung chỉ cho bạn. Các máy tính trong các cổng khác không nhận được cùng một khung.
Một khi bạn hiểu cách hoạt động đến thời điểm này thì tấn công Port stealing trở nên dễ hiểu. Một kẻ tấn công được kết nối với một cổng của switch, và như vậy, anh ta bị chặn xem lưu lượng dữ liệu của bạn. Nhưng những kẻ tấn công có thể gửi các khung giả để chuyển đổi, có chứa địa chỉ MAC của bạn là địa chỉ nguồn. hacker đang giả mạo máy tính của bạn, và dẫn tới chuyển đổi bị nhầm lẫn. Việc chuyển đổi thường truyền các frame đến port cuối cùng mà dường như đích của địa chỉ MAC, và nếu kẻ tấn công đang gửi nhiều dữ liệu, anh ta sẽ nhận được dữ liệu của bạn ở vị trí của bạn.
Những gì xảy ra tiếp theo phụ thuộc vào ý định của kẻ tấn công. Anh ta có thể nhận được gói tin của bạn và giữ nó cho riêng mình. Tuy nhiên, hacker cũng có thể gửi các gói tin trở lại một vài phút sau đó, do đó bạn nhận được nó, với một chút chậm trễ, và không có cách nào để xác định rằng nó đã bị xâm nhập.
Port stealing dựa trên thực tế rằng việc chuyển đổi cần phải cập nhật bảng địa chỉ của nó năng động, bởi vì các mạng thực sự không phải là hoàn toàn tĩnh. Ví dụ, nếu bạn di chuyển máy tính của bạn từ một cổng vào cổng khác, bạn mong muốn lưu lượng được gửi đến cổng mới thay cho cái cũ. Tuy nhiên, có một số cấu hình cao cấp hơn mà bạn có thể áp dụng cho một chuyển đổi để làm cho loại hình tấn công này khó khăn hơn để thực hiện. Các tính năng này là điển hình của thiết bị chuyển mạch "entreprise layer"
Nhưng đồng thời, điều này không phải là một cuộc tấn công rất hữu ích cho các mạng nhỏ, vì liên quan đến rất nhiều công việc để nắm bắt chỉ một lượng nhỏ của lưu lượng mạng.
Đối với hình thức tấn công dạng này chúng ta có thể sử dụng công cụ ettercap
để tấn công victim bạn có thể đọc và xem thêm về công cụ này ở đây
https://github.com/Ettercap/ettercap
Bạn có thể xem video hướng dẫn tấn công loại này với video sau đây
Bảo vệ mạng với hình thức tấn công Port stealing
Sử dụng port bảo mật
Port-an ninh là một chức năng bảo mật có sẵn trên một số switch cao cấp.
Nó sẽ cho phép các thiết bị chỉ với địa chỉ MAC nhất định để kết nối với các cổng chuyển đổi, và trong trường hợp một máy là không được phép, chuyển đổi có thể có những hành động như cảnh báo cho quản trị viên với một cái bẫy SNMP hoặc tắt các cổng bị lỗi ngay lập tức.
Cấu hình bằng cách sau đây:
Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
Sau khi cấu hình switch, ta cắm một thiết bị có địa chỉ MAC 1122.3344.5566 trên cổng Fast Ethernet 0/1, mà nó sẽ chấp nhận không có địa chỉ MAC khác.
Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa1/0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272
Switch# show port-security interface FastEthernet 0/1 |
Port Security
Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count |
:
: : : : : : : : : : : |
Enabled
Secure-up Shutdown 0 mins Absolute Disabled 1 1 0 1 1122.3344.5566:1 0 |
Switch#show port-security address |
----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 1122.3344.5566 SecureSticky Fa0/1 -
----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272
Max Địa chỉ giới hạn trong hệ thống (trừ một mac mỗi cổng): 6272
Chúng tôi tháo thiết bị hiện tại của chúng tôi (MAC: 1122.3344.5566) và cắm một thiết bị (MAC: 1122.3344.9999). Như đã thấy dưới đây, việc chuyển đổi sẽ tắt máy và port đầu tiên của nó và đặt nó trong tình trạng lỗi
Switch# show port-security interface FastEthernet 0/1 |
Port Security
Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count |
:
: : : : : : : : : : : |
Enabled
Secure-down Shutdown 0 mins Absolute Disabled 1 1 0 1 1122.3344.9999:1 0 |
Switch#show logging |
00:06:28: 00:06:28 00:06:29: 00:06:30: |
%PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1122.3344.9999 on port FastEthernet0/1. %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down |
Switch#show interfaces status | include 0/1 |
Port ------- Fa0/1 |
Name ------------------ |
Status ------------ err-disabled |
Vlan -------- 1 |
Duplex ------ auto |
Speed ------- auto |
Type ---- 10/100BaseTX |
Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Ngoài ra chúng tôi khuyên cáo các bạn nên sử dụng IDS
Các bài viết có liên quan tới kỹ thuật này bạn có thể tham khảo thêm
Hiểu Về Cuộc Tấn Công Man-In-The-Middle - Phần 3: Session Hijacking
Hiểu Về Cuộc Tấn Công Man-In-The-Middle - ARP Cache Poisoning (Phần 2)
Hiểu Về Cuộc Tấn Công Man-In-The-Middle - Phần 1: DNS Spoofing
0 nhận xét:
Post a Comment