ћерион Ќетворкс

5 минут чтени€

јтака MITM обычно выполн€етс€ во внутренней корпоративной сети. «лоумышленник использует этот тип атаки с целью перехвата конфиденциальной информации, котора€ передаетс€ между устройствами.  ак вы понимаете, Ђчеловек посерединеї (Man-in-the-middle) Ч это просто указание на то, где находитс€ злоумышленник. ќн располагаетс€ между устройством (устройствами) жертвы и получателем. ћашина злоумышленника используетс€ дл€ перехвата всех сообщений между жертвой получателем.

Ѕольшинство пользователей не знают о незащищенных сетевых протоколах, которые используютс€ дл€ передачи их сообщений от источника к получателю. Ёти незащищенные протоколы передают сообщени€ в виде обычного текста, позвол€€ злоумышленнику перехватить и просмотреть фактические данные.

„тобы лучше пон€ть, как работает MITM-атака, давайте посмотрим на следующий рисунок:

јтака MITM

 ак показано на предыдущем рисунке, если PC1 захочет отправить какие-либо данные через »нтернет, они отправл€ютс€ на шлюз по умолчанию, которым €вл€етс€ R1.  роме того, дл€ всех коммуникаций, которые происход€т в локальной сети, устройства пересылают сообщени€, использу€ MAC-адрес назначени€, найденный в кадре, а не IP-адрес назначени€. IP-адрес назначени€ важен только тогда, когда сообщение должно быть переадресовано за пределы локальной сети, например, в другую подсеть или удаленную сеть. —ледовательно, когда PC1 захочет отправить сообщение через »нтернет, он пересылает сообщение на MAC-адрес назначени€, известный как BBBB.BBBB.BBBB, который принадлежит R1.  огда R1 должен пересылать какие-либо сообщени€ (пакеты) на PC1, он будет использовать MAC-адрес назначени€ AAAA.AAAA.AAAA. “аким образом, изначально сообщени€ на машину злоумышленника не отправл€ютс€.

«лоумышленник может использовать у€звимость в протоколе разрешени€ адресов (Address Resolution Protocol - ARP), чтобы гарантировать, что все сообщени€, которыми обмениваютс€ между PC1 и R1, отправл€ютс€ через его машину, как показано на следующем рисунке:

Ёффект MITM

ѕротокол ARP работает между уровнем 2 (канальный уровень) и уровнем 3 (уровень »нтернета) стека протоколов TCP/IP. ќн предназначен дл€ преобразовани€ IP-адреса в MAC-адрес потому, что коммутаторы не могут считывать адресацию уровн€ 3, например IP-адресацию внутри пакета.  оммутаторы могут только читать MAC-адреса и пересылать кадры на основе MAC-адреса назначени€, найденного в заголовке кадра уровн€ 2. ѕо этой причине ARP необходим в любой сети.

 огда устройство, такое как PC1, не знает MAC-адрес целевого хоста, такого как R1, оно будет отправл€ть ARP-запрос в сеть, спрашива€, у кого есть MAC-адрес дл€ конкретного пункта назначени€, как показано на следующем рисунке:

Ўироковещательное сообщение ARP

«апрос ARP отправл€етс€ на все устройства. “олько устройство, имеющее IP-адрес назначени€, ответит ARP-ответом, содержащим его MAC-адрес, как показано на следующем рисунке:

ќтвет ARP от R1

«атем MAC-адрес временно сохран€етс€ в кэше ARP исходного устройства, PC1. »сходное устройство затем вставл€ет MAC-адрес назначени€ в заголовок кадра уровн€ 2 перед размещением сообщени€ в сети.  оммутатор, который получает сообщение от PC1, провер€ет MAC-адрес назначени€, найденный в заголовке уровн€ 2, и пересылает сообщение на хост назначени€.

«лоумышленник может обманом заставить PC1 поверить в то, что он Ч это R1, а также заставить R1 думать, что он Ч это PC1. «лоумышленник может притворитьс€ PC1 дл€ R1 и наоборот. — технической точки зрени€ злоумышленник выдает себ€ за другую машину в сети Ч это называетс€ подменой MAC-адресов.  роме того, злоумышленник отправит безвозмездное сообщение ARP, содержащее ложное сопоставление IP-адресов и MAC-адресов.  аждое сообщение создаетс€ специально дл€ PC1 и R1. Ѕезвозмездное сообщение ARP Ч это ответ, который не был инициирован запросом ARP.

ƒругими словами, это когда одно устройство отправл€ет обновление ARP без запроса. Ёто позвол€ет злоумышленнику выполн€ть атаку с подменой ARP и отправл€ть ложные сообщени€ ARP устройствам, заставл€€ их вставл€ть неверные сопоставлени€ IP-адресов в MAC-адреса в их кэш ARP. Ёто известна€ у€звимость, обнаруженна€ в ARP и TCP/IP.

Ќа следующем рисунке показано, как злоумышленник отправл€ет безвозмездное сообщени€ ARP на PC1 и R1:

«лоумышленник отправл€ет ложную информацию в сообщени€х ARP

Ёто приведет к тому, что весь трафик между PC1 и R1 будет отправлен на атакующую машину, что приведет к атаке MITM.

Ќа следующем скриншоте показан пример инструмента тестировани€ на проникновение, известного как arpspoof, который используетс€ дл€ отправки бесплатных сообщений ARP на хост-устройства в сети дл€ создани€ атак MITM:

»нструмент arpspoof

 ак показано на предыдущем скриншоте, инструмент посто€нно заполн€ет компьютер жертвы (10.10.10.11) и шлюз по умолчанию (10.10.10.1) ложными сведени€ми о сопоставлении IP-адресов с MAC-адресами. Ќа следующем рисунке показан захват Wireshark, отображающий ложные сообщени€ ARP, отправл€емые по сети:

«ахват Wireshark атаки спуфинга ARP

ќбратите внимание, как Wireshark выделил сообщени€ желтым цветом как подозрительные дл€ изучени€. —уществует множество функций безопасности уровн€ 2, которые уже предварительно загружены в коммутаторы Cisco IOS, и все они могут быть реализованы специалистом по безопасности. ¬от некоторые из этих функций безопасности:

  • Port security: Port security используетс€ дл€ фильтрации неавторизованных MAC-адресов от входа в интерфейс коммутатора.
  • Dynamic ARP Inspection (DAI): DAI провер€ет информацию об адресе IP-to-MAC, найденную в пакете, поступающем в коммутатор. ≈сли будет найдено поддельное сообщение, коммутатор отклонит его, чтобы защитить сеть уровн€ 2.
  • IP Source Guard: это еще одна функци€ безопасности, котора€ позвол€ет устройствам Cisco разрешать в сети только IP-адреса доверенных источников, предотвраща€ атаки с подменой IP-адресов.

—кидки 50% в Merion Academy

¬ыбрать курс