スイッチドネットワークを盗聴し、それに対して保護する方法

はじめに

今までのスイッチドネットワークを盗聴についてのすべてのメインストリーム情報は、ホストAとBの間のトラフィックを監視しようとしているホストCである場合、それらが異なるコリジョンドメインの内部にあるため、それは不可能だということを言っています。

このドキュメントでは、それがTCP / IP内の欠陥やセキュリティ上の問題に起因することが可能であることをお教えします。

我々は1つがarpspoofと他のfragrouterと呼ばれる二つのプログラムを利用されます。

TCP / IPの概要

あなたのほとんどとしてTCP / IPは、ハードウェアアドレスにIPアドレスを変換するためにARP（アドレス解決プロトコル）を利用して知っています。このハードウェアアドレスは、MAC（Media Access Control）アドレスと呼ばれています。宛先のMACアドレスが決定されると、カプセル化されたIPパックは、ホストに送信することができます。ネットワーク上のすべてのホストは、それらは、イーサネットLAN上で通信するための一意のMACアドレスを持つ必要があります。

イーサネットARP内のメッセージの4つのタイプがあります。

ARP要求 - 宛先ホストのMACアドレスに対する要求はこれは通常、ブロードキャストドメイン内のすべてのホストに送信されます。

ARP応答 - これはARP要求への応答であり、宛先ホストのハードウェアアドレスを指示します。

RARP要求 - これは、リバースARP要求です。これは、既知のMACアドレスのIPアドレスを要求します。

RARP応答 - これは、RARP要求に対する応答であり、要求されたMACアドレスのIPアドレスを通知

すべてのイーサネットホストとスイッチは、既知のMACアドレスとそれに対応するIPアドレスのリストを保持します。ていないホストテーブル内のIPアドレスに対する要求は要求されたときにARP要求がネットワークに送られる唯一の時間は、新しいホストが要求された場合や、テーブルの上にMACエントリがタイムアウトされたときに発生します。

すべてのトラフィックがネットワーク上の各ホストに送信されているため、ハブを利用してネットワーク上のトラフィックを盗聴するのは簡単です。スイッチはMACがどのポートに接続されているかを知っているので、スイッチドネットワークを盗聴することで問題を提示し、ブロードキャストがネットワーク全体に送信される唯一の時間は、ARPまたはRARP要求が送信されるときです。

MACはIPアドレスがどのに関連付けられているかどうかを確認するが、それは、これは搾取用にTCPを開き/ IP ARPテーブルのそれを聞くか、調べるために、TCP / IPに組み​​込まれている方法はありませんので。

したがって、悪意のあるハッカーの目標は、そのデータではなく、攻撃に行くので、それのARPテーブルを更新するには、システムを騙すことであろう。

そこにこれを行うには多くの方法がありますが、このドキュメントの目的のために我々のdsniffからarpspoofをカバーします。

ネットワークのセットアップ

ここでは3つのホストは、スイッチで接続する非常に基本的なネットワークのセットアップを持っています。

HostAの：192.168.0.2 MAC：00:08:74:95:65:11

ホストB：192.168.0.3 MAC：00:08:74:46：EB：08

HOSTC：192.168.0.4 MAC：00:02：B3：A4：​​7F：8B

このドキュメントの目的のために我々は、LinuxボックスHOSTCです。 HostAのは、SunボックスとHostBはそれのデフォルトルータである可能性がある可能性がホストBとホストCまたは何か他のものは、あまり重要ではありません、HostAのは、PCとHostB日ボックスなどかもしれません..

HOSTCでのdsniffをダウンロードしてインストールされます。

SRC：/〜dugsong / dsniffのをhttp://monkey.org/~~V

PKG：http://www.rpmfind.net

HOSTCに我々はまた、fragrouterをダウンロードしてインストールします。

http://www.securityfocus.com/tool​​s/176

>>タールzxvf fragrouter-1.6.tar.gz

>>。/ configureを

作る>>

>> make installを

実行Fragrouter

このアプリは非常に簡単です。我々は、通常のIP転送を行いたいだけで、我々はちょうどそれを最初に見たいと思って先にそれを作るためにトラフィックを求めています。

>> fragrouter-B1

実行ARPSPOOF

manページはarpspoofを使用する方法の完成に説明します。この文書の我々はこのようなARPスプーフィングを（再び我々は、bをホストするためにホストからのトラフィックを見たい）を実行します。

>> arpspoof-T HostAのHostBで

arpspoofのmanページには、その-T氏は述べています。ターゲットは、我々がホストBのMACアドレスは00:02であるということを言ってHostAののARPテーブルを更新したい、つまり、あなたは上のARPテーブルを偽造したいボックスです。：B3：A4：​​7F：8B（上記を見ているです。 HOSTCのMACアドレス。

Frgrouterだけhostbに上のパケットをルーティングします。

このタイプの攻撃を防ぐ

さて、この約行くにはいくつかの方法があります。

1）あなたのネットワーク上のすべてのホストのすべてのMAC情報を収集し、そのARP-pを使用してスタートアップスクリプトに供給することができます。この問題は、すべてのホストがネットワークカードが交換される場合/ときに更新する必要があるということです。 - BAD IDEA

2）Solarisは - デフォルトarp_cleanup_intervalを変更します。デフォルトは5分です。これは、Solarisは、5分間のARPキャッシュ内にARPの値を保持することを意味します。

nddのセット/ dev / arpのarp_cleanup_interval 6000

3）Arpwatchは - これはこの種の攻撃からあなたの自己を保護するための最大のツールの一つです。

あなたがsunfreware.comからrpmfind.netからLinuxおよびSolarisのためにダウンロードすることができます。

ログの例：

6月23日10時22分02秒hostAでarpwatchの新しい駅192.168.0.5 0：02：B3：A4：​​7F：8B

6月23日10時22分02秒hostAでarpwatchの変更：ありイーサネットアドレス192.168.0.3午前0時02分：B3：A4：​​7F：8B

（00:08:74:46：EB：08）

hostBのの（192.168.0.3）のMACアドレスは、私たちが知っているものに変更されたことをarpwatchのショーを実行しているhostAでログがHOSTCです。簡単にこのタイプの活動を監視するスクリプトを設定することができます。

概要に

あなたがARPスプーフィングの基礎を提供し、この文書を伝えることができるように、しかし、この基本的な考え方は、SSHやSSL man-in-the-middle攻撃のための方法を産む。ボックスがネットワークに侵入し、ゲートウェイとして使用されるとネットワーク全体のセキュリティは搾取のためのオープンとなります。