Qual è il ruolo dell'avvelenamento ARP quando si esegue un attacco di spoofing DHCP

3

Il mio attuale sfondo sull'argomento

Lo spoofing DHCP viene eseguito da un server DHCP canaglia sulla rete che risponde alle richieste DHCP dagli host (l'attaccante può eseguire un attacco sterminato DHCP sul server DHCP legittimo per impedirgli di distribuire gli indirizzi IP). Il server canaglia può falsificare il gateway e l'amp; Server DNS per tutti i DNS e amp; Il traffico che si allontana dalla subnet locale inizierà a fluire verso l'attaccante. L'utente malintenzionato inoltra quindi il traffico ricevuto di conseguenza, in modo che gli host non notino interruzioni nella connettività e possano effettivamente attirare un attacco MITM.

In ARP Poisoning, l'utente malintenzionato invia messaggi di arpa falsificati alla rete e la cache arp dello switch avrà informazioni errate, quindi lo switch inizia a inviare traffico all'autore dell'attacco (che in origine dovrebbe passare a un altro host o gateway predefinito)

DHCPDISCOVER, DHCPOFFER, DHCPREQUEST & DHCPACK sono messaggi broadcast quindi in genere tutti gli host nella subnet locale riceveranno comunque tutti questi messaggi. Anche se l'utente malintenzionato ha già fatto un po 'di avvelenamento ARP nella sottorete locale, questo non influirà sul processo di DHCP.

ARP viene utilizzato per la risoluzione degli indirizzi di Internet layer negli indirizzi del livello di collegamento. Poiché ahost non ha un indirizzo IP fino al completamento del processo DHCP, gli attacchi ARP sembrano inutili su DHCP

La mia domanda Secondo la mia comprensione Questi due attacchi sono due modi diversi che possono essere utilizzati per ottenere gli stessi risultati. Ma ho bisogno di chiarire questo senza alcun dubbio.

C'è un modo per far fuori un attacco di Spoofing DHCP usando l'avvelenamento ARP?

    
posta RanjanaLK 02.11.2017 - 06:09
fonte

2 risposte

5

Sto solo scrivendo una serie di articoli che trattano tali attacchi di rete da un punto di vista pratico. Qui è l'articolo su DHCP, ARP seguirà.

DHCP e ARP sono in effetti due diversi attacchi che consentono all'aggressore di raggiungere un MITM all'interno di una sottorete.

DHCP Spoofing is done by a rogue DHCP server on the network which replies to DHCP requests from hosts(Attacker can run a DHCP starvation attack on the legitimate DHCP server to stop it from handing away IP addresses). The rogue server can spoof the gateway & DNS servers therefor all DNS & Traffic going away from local subnet will start to flow to the attacker. The attacker then forward the received traffic accordingly so the hosts won’t notice any disruption in connectivity and effectively pulling off a MITM attack.

Questo è giusto.

In ARP Poisoning, attacker send spoofed arp messages to the network and arp cache of the switch will have wrong information so the switch starts to send traffic to the attacker (which should originally go to another host or default gateway)

Il classico attacco ARP non ha come target gli switch ma i dispositivi finali.

Ogni dispositivo dotato di un indirizzo IP, è necessario ottenere l'indirizzo MAC corrispondente per stabilire una comunicazione. Questo è ciò che l'ARP è per.

L'attacco consiste nel forzare un dispositivo a risolvere un IP come indirizzo MAC dell'attaccante anziché legittimo.

Tuttavia, vi è anche un attacco meno comune che punta allo switch, facendo credere che un certo indirizzo MAC possa essere raggiunto attraverso la porta dell'attaccante invece del legittimo. Questo attacco è meno conveniente e riservato a situazioni in cui il precedente non funziona (indirizzo MAC codificato nella configurazione dei dispositivi, ad esempio).

DHCPDISCOVER, DHCPOFFER, DHCPREQUEST & DHCPACK are broadcast messages

DHCPDISCOVER e DHCPREQUEST sono effettivamente trasmessi, gli altri due in genere non lo sono.

so typically all hosts in the local subnet will receive all this messages anyway. Even if the attacker has already done some ARP poisoning on the local subnet it won’t affect the process of DHCP.

Dipende dal grado di caos che l'attaccante ha già diffuso nella rete;), ma fondamentalmente hai ragione: ARP non è correlato al DHCP qui.

ARP is used for resolving Internet layer addresses into link layer addresses.Since ahost does not have an IP address until DHCP process is completed ARP attacks seems useless on DHCP

Penso a due casi in cui gli attacchi basati su ARP possono essere un buon complemento agli attacchi basati su DHCP:

  1. I messaggi client DHCP vengono solitamente trasmessi solo durante la configurazione iniziale della rete, quando viene rilevato un dispositivo di rete (o quando il server DHCP legittimo non risponde ... DOS?). Quando un dispositivo deve rinnovare un lease DHCP, il messaggio DHCP REQUEST di solito non viene più trasmesso ma è solo un messaggio unicast inviato al server DHCP che inizialmente offriva il lease.

    Gli attacchi DHCP MITM sono quindi solitamente possibili solo durante il processo di avvio di un dispositivo o quando un dispositivo in esecuzione si unisce alla rete.

    L'utilizzo di ARP consentirebbe di impersonare il server DHCP e intercettare il messaggio di richiesta DHCP del client. Questo può essere ad esempio un modo per inviare un nuovo IP router predefinito a un dispositivo in cui l'indirizzo MAC del router legittimo è stato hardcoded, ma il suo IP non lo è.

  2. Più divertente: il caso degli attacchi DOS DHCP. Controlla lo strumento DHCPig , è uno strumento DOS che implementa un attacco di fame a livello DHCP: l'attaccante prende in affitto tutti gli indirizzi IP disponibili dal server DHCP che nessun nuovo indirizzo sarà disponibile per gli altri dispositivi.

    Il nucleo di questo attacco è di base e si basa solo sui messaggi DHCP, ma DHCPig aggiunge alcune funzionalità che mi piacciono e che riguardano i messaggi ARP:

    • Utilizzando una scansione ARP, DHCPig rileva gli altri dispositivi attualmente in esecuzione e il loro IP e quindi invia un messaggio DHCP RELEASE al server DHCP, contrassegnando quindi il loro IP come libero in modo che possano essere rubati dall'attaccante.

    • Una volta eseguito il DOS out del server DHCP, DHCPig può trasmettere messaggi ARP che simulano un conflitto IP per ciascun indirizzo IP che compone la sottorete. Per i sistemi di tipo Unix, questo non farà molto, ma quando i sistemi Windows rilevano tale conflitto, rilasciano immediatamente il loro attuale indirizzo IP e ne richiedono uno nuovo al server DHCP ... che non è in grado di soddisfare la richiesta, lasciando Windows client non configurato. In altre parole, i pacchetti ARP hanno permesso di escludere i dispositivi Windows dalla rete.

risposta data 02.11.2017 - 18:02
fonte
3

Poiché ARP non ha alcuna autenticazione o verifica su di esso, è possibile configurare un server DHCP canaglia, inviare pacchetti ARP falsi che indicano ai server che si è il server DHCP, quindi distribuire le prenotazioni DHCP che soddisfano le proprie esigenze. Con l'avvelenamento di DHCP e ARP puoi fare cose come permettere al tuo computer di connettersi via SSH ad un host, nonostante l'host abbia un firewall che blocca SSH da qualsiasi cosa eccetto un computer normalmente, per esempio.

Per contrasto -

Un attacco solo DHCP potrebbe compromettere un server DHCP e quindi utilizzarlo per fornire un IP sensibile al dispositivo malevolo, come sopra, senza avvelenamento da ARP!

Un attacco solo ARP potrebbe comportare l'avvelenamento di una cache ARP in modo che il dispositivo instradi il traffico verso il tuo dispositivo malevolo in modo da consentire a MITM o al traffico di sniffarlo.

    
risposta data 02.11.2017 - 14:17
fonte

Leggi altre domande sui tag