Lo spoofing ARP o DNS svolge un ruolo quando si esegue MITM in falsi attacchi AP?

Naviga le tue risposte
1

Ho un ambiente di test, dove provo alcuni strumenti e approcci di hacking wireless, e ultimamente mi sono interessato ai cattivi attacchi gemelli. Ho creato un AP falso usando airbase-ng e specificato manualmente le tabelle IP, a che punto se il client aveva accesso a Internet. Quindi, ho attivato il framework MITMf e l'ho eseguito con il seguente comando: 

./mitmf.py -i at0 --spoof --hsts --arp --dns --gateway 192.168.0.1

Utilizzando questo approccio, sono stato in grado di ottenere le credenziali della vittima (me stesso nel mio laboratorio di test) da FB e GMail. Stava reindirizzando la connessione ad alcuni sottodomini non protetti, ad esempio account.google.com anziché account.google.com originali.

D'altra parte, ho provato a utilizzare il toolkit MANA per creare automaticamente l'AP falso. Inoltre è dotato di strumenti come SSLStrip e dns2proxy (che utilizza anche MITMf). Ma, una volta eseguito lo script fornito con MANA ( start-nat-full.sh ), ha creato un AP falso e il client connesso ha avuto accesso a Internet, ma se il cliente desidera visitare un sito Web come FB o GMail, la pagina non aperto a tutti.

Non ho speso tempo per esaminare completamente il codice sorgente, ma credo che una differenza tra loro sia che MITMf offre anche lo spoofing di DNS e ARP usando lo strumento Spoof, che ho usato durante l'esecuzione dell'attacco. Se li rimuovo, l'attacco non riesce, mentre poi aprirà la versione sicura di FB o GMail.

Tuttavia, non so esattamente se questo è stato il motivo principale per cui è riuscito con uno strumento e non con l'altro. Se qualcuno ha avuto esperienze simili mi piacerebbe sentire. Ma la mia domanda è: ARP o DNS spoofing giocano un ruolo nel fare attacchi MITM (o bypassare l'HSTS)?

    
posta typos 06.06.2016 - 23:33
fonte

3 risposte

2

ARP Lo spoofing è principalmente alla base degli attacchi MitM. Viene utilizzato per reindirizzare inizialmente il traffico. Questo viene fatto ingannando la vittima nel credere che il tuo indirizzo MAC sia associato all'indirizzo IP del router. Questo è chiamato ARP-Spoofing o avvelenamento da ARP-Cache.

Lo spoofing DNS viene utilizzato per indirizzare siti specifici. Ad esempio, se hai creato un sito falso che assomiglia a quello di una banca locale, invierai risposte false per il dominio associato per reindirizzare il traffico al sito che controlli anziché quello originale.

L'esclusione dell'HSTS avviene modificando l'impostazione dell'ora dei client. Questo può essere fatto manipolando il traffico NTP ricevuto dal client. Esiste uno strumento autonomo chiamato delorean . Questo non funzionerà quando il sito è elencato nell'elenco di pre-caricamento HSTS.

Ho anche avuto esperienze diverse con strumenti diversi. Ad esempio arpspoof e bettercap hanno funzionato benissimo per me mentre ettercap non ha fatto altro che causare problemi.

    
risposta data 07.06.2016 - 00:25
fonte
0

In un attacco MITM usando un software come ettercap, l'attaccante si connetterebbe a un router e poi reindirizzerebbe tutto il traffico verso il proprio computer attraverso lo spoofing ARP per fare l'intercettazione e poi inviarlo al router. Tuttavia se l'autore dell'attacco sta eseguendo un "falso ap" non hanno bisogno di arp spoofing in quanto sarebbero già il "router" della rete

Dicendo che possono utilizzare DNS Spoofing nei casi in cui vogliono reindirizzare il traffico verso i propri server (sia esternamente che su un laptop), ad esempio, potrebbero passare a un hotspot WiFi pubblico per rubare le password bancarie e successivamente passare a vendere i dati o utilizzarli direttamente per commettere frodi.

Riguardo all'HSTS, può essere bypassato solo se sono soddisfatti entrambi i seguenti requisiti:

  1. L'utente non ha mai visitato il sito Web utilizzando HSTS (o ha precedentemente cancellato le intestazioni HSTS)

  2. Il sito Web che utilizza HSTS non è precaricato nel browser web.

Solo quando entrambi i requisiti sono soddisfatti sarai in grado di bypassare l'HSTS. Il protocollo è stato progettato per prevenire attacchi di spoofing SSL eliminando la scelta dell'utente di procedere o meno (a meno che NON sia precaricato e l'utente abbia rimosso manualmente l'intestazione).

Spero che questo ti abbia fornito alcune informazioni sulle differenze tra gli attacchi.

    
risposta data 06.08.2016 - 05:24
fonte
0

per lo più gli attacchi uomo nel mezzo usano l'avvelenamento ARP come metodo per posizionare un dispositivo malevolo tra i due dispositivi.

ARP funziona a livello di rete layer 2. ARP è trasmesso in base e qualsiasi dispositivo può rispondere a una trasmissione ARP. in genere i dispositivi memorizzano le cache ARP I.e. i dispositivi disporranno di tabelle ARP che memorizzano i mapping degli indirizzi MAC e IP.

È possibile eseguire un MITM se tutti i dispositivi funzionano sullo stesso dominio di trasmissione. il dispositivo malevolo emette una risposta ARP continua a entrambi i dispositivi, il che letteralmente genera problemi di risposta ARP a entrambi i dispositivi, quindi sovrascrive la cache ARP degli altri dispositivi. entrambi i dispositivi con la cache velenosa ARP iniziano a inviare i loro pacchetti al dispositivo dannoso; che a sua volta inoltra al dispositivo corretto. i dispositivi malevoli ARP non sono avvelenati.

questo consente di registrare il traffico e vedere il contenuto se non crittografato.

una tipica strategia di mitigazione è quella di implementare la VLAN, introducendo ulteriori domini broadcast. sebbene ciascuna VLAN abbia ancora lo stesso dominio di trasmissione di tali dispositivi all'interno di ciascuna rimane vulnerabile l'una all'altra.

spero che il suo aiuto in qualche modo.

    
risposta data 06.08.2016 - 10:35
fonte

Leggi altre domande sui tag

Quali sono i passaggi consigliati per la creazione di un formato di file crittografato? [chiuso] Cosa potrebbe causare un improvviso afflusso di e-mail spam non filtrate? [chiuso]