Un utente malintenzionato con privilegi MitM può eseguire denial of service e altri attacchi oltre all'intercettazione sulla LAN locale?

0

Vorrei capire meglio che cosa un utente malintenzionato ha Il controllo MitM su una LAN può fare alla vittima. Capisco che fondamentalmente un attacco MitM significa intercettare il traffico e può vedere i dati [e anche potenzialmente modificare].

Oltre a ciò, un utente malintenzionato può anche utilizzare il proprio accesso MitM per eseguire un attacco denial of service? L'attaccante può indirizzare porte specifiche? In tal caso, in che modo posso impedire all'autore dell'attacco di causarmi un rifiuto di servizio?

L'attaccante che esegue MitM su di me può controllare tutto il mio traffico, cosa posso fare?

L'attaccante può sapere quali porte io (la vittima) sto usando in qualsiasi momento e poi bersagliare quelle o fare qualcos'altro in base a questo?

    
posta Wine 01.01.2018 - 23:06
fonte

3 risposte

4

Un utente malintenzionato può bloccare il traffico

Sì, un utente malintenzionato può creare, modificare o persino eliminare il traffico.

Perché un utente malintenzionato può bloccare il traffico

Dato che tutto il traffico scorre attraverso la macchina dell'attaccante, è possibile eliminare il traffico

Come posso difendermi

Una volta che hai un aggressore MITM non puoi essere sicuro che i messaggi non vengano eliminati, puoi provare a rilevarlo con i messaggi inviati per assicurarti che la connessione sia attiva, ma questo ti consente solo di rilevare un attacco, non funziona attorno ad esso quando è in corso.

    
risposta data 01.01.2018 - 23:14
fonte
1

Gli attacchi MITM di solito si presentano come un endpoint che impersona un altro (ad esempio un router). Perché ciò funzioni, l'imitatore deve agire in quanto è l'impersonato. Ciò rende il MITM trasparente per l'utente.

Per ripristinare funzionalità di sicurezza, come la riservatezza, è necessario utilizzare strumenti di sicurezza a livello di applicazione, come TLS per crittografare le comunicazioni Web. Dal momento che il sosia non può falsificare il certificato del server (a meno che il tuo computer non sia compromesso o bypassare gli avvisi di sicurezza), sarai in grado di rilevarlo. Conoscere le porte è irrilevante, dato che fanno parte del carico utile, e quindi vengono trasmesse in chiaro nei pacchetti (a meno che non siano tunnellizzate).

Per quanto riguarda la comunicazione di blocco, l'imitatore può rilasciare qualsiasi pacchetto che può controllare. Di solito non lo fa, perché questo è rilevabile (la connessione fallisce).

    
risposta data 04.01.2018 - 16:30
fonte
0

Un attacco MitM può verificarsi dal livello 2 dello stack TCP / IP. Nell'esempio a cui ti sei collegato, si tratta di un attacco ARP, ma potresti anche intercettare il traffico a livello di applicazione (ad esempio, tecnicamente un proxy web sarebbe un MitM).

MitM è una classe di attacchi con lo scopo esplicito di intercettare il traffico, sia per ascoltare che per modificare. Come nota @ M'vy, tecnicamente quando hai MitM puoi scegliere cosa fare con il traffico che intercetti, in modo da poter eliminare il traffico che sarebbe un DoS. Tuttavia, ci sono altre cose più semplici da fare sulla rete locale per DoS (ad es., Un falso DHCP e ti indicano di fare un gateway o un DNS non valido).

Se sei sulla rete locale e vuoi vedere quali servizi sono in esecuzione sul computer di una vittima, puoi eseguire una scansione della porta usare qualcosa come nmap e vedere quali servizi sono in esecuzione. Se vuoi vedere il traffico in uscita di una vittima, puoi semplicemente monitorare il traffico utilizzando qualcosa come wireshark o qualcosa come p0f . Non è necessario che MitM visualizzi ciò che si trova all'interno del dominio di broadcast, MitM potrebbe essere rumoroso o rilevato, quindi non si vorrebbe necessariamente usarlo solo per vedere cosa sta succedendo.

In termini di difesa, cose come 802.1x e Network Admission Control possono aiutare. Queste tecniche aiutano a garantire che si stia parlando solo con endpoint legittimi e di mantenere i nodi non autorizzati fuori dalla rete.

Altre tecnologie che possono aiutare a prevenire gli attacchi MitM a livello 2/3:

  • Snooping DHCP - "Il caso d'uso fondamentale per lo snooping DHCP è impedire l'accesso non autorizzato (canaglia ) Server DHCP che offrono indirizzi IP ai client DHCP. I server DHCP canaglia vengono spesso utilizzati negli attacchi man in the middle o denial of service per scopi dannosi. "
  • ARP dinamico Ispezione - "Dynamic ARP inspection (DAI) è una funzione di sicurezza che rifiuta i pacchetti ARP non validi e dannosi. La funzione impedisce una classe di attacchi man-in-the-middle, in cui una stazione ostile intercetta il traffico per altre stazioni avvelenando le cache ARP dei suoi ignari vicini. "
  • IP Source Guard - "P Source Guard è una funzione di sicurezza che limita il traffico IP su porte Layer 2 non attendibili filtrando il traffico in base al database di binding snooping DHCP o ai binding di origine IP configurati manualmente. "

Per prevenire un attacco DoS, vorresti ottenere il nodo dell'attaccante locale o la tua rete. Potresti essere in grado di filtrare il traffico quando conosci il MAC / IP dell'utente malintenzionato (supponendo che non cambi costantemente) sul tuo endpoint. A livello di rete, potresti essere in grado di configurare il tuo switch / router per disabilitare la porta dell'attaccante in base a un comportamento errato. Dovrai leggere i documenti per la tua attrezzatura specifica per vedere se è possibile con ciò che hai.

    
risposta data 05.01.2018 - 17:14
fonte