Статья Обнаружение сниффера в своей сети

Приветствую! В этой статье мы поговорим, о том, как обнаружить попытку несанкционированного доступа к своей сети, пресечь попытки ARP-спуфинга.

upload_2017-4-20_22-34-41.png


ARP-spoofing (ARP — poisoning) — разновидность сетевой атаки типа MITM (англ. Man in the middle), применяемая в сетях с использованием протокола ARP. В основном применяется в сетях Ethernet. Атака основана на недостатках протокола ARP.

upload_2017-4-20_22-34-58.png


При использовании в распределённой вычислительной сети алгоритмов удалённого поиска существует возможность осуществления в такой сети типовой удалённой атаки «ложный объект распределённой вычислительной системы». Анализ безопасности протокола ARP показывает, что, перехватив на атакующем узле внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный ARP-ответ, в котором объявить себя искомым узлом (например, маршрутизатором), и в дальнейшем активно контролировать сетевой трафик дезинформированного узла, воздействуя на него по схеме «ложный объект РВС».

ARP - spoofing позволяет злоумышленнику перехватывать кадры данных в сети, изменять трафик или останавливать весь трафик. Часто атака используется как средство для других атак, таких как отказ в обслуживании, MITM или атаки на перехват сеанса. Наша программа анти-ARP-спуфинга (shARP) активно обнаруживает присутствие третьей стороны в частной сети.

upload_2017-4-20_22-35-21.png


Зеленое соединение - связь между M и N до применения ARP-spoofing. Красное соединение - связь между M и N после применения ARP-spoofing (все пакеты проходят через X)

Итак, знакомимся с shARP:

upload_2017-4-20_22-35-36.png


Она имеет 2 режима: оборонительный и наступательный.

Оборонительный режим:

· защищает конечного пользователя от спуфинга, отключая систему пользователя от сети и предупреждая пользователя сообщением.

Наступательный режим:

· Отключает систему пользователя от сети, а затем вышвыривает злоумышленника, отправив в его систему пакеты деаутентификации, неспособные к повторному подключению к сети, пока программа не будет перезапущена вручную.

· Программа создает файл журнала (/ usr / shARP /), содержащий детали атаки, такие как адрес Mac злоумышленников, время и дату выпуска Mac. С помощью полученного MAC-адреса мы можем идентифицировать сетевую карту системы нападавших. Если требуется, злоумышленник может быть навсегда заблокирован из сети путем подачи его адреса Mac в список блокировки маршрутизатора.

Загрузим sharp с репозиториев github:

> git clone https://github.com/europa502/shARP

upload_2017-4-20_22-36-17.png


> cd sharp

> chmod +x shARP.sh

> ls –a

upload_2017-4-20_22-36-46.png


И запустим его с опцией “help”

> ./shARP.sh -h

upload_2017-4-20_22-37-4.png


Теперь, запустим shARP в защитном режиме, Когда пользователь запускает программу в защитном режиме, как только программа обнаруживает спуфер в сети и отключает систему пользователя от сети, чтобы защитить личные данные, передаваемые между системой и сервером. Он также сохраняет файл журнала о злоумышленнике для дальнейшего использования.

> ./shARP –d eth0


upload_2017-4-20_22-37-51.png


А на атакующем устройстве инициируем атаку MITM:

upload_2017-4-20_22-38-17.png


Вернувшись в консоль Linux, видим, что атака была успешно локализована:

upload_2017-4-20_22-38-42.png


И как я говорил выше, атакуемый хост будет отключен от сети, убеждаемся в этом:

upload_2017-4-20_22-39-1.png


На этом все, спасибо за внимание.
 

Вложения

  • upload_2017-4-20_22-37-22.png
    upload_2017-4-20_22-37-22.png
    42,6 КБ · Просмотры: 326
A

ALXIMIKS

А на атакующем устройстве инициируем атаку MITM:
1) Что для иницииации атаки MITM в примере используется? Скрин это круто, но можно и назву для малознающих.
2) Какой принцып обнаружения ARP-spoofing, что-то на базе "беспричинный" ARP (gratuitous ARP) запрос?
3) Какое поведение будет в системы в случае если маршрутизатор назначен уполномоченным агентом ARP?
 

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 353
BIT
2
1) Что для иницииации атаки MITM в примере используется? Скрин это круто, но можно и назву для малознающих.
Это zANTI приложение для платформы android
[doublepost=1492755189,1492755154][/doublepost]
Какое поведение будет в системы в случае если маршрутизатор назначен уполномоченным агентом ARP?
Проверьте на своем опыте, я не задавался этим вопросом
[doublepost=1492755257][/doublepost]
Какой принцып обнаружения ARP-spoofing, что-то на базе "беспричинный" ARP (gratuitous ARP) запрос?
На одном из англ форумов встретил похожее описание принципа, скорее всего, так и есть
 
A

a113

Спасибо за статью.
Как я понял, этот баш-скрипт "мониторит" пакеты arp и при обнаружении подозрительного их содержания (то есть начала спуфинга) начинает работать. Просто и со вкусом! :D
 
I

Inject0r

я думаю что прога мониторит изменение таблицы ARP у пользователя. Атаку обычно делают после включения жертвы в сеть, по началу таблица правильная, а после атаки она меняется. Поэтому прога реагирует на попытки изменения таблицы ARP по части маршрута по умолчанию без всяких там делений на подозрительных или не подозрительных, потому что их невозможно так разделить.
 
  • Нравится
Реакции: Vander
A

a113

без всяких там делений на подозрительных или не подозрительных
я и имел в виду как-раз изменения в ARP таблице. Разве ее изменение не является "подозрительным"? То есть вы хотите сказать:
попытки изменения таблицы ARP
это не "подозрительно"?
И при рассылке пакетов ARP:
по началу таблица правильная, а после атаки она меняется
Тоже не подозрительно при "сравнении" 2х таблиц.
Поправьте, если я где-то (или везде) не прав :)
 
S

Sokratik

В README уже же написано, что записывается mac gateway, собственно из арп-таблицы. И на любую подмену скрипт начинает работать.
Вопрос в другом - какой интерфейс скрипт переводит в монитор, если подключение через eth, и отправляет пакеты aireplay на себя же или же на атакующего?
 
  • Нравится
Реакции: Juice
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!