Ortadaki adam saldırısı (MitM saldırısı), bir saldırganın muhabirler arasında alınıp verilen mesajları istediği zaman okuyabildiği ve değiştirebildiği ve hiçbirinin kanaldaki kimliğini tahmin edemediği bir durumu ifade eden kriptografide bir terimdir. .

Karşı taraflar arasındaki bir kanala bağlanan bir saldırganın, bilgileri silerek, çarpıtarak veya yanlış bilgi empoze ederek iletim protokolüne aktif olarak müdahale ettiği bir iletişim kanalının tehlikeye atılması yöntemi.

Saldırı ilkesi:

"A" nesnesinin "B" nesnesine bazı bilgiler aktarmayı planladığını varsayalım. Nesne "C", kullanılan veri iletim yönteminin yapısı ve özelliklerinin yanı sıra "C"nin ele geçirmeyi planladığı gerçek bilginin planlı iletimi gerçeği hakkında bilgiye sahiptir.

Saldırı yapmak için "C", "A"ya "B", "B"ye ise "A" olarak itiraz ediyor gibi görünür. Yanlışlıkla "B"ye bilgi gönderdiğine inanan "A" nesnesi, onu "C" nesnesine gönderir.

Bilgi alan ve onunla bazı eylemler gerçekleştiren (örneğin, kendi amaçları doğrultusunda kopyalamak veya değiştirmek) nesne "C", verileri alıcının kendisine gönderir - "B"; "B" nesnesi ise bilginin doğrudan "A"dan alındığına inanıyor.

MitM saldırısı örneği:

Diyelim ki Alice mali sorunlar yaşıyor ve bir anlık mesajlaşma programı kullanarak şu mesajı göndererek John'dan bir miktar para istemeye karar veriyor:

Alice: John, merhaba!
Alice: Lütfen bana şifreleme anahtarını gönderin, küçük bir isteğim var!
John: Merhaba! Bir saniye bekle!

Ancak bu sırada sniffer kullanarak trafiği analiz ederken bu mesajı fark eden Bay X'in "şifreleme anahtarı" sözü merak uyandırdı. Bu nedenle aşağıdaki mesajları ele geçirmeye ve onları ihtiyaç duyduğu verilerle değiştirmeye karar verdi ve şu mesajı aldı:

John: İşte anahtarım: 1111_D

John'un anahtarını kendi anahtarıyla değiştirdi ve Alice'e bir mesaj gönderdi:

John: İşte anahtarım: 6666_M

Alice, farkında değil ve bunun John'un anahtarı olduğunu düşünüyor, özel anahtarı kullanıyor 6666_M, John'a şifreli mesajlar gönderir:

Alice: John, sorunlarım var ve acil paraya ihtiyacım var, lütfen 300$'ı şu hesabıma aktar: Z12345. Teşekkür ederim. not: Anahtarım: 2222_A

Bay X, mesajı aldıktan sonra anahtarını kullanarak mesajın şifresini çözer, okur ve sevinçle Alice'in hesap numarasını ve şifreleme anahtarını kendisininkiyle değiştirir, mesajı anahtarla şifreler. 1111_D ve John'a bir mesaj gönderir:

Alice: John, sorunlarım var ve acil paraya ihtiyacım var, lütfen 300$'ı şu hesabıma aktar: Z67890. Teşekkür ederim. not: Anahtarım: 6666_A

John, mesajı aldıktan sonra anahtarı kullanarak mesajın şifresini çözer. 1111_D ve hiç tereddüt etmeden hesaba para aktaracak Z67890...

Ve böylece Bay X, ortadaki adam saldırısını kullanarak 300 dolar kazandı, ancak Alice şimdi parayı almadığını açıklamak zorunda kalacak... Peki ya John? John, Alice'e onları kendisinin gönderdiğini kanıtlamalı...

Uygulama:

Bu tür saldırılar bazı yerlerde kullanılıyor. yazılım ürünleri Ağı dinlemek için örneğin:

NetStumbler- hakkında birçok yararlı veri toplayabileceğiniz bir program Kablosuz ağ ve işleyişiyle ilgili bazı sorunları çözer. NetStumbler, ağınızın aralığını belirlemenize olanak tanır ve uzun mesafeli iletişim için anteninizi doğru şekilde yönlendirmenize yardımcı olur. Bulunan her erişim noktası için MAC adresini, sinyal-gürültü oranını, hizmetin adını ve güvenlik derecesini öğrenebilirsiniz. Trafik şifrelenmemişse programın yetkisiz bağlantıları tespit etme yeteneği faydalı olacaktır.

koklamak- ağ denetimi ve sızma kontrolleri için bir dizi programdır, ilgilenilen verileri (şifreler, adresler) aramak için pasif ağ izleme sağlar E-posta, dosyalar vb.), normalde analiz için erişilemeyen ağ trafiğinin ele geçirilmesi (örneğin, anahtarlanmış bir ağda) ve ayrıca PKI kusurlarından yararlanarak SSH ve HTTPS oturumlarına müdahale etmek için MITM saldırıları düzenleme yeteneği.

Kabil ve Habil - ücretsiz program için kayıp şifreleri kurtarmanıza olanak tanır. işletim sistemleri Windows ailesi. Çeşitli kurtarma modları desteklenir: kaba kuvvetle hackleme, sözlük seçimi, yıldız işaretleriyle gizlenmiş şifreleri görüntüleme vb. Ayrıca, bilgi paketlerine müdahale ederek ve bunların sonraki analizlerini yaparak, ağ konuşmalarını kaydederek, önbellek analizini ve diğerlerini yaparak bir şifre belirleme seçenekleri de vardır.

Ettercap- birden fazla protokolün aktif ve pasif analizini destekleyen, yerel Ethernet ağları için bir algılayıcı, paket yakalayıcı ve kaydedicidir ve ayrıca kendi verilerinizi mevcut bir bağlantıya "atmak" ve bağlantıyı kesmeden "anında" filtrelemek de mümkündür senkronizasyon. Program, SSH1, HTTPS ve diğer güvenli protokolleri engellemenize olanak tanır ve aşağıdaki protokoller için şifrelerin şifresini çözme yeteneği sağlar: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA– kablosuz istemcilerin güvenliğini değerlendirmeye yönelik bir dizi yardımcı program, 802.11 Probe İstek çerçevelerini pasif olarak dinleyerek istemcileri ve onların tercih ettiği/güvenilen ağlarını tespit etmenize olanak tanıyan bir kablosuz algılayıcıdır. Daha sonra istenen ağlardan biri için otomatik olarak bağlanabileceği sahte bir erişim noktası oluşturulabilir. Üst düzey sahte hizmetler, kişisel verileri çalmak veya ana bilgisayardaki istemci güvenlik açıklarından yararlanmak için kullanılabilir.

Hava Jakı- WiFi korsanlığı alanındaki uzmanlara göre bir dizi program en iyi araççeşitli 802.11 çerçeveleri oluşturmak için. AirJack, gizli bir ESSID'yi tespit etmek, sahte MAC ile oturum sonlandırma çerçeveleri göndermek, MitM saldırıları yürütmek ve değiştirmek için tasarlanmış bir dizi yardımcı program içerir.

Karşı tepki:

Bu tür saldırılardan kaçınmak için "A" ve "B" abonelerinin yalnızca güvenilir bir kanal kullanarak birbirlerine iletim yapmaları gerekir. dijital imzalar genel şifreleme anahtarları. Daha sonra şifreleme oturumlarında anahtar imzaları karşılaştırıldığında, veriyi şifrelemek için hangi anahtarın kullanıldığı ve anahtarların değiştirilip değiştirilmediği tespit edilebilecek.

İstenilen sonucu elde etmenin neredeyse her zaman birkaç yolu vardır. Bu aynı zamanda bilgi güvenliği alanı için de geçerlidir. Bazen bir hedefe ulaşmak için kaba kuvvet kullanabilir, açıkları arayabilir ve istismarları kendiniz geliştirebilir veya ağ üzerinden iletilenleri dinleyebilirsiniz. Dahası son seçenekçoğu zaman optimaldir. Bu nedenle bugün MITM saldırılarını kullanarak bizim için değerli olan bilgileri ağ trafiğinden yakalamamıza yardımcı olacak araçlardan bahsedeceğiz.

MITMf

En ilginç adaylardan biriyle başlayalım. Bu, yürütme için tam bir çerçevedir ortadaki adam saldırıları sergio-proxy'nin üzerine inşa edilmiştir. Son zamanlarda dahil edilen Kali Linux. Kendiniz yüklemek için depoyu klonlamanız ve birkaç komutu çalıştırmanız yeterlidir:

# setup.sh # pip kurulumu -r gereksinimleri.txt

# pip kurulumu -r gereksinimleri.txt

Eklentiler aracılığıyla genişletilebilen bir mimariye sahiptir. Başlıcaları arasında şunlar yer almaktadır:

• Sahtekarlık - ARP/DHCP sahtekarlığını kullanarak trafiği yeniden yönlendirmenize, ICMP yönlendirmelerine ve DNS sorgularını değiştirmenize olanak tanır;
• Sniffer - bu eklenti çeşitli protokoller için oturum açma girişimlerini izler;
• BeEFAutorun - işletim sistemi ve istemci tarayıcısının türüne göre BeEF modüllerini otomatik olarak başlatmanıza olanak tanır;
• AppCachePoison - önbellek zehirlenmesi saldırısı gerçekleştirir;
• SessionHijacking - oturumları ele geçirir ve ortaya çıkan çerezleri Firefly profilinde saklar;
• TarayıcıProfiler - tarayıcı tarafından kullanılan eklentilerin bir listesini almaya çalışır;
• FilePwn - HTTP aracılığıyla gönderilen dosyaları Backdoor Factory ve BDFProxy kullanarak değiştirmenize olanak tanır;
• Enjeksiyon - bir HTML sayfasına rastgele içerik enjekte eder;
• jskeylogger - istemci sayfalarına bir JavaScript keylogger yerleştirir.

Bu işlevsellik size yetersiz geliyorsa, uygun uzantıyı uygulayarak her zaman kendinizinkini ekleyebilirsiniz.

PuttyRider

Dikkate değer başka bir yardımcı program. Doğru, bugün ele alınan diğer tüm araçların aksine, çok dar bir alanda uzmanlaşmıştır. Projenin yazarının kendisinin de söylediği gibi, böyle bir yardımcı program yaratma konusunda, penetrasyon testleri sırasında en önemli verilerin, yöneticilerin SSH/Telnet/rlogin aracılığıyla bağlandığı Linux/UNIX sunucularında bulunmasından ilham almıştı. Üstelik çoğu durumda yöneticilerin makinesine erişim sağlamak, hedef sunucuya erişim sağlamaktan çok daha kolaydı. Sistem yöneticisinin makinesine girdikten sonra geriye kalan tek şey PuTTY'nin çalıştığından emin olmak ve bu aracı kullanarak saldırgana karşı bir arka köprü oluşturmaktır.

Yardımcı program yalnızca yönetici ile yönetici arasındaki "iletişimi" yakalamanıza izin vermez. uzak sunucu(şifreler dahil), ancak aynı zamanda belirli bir oturumda isteğe bağlı kabuk komutlarını da yürütür. Üstelik tüm bunlar kullanıcı (yönetici) için kesinlikle şeffaf bir şekilde gerçekleşecektir. Teknik detaylarla ilgileniyorsanız örneğin PuTTY'nin sürece nasıl dahil edildiği, yazarın sunumunu okumanızı tavsiye ederim.

Oldukça eski bir yardımcı program, sekiz yıldan daha uzun bir süre önce doğmuş. Çerezleri çalarak oturumları klonlamak için tasarlanmıştır. Oturumları ele geçirmek için ana bilgisayarları tespit etme (açık bir kablosuz ağa veya hub'a bağlıysa) ve ARP zehirlenmesi gerçekleştirme konusunda temel becerilere sahiptir. Tek sorun, bugün, sekiz yıl öncesinden farklı olarak, Yahoo veya Facebook gibi neredeyse tüm büyük şirketlerin SSL şifrelemesi kullanmasıdır, bu da bu aracı tamamen işe yaramaz hale getiriyor. Buna rağmen internette SSL kullanmayan yeterli kaynak var, bu nedenle yardımcı programı silmek için henüz çok erken. Avantajları arasında Firefox'a otomatik olarak entegre olması ve ele geçirilen her oturum için ayrı bir profil oluşturması yer alıyor. Kaynak depoda mevcuttur ve aşağıdaki komut dizisini kullanarak kendiniz oluşturabilirsiniz:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip oturum hırsızı

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o oturum hırsızı *.cpp # setcap cap_net_raw,cap_net_admin=eip oturum hırsızı

ProxyFuzz

ProzyFuzz'ın MITM saldırılarını gerçekleştirmekle doğrudan hiçbir ilgisi yoktur. Adından da anlaşılacağı gibi araç, fuzzing için tasarlanmıştır. Bu, Python'da uygulanan ve ağ trafiği paketlerinin içeriğini rastgele değiştiren, deterministik olmayan küçük bir ağ fuzzer'ıdır. Destekler TCP protokolleri ve UDP. Yalnızca bir tarafı yumuşatacak şekilde yapılandırabilirsiniz. Bazı ağ uygulamalarını (veya protokollerini) hızlı bir şekilde test etmeniz ve bir PoC geliştirmeniz gerektiğinde kullanışlı olur. Kullanım örneği:

Python proxyfuzz -l -R -P

python proxyfuzz -l -R -P

Seçeneklerin listesi şunları içerir:

• w - fuzzing başlamadan önce gönderilen isteklerin sayısını belirtir;
• c - yalnızca istemciyi rahatsız edin (aksi takdirde her iki tarafı da);
• s - yalnızca sunucuyu bulanıklaştırın (aksi takdirde her iki tarafta);
• u - UDP protokolü (aksi takdirde TCP kullanılır).

Orta

DEF CON konferansında sunulan çeşitli protokollere MITM saldırıları gerçekleştirmeye yönelik bir yardımcı program. Alfa sürümü HTTP protokolünü destekliyordu ve cephaneliğinde üç harika eklenti vardı:

• eklenti-beef.py - Yerel ağdan gelen herhangi bir HTTP isteğine Tarayıcı Kullanım Çerçevesini (BeEF) enjekte eder;
• eklenti-metasploit.py - Metasploit'ten tarayıcı açıklarını yükleyen şifrelenmemiş (HTTP) isteklere bir IFRAME yerleştirir;
• eklenti-keylogger.py - HTTPS üzerinden gönderilecek tüm metin alanları için KeyPress'e bir JavaScript olay işleyicisi yerleştirir ve tarayıcının, formun tamamı gönderilmeden önce kullanıcı tarafından girilen şifreyi karakter karakter saldırganın sunucusuna göndermesine neden olur.

Middler yalnızca otomatik olarak analiz etmekle kalmaz ağ trafiği ve içinde çerezler bulur, ancak aynı zamanda bunları müşteriden bağımsız olarak talep eder, yani süreç maksimum düzeyde otomatikleştirilir. Program, korunmasız tüm hesapların toplanmasını garanti eder. bilgisayar ağı(veya genel erişim noktası) trafiğine erişim sahibidir. Programın düzgün çalışması için sistemde şu paketlerin kurulu olması gerekmektedir: Scapy, libpcap, readline, libdnet, python-netfilter. Maalesef depo uzun süredir güncellenmedi, bu nedenle yeni işlevleri kendiniz eklemeniz gerekecek.

HTTP trafiğini etkileşimli olarak incelemenize ve değiştirmenize olanak tanıyan bir konsol yardımcı programı. Bu tür beceriler sayesinde, yardımcı program yalnızca pentester'lar/hacker'lar tarafından değil, aynı zamanda onu örneğin web uygulamalarında hata ayıklamak için kullanan sıradan geliştiriciler tarafından da kullanılıyor. Onun yardımıyla alabilirsiniz detaylı bilgi Uygulamanın hangi istekleri yaptığı ve hangi yanıtları aldığı hakkında. Ayrıca mitmproxy, bazı REST API'lerinin, özellikle de yeterince belgelenmemiş olanların işleyişine ilişkin özelliklerin incelenmesine yardımcı olabilir.

Kurulum son derece basittir:

$ sudo yetenek kurulumu mitmproxy

Mitmproxy'nin, istemciye kendinden imzalı bir sertifika vererek HTTPS trafiğini engellemenize de olanak tanıdığını belirtmekte fayda var. İyi örnek Trafiğin durdurulmasını ve değiştirilmesini nasıl yapılandıracağınızı öğrenebilirsiniz.

Koklama

Bu yardımcı program genellikle duyduğunuz anda akla gelmesi gereken ilk şeylerden biridir.
"MITM saldırısı". Araç oldukça eski ancak aktif olarak güncellenmeye devam ediyor, bu da iyi bir haber. Yetenekleri hakkında ayrıntılı olarak konuşmanın bir anlamı yok, varlığının on dört yılı boyunca internette birden fazla kez yer aldı. Örneğin şöyle bir rehberde:

veya web sitemizdeki talimatlar:

Son olarak..

Her zamanki gibi tüm hizmetlere bakmadık, yalnızca en popüler olanlara baktık; ayrıca bir gün hakkında konuşabileceğimiz pek çok az bilinen proje de var. Gördüğünüz gibi MITM saldırılarını gerçekleştirmek için araç sıkıntısı yok ve çok sık gerçekleşmeyen harika araçlardan biri Windows için uygulanıyor. Nix sistemleri hakkında söylenecek hiçbir şey yok - çok çeşitli. Bu yüzden hırsızlık için her zaman doğru aracı bulabileceğinizi düşünüyorum
diğer insanların kimlik bilgileri. Oops, yani test için.

Saldırı prensibi

Saldırı genellikle iletişim kanalının gizlice dinlenmesiyle başlar ve kriptanalistin ele geçirilen mesajı değiştirip çıkarmaya çalışmasıyla sona erer. kullanışlı bilgi, onu bazı harici kaynaklara yönlendirin.

A nesnesinin B nesnesine bazı bilgiler aktarmayı planladığını varsayalım. Nesne C, kullanılan veri iletim yönteminin yapısı ve özelliklerinin yanı sıra C'nin ele geçirmeyi planladığı gerçek bilginin planlı iletimi gerçeği hakkında bilgiye sahiptir. Bir saldırı gerçekleştirmek için C, A nesnesine B olarak ve B nesnesine A olarak "görünür". A nesnesi, yanlışlıkla B'ye bilgi gönderdiğine inanarak onu C nesnesine gönderir. Bilgiyi alan C nesnesi, ve onunla bazı eylemler gerçekleştirir (örneğin, kendi amaçları doğrultusunda kopyalamak veya değiştirmek) verileri alıcının kendisine iletir - B; B nesnesi ise bilginin doğrudan A'dan alındığına inanıyor.

Örnek saldırı

Kötü amaçlı kod enjeksiyonu

Ortadaki adam saldırısı, kriptanalistin kendi kodunu e-postalar, SQL ifadelerini ve web sayfalarını (yani, SQL enjeksiyonlarına, HTML/komut dosyası enjeksiyonlarına veya XSS saldırılarına izin verir) ve hatta kullanıcı tarafından yüklenen değişiklikleri değiştirin ikili dosyalar erişmek için hesap Kullanıcı tarafından İnternet'ten indirilen bir programın davranışını değiştirin veya değiştirin.

Sürüm Düşürme Saldırısı

"Seviye Düşürme Saldırısı" terimi, bir kriptanalistin kullanıcıyı daha az güvenli işlevleri, uyumluluk nedenleriyle hala desteklenen protokolleri kullanmaya zorladığı bir saldırıyı ifade eder. Bu tür saldırılar SSH, IPsec ve PPTP protokolleri üzerinden gerçekleştirilebilmektedir.

SSH V2 yerine SSH V1

Saldırgan, sunucu ile istemci arasında bağlantı kurulduğunda aralarındaki bağlantı parametrelerini değiştirmeye çalışabilir. Blackhat Konferansı Avrupa 2003'te yapılan bir konuşmaya göre, bir kriptanalist, SSH oturumu için "1.99" sürüm numarasını "1.51" olarak değiştirerek bir istemciyi SSH2 yerine SSH1 oturumu başlatmaya "zorlayabilir"; bu, SSH V1 kullanmak anlamına gelir. . SSH-1 protokolü, bir kriptanalistin yararlanabileceği güvenlik açıklarına sahiptir.

IPsec

Bu saldırı senaryosunda kriptanalist, kurbanını IPsec oturumunun diğer uçta (sunucu) başlayamayacağını düşünerek yanıltır. Bu, ana makine geri alma modunda çalışıyorsa mesajların açıkça iletilmesine neden olur.

PPTP

PPTP oturum parametreleri üzerinde anlaşma aşamasında, saldırgan, kurbanı daha az güvenli PAP kimlik doğrulaması olan MSCHAP V1 kullanmaya (yani, MSCHAP V2'den sürüm 1'e "geri döndürme") veya şifrelemeyi hiç kullanmamaya zorlayabilir.

Saldırgan, kurbanını PPTP oturum parametreleri üzerinde anlaşma aşamasını tekrarlamaya (bir Terminate-Ack paketi göndermeye), mevcut bir tünelden parolayı çalmaya ve saldırıyı tekrarlamaya zorlayabilir.

Şifreleme yardımcı olacak mı?

Standart bir HTTP işlemi durumunu ele alalım. Bu durumda, saldırgan orijinal TCP bağlantısını kolaylıkla iki yeni bağlantıya bölebilir: biri kendisi ile istemci arasında, diğeri ise kendisi ile sunucu arasında. İstemci ile sunucu arasındaki bağlantı çok nadiren doğrudan olduğundan ve çoğu durumda bunlar bir dizi ara sunucu aracılığıyla bağlandığından bunu yapmak oldukça kolaydır. Bu sunucuların herhangi birine MITM saldırısı gerçekleştirilebilir.

Ancak istemci ve sunucu, şifrelemeyi destekleyen bir protokol olan HTTPS kullanarak iletişim kurarsa ortadaki adam saldırısı da gerçekleştirilebilir. Bu tür bir bağlantı, istekleri şifrelemek için TLS veya SSL kullanır; bu da kanalın koklama ve MITM saldırılarına karşı korunmasını sağlar. Saldırgan, her TCP bağlantısı için iki bağımsız SSL oturumu oluşturabilir. İstemci, saldırganla bir SSL bağlantısı kurar ve saldırgan da sunucuyla bağlantı kurar. Bu gibi durumlarda, tarayıcı genellikle sertifikanın güvenilir bir sertifika yetkilisi tarafından imzalanmadığı konusunda uyarıda bulunur, ancak ortalama bir kullanıcı bu uyarıyı kolayca görmezden gelir. Ayrıca saldırganın bir sertifika yetkilisi tarafından imzalanmış bir sertifikası da olabilir. Bu nedenle HTTPS protokolünün MITM saldırılarına karşı güvenli olduğu düşünülemez.

MITM saldırı tespiti

Ortadaki adam saldırısını tespit etmek için ağ trafiğini analiz etmeniz gerekir. Örneğin bir SSL saldırısını tespit etmek için aşağıdaki parametrelere dikkat etmelisiniz:

• Sunucu IP adresi
• Dns sunucusu
• X.509 - sunucu sertifikası
  • Sertifika kendinden imzalı mı?
  • Sertifika imzalanmış mı?
  • Sertifika iptal mi edildi?
  • Sertifika yakın zamanda değişti mi?
  • İnternetteki diğer istemciler de aynı sertifikayı aldı mı?

MITM saldırı uygulamaları

Listelenen programlar, ortadaki adam saldırılarını gerçekleştirmek, bunları tespit etmek ve sistemi güvenlik açıklarına karşı test etmek için kullanılabilir.

Literatürdeki örnek

Açık bir edebi örnek, A. S. Puşkin'in "Çar Saltan'ın Hikayesi" adlı eserinde görülebilir; burada üç "ortada insan" ortaya çıkar: bir dokumacı, bir aşçı ve Babarikha. Çar'a gönderilen mektupları ve onun yanıt yazışmalarını değiştirenler onlardır.

Ayrıca bakınız

• Aspidistra (İngilizce) - MITM saldırısının bir çeşidi olan, İkinci Dünya Savaşı "işgali" sırasında kullanılan İngiliz radyo vericisi.
• Babington Komplosu (İngilizce) - Walsingham'ın yazışmaları ele geçirdiği Elizabeth I'e karşı bir komplo.

Diğer saldırılar

• “Tarayıcıdaki Adam”, saldırganın işlem parametrelerini anında değiştirebildiği ve kurbana tamamen şeffaf olan sayfaları değiştirebildiği bir saldırı türüdür.
• Ortada buluşma saldırısı, doğum günü saldırısı gibi zaman ve hafıza arasındaki dengeyi kullanan kriptografik bir saldırıdır.
• “Orta atakta ıskalama” - etkili yöntem sözde imkansız diferansiyel kriptanaliz.
• Aktarma saldırısı, ele geçirilen bir mesajın mesajın gönderildiği alıcıya değil geçerli bir alıcıya iletilmesine dayanan bir MITM saldırısı çeşididir.
• Rootkit, saldırganın varlığının izlerini gizlemek için tasarlanmış bir programdır.

Edebiyat

Bağlantılar

Wikimedia Vakfı. 2010.

Diğer sözlüklerde “Ortadaki Adam”ın ne olduğuna bakın:

"Ortadaki adam" saldırısı (İngilizce: Ortadaki adam, MitM saldırısı), bir saldırganın muhabirler arasında alınıp verilen mesajları istediği zaman okuyabildiği ve değiştirebildiği ve bu mesajların hiçbirinin gerçekleşmediği bir durumu ifade eden kriptografide bir terimdir. ... Vikipedi

İstenilen sonucu elde etmenin neredeyse her zaman birkaç yolu vardır. Bu aynı zamanda bilgi güvenliği alanı için de geçerlidir. Bazen bir hedefe ulaşmak için kaba kuvvet kullanabilir, açıkları arayabilir ve istismarları kendiniz geliştirebilir veya ağ üzerinden iletilenleri dinleyebilirsiniz. Üstelik son seçenek çoğu zaman optimaldir. Bu nedenle bugün MITM saldırılarını kullanarak bizim için değerli olan bilgileri ağ trafiğinden yakalamamıza yardımcı olacak araçlardan bahsedeceğiz.

MITMf

En ilginç adaylardan biriyle başlayalım. Bu, sergio-proxy temelinde inşa edilmiş, ortadaki adam saldırılarını gerçekleştirmek için tam bir çerçevedir. Son zamanlarda Kali Linux'a dahil edildi. Kendiniz yüklemek için depoyu klonlamanız ve birkaç komutu çalıştırmanız yeterlidir:

# setup.sh # pip kurulumu -r gereksinimleri.txt

Eklentiler aracılığıyla genişletilebilen bir mimariye sahiptir. Başlıcaları arasında şunlar yer almaktadır:

• Sahtekarlık - ARP/DHCP sahtekarlığını kullanarak trafiği yeniden yönlendirmenize, ICMP yönlendirmelerine ve DNS sorgularını değiştirmenize olanak tanır;
• Sniffer - bu eklenti çeşitli protokoller için oturum açma girişimlerini izler;
• BeEFAutorun - işletim sistemi ve istemci tarayıcısının türüne göre BeEF modüllerini otomatik olarak başlatmanıza olanak tanır;
• AppCachePoison - önbellek zehirlenmesi saldırısı gerçekleştirir;
• SessionHijacking - oturumları ele geçirir ve ortaya çıkan çerezleri Firefly profilinde saklar;
• TarayıcıProfiler - tarayıcı tarafından kullanılan eklentilerin bir listesini almaya çalışır;
• FilePwn - HTTP aracılığıyla gönderilen dosyaları Backdoor Factory ve BDFProxy kullanarak değiştirmenize olanak tanır;
• Enjeksiyon - bir HTML sayfasına rastgele içerik enjekte eder;
• jskeylogger - istemci sayfalarına bir JavaScript keylogger yerleştirir.

Bu işlevsellik size yetersiz geliyorsa, uygun uzantıyı uygulayarak her zaman kendinizinkini ekleyebilirsiniz.

PuttyRider

Dikkate değer başka bir yardımcı program. Doğru, bugün ele alınan diğer tüm araçların aksine, çok dar bir alanda uzmanlaşmıştır. Projenin yazarının kendisinin de söylediği gibi, böyle bir yardımcı program yaratma konusunda, penetrasyon testleri sırasında en önemli verilerin, yöneticilerin SSH/Telnet/rlogin aracılığıyla bağlandığı Linux/UNIX sunucularında bulunmasından ilham almıştı. Üstelik çoğu durumda yöneticilerin makinesine erişim sağlamak, hedef sunucuya erişim sağlamaktan çok daha kolaydı. Sistem yöneticisinin makinesine girdikten sonra geriye kalan tek şey PuTTY'nin çalıştığından emin olmak ve bu aracı kullanarak saldırgana karşı bir arka köprü oluşturmaktır.

Yardımcı program yalnızca yönetici ile uzak sunucu arasındaki (şifreler dahil) "iletişimi" yakalamanıza değil, aynı zamanda belirli bir oturumda isteğe bağlı kabuk komutlarını yürütmenize de olanak tanır. Üstelik tüm bunlar kullanıcı (yönetici) için kesinlikle şeffaf bir şekilde gerçekleşecektir. Teknik detaylarla ilgileniyorsanız örneğin PuTTY'nin sürece nasıl dahil edildiği, yazarın sunumunu okumanızı tavsiye ederim.

Oldukça eski bir yardımcı program, sekiz yıldan daha uzun bir süre önce doğmuş. Çerezleri çalarak oturumları klonlamak için tasarlanmıştır. Oturumları ele geçirmek için ana bilgisayarları tespit etme (açık bir kablosuz ağa veya hub'a bağlıysa) ve ARP zehirlenmesi gerçekleştirme konusunda temel becerilere sahiptir. Tek sorun, bugün, sekiz yıl öncesinden farklı olarak, Yahoo veya Facebook gibi neredeyse tüm büyük şirketlerin SSL şifrelemesi kullanmasıdır, bu da bu aracı tamamen işe yaramaz hale getiriyor. Buna rağmen internette SSL kullanmayan yeterli kaynak var, bu nedenle yardımcı programı silmek için henüz çok erken. Avantajları arasında Firefox'a otomatik olarak entegre olması ve ele geçirilen her oturum için ayrı bir profil oluşturması yer alıyor. Kaynak kodu depoda mevcuttur ve aşağıdaki komut dizisini kullanarak kendiniz oluşturabilirsiniz:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip oturum hırsızı

ProxyFuzz

ProzyFuzz'ın MITM saldırılarını gerçekleştirmekle doğrudan hiçbir ilgisi yoktur. Adından da anlaşılacağı gibi araç, fuzzing için tasarlanmıştır. Bu, Python'da uygulanan ve ağ trafiği paketlerinin içeriğini rastgele değiştiren, deterministik olmayan küçük bir ağ fuzzer'ıdır. TCP ve UDP protokollerini destekler. Yalnızca bir tarafı yumuşatacak şekilde yapılandırabilirsiniz. Bazı ağ uygulamalarını (veya protokollerini) hızlı bir şekilde test etmeniz ve bir PoC geliştirmeniz gerektiğinde kullanışlı olur. Kullanım örneği:

Python proxyfuzz -l -R -P

Seçeneklerin listesi şunları içerir:

• w - fuzzing başlamadan önce gönderilen isteklerin sayısını belirtir;
• c - yalnızca istemciyi rahatsız edin (aksi takdirde her iki tarafı da);
• s - yalnızca sunucuyu bulanıklaştırın (aksi takdirde her iki tarafta);
• u - UDP protokolü (aksi takdirde TCP kullanılır).

Orta

DEF CON konferansında sunulan çeşitli protokollere MITM saldırıları gerçekleştirmeye yönelik bir yardımcı program. Alfa sürümü HTTP protokolünü destekliyordu ve cephaneliğinde üç harika eklenti vardı:

• eklenti-beef.py - Yerel ağdan gelen herhangi bir HTTP isteğine Tarayıcı Kullanım Çerçevesini (BeEF) enjekte eder;
• eklenti-metasploit.py - Metasploit'ten tarayıcı açıklarını yükleyen şifrelenmemiş (HTTP) isteklere bir IFRAME yerleştirir;
• eklenti-keylogger.py - HTTPS üzerinden gönderilecek tüm metin alanları için KeyPress'e bir JavaScript olay işleyicisi yerleştirir ve tarayıcının, formun tamamı gönderilmeden önce kullanıcı tarafından girilen şifreyi karakter karakter saldırganın sunucusuna göndermesine neden olur.

Middler yalnızca ağ trafiğini otomatik olarak analiz edip içindeki çerezleri bulmakla kalmaz, aynı zamanda bunları istemciden bağımsız olarak talep eder, yani süreç maksimum düzeyde otomatikleştirilir. Program, trafiğine erişebildiği bir bilgisayar ağındaki (veya genel erişim noktasındaki) tüm korumasız hesapların toplanmasını garanti eder. Programın düzgün çalışması için sistemde şu paketlerin kurulu olması gerekmektedir: Scapy, libpcap, readline, libdnet, python-netfilter. Maalesef depo uzun süredir güncellenmedi, bu nedenle yeni işlevleri kendiniz eklemeniz gerekecek.

HTTP trafiğini etkileşimli olarak incelemenize ve değiştirmenize olanak tanıyan bir konsol yardımcı programı. Bu tür beceriler sayesinde, yardımcı program yalnızca pentester'lar/hacker'lar tarafından değil, aynı zamanda onu örneğin web uygulamalarında hata ayıklamak için kullanan sıradan geliştiriciler tarafından da kullanılıyor. Onun yardımıyla uygulamanın hangi isteklerde bulunduğu ve hangi yanıtları aldığı hakkında ayrıntılı bilgi alabilirsiniz. Ayrıca mitmproxy, bazı REST API'lerinin, özellikle de yeterince belgelenmemiş olanların işleyişine ilişkin özelliklerin incelenmesine yardımcı olabilir.

Kurulum son derece basittir:

$ sudo yetenek kurulumu mitmproxy

$ pip kurulumu mitmproxy

$ easy_install mitmproxy

Mitmproxy'nin, istemciye kendinden imzalı bir sertifika vererek HTTPS trafiğini engellemenize de olanak tanıdığını belirtmekte fayda var. Trafiğin durdurulması ve değiştirilmesinin nasıl kurulacağına dair iyi bir örneği burada bulabilirsiniz.

Intercepter-NG

Bu efsane enstrümanın incelememizde yer almaması garip olurdu. Hiç kullanmamış olsanız bile, muhtemelen duymuşsunuzdur (ve onu daha iyi tanımanız gerekir) - derginin sayfalarında oldukça sık karşımıza çıkıyor. İşlevselliğini tam olarak açıklamayacağım - öncelikle MITM ile ilgileniyoruz ve ikincisi böyle bir açıklama makalenin tamamını kaplayacak.

Devamı yalnızca üyelere açıktır

Seçenek 1. Sitedeki tüm materyalleri okumak için "site" topluluğuna katılın

Belirtilen süre içinde topluluğa üye olmak, TÜM Hacker materyallerine erişmenizi sağlayacak, kişisel kümülatif indiriminizi artıracak ve profesyonel bir Xakep Skoru puanı biriktirmenize olanak tanıyacaktır!

Ortadaki adam saldırısı, aracı olarak trafiğe erişim sağlamayı amaçlayan çeşitli tekniklerin genel adıdır. Bu tekniklerin çok çeşitli olması nedeniyle, bu saldırıları tespit etmek için tüm olası durumlarda işe yarayacak tek bir aracın uygulanması sorunludur. Örneğin, yerel bir ağa yapılan ortadaki adam saldırısında genellikle ARP sahtekarlığı (zehirleme) kullanılır. Ve birçok ortadaki adam saldırı tespit aracı, Ethernet adres çiftlerindeki değişiklikleri izler/veya ARP isteklerini/yanıtlarını pasif bir şekilde izleyerek şüpheli ARP etkinliğini bildirir. Ancak bu saldırı kötü niyetli olarak yapılandırılmış bir proxy sunucusunda, VPN'de veya ARP zehirlenmesi kullanmayan diğer seçeneklerde kullanılıyorsa bu tür araçlar çaresiz kalır.

Bu bölümün amacı, ortadaki adam saldırılarını tespit etmeye yönelik bazı tekniklerin yanı sıra bir MitM saldırısı tarafından hedef alınıp alınmadığınızı belirlemek için tasarlanmış bazı araçları gözden geçirmektir. Metodolojilerin ve uygulama senaryolarının çeşitliliği nedeniyle %100 algılama garanti edilemez.

1. Trafik değişikliğinin tespiti

Daha önce de belirtildiği gibi, ortadaki adam saldırıları her zaman ARP sahtekarlığını kullanmaz. Bu nedenle, ARP seviyesinde aktivite tespiti en popüler tespit yöntemi olmasına rağmen, daha fazlası evrensel bir şekilde trafik değişikliğinin tespitidir. Mitmcanary programı bu konuda bize yardımcı olabilir.

Programın çalışma prensibi “kontrol” talepleri yapması ve alınan yanıtları kaydetmesidir. Daha sonra aynı istekleri belirli aralıklarla tekrarlayarak aldığı yanıtları karşılaştırır. Program oldukça akıllıdır ve yanlış pozitifleri önlemek için yanıtlardaki dinamik unsurları tespit eder ve bunları doğru şekilde işler. Program, MitM saldırılarına yönelik araçların etkinliğinin izlerini tespit ettiği anda bunu rapor eder.

Bazı araçların nasıl “devralabileceğine” örnekler:

• MITMf, varsayılan olarak HTML kodundaki tüm HTTPS URL'lerini HTTP olarak değiştirir. HTTP içeriği karşılaştırılarak algılandı.
• Zarp + MITMProxy, MITMProxy, HTTP sıkıştırmasını temizlemenizi sağlayan işlevselliğe sahiptir, bu iletilen trafiğin şeffaflığı için kullanılır, bu kombinasyon daha önce mevcut olan sıkıştırmanın ortadan kalkmasıyla algılanır
• mDNS yanıtlarının dönüşümündeki ani değişikliklerle tanımlanan yanıtlayan: beklenmeyen yanıt; Cevap içseldir ancak dışsal bir beklenti vardır; yanıt beklenen IP'den farklı

• MITMCanary ve MITMf:

• MITMCanary vs Yanıtlayıcı:

• MITMCanary vs Zarp + MITMProxy:

Sudo pip kurulumu Cython sudo apt-get kurulumu python-kivy python-dbus sudo pip kurulum katmanı uuid urlopen analiz isteği simplejson datetime git clone https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Daha önce de belirtildiği gibi mitmcanary'nin kontrol sorgularıyla çalışmaya başlaması gerekiyor. Bunu yapmak için dizine gidin

CD servisi/

Ve dosyayı çalıştırın setup_test_persistence.py:

Python2 setup_test_persistence.py

Bu biraz zaman alacaktır; bitmesini bekleyin. Hiçbir hata mesajı olmamalıdır (eğer öyleyse, bazı bağımlılıkları kaçırıyorsunuz demektir).

Çıktı şöyle bir şey olacak:

Mial@HackWare:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Daha eski yapılandırma sürümü algılandı (14 yerine 0) Yapılandırma yükseltiliyor. Temizleme günlüğü ateşlendi. Analiz ediliyor... Temizleme işlemi tamamlandı! /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ girişini kaydedin (varsayılan, 1 Eylül 2016, 20:27:38)

Bu işlem bittikten sonra aynı dizinde çalıştırın (bu bir arka plan işlemi başlatacaktır):

Python2 main.py

Bundan sonra yeni bir terminal penceresi açın ve mitmcanary ile bitiş dizinine gidin. Dizinim bin/mitmcanary/, bu yüzden giriyorum

CD kutusu/mitmcanary/

ve orada şunu yapın:

Python2 main.py

İlk pencere şunun gibi bir şey görüntüler:

Mial@HackWare:~/bin/mitmcanary/service$ python2 main.py Oturumu kaydet /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (varsayılan, 1 Eylül 2016, 20:27:38) kullanarak 127.0.0.1:3000'de Tuio için soket dinleme için 60 saniye uyku 60 saniye uyku 60 saniye uyku 60 saniye uyku 60 saniye uyku 60 saniye uyku

Onlar. Program dakikada bir kez kontrol isteklerinde bulunur ve ortadaki adam saldırısının işaretlerini arar.

İkinci pencere ayrıca çıktıyı içerir + karanlık bir pencere açılır; programın yazarları bu pencereye "grafik arayüz" adını verir:

Programın yanlış uyarı vermediğinden emin olmak için bir süre bekleyip internette gezinebilirsiniz.

Hadi deneyelim klasik program etcap.

ARP sahtekarlığıyla düzenli bir MitM saldırısı başlatıyorum. mitmcanary aşındırma işlemine yanıt vermiyor. Mitmcanary aracı trafiği kendisi oluşturur, yani herhangi bir kullanıcı işlemi gerekmez. Bir süre sonra, sonraki kontrollerde onaylanmayan tek bir uyarı belirir. Ancak birkaç dakika sonra benzer bir uyarı beliriyor. Daha fazla analiz yapmadan bunun bir yanlış pozitif örneği olup olmadığını söylemekte zorlanıyorum; buna çok benziyor. Bu uyarının, trafiğin ek yollardan geçmesi ihtiyacından veya düşük kaliteli İnternet bağlantımın özelliklerinden kaynaklanan bir iletişim arızasından kaynaklanmış olması oldukça muhtemeldir.

Sonuç açık olmadığından (“evet” yerine “hayır” olma ihtimali daha yüksektir), çeşitli modüllere sahip Bettercap programını deneyelim. Çeşitli Ettercap ve/veya eklentileri kullanırken buna hiç şüphem yok ek programlar işlevselliği genişletmek için mitmcanary'yi de "aydınlatacağız".

Deneyin saflığı için ekipmanı yeniden başlatıyorum, saldırılan makinede mitmcanary'yi ve saldıran makinede Bettercap'i çalıştırıyorum. Aynı zamanda, saldırıya uğrayan makinede kontrol isteklerinin tekrar yapılmasına gerek yoktur; bunlar, programın bulunduğu dizindeki bir dosyaya kaydedilir. Onlar. Hizmeti ve grafik arayüzü başlatmak yeterlidir.

Ve saldıran makinede Bettercap'i ayrıştırıcılar etkinken başlatacağız:

Sudo Bettercap -X

Daha çok yanlış pozitiflere benzeyen bireysel uyarılar görünür.

Ancak bu komutu çalıştırarak:

Sudo Bettercap -X --proxy

Saldırıya uğrayan makine çağrılarında çok sayıda olası bir ortadaki adam saldırısına ilişkin uyarılar:

Yani ortadaki adam saldırı aracı ne kadar güçlüyse trafikte o kadar çok iz bırakır. Mitmcanary'nin pratik kullanımı için aşağıdaki koşulların karşılanması gerekir:

• trafiğin aktarımında herhangi bir aracının olmadığından emin olduğunuzda güvenilir bir ağ üzerinden ilk isteklerde bulunun;
• Profesyonel bir saldırgan istisnalara varsayılan kaynakları ekleyebileceğinden, doğrulama isteklerinin yapıldığı kaynakları düzenleyin, bu da onu bu araçta görünmez hale getirecektir.

2. ARP sahtekarlığını tespit etmek (ARP önbellek zehirlenmesi)

Çoğu zaman, yerel bir ağdaki ortadaki adam saldırısı ARP zehirlenmesiyle başlar. Bu nedenle MitM saldırılarını tespit etmek için tasarlanan birçok araç, Ethernet (MAC adresleri) ile IP adresleri arasındaki yazışmayı atayan, ARP önbelleğindeki değişiklikleri izlemeye yönelik bir mekanizmaya dayanmaktadır.

Bu programlara örnek olarak arpwatch, arpalert ve çok sayıda yeni programı sayabiliriz. ArpON programı yalnızca ARP önbelleğindeki değişiklikleri izlemekle kalmaz, aynı zamanda onu onlardan korur.

Örnek olarak arpwatch'ı arka planda çatallar oluşturmadan ve mail ile mesaj göndermeden hata ayıklama modunda çalıştıralım. Bunun yerine mesajlar stderr'e (standart hata çıkışı) gönderilir.

Sudo /usr/sbin/arpwatch -d

Saldıran makinede Ettercap'i başlatalım ve ARP sahtekarlığına başlayalım. Saldırıya uğrayan makinede şunları gözlemliyoruz:

Arpwatch programı, bilgisayarınıza bağlanan yeni cihazlar hakkında hızlı bir şekilde bilgi edinmenize yardımcı olacaktır. yerel ağ ARP önbelleğindeki değişikliklerin yanı sıra.

ARP sahtekarlığını gerçek zamanlı olarak tespit etmek için başka bir araç, Ettercap eklentisidir. arp_cop. Saldırıya uğrayan makinede Ettercap'i şu şekilde başlatın:

Sudo ettercap -TQP arp_cop ///

Ve saldırganda ARP zehirlenmesine başlayacağız. Saldırıya uğrayan makinede hemen uyarılar görünmeye başlar:

3. DNS sahtekarlığının tespiti

DNS sahteciliği, sizinle hedefiniz arasında trafiğinizi değiştirebilecek bir aracının olduğunu gösterir. DNS kayıtlarının sahte olduğunu nasıl tespit edebilirsiniz? Bunu yapmanın en kolay yolu güvendiğiniz bir ad sunucusunun yanıtlarıyla karşılaştırmaktır. Ancak isteğinize gönderilen yanıttaki girişler de değiştirilebilir...

Onlar. şifrelenmiş bir kanal aracılığıyla (örneğin Tor aracılığıyla) kontrol etmeniz veya standart olmayan ayarlar kullanmanız (başka bir bağlantı noktası, UDP yerine TCP) gerekir. Bu, kabaca XiaoxiaoPu'nun sans programının tasarlandığı şeydir (en azından benim anladığım kadarıyla). Bu programı Tor aracılığıyla ve standart olmayan ayarlar aracılığıyla DNS isteklerini yönlendirmek için kullanabildim. Dns sunucusu. Ancak bana DNS yanıt sahtekarlığıyla ilgili mesajlar göstermesini sağlayamadım. Bu olmadan programın anlamı kaybolur.

Daha değerli bir alternatif bulamadım.

Prensip olarak, DNS sahtekarlarının genellikle yalnızca 53 numaralı bağlantı noktasını ve yalnızca UDP protokolünü izlediği göz önüne alındığında, manuel olarak bile DNS sahtekarlığı gerçeğini kontrol etmek yeterlidir, ancak bu, standart olmayan bir yapılandırmaya sahip kendi DNS sunucunuzu gerektirir. Örneğin saldıran makinede bir dosya oluşturdum dns.conf aşağıdaki içerikle:

Yerel mi-al.ru

Onlar. mi-al.ru web sitesi için DNS kaydı talep edilirken, gerçek IP yerine saldırganın makinesinin IP'si gönderilecektir.

Saldıran makinede koşuyorum:

Sudo Bettercap --dns dns.conf

Ve saldırıya uğrayan üzerinde iki kontrol yapıyorum:

Mi-al.ru # kazın ve mi-al.ru -p 4560 @185.117.153.79 kazın

Sonuçlar:

Mial@HackWare:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; genel seçenekler: +cmd ;; Cevabı aldım: ;; ->> BAŞLIK<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 mial@HackWare:~$ dig mi-al.ru -p 4560 @185.117.153.79 ; <<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; genel seçenekler: +cmd ;; Cevabı aldım: ;; ->> BAŞLIK<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

“Normal” bir DNS isteği için yerel IP 192.168.1.48'in gönderildiği, atipik bir bağlantı noktasından DNS istenirken doğru sunucu IP'sinin gönderildiği görülmektedir.

Sunucu TCP (UDP yerine) kullanacak şekilde yapılandırılmışsa komut şu şekilde görünecektir:

Dig mi-al.ru -p 4560 +tcp @185.117.153.79

Trafikteki DNS yanıtlarını bizzat izleyecek, bunları alternatif bir kaynağa göre iki kez kontrol edecek ve sahtekarlık durumunda alarm verecek bir aracın eksikliği açıkça görülüyor.

Kendi uzak DNS'nizi kurmaktan kaçınmak için Tor aracılığıyla ad sunucusu sorguları yapabilirsiniz. Tüm Tor trafiği şifrelendiğinden bu şekilde elde edilen DNS yanıtları bir aracının yeteneklerinin ötesindedir. Tor henüz kurulu değilse yükleyin.

Sudo apt-get install tor

Sudo pacman -S tor

Hizmeti başlatın:

Sudo systemctl tor'u başlat

İhtiyacınız varsa, bu hizmeti başlangıca ekleyin:

Sudo systemctl tor'u etkinleştir

Dosyayı aç /etc/tor/torrc ve oraya aşağıdaki satırları ekleyin:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit,.onion

530 sayısına dikkat edin. Bu, 530 yerine port numarasıdır, başka (kullanılmayan) bir port belirleyebilirsiniz. Önemli olan onu hatırlamaktır.

Tekrar kontrol ediyoruz:

Mi-al.ru # kazın ve mi-al.ru -p 530 @localhost kazın

Şimdi sunucu olarak belirtiyoruz yerel ana bilgisayar ve /etc/tor/torrc ayarlarında belirttiğiniz port numarasını yazın.

Aşağıdaki ekran görüntüsünden de görebileceğiniz gibi, kontrolün yapıldığı makineye DNS sahtekarlığı saldırısı gerçekleştirilir:

4. Karışık modda ağ arayüzlerini arayın

Yerel ağınızda karışık modda bir ekipman varsa (ve özellikle aniden ortaya çıkarsa), bu çok şüphelidir, ancak açıkça bir ortadaki adam saldırısına işaret etmese de.

Bu modda ağ kartı, kime gönderildiklerine bakılmaksızın tüm paketleri almanıza olanak tanır.

Normal durumda, Ethernet arayüzü bağlantı katmanı paket filtrelemesini kullanır ve alınan paketin hedef başlığındaki MAC adresi, mevcut ağ arayüzünün MAC adresiyle eşleşmezse ve yayınlanmazsa paket atılır. "Karışık" modda, ağ arayüzündeki filtreleme devre dışı bırakılır ve geçerli düğüme gönderilmeyenler de dahil olmak üzere tüm paketlerin sisteme girmesine izin verilir.

Çoğu işletim sistemi, karışık modu etkinleştirmek için yönetici haklarına ihtiyaç duyar. Onlar. Bir ağ kartını karışık moda ayarlamak, koklama amaçlarına hizmet edebilecek kasıtlı bir eylemdir.

Karışık modda ağ arayüzlerini aramak için Ettercap adında bir eklenti var. search_promisc.

Eklentiyi çalıştırma örneği:

Sudo ettercap -TQP search_promisc ///

Eklentinin çalışması tamamen güvenilir değildir; ağ arayüzü modunun belirlenmesinde hatalar meydana gelebilir.

Çözüm

Bazı ortadaki adam saldırı yöntemleri çok fazla iz bırakır ve bazılarının (pasif proxy kimlik bilgisi arama gibi) tespit edilmesi imkansızdır veya neredeyse imkansızdır.