Взлом dhcp: MITM атака на DHCP с помощью YERSINIA.

MITM атака на DHCP с помощью YERSINIA.

Чтобы в рамках тестирования на проникновение быстрее провести MitM атаку с использованием поддельного DHCP сервера (как создать поддельный DHCP сервер рассказывается в статье Yersinia. Создание поддельного DHCP (Rogue DHCP) сервера, как провести DoS атаку на существующий DHCP сервер — описывается в статье DoS атака на DHCP сервер. DHCP Starvation), нужно заставить клиентов переполучить адреса и настройки сети. Для этого можно от имени DHCP сервера отправить запросы DHCP RELEASE. Это можно сделать с помощью программы Yersinia.

Запускаем Yersinia.

yersinia -I
запуск псевдографической оболочки.нажимаем i для выбора интерфейса, выбираем требуемые интерфейсы.нажимаем g для выборы протокола и выбираем DHCP.Выбор атакиснова нажимаем x, для выбора атаки (eXecute attack) и выбираем пункт 3 — sending RELEASE packet.

теперь нам нужно узнать какой адрес использует текущий DHCP сервер, чтобы потом подставить его в настройки атаки.
для этого нажимаем x, для выбора атаки (eXecute attack) и выбираем пункт 0 — sending RAW packet.

Адрес текущего DHCP сервера

в логе пакетов мы получим отправку нашего широковещательного запроса (DISCOVER) и ответа от легитимного DHCP сервера (OFFER). Из ответа нам нужен IP-адрес, чтобы в дальнейшем рассылать пакеты от имени существующего сервера.

Вводим настройки для рассылки пакетов:
Server IDIP-адрес настоящего сервера, полученный ранее;
Start IP — начальный IP-адрес диапазона, который мы хотим деавторизовать;
End IP — конечный IP-адрес диапазона, который мы хотим деавторизовать;
и нажимаем Enter для начала атаки.

Остановка атаки

Для остановки атаки нажимаем l, выбираем активную атаку и нажимаем Enter.

Таким образом мы сможем заставить клиентов пройти заново регистрацию на

DHCP, и в случае использования поддельного сервера — сменить сетевые параметры на нужные нам.

При подготовке статьи, использовались материалы сайта — http://blackdiver.net/it/linux/4082

Click to rate this post!

[Total: 15 Average: 3.9]

DOS АТАКА НА DHCP СЕРВЕР. DHCP STARVATION

Когда при тестировании на проникновение (Pentest) требуется провести атаку MitM то существует множество способов, например: Проведение ARP poisoning атаки. Но так же можно развернуть поддельный DHCP сервер (Rogue DHCP Server) и передавать адреса поддельного шлюза и DNS сервера клиентам. Но в этом случае хорошо бы устранить существующий в сети DHCP сервер, чтобы он не посылал свои ответы клиентам. Устранить его можно многими способами, например

DoS атакой, описанной в статье SYN flood атака или с помощью атаки DHCP Starvation, которая исчерпает весь IP пул DHCP сервера.


Принцип работы данной атаки очень прост:

1) Запрашиваем себе IP-адрес у DHCP-сервера и получает его;
2) Меняем MAC-адрес и запрашиваем следующий, уже другой IP-адрес, маскируясь под нового клиента;
3) Такие действия повторяем пока весь пул IP-адресов на DHCP сервере не будет исчерпан.

Для автоматизации данного типа атаки существует утилита Yersinia
Запускаем Yersinia:

yersinia -I
запускается псевдо графическая оболочка.нажимаем i и выбираем требуемые интерфейсы.нажимаем g (выбор протокола) и выбираем DHCP.далее нажимаем x, для выбора атаки (eXecute attack) и выбираем пунк 1 — sending DISCOVER packet.Атака запущена.Для остановки атаки нажимаем l, выбираем активную атаку и нажимаем Enter.

Таким образом можно провести атаку на отказ в обслуживании DHCP сервера.
А после устранения легитимного DHCP сервера, запускаем свой и передаем клиентам настройки сети, которые нужны нам. Как создать свой Rogue DHCP сервер — рассказывается в статье Yersinia. Создание поддельного DHCP (Rogue DHCP) сервера.

Click to rate this post!

[Total: 5 Average: 3.4]

Атаки на сетевое оборудование с Kali Linux / Хабр

 
В данной статье мы рассмотрим актуальные атаки на сетевое оборудование и инструменты, доступные в популярном дистрибутиве Kali Linux для их проведения.


Атакуем CISCO маршрутизатор

В состав Kali Linux входит несколько инструментов, которые можно использовать для аудита оборудования CISCO. Список можно посмотреть в разделе Vulnerability Analysis — Cisco Tools:


Cisco Audit Tool или CAT
Используется для брутфорса пароля при выключенном режиме aaa-mode, брутфорса SNMP community-строк и проверки на уязвимость IOS History bug (https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-19981014-ios-hist)

Пример использования:

CAT -h 192.168.1.209 -w /root/cisco/wordlist/snmpcommunities -a /root/cisco/wordlist/password_list -i

Cisco Global Exploiter или CGE
Используется для экслпутации известных уязвимостей. Нам доступно 14 атак:


Пример использования:

cge.pl 192.168.1.201 3


cisco-ocs
Инструмент для автоматизации поиска устройств со стандартными значениями пароля для telnet и режима enable, который может искать устройства в диапазоне адресов. Может использоваться при сканировании больших сетей.

Пример использования:

cisco-ocs 192.168.1.207 192.168.1.209


cisco-torch
Многофункциональный сканер уязвимостей для оборудования Cisco. Может сканировать несколько IP адресов за раз, подгружая из текстового файла. Запускать cisco-torch в Kali Linux следует, находясь в рабочей директории /usr/share/cisco-torch.

Пример использования:

Поиск доступных интерфейсов и протоколов и определение типа оборудования.

cisco-torch -A 192.168.1.201

Может использоваться для брутфорса паролей и SNMP community-строк.

cisco-torch -s -b 192.168.1.209

Для использования своего словаря, его нужно поместить в /usr/share/cisco-torch вместо файла password.txt



copy-router-config.pl и merge-copy-config.pl
Инструменты для загрузки текущей конфигурации маршрутизатора cisco при известной community-строке на свой tftp-сервер. В дальнейшем можно модифицировать конфигурацию и снова загрузить на сервер.

Пример использования:

copy-router-config.pl 192.168.1.201 192.168.1.3 private

Для автоматизации подобной атаки, где нас интересует только загрузка конфигурации на свой TFTP-сервер лучше воспользоваться модулем Metasploit auxiliary/scanner/snmp/cisco_config_tftp
Или NSE скриптом nmap snmp-ios-config.


Атакуем L2 протоколы


Yersinia — многофункциональный инструмент для атак на протоколы L2 (Data Link) уровня OSI.
Умеет проводить атаки на DHCP, STP, CDP, DTP, HSRP и другие.

Работать с Yersinia можно в нескольких режимах:

Запуск в режиме сервера и управление при помощи команд, похожих на cisco cli.

yersinia -D
telnet 127.0.0.1 12000

Логин и пароль root/root
Пароль для перехода в режим enable – tomac


  1. Запуск в интерактивном режиме
yersinia -I

Опции управления доступны по нажатии на клавишу h:



  1. Графический интерфейс GTK

Графический интерфейс может работать нестабильно. В режиме сервера не поддерживает некоторые виды атак, вроде DHCP Rogue server. Так что, основным режимом запуска можно считать интерактивный режим.


Атакуем DHCP сервер

В качестве примера продемонстрируем атаку на переполнение пула IP-адресов DHCP сервера. Данная атака может быть использована для выведения из строя корпоративного DHCP сервера и последующая его замещение поддельным, конфигудрация которого настроена таким образом, что весь трафик новых клиентов будет проходить через хост атакующего. Таким образом будет проведена одна из атак MitM.

На стороне атакующего можно выполнить скрипт nmap для обнаружения DHCP сервера в локальной сети.

nmap -n --script=broadcast-dhcp-discover

Теперь запускаем Yersinia в интерактивном режиме и переходим в режим DHCP выбрав его нажатием клавиши g.


Теперь в этом режиме будут видны все DHCP пакеты, полученные Yersinia.
Проверим список выданных адресов DHCP сервера до атаки:


Yersinia показывает DHCP пакеты, выловленные из сети:


Если выбрать пакет и нажать сочетание клавиш Shift+L то можно затем при помощи атаки RAW пересылать этот пакет в сеть, или модифицировать его при помощи нажатия клавиши e – переход в режим редактирования пакета.

При нажатии на клавишу x получаем список доступных атак:


Выбираем 1

Видим, что начинает отправлять огромное количество DHCP Discover запросов:


Через некоторое время можно остановить атаку нажатием на клавиши L и затем Enter:


Nmap больше не показывает доступных DHCP серверов в сети. Коропоративный DHCP сервер выведен из строя.


Проверим таблицу выданных IP-адресов на роутере:


Далее вы можете запустить атаку Rogue DHCP в Yersinia, либо при помощи модуля Metasploit или любым другим способом, чтобы провести MitM атаку.


Атаку на истощение пула IP адресов DHCP сервера можно так же провести при помощи инструмента DHCPig. При помощи Yersinia можно проводить атаки и на другие популярные протоколы, такие как STP (Spanning Tree Protocol) и HSRP (Hot Standby Router Protocol), которые так же позволят вам прослушивать трафик в сети.


Атака на переполнение CAM таблицы коммутатора.

Еще одна атака, которая переполняет CAM таблицу коммутатора, хранящую список MAC адресов, работающих на определенном порту. Некоторые коммутаторы при ее переполнении начинают работать как хабы, рассылая пакеты на все порты, тем самым создавая идеальные условия для проведения атак класса MitM.

В Kali Linux для проведения данной атаки присутствует инструмент macof

Пример использования:

macof -i eth0

Где eth0 – интерфейс, к которому подключен коммутатор для атаки.


Защита

Для защиты от подобного рода атак производителями используются различные, обычно проприетарные, технологии. На коммутаторах Cisco следует активировать DHCP Snooping и PortSecutiy во избежание атак на протокол DHCP и CAM Overflow. Для защиты от атак на HSRP и прочие протоколы используются другие технологии. Всегда нужно помнить, что дорогостоящее сетевое оборудование после правильной настройки может существенно повысить безопасность сетевой инфраструктуры, в то же время недонастроенное или настроенное неправильно может само стать инструментом в руках злоумышленника и угрозой безопасности. Выявление уязвимостей сетевого оборудования при проведении тестирования на проникновение и применение рекомендаций по результатам аудита помогает снизить риски взлома информационной системы злоумышленниками.

Атакуем DHCP часть 2. DHCP + WiFi = MiTM / Хабр

В данной статье я расскажу про еще один способ осуществления MiTM в WiFi сети, не самый простой, но работающий. Прежде чем читать эту статью настоятельно рекомендую ознакомиться с первой частью, в которой я попытался объяснить принцип работы протокола DHCP и как с его помощью атаковать клиентов и сервер.

Как и всегда для осуществления данной атаки есть пару ограничений:


  1. Мы должны быть подключены к атакуемой точке доступа.
  2. У нас должна быть возможность прослушивать широковещательный трафик в сети.

И так как же это работает? Атака разделяется на несколько этапов:


  1. Производим атаку DHCP Starvation;
  2. Отправляем WiFi DeAuth пакеты;
  3. Перехватываем ARP запросы от клиентов, отвечаем на них, чтобы создать конфликт IP-адресов и принудить клиента отправить DHCPDECLINE;
  4. Перехватываем DHCPDISCOVER и DHCPREQUEST запросы, отвечаем на них;
  5. Profit!

Разберемся в этой схеме поподробнее.


DHCP Starvation

Подключаемся к атакуемой WiFi сети и производим атаку DHCP Starvation с целью переполнить пул свободных IP-адресов.
Как это работает:


  1. Формируем и отправляем широковещательный DHCPDISCOVER-запрос, при этом представляемся как DHCP relay agent. В поле giaddr (Relay agent IP) указываем свой IP-адрес 192.168.1.172, в поле chaddr (Client MAC address) — рандомный MAC 00:01:96:E5:26:FC, при этом на канальном уровне в SRC MAC выставляем свой MAC-адрес: 84:16:F9:1B:CF:F0.


  2. Сервер отвечает сообщением DHCPOFFER агенту ретрансляции (нам), и предлагает клиенту с MAC-адресом 00:01:96:E5:26:FC IP-адрес 192.168.1.156


  3. После получения DHCPOFFER, отправляем широковещательный DHCPREQUEST-запрос, при этом в DHCP-опции с кодом 50 (Requested IP address) выставляем предложений клиенту IP-адрес 192.168.1.156, в опции с кодом 12 (Host Name Option) — рандомную строку dBDXnOnJ. Важно: значения полей xid (Transaction ID) и chaddr (Client MAC address) в DHCPREQUEST и DHCPDISCOVER должны быть одинаковыми, иначе сервер отбросит запрос, ведь это будет выглядеть, как другая транзакция от того же клиента, либо другой клиент с той же транзакцией.


  4. Сервер отправляет агенту ретрансляции сообщение DHCPACK. С этого момента IP-адрес 192.168.1.156 считается зарезервированным за клиентом с MAC-адресом 00:01:96:E5:26:FC на 12 часов (время аренды по умолчанию).


WiFi DeAuth

Следующим шагом производим Wi-Fi Deauth. Работает эта схема примерно так:

Переводим свободный беспроводной интерфейс в режим мониторинга:

Отправляем deauth пакеты с целью отсоединить атакуемого клиента 84:16:F9:19:AD:14 WiFi сети ESSID: WiFi DHCP MiTM:


DHCPDECLINE

После того как клиент 84:16:F9:19:AD:14 отсоединился от точки доступа, вероятнее всего, он заново попробует подключиться к WiFi сети WiFi DHCP MiTM и получить IP-адрес по DHCP. Так как ранее он уже подключались этой сети, то будет отравлять только широковещательный DHCPREQUEST.

Мы перехватываем запрос клиента, но ответить быстрее точки доступа мы, само собой, не успеем. Поэтому клиент получает IP-адрес от DHCP-сервера, полученный ранее: 192.168.1.102. Далее клиент с помощью протокола ARP пытается обнаружить конфликт IP-адресов в сети:

Естественно, такой запрос широковещательный, поэтому мы можем перехватить и ответить на него:

После чего клиент фиксирует конфликт IP-адресов и отправляет широковещательное сообщение отказа DHCP — DHCPDECLINE:


DHCPDISCOVER

И так, последний этап атаки. После отправки DHCPDECLINE клиент с самого начала проходит процедуру получения IP-адреса, а именно отправляет широковещательный DHCPDISCOVER. Легитимный DHCP-сервер не может ответить на этот запрос, так как пул свободных IP-адресов переполнен после проведения атаки DHCP starvation и поэтому заметно тормозит, зато на DHCPDISCOVER можем ответить мы — 192.168.1.172.

Клиент 84:16:F9:19:AD:14 (Win10-desktop) отправляет широковещательный DHCPDISCOVER:

Отвечаем DHCPOFFER:

В DHCPOFFER мы предложили клиенту IP-адрес 192.168.1.2. Клиент получив данное предложение только от нас отправляет DHCPREQUEST, выставляя при этом в requested ip значение 192.168.1.2.

Клиент 84:16:F9:19:AD:14 (Win10-desktop) отправляет широковещательный DHCPREQUEST:

Отвечаем DHCPACK:

Клиент принимает наш DHCPACK и в качестве шлюза по умолчанию и DNS-сервера выставляет наш IP-адрес: 192.168.1.172, а DHCPNAK от точки доступа присланный на 2 секунды позже просто проигнорирует.

Вопрос: Почему точка доступа прислала DHCPOFFER и DHCPNAK на 2-е секунды позже, да еще и предложила тот же IP-адрес 192.168.1.102, ведь клиент отказался от него?

Чтобы ответить на данный вопрос немного изменим фильтр в WireShark и посмотрим ARP запросы от точки доступа:

Ответ: После проведения атаки DHCP Starvation у DHCP-сервера не оказалось свободных IP-адресов, кроме того, от которого отказался один из клиентов: 192.168.1.102. Поэтому, получив DHCPDISCOVER-запрос, DHCP-сервер в течении 2-ух секунд отправляет три ARP-запроса, чтобы узнать кто использует IP-адрес: 192.168.1.102, и после того, как сервер убедился что данный IP-адрес свободен, поскольку никто не ответил, выдает его клиенту. Но уже слишком поздно злоумышленник успел ответить быстрее.


Результаты:

Таким образом, мы можем выставлять любые сетевые параметры, а именно: шлюз по умолчанию, DNS сервер и другие — любому подключенному или новому клиенту в атакуемой WiFi сети, при условии, что мы к ней уже подключены и можем прослушивать широковещательный трафик.

Видео проведения атаки на MacOS Siera и Windows 10:



Ну и конечно же PoC.

Отстрел чужих DHCP-серверов на коммутаторе MikroTik CRS / Хабр

О проблеме отсутствия функции полноценного DHCP-snooping в устройствах MikroTik уже было сказано и написано слишком много. И везде для отлова злодейских DHCP предлагают нагружать CPU. Я же расскажу, как убить чужой DHCP-сервер с помощью свитч-чипа интегрированного в коммутаторы MikroTik CRS.

Распространенные в сети материалы касаются работы именно маршрутизаторов MikroTik. И все они для отлова DHCP используют скудные ресурсы CPU. При этом, относительно свежая линейка коммутаторов хронически остается без внимания. Между прочим, совершенно напрасно.

Итак, подопытный аппарат CRS125-24G-1S установлен на доступе. С некоторых пор изредка на пользовательские устройства стали выпадать посторонние IP-адреса. Естественно возникла задача «найти и обезвредить». В стандартном арсенале RouterOS есть инструмент «DHCP-server Alert», способный вызывать некие действия при обнаружении в сети стороннего DHCP-сервера.

Отлично? Пожалуй. Только инструмент при ближайшем рассмотрении оказался не слишком информативный. Чтобы понять почему, рассмотрим типичную архитектуру маршрутизирующего оборудования MikroTik (картинка из вики):

По сути основная часть устройства делится на две:

1) програмно-конфигурируемый свитч, осуществляющий коммутацию на максимальной скорости;
2) CPU отвечающий за маршрутизацию, фильтрацию а также умеющий осуществлять коммутацию на программном уровне, медленнее и более ресурсоёмко.

IP-сервисы на таком устройстве, само собой висят на верхнем уровне. На Master-интерфейсе восходящем к CPU Routerboard или на программном бридже. Там и живет DHCP-сервер и его служба алертов. Все виденные мною ранее решения имели также два недостатка вытекающие из этой архитектуры:

1) Фильтрация трафика от злодея выполнялась на бридже, через «use ip firewall» и отнимала без того скудные ресурсы CPU;
2) Злодей подключенный к свитчу продолжал неконтролируемо пакостить абонентам на соседних портах этого свича.

Например, абоненты висящие на port2 и port3 всё равно продолжали получать бяку прилетающую со стороны port4. Но всё изменилось, когда у MikroTik появилась линейка CRS — ребята установили более мощный и функциональный свитч-чип, который я и решил попытаться использовать, победить и сохранить ресурсы CPU.

Шаг №1


Настраиваем «DHCP-server Alert». Настройка сама по себе не сложная, почти всё описано в вендорской вики — включаем, задаем интерфейс на котором следить (например bridge-local), указываем доверенный наш DHCP. Можем добавить скрипт, который вызывать в случае чего. Ура — скрипту автоматически передаются параметры: $interface $mac-address $address обнаруженного злодея! Ура? Так легко? Но вот тут-то и спрятаны первые подводные грабли. И не одни.

Грабли первые: в $interface передается имя интерфейса на котором сидит сам алертер. Потому, если даже злодей подключен к интерфейсу «port4» (см. картинку выше), в переменной всё равно будет «bridge-local». В логе видим почти то же самое:

"dhcp-alert on bridge-local: discovered unknown dhcp server, mac xx:xx:xx:xx:xx:xx, ip xyz.xyz.xyz.xyz"

Кхм. Сколько у нас портов? 24? Ладно. Я иду искать…

Шаг №2


По граблям. Искать приходится в unicast-fdb свича, по переменной $mac-address. И вот тут-то меня ждали вторые грабли. Настоящие подводные. Скрипт вызывался, но никак не хотел работать. Кто занимается скриптописательством для MikroTik подтвердит — отладка автоматически запускаемого скрипта сама по себе задача нифига не тривиальная. Да еще и обработчик on-error{} почему-то молчал. Опытным путём было обнаружено, что код
:set portname [/interface ethernet switch unicast-fdb get [find mac-address=$mac-address] port ]

отлично отрабатывает в командной строке терминала и только в ней. В теле скрипта не желает. Причина — странная интерпретация имени собственной (определенной вендором!) переменной $mac-address.

Фича: интерпретация команд в скрипте идет через… иным путём. Для успешной работы, имя системной переменной надо экранировать: ($"mac-address") . При этом в дальнейшем использовании тоже не исключены фокусы.

Я пошел другим путем, создав локальную переменную с нормально интерпретируемым именем:

:local smac ($"mac-address")

Стало легче. Появилась возможность видеть название реального интерфейса на свитче, к которому подключен вредитель. Осталось придумать как его убить.

Как известно, настоящий джедай использует силу, а настоящий инженер использует мозг. Поэтому, идея тупо полностью отрубить найденный порт была мною отброшена — а вдруг за этим портом сидит несколько пользователей и/или устройств? К счастью свитч-чип в MikroTik CRS позволяет делать MAC-Based-Vlan. Решение пришло тут же — выделить трафик от злодея по MAC и завернуть в отдельный неиспользуемый Vlan. В итоге, получился компактный скрипт, надежно отключающий от сети чужое устройство с поднятым на нём DHCP-сервером.

#dhcpsnooper - script to cut off rogue DHCP server
#stubvid - Stub Vlan Id to move rogue DHCP server. Set your own value according your vlan config
:local stubvid 666
:local smac ($"mac-address")
:local portname [/int eth sw uni get [find mac-address=$smac] port ]
:local imac  [/int eth sw mac find src-mac-address=$smac]
if ([:len $imac]<1)   do={/interface ethernet switch mac-based-vlan add   new-customer-vid=($stubvid) src-mac-address=($smac) } else={
foreach i in $imac  do={/interface ethernet switch mac-based-vlan set $i new-customer-vid=($stubvid) src-mac-address=($smac) disabled=no }         }
/interface ethernet switch port set $portname allow-fdb-based-vlan-translate=yes
log error ("DHCP found on PORT:".($"portname")."   MAC:".($"mac-address")."   IP:".($address))

Переменная $stubvid, как должно быть понятно из названия — номер Vlan-заглушки. Переменная $imac — массив. MikroTik зачем-то позволяет делать несколько записей с одинаковым MAC в таблице mac-based-vlan, что вызывало сбой при попытке получить единственное значение. Предупреждения просто пишутся в log error, но ничто не мешает дописать более настойчивое информирование администратора сети.

Вызов алерта и скрипта у меня прописан следующим образом:

/ip dhcp-server alert add disabled=no interface=bridge-local on-alert=dhcpsnooper  valid-server=MAC_своего_DHCP

Спасибо, что дочитали до конца. Надеюсь, вам это когда-нибудь пригодится.

Проблемы DHCP — «Хакер»

В данной статье освещаются некоторые вопросы, касающиеся проблем в реализации
Протокола Динамичной Конфигурации Хоста (Dynamic Host Configuration
Protocol). Такие как отказ в обслуживании, осуществление атаки посредника (man in the
middle attack) и др. Прошу прощения, если эта информация уже была освещена
где-то, по крайней мере в рунете я не видел.

Краткий обзор DHCP

DHCP используется для автоматического присвоения IP адресов компьютерам. DHCP помогает упростить администрирование
сетей, т.к. центральный сервер сам присваивает IP адреса сетевым картам при
запросе. 

Для того, чтобы карта сетевого интерфейса (NIC) получила IP адрес, между
компьютером и DHCP сервером происходит следующий обмен пакетами:

1. Клиент посылает серверу пакет (discover packet), в котором указывается
необходимость получения IP адреса. Также клиент может попросить предыдущий
адрес, что в свою очередь может являться причиной атаки посредника (см. ниже). 

2. Сервер посылает ответный пакет-предложение (offer packet), информируя клиента
о том, какой адрес предлагается. Предлагаемый адрес может соответствовать или не
соответствовать запрашиваемому адресу (если клиент запросил определенный адрес).
Это зависит от того, насколько загружена сеть. Если она достаточно загружена, то
запрошенный адрес мог быть уже присвоен другой машине и будет предложен другой
адрес.

3. Клиент посылает серверу пакет, в котором указывается, что клиент согласен на
адрес, предложенный сервером.

4. Сервер посылает подтверждение, что клиент послал запрос на
определенный адрес. На этом этапе клиенту присваивается IP адрес, указанный DHCP сервером в втором
пункте. 

Если произошел вышеупомянутый обмен пакетами, то клиенту присваивается IP адрес,
гейтвей и DNS сервер. Возможно установление DHCP сервером большого количества
характеристик (для более подробной информации смотри соответствующий
RFC).

Атака отказа в обслуживании

При осуществлении спуффинга клиентских запросов увеличивается вероятность того,
что DHCP сервер присвоит все возможные адреса, что, соответственно, приведет к
DoS. Любой машине, захотевшей присоединиться к сети, будет отказано, т.к. весь
диапазон адресов уже будет присвоен поддельным MAC адресам.

Поддельный DHCP сервер

Организация поддельного DHCP сервера даст взломщику широкие возможности.
Например можно перенаправить траффик через свою машину (атака посредника) или
посылать пользователям поддельные web-страницы через поддельный DNS сервер. Это
происходит потому, что при присвоении IP адреса, DHCP сервер также
передает клиенту еще и DNS сервер.

Атака MITM

Установив поддельный DHCP сервер, между ним и настоящим сервером начнется
«соперничество» за присвоение IP адресов. Если поддельный сервер выиграет, то
возможно установление клиентам нужных взломщику характеристик (например
перенаправление траффика через машину взломщика, на которой установлен
анализатор пакетов). На данном этапе для установления контроля над сетью и
ликвидации настоящего сервера целесообразно вывести его из строя (например DoS).

Проблемы в осуществлении атаки посредника

Одной из проблем является то, что данная атака, возможно, не сработает в
небольших сетях. Эта атака не сработает, если запрос клиента на старый IP адрес
будет удовлетворен. Если настоящий DHCP сервер сможет удовлетворить запрос на
конкретный адрес, NIC будет присвоен предыдущий адрес, а не предложенный
поддельным сервером. Единственный способ при котором возможно присвоение адреса
поддельным сервером это когда запрошенный адрес не возможен у реального DHCP
сервера (например, когда адрес был уже присвоен другому интерфейсу).
Атаку посредника можно осуществить при использовании таких программ как DSniff и
Ettercap, которые осуществляют известную атаку ARP (ARP poisoning).

Использование DHCP для шуток над пользователями

Как было упомянуто выше, DHCP сервер сообщает клиенту какой DNS сервер
использовать. Итак, сообщив клиенту поддельный сервер имен возможно создание
липового www.mail.ru для получения логинов и паролей или
соответствующих сайтов для получения номеров кредитных карт. Шутки такого плана остаются на совести
взломщика.

Существует еще один тип атак. Как известно, многие машины получают один и тот же
IP адрес при запросе. Это реализуется при помощи списка списка соответствия
IP адресов MAC адресам. Используя спуффинг MAC адреса определенной машины и
запрашивая соответствующий IP адрес возможна выдача себя за другой хост. Для
осуществления данного вида атак необходимо вывести из строя целевую машину, а
затем должен произойти вышеупомянутый обмен пакетами до того, как машина
перезагрузится. При успешном развитии событий хосту взломщика будет присвоен
адрес другой машины.

Решение проблем

— Убедитесь, что в вашей сети невозможен MAC спуффинг.
— Отслеживайте DHCP (используя плагин snort) для обнаружения возможных
поддельных серверов.

Дополнительная информация: RFC 2131 и 2132.

Эксплоит Shellshock для DHCP-сервера — «Хакер»

Если у вас есть доступ к локальной сети крупного предприятия, то вы можете посеять хаос и панику в рядах Linux-пользователей, запустив DHCP-сервер с эксплоитом Shellshock на борту. Концептуальный эксплоит показал Джефф Уолтон (Geoff Walton), старший консультант по безопасности из компании TrustedSec.

DHCP — сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры для работы в сети TCP/IP. Протокол работает по модели «клиент-сервер». Для автоматической конфигурации клиент на этапе конфигурации сетевого устройства обращается к серверу DHCP и получает от него нужные параметры.

Итак, воспроизвести уязвимость проще всего на популярном DHCP-сервере TFTP, слегка изменив его настройки, чтобы сервер не только отвечал на запросы клиентов, но и сам обращался к ним (dhcp-parameter-request-list).

Для внедрения эксплоита подходит любое строковое значение, но надёжнее всего использовать 114 (URL). Запускаем сервер и устанавливаем для 114 следующее значение:

() { ignored;}; echo ‘foo’

Разумеется, вместо echo ‘foo’ может быть любая команда, которые вы хотите исполнить на клиентских компьютерах.

Пожалуй, у Windows-сисадминов уязвимость Shellshock вызывает злорадную ухмылку. Много лет Linux-админы издевались над большим количеством «дыр» в Windows, но теперь наступила их очередь стыдливо вжимать голову в плечи. Ясно одно: сам факт использования Linux не гарантирует лучшей защищённости, как это было принято считать в определённых кругах.

DHCP Poisoning | Этический взлом

Введение

Протокол динамической конфигурации хоста (DHCP) используется для обслуживания клиентов IP с поддержкой DHCP. Сервер содержит действительные параметры конфигурации TCP / IP, действительные IP-адреса и срок действия предложения аренды. Когда клиенту нужен IP-адрес, он отправляет запрос на DHCP-сервер. DHCP-сервер просит клиента отправить требуемые параметры, и как только он получает параметры, DHCP-сервер отправляет подтверждение, которое содержит IP-адрес клиента.

Источник: http://l4wisdom.com

DHCP-клиент запрашивает IP-адрес путем широковещательной рассылки сообщения DHCP Discover в локальную подсеть.

Клиенту предлагается адрес, когда сервер DHCP отвечает сообщением DHCP Offer, содержащим IP-адрес и информацию о конфигурации для аренды клиенту.

Клиент указывает принятие предложения, выбирая предложенный адрес и передавая в ответ сообщение DHCP-запроса.

Клиенту назначается адрес, и сервер DHCP передает в ответ сообщение DHCP Ack, завершая условия аренды.

Когда клиент получает подтверждение, он настраивает свои свойства TCP / IP, используя информацию о параметрах DHCP в ответе, и завершает инициализацию TCP / IP.

Атака голодания DHCP:

Источник: https://www.briefmenow.org/ec-council/how-do-you-defend-against-dhcp-starvation-attack-2/

Это атака типа «отказ в обслуживании», злоумышленник отправляет поддельные запросы DHCP на сервер и сдает в аренду все доступные IP-адреса, таким образом, легитимные клиенты не получают назначенный IP-адрес; или Злоумышленник может отправить поддельный запрос / ответы, заманивая клиента подключиться к машине злоумышленника вместо действительного DHCP-сервера.

Атака с отравлением DNS:

Источник: https://www.keycdn.com/support/dns-spo

Здесь злоумышленник отправляет на сервер поддельные DNS-пакеты, вызывая тем самым поддельные записи в таблице DNS для целевого веб-сайта. Поэтому, когда клиент отправляет запрос на веб-сайт, DNS-сервер преобразует домен в IP-адрес, используя введенные записи DNS, и перенаправляет пользователя на поддельный или вредоносный веб-сайт, созданный злоумышленником.

Контрмеры:

  • Включить безопасность порта.

  • Привязка отслеживания DHCP должна быть принудительной.

  • Используйте HTTPS вместо HTTP.

  • Используйте SFTP вместо FTP.

  • Используйте SSH вместо telnet.

  • Избегайте использования протоколов с открытым текстом.

  • Всегда шифруйте беспроводной трафик с помощью WPA2.

  • Проверьте, работает ли сетевой адаптер в неразборчивом режиме.

  • Внедрите DNSSEC.

  • Используйте брандмауэр.

Некоторые инструменты:

.

dhcp []



pemtic

: 21.04.2014
#: 151,464
: 11



: 21, 2014 19:43: dhcp []

: pemtic (04, 2014 17:00), 2 ()

!
Антарес

: 06.04.2003
#: 4,954
: 128



: 21, 2014 21:08:

vlaryk
Гуру сетей

: 28.01.2009
#: 75,624
: 8484
:

: 157


: 21, 2014 23:13:


_________________
, «», «»
Windows!
pemtic

: 21.04.2014
#: 151,464
: 11



: 22, 2014 0:37:

pemtic

: 21.04.2014
#: 151,464
: 11



: 22, 2014 0:46:

vlaryk
Гуру сетей

: 28.01.2009
#: 75,624
: 8484
:

: 157


: 22, 2014 0:56:


_________________
, «», «»
Windows!
pemtic

: 21.04.2014
#: 151,464
: 11



: 23, 2014 17:30:

pemtic

: 21.04.2014
#: 151,464
: 11



: 23, 2014 17:42:

ALex_hha
Гуру Unix

: 20.04.2005
#: 25,862
: 5511
:. .

: 37


: 23, 2014 20:03:

pemtic

: 21.04.2014
#: 151,464
: 11



: 25, 2014 13:26:

!
.
optimism.ru
.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *