Содержание статьи
- Маршрутизация трафика и неразборчивый режим
- Возможности порта коммутатора
- NAT Helper, маскарадинг и его побочные эффекты
- Поиск чувствительных данных в эфире
- Ядро Linux
- TCP Window Scaling
- Обход VLAN-сегментации (Cisco 2960)
- DHCP Spoofing, но без Exhaustion
- ARP Scanning
- ARP Spoofing
- Спуфинг в системе горячего резервирования FHRP
- Необходимость использовать GARP
- Спуфинг в сети с динамической маршрутизацией
- Спуфинг дерева STP
- Выводы
warning
Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
Начнем с теории. Я покажу, какие параметры нужны для корректного проведения MITM. Эти настройки позволят тебе избежать непреднамеренного DoS.
Маршрутизация трафика и неразборчивый режим
Классика жанра: переключить свой интерфейс в promiscuous mode и разрешить маршрутизацию. Разрешение маршрутизации — это вообще очень важная настройка, так как без нее во время MITM трафик легитимных хостов будет упираться в твою ОС и дальше не пройдет, а это вызовет DoS.
sudo ip link set dev eth0 promisc
sudo sysctl -w net.ipv4.ip_forward=1
Также будет полезно отключить ICMP Redirect. При проведении MITM твоя машина может генерировать эти сообщения, что вызовет тревогу сенсоров систем IDS/IPS.
sudo sysctl -w net.ipv4.conf.all.accept_redirects=0
sudo sysctl -w net.ipv6.conf.all.accept_redirects=0
Возможности порта коммутатора
Так или иначе при MITM ты будешь упираться в возможности порта коммутатора. Если на порте коммутатора условно пропускная способность 1 Гбит/с, то выше этой отметки не прыгнуть. Поэтому не рекомендуется спуфить слишком много хостов.
NAT Helper, маскарадинг и его побочные эффекты
Через тебя может проходить FTP, H.323 и другой трафик, который плохо работает с NAT. Модуль nf_conntrack
поможет прохождению трафика таких протоколов:
sudo modprobe nf_conntrack
Давай зададим правило NAT, которое позволит видеть не только входящий во время MITM трафик, но еще и исходящий.
sudo iptables -t nat -A POSTROUTING -o eth0 -J MASQUERADE
Однако у этого правила может быть побочный эффект.
Однажды мой коллега по цеху во время MITM как раз таки и настроил такое правило. В инфраструктуре заказчика были Zabbix-агенты, которые он спуфил. И это правило привело к тому, что Zabbix-сервер больше не мог достучаться до Zabbix-агентов, так как оно, по сути, спуфит адреса легитимных хостов. Разумеется, от такого внезапного события сетевики были в шоке.
Поиск чувствительных данных в эфире
Утилиты net-creds и PCredz — полезнейшие инструменты для удобного сбора данных в эфире. Обычно их используют для того, чтобы вытащить из трафика пароли, NTLM-хеши, строки SNMP Community и другие интересные вещи.
sudo python2 net-creds -i eth0
sudo python3 ./Pcredz -i eth0
Ядро Linux
При MITM твое устройство должно быть готово к обработке большого количества трафика. Можно немного затюнить ядро Linux для оптимальной работы с большим количеством трафика, который ты будешь принимать во время спуфинга сети.
sudo sysctl -w fs.file-max=100000
sudo sysctl -w net.core.somaxconn = 65535
sudo sysctl -w net.core.netdev_max_backlog = 65536
sudo sysctl -w net.ipv4.tcp_fin_timeout=15
sudo sysctl -w net.ipv4.tcp_tw_reuse=1
sudo sysctl -w net.ipv4.tcp_tw_recycle=1
sudo sysctl -w net.ipv4.tcp_max_tw_buckets=65536
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»