Útok Port stealing

 

 

Podstata útoku:

Podstatou útoku Port Stealing - krádež portu je to aby sa útočník stal prostredným členom v sieťovej komunikácií medzi dvoma systémami. Potom čo sa útočník stane prostredným členom v sieťovej komunikácií, tak je schopný odpočúvať prípadne meniť dáta preposielané medzi týmito dvoma zariadeniami. Útočník môže získať citlivé údaje ako napríklad meno, heslo..., ktoré môže zneužiť.

 

Popis útoku:

Útok Port stealing spočíva v tom, že útočník "ukradne" port na prepínači, ktorý patrí obeti. Je nevyhnutné aby útočník poznal MAC adresu obete. Na LAN sieti to nieje pre útočníka veľký problém. Podstatou útoku je, že útočník posiela rámce, ktoré majú cieľovú MAC adresu zhodnú s jeho MAC adresou a zdrojová MAC adresa je zhodná s adresou obete. Prepínač podľa zdrojovej MAC adresy upraví záznam v CAM tabuľke. Prepínač si omylom myslí, že obeť je na porte, ktorý v skutočnosti používa útočník. V prípade, že na prepínač príde nejaký rámec pre obeť tak bude vyslaný útočníkovy. Útočník môže prijaté rámce analyzovať prípadne modifikovať ale mal by ich ďalej preposlať skutočnému príjemcovi a to je obeť. No najprv musí opäť pozmeniť záznam v CAM tabuľke prepínača a to docieli, tým že prestane posielať rámce s upravenými MAC adresami a vyšle paket ARP request, obeť odpovie paketom ARP reply s prepínač následne upraví záznam v CAM tabuľke.

 

CAM Tabuľka prepínača:

Pre správne pochopenie útoku je potrebné najprv rozumieť ako funguje CAM tabuľka prepínača. 

 

CAM tabuľka obsahuje informácie o tom, na ktorých portoch sa nachádzajú ktoré MAC adresy. Základné údaje, ktoré obsahujú záznami v tejto tabuľke, sú MAC adresa a port, na ktorom bola táto MAC adresa zistená. Každý záznam obsahuje takisto čas do vypršania jeho platnosti, keďže tieto záznamy sa uchovávajú v pamäti len po určitú dobu. Ak by sa záznamy uchovávali natrvalo, mohlo by ľahko dôjsť k zaplneniu tabuľky, a tabuľka by takisto obsahovala mnoho starých a nepoužívaných záznamov. Záznamy v CAM tabuľke sú pridávané, príp. aktualizované len pomocou zdrojových MAC adries, cieľové MAC adresy sa pri tomto procese vôbec nepoužívajú. Po prijatí paketu sa prepínač najprv pozrie, či už má v CAM tabuľke záznam pre príslušnú MAC adresu a port, na ktorom bol tento paket prijatý. Ak áno, len obnoví časový údaj pre tento záznam, v opačnom prípade pridá do CAM tabuľky nový záznam s touto MAC adresou a portom. Následne sa vyhľadá záznam pre cieľovú stanicu, aby prepínač zistil, na ktorý port má paket preposlať. V prípade, že CAM tabuľka obsahuje informáciu, kde sa nachádza cieľová MAC adresa tohto paketu, odošle sa paket len na tento port. Ak pamäť neobsahuje príslušný záznam, paket sa odošle na všetky porty okrem toho, kde bol prijatý. Tento paket je následne spracovaný len počítačom s cieľovou MAC adresou. Záznam v CAM tabuľke pre jeho MAC adresu sa vytvorí, ako náhle tento počítač odošle do siete nejaké dáta. Pre rovnaký port môže byť v tabuľke uložených viac MAC adries, a to z toho dôvodu, že k prepínaču môže byť pripojený ďalší prepínač, na ktorom je pripojených niekoľko uzlov.

 

 

 

 

Princíp útoku:

Útok Port stealing pozostáva z nasledujúcich krokov:

1. Bežná komunikácia

Obeť komunikuje zo smerovačom priamo, bez zásahu útočníka. Obrázok znázorňuje smer komunikácie pred začatím útoku.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Náhrada portu

Najprv útočník začne vysielať APR pakety prepínaču so zdrojovou MAC adresou obete a cieľovou adresou je útočníková MAC adresa, takže ARP pakety sa vracajú naspäť k útočníkovi a to zapríčiní to, že sa aktualizuje záznam v CAM tabuľke. Skutočný port kde sa nachádza obeť nahradí portom, kde sa nachádza útočník.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Presmerovanie prevádzky

Po vykonaní predchádzajúceho kroku bude útočník prijímať všetky dáta určené obeti. Problémom pre útočníka je, že keď obeť vyšle nejaké dáta do siete tak prepínač si aktualizuje CAM tabuľku a dáta pre obeť nebudú viac posielané útočníkovy, ale obeti. Pravidelné posielanie ARP paketov s adresou obete tomuto zabránia. Obrázok znázorňuje smer dát určených pre obeť.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Preposielanie dát obeti

Je dôležité aby útočník preposlal prijaté dáta ďalej k obeti. Dosiahne to tým, že zašle ARP paket, no teraz ARP request na adresu obete. Obeť odpovie na požiadavku a prepínač si aktualizuje CAM tabuľku. Následne útočník pošle zachytené dáta ďalej k obeti. Obrázok znázorňuje preposlanie odchytených dát obeti a následná komunikácia so smerovačom.