web-dev-qa-db-ja.com

ポートスティーリングをMiTM攻撃として使用するにはどうすればよいですか?

私は多くのMiTM攻撃について読んで試してみましたが、ポートスチールをMiTM攻撃として使用する方法がわかりません。

私の理解では、被害者の送信元MACアドレスを偽装したイーサネットフレームを送信して、CAMテーブルが攻撃者のポートと被害者のMACアドレスを関連付けて、攻撃者のポートと被害者のMACアドレスを関連付けることで、ポートを「盗む」ことができます。別のポートの背後。

これにより、攻撃者は被害者宛てのすべてのパケットを受信します。ただし、この時点ではまだ攻撃者は攻撃者のポートの背後にあるとスイッチが判断しているため、攻撃者はパケットを被害者に転送できません。

それで、これまでのところ、ポートスチールをMiTM攻撃として使用するにはどうすればよいでしょうか。

3
davidb

あなたが説明する行動は本当です。ただし、トリックは、攻撃者のソフトウェアが盗んだポートをそれ自体のために保持せず、次のループで進行することです。

  1. ポートを盗み、
  2. データを受け取ります
  3. ポートを戻し、
  4. データを実際の宛先に転送し、
  5. ステップ1に戻って、ポートを再度盗みます。

詳細については、以下の抜粋を含む Ettercap documentation を参照してください。

ポート盗難

この手法は、ARPポイズニングが効果的でない場合(たとえば、静的にマップされたARPが使用されている場合)、スイッチ環境でスニッフィングするのに役立ちます。

LANにARPパケットをフラッディングします。各「盗み」パケットの宛先MACアドレスは攻撃者のものと同じです(他のNICはこれらのパケットを認識しません)、送信元MACアドレスは被害者のMACの1つになります。

このプロセスは、各被害者のスイッチのポートを「盗み」ます。

低遅延を使用して、「盗まれた」MACアドレス宛てのパケットが攻撃者によって受信され、実際のポート所有者との競合状態を勝ち取ります。

攻撃者が「盗まれた」ホストのパケットを受信すると、フラッディングプロセスを停止し、パケットの実際の宛先に対してARP要求を実行します。

ARP応答を受信すると、被害者がポートを「取り戻した」ことが確実であるため、ettercapはパケットをそのまま宛先に再送信できます。

これで、新しいパケットを待つフラッディングプロセスを再開できます。

2
WhiteWinterWolf