「DHCP」- 仿冒攻击(中间人攻击,MITM Attack)
source link: https://blog.k4nz.com/2836cbf49923a26bbad32bee7bf9dccb/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
「DHCP」- 仿冒攻击(中间人攻击,MITM Attack)
「DHCP」- 仿冒攻击(中间人攻击,MITM Attack)
攻击者利用 ARP 机制,让 Client 学习到 DHCP Server IP 与 Attacker MAC 的映射关系,又让 Server 学习到 Client IP 与 Attacker Mac 的映射关系。如此一来,Client 与 Server之间交互的IP报文都会经过攻击者中转。
从本质上讲,中间人攻击是一种 Spoofing IP/MAC 攻击,中间人利用了虚假的 IP 地址与 MAC地址之间的映射关系来同时欺骗 DHCP 的客户端和服务器。
如图所示,攻击者利用 ARP 机制,让 PC1 学习到 IP-S 与 MAC2 的映射关系,又让 Server 学习到 IP1 与 MAC2 的映射关系。
1)当PC1向DHCP Server发送IP报文时,目的IP地址为IP-S,源IP地址为IP1,而封装这个IP报文的帧的目的MAC地址为MAC2,源MAC地址为MAC1,所以这个帧会首先到达攻击者PC2。攻击者收到这个帧后,将这个帧的目的MAC地址更换为MAC-S,源MAC地址更换为MAC2,然后将这个帧发往Server。如此“偷梁换柱”,Server是看不出任何破绽的。
2)当DHCP Server向PC1发送IP报文时,目的IP地址为IP1,源IP地址为IP-S,而封装这个IP报文的帧的目的MAC地址为MAC2,源MAC地址为MAC-S,所以这个帧也会首先到达攻击者PC2。攻击者收到这个帧后,将这个帧的目的MAC地址更换为MAC1,源MAC地址更换为MAC2,然后将这个帧发往PC1。同样,PC1也是看不出任何破绽的。
3)由于往来于PC1与DHCP Server之间的IP报文都会经过攻击者(中间人)进行中转,攻击者便很容易窃取这些IP报文中的某些信息,并利用这些信息来进行其他的破坏行为。攻击者也可以很容易对往来于PC1与DHCP Server之间的DHCP消息(这些消息是封装在UDP报文中的,而UDP报文又是封装在IP报文中的)进行篡改,达到直接攻击DHCP的目的。
为防御中间人攻击与 IP/MAC Spoofing 攻击,可使用 DHCP Snooping 的绑定表工作模式,当接口接收到 ARP 或者 IP 报文,使用 ARP 或者 IP 报文中的“SRC-IP + SRC-MAC”匹配 DHCP Snooping 绑定表。如果匹配就进行转发,如果不匹配就丢弃。
DHCP中间人攻击本质上是一种Spoofing IP/MAC攻击。要想防止DHCP中间人攻击,其实就是要防止Spoofing IP/MAC攻击。
运行了DHCP Snooping的交换机会“侦听(Snooping)”往来于用户与DHCP Server之间的DHCP消息,并从中收集用户的MAC地址(这里的MAC地址是指DHCP消息中CHADDR字段的值)、用户的IP地址(这里的IP地址是指DHCP Server分配给相应CHADDR的IP地址)等信息,这些信息会集中存放在一个数据库中,该数据库也被称为DHCP Snooping绑定表。运行了DHCP Snooping的交换机会建立并动态维护DHCP Snooping绑定表,绑定表中除了包含了用户的MAC地址、用户的IP地址外,还包括IP地址租用期、VLAN ID等等信息。
如图所示,假设DHCP Server给PC1分配了IP地址IP1,给PC2分配了IP地址IP2,那么IP1与MAC1就形成了绑定关系,IP2与MAC2也形成了绑定关系,这种绑定关系都存放于DHCP Snooping绑定表中。攻击者为了让Server学习到IP1与MAC2的映射关系,会发送ARP请求报文(将ARP报文中的源IP地址填为IP1,源MAC地址填为MAC2)。交换机接收到ARP请求报文后,会检查该ARP请求报文中的源IP地址和源MAC地址,发现该IP/MAC(IP1/MAC2)映射关系不能匹配DHCP Snooping绑定表中的条目,于是会丢弃该ARP请求报文,这样就有效地防止了Spoofing IP/MAC攻击。
如果需要使用上面所描述的防止 Spoofing IP/MAC 攻击(进而防止中间人)的方法,就必须在交换机下执行:[Huawei] arp dhcp-snooping-detect enable。
还能够通过 Dynamic ARP Incpetion 功能进行检测:[Huawei] arp anti-attack check user-bind enable
Recommend
-
106
写在前面的话 这篇文章我将介绍如何制作中间人(MitM)设置来嗅探SIM卡和后端服务器之间的流量。虽然这不是一项新的研究,但我希望这将帮助一些没有电信基础的人学习移动数据嗅探和虚假基站的知识。但是我只会介绍使用2G和GPRS...
-
68
前言 很早以前看过HTTPS的介绍,并了解过TLS的相关细节,也相信使用HTTPS是相对安全可靠的。直到前段时间在验证https代理通道连接时,搭建了MITM环境,才发现事实并不是我想的那样。由于部分
-
55
自从 Symbian 时代开始,UC浏览器就已经成为移动端用户量最大的浏览器之一,此后逐渐发展之Android、iOS及Windows平台。目前在Google Play上UC浏览器安装量超过5亿、而在国内某安卓应用市场下载量也超过12亿。 Android端UC浏...
-
48
微软Github疑被中间人攻击 2020-3-26 16:22:40 | 作者: 月光 | 分类:
-
38
据蓝点网网友反馈,有攻击者正在大规模的发起中间人攻击劫持京东和GitHub等网站。此次攻击很有可能是基于DNS系统或运营商层面发起的,目前受影响的主要是部分地区用户但涉及所有运营商。例如中国移动、中国联通、中国电信以及教育网均可复现劫持问题,而国外网络访...
-
35
序言 3 月 26 日,国内多个地区访问 Github 以及 Github pages 的时候,谷歌浏览器提示“您的连接不是私密连接”的错误信息,不少用户想知道为什么会这样。在这起事件中,我得出的结论是由于 BGP 劫持,国内受影...
-
49
前言: 工业控制系统(ICS)是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,是信息战的重点攻击目标。目前,我...
-
93
What is a man-in-the-middle-attack?A man-in-the-middle (MitM) attack is a type of cyberattack in which communications between two parties is intercepted, often to steal login credentials or personal information, spy on victims, sabot...
-
25
「DHCP」- 消耗攻击(饿死攻击,Starvation Attack) ...
-
2
自从互联网诞生以来,网络攻击的方式就层出不穷,而且很多早期的攻击技巧已经沿用至今。中间人攻击(Man...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK