Índice
Em uma rede comutada, como uma LAN Ethernet doméstica, um switch é o dispositivo usado para interconectar dispositivos de rede.O Switch usa a camada de Link para realizar a comutação de quadros de rede. Em um cenário típico, Bob envia um quadro de rede especificando seu endereço MAC como o remetente e o endereço de Alice como o destino, e envia o quadro por meio de sua conexão física ao Switch. Quando o switch recebe o quadro, ele associa o endereço de Bob (remetente) à porta de onde o quadro "entrou" no switch; esta associação é armazenada em uma tabela conhecida como "Tabela CAM".
PROLONGAR
Pode haver vários endereços MAC associados à mesma porta de switch, mas cada endereço MAC será associado a uma e apenas uma porta de switch. Depois que o endereço de Bob é associado, o switch procura na tabela CAM o endereço MAC de destino e prossegue para encaminhar o quadro recebido pela porta associada (e somente por essa porta).O algoritmo não contempla validação, e o mecanismo de atualização da tabela CAM está sujeito à recepção de quadros, de modo que o endereço MAC de Bob continuará a ser associado à porta até que "um tempo de expiração tenha decorrido" ou o switch receba um quadro com Endereço MAC de Bob em outra porta. O último, por exemplo, ocorreria se Bob desconectasse seu cabo de rede da porta "1" e o conectasse à porta "2"; No próximo instante, se Bob enviar um quadro, o Switch detectará o MAC de Bob entrando pela porta “2” e atualizará a entrada na tabela CAM.
A partir de agora, qualquer quadro que Alice enviar a Bob será roteado para a porta que registra o endereço MAC de Bob na tabela CAM.
Os endereços MAC dos dispositivos devem ser únicos nas redes Ethernet, pois se dois sistemas tiverem o mesmo endereço MAC e se conectarem em portas diferentes do Switch, farão com que a tabela CAM seja atualizada para cada frame enviado, causando uma condição de corrida para o associação da porta na tabela CAM. Então, para cada frame recebido, o Switch entregará o frame na porta associada no momento do processamento, sem a possibilidade de determinar qual dos dois sistemas com o mesmo endereço MAC corresponde ao tráfego da rede.
A aplicação da técnica chamada "Roubo de Porto"Ou" Roubo de Porta "em ataques de computador, consiste basicamente em induzir uma atualização da tabela CAM de um Switch, com informações de endereçamento manipuladas, para que o switch associe um endereço MAC específico (sistema vítima) à porta conectada ao dispositivo que aplica esta técnica.
Um "invasor" poderia então forçar o switch a associar o endereço MAC de Bob à porta onde seu equipamento está conectado, recebendo assim os quadros de rede destinados ao endereço MAC de Bob.
Opcionalmente, o invasor escolherá encaminhar os frames ou não, uma ação que resultará em um ataque Man in the Middle (MitM) ou Denial of Service (DoS) respectivamente. Existe uma grande variedade de aplicações que permitem a aplicação desta técnica. Aqui está um procedimento simples usando GNU / Linux.
Sistemas envolvidosBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Atacante AA: BB: CC: 33: 44: 55 (192.168.0.3/24)
GNU / Linux Ubuntu será usado para o sistema de ataque e o comando harpa (versão de Thomas Habets).
Para aplicar a técnica Roubo de Porto usando harpa, execute como root:
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
OndeMAC_VICTIMA: endereço MAC do sistema do qual se pretende "roubar a porta".
IP_DESTINATION: por se tratar de uma mensagem de solicitação ARP, deve-se indicar um endereço IP de destino.
SOURCE_IP: endereço IP de origem ou remetente da mensagem ARP.
INTERFAZ_LAN: nome da interface de rede a ser usada.
A partir do sistema do atacante que gera quadros cujo MAC de origem corresponde ao MAC da vítima, Bob:
O comando harpa usa o argumento -s para indicar o endereço MAC de origem ou remetente, especificando assim o endereço MAC da vítima Bob.
O argumento -S determina o endereço IP de origem, neste caso 2.2.2.2 (é opcional e arbitrário).
Se não for especificado, o endereço IP configurado no adaptador de rede será obtido.
O endereço IP 1.1.1.1 é o endereço de destino e como o objetivo é apenas "confundir o Switch", o valor selecionado é totalmente arbitrário, mas obrigatório.
Este comando gera tráfego ARP com origem MAC AA: BB: CC: 11: 22: 33:
PROLONGAR
Assim que a porta do invasor for associada ao endereço MAC de Bob, todos os frames endereçados a Bob serão roteados para a porta do invasor:PROLONGAR
A partir deste ponto, o Spiker entra em condição de corrida com Bob. Qualquer quadro que Bob enviar forçará a atualização da tabela CAM. Um invasor pode especificar a frequência com que o comando envia mensagens ARP harpa usando o parâmetro -C:# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
O valor "1" para o parâmetro "-C”Indica que o arping espera 1 microssegundo antes de enviar a próxima mensagem. Desta forma, o atacante atuará com vantagem para obter a porta da vítima.
Em relação aos endereços IP de origem e destino, não há nenhuma observação particular, pois não é importante resolver a consulta ARP, mas sim, em termos de aplicação do ataque de roubo de porta, bastará que o frame indique a origem MAC da vítima.
Um sistema antivírus, IDS ou inspeção de tráfego de rede pode revelar atividade suspeita na rede, portanto, um invasor pode preferir indicar dados consistentes com a atividade “normal” do tráfego de rede:
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
OndeMAC_ORIGEN: Bob's MAC, AA: BB: CC: 11: 22: 33
DESTINATION_IP: IP de Alice, 192.168.0.2
IP_ORGIEN: IP de Bob, 192.168.0.1
MAC_DESTINATION: MAC de Alice, AA: BB: CC: 22: 33: 44
Analisando o tráfego da rede, as consultas ARP serão observadas:
PROLONGAR
O atacante especifica o endereço MAC de destino com o endereço MAC de Bob (obrigatório, pois Bob é o sistema que está tentando “roubar a porta”).A mensagem ARP foi direcionada diretamente para o endereço IP de Alice, além disso, o endereço MAC de Alice foi especificado para tentar forçar a entrega da mensagem ARP diretamente para Alice e evitar um controle de Broadcast.
Por fim, o invasor indica o IP de Bob como o endereço IP de origem, para que a mensagem ARP contenha informações válidas, apesar de não ser legítima. O último pode evitar que a anomalia seja detectada, pois se o endereço MAC e IP de origem não corresponderem a uma entrada ARP registrada anteriormente, alguns sistemas antivírus podem assumir a atividade de ARP Spoofing.
Até este ponto, o invasor obtém os quadros que os outros hosts da rede enviam à vítima. Esta condição desvincula um cenário de ataque de negação de serviço uma vez que as parcelas não são apenas entregues ao atacante, mas nunca chegam à vítima.
Opcionalmente, o invasor pode encaminhar os frames para sua vítima induzindo um ataque Man in the middle, para o tráfego enviado em direção a Prumo.Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo