Ethernet: Man in the middle - Inaf

Ethernet: Man in the middle 

Dove: 

Perchè Perch 

Come 

attacks 

Switched ethernet 

….. .. 

Alessandro Costa 

 

Workshop Sulla Sicurezza e il Monitoraggio dei Sistemi 

Informatici 

Sniffing, Hijacking, Injecting: (fun & profit) 

1

Definizione m-i-t-m 

La tipologia di attacco che va sotto il nome di manin-the-middle 

consiste nel dirottare il traffico 

generato durante la comunicazione tra due host 

verso un terzo host (attaccante) il quale fingerà di 

essere l’end-point legittimo della comunicazione. 

Connessione: 

Logica 

Reale 

A 

M 

B 

2

Ruolo dell’attaccante 

dell attaccante 

Essendo l’attaccante fisicamente in mezzo alla 

comunicazione delle due (o piu’) vittime, ricevera’ 

pacchetti da e verso le stesse. 

Si dovra’ preoccupare di inoltrare i pacchetti che 

riceve verso la corretta destinazione in modo tale 

che risulti trasparente ai due end-point della 

comunicazione. 

3

Tipologie di attacco (1) 

Half & Full duplex attack 

A seconda della capacita' di riuscire a monitorare 

solo uno o entrambi i versi della connessione 

l'attacco verra' chiamato mitm half duplex o mitm 

full duplex 

A 

A 

M 

M 

B 

B 

HALF-DUPLEX 

FULL-DUPLEX 

4


Transparent attack 

Questo attacco nasconde perfettamente l’host 

attaccante alle due vittime. 

192.168.1.1 

A 

src: 192.168.1.1 

192.168.1.90 

M 

src: 192.168.1.1 

192.168.1.5 

B 

5


Proxy attack 

L’attaccante funge da proxy per la connessione 

192.168.1.1 

A 

src: 192.168.1.1 

192.168.1.90 

M 

src: 192.168.1.90 

192.168.1.5 

B 

6

FOCUS on: Man in the 

middle local attacks 

•Arp cache poisoning 

•Switch port stealing 

•CAM table Flooding 

•DNS spoofing 

7

ARP protocol (introduzione) 

Stack TCP/IP su ethernet 

IP 

TCP 

eth FCS 

eth IP TCP Dati FCS 

Dati Livello Applicazione 

Livello Trasporto 

Livello Network 

Livello Data-Link 

Frame trasmesso 

8

ARP protocol (1) 

ARP (ethernet Address resolution protocol) prende il via 

dalla RFC 826 (STD 0037) del Novembre 1982 

ARP converte gli indirizzi IP v4 a 32 bit in indirizzi 

Ethernet a 48 bit: indirizzo fisico a livello DATA LINK. 

ARP invia un pacchetto di richiesta broadcast contenente 

l'indirizzo internet di destinazione, e i propri indirizzi 

internet ed Ethernet. La stazione della rete che riconosce 

il proprio indirizzo internet nel pacchetto di richiesta invia 

un pacchetto di responso contenente il proprio indirizzo 

Ethernet. 

9


•ARP request: Per individuare il MAC incognito si invierà 

sulla rete un pacchetto broadcast (FF:FF:FF:FF:FF:FF) che 

incapsula al suo interno una apposita richiesta ARP 

•ARP reply: Ogni sistema sulla rete locale riceverà e 

decodificherà il pacchetto, confronterà l'IP del destinatario con il 

proprio e, nel caso coincidano, provvederà a spedire al 

richiedente una risposta (ARP reply) in cui è stato riempito il 

campo relativo al proprio MAC addresss 

ARP reply è inviata direttamente al richiedente e non al 

broadcast. 

10


•ARP cache: ricevuta la risposta il sistema 

provvede a memorizzare l'associazione MAC-IP 

in una propria memoria cache per velocizzare 

eventuali richieste future. 

•REFRESH “gratuito” della cache: 

L’implementazione classica di questo protocollo 

non esige che la “ARP reply” segua 

necessariamente la “ARP request” 

In definitiva si accetta un ARP reply senza aver 

generato un ARP request 

Si può comunque forgiare un ICMP per 

costringere un host “sospettoso” ad una ARP 

request. 

11

ARP cache poisoning(4) 

host A host B 

192.168.0.1 

ARP cache: 

192.168.0.1 

01:01:01:01:01:01 

03:03:03:03:03:03 

ARP cache: 

192.168.0.2 

02:02:02:02:02:02 

03:03:03:03:03:03 

Man in the middle 

192.168.0.3 

192.168.0.2 

01:01:01:01:01:01 02:02:02:02:02:02 

192.168.0.2 is at 

03:03:03:03:03:03 

03:03:03:03:03:03 

192.168.0.1 is at 

03:03:03:03:03:03 

12

ARP cache poisoning (5) 

Ettercap (http://ettercap.sf.net 

http://ettercap.sf.net) 

Poisoning 

Sniffing 

Hijacking 

Filtering 

SSH sniffing (transparent 

( transparent attack) attack 

Ettercap 

Dsniff (http://www.monkey.org/~dugsong/dsniff 

http://www.monkey.org/~dugsong/dsniff) 

Collezione di tools (arpspoof arpspoof, , dnsspoof, dnsspoof, 

dsniff, dsniff, 

filesnarf, filesnarf, 

mailsnarf, mailsnarf, 

webspy…) webspy 

Poisoning 

Sniffing 

SSH sniffing (proxy attack) attack 

Dsniff 

tools 

13


Monitoring & hardering 

Tecniche di difesa 

A livello di protocollo di rete gli attacchi descritti agiscono a basso livello e 

sono pertanto relativamente complessi. complessi. 

La presenza su internet di numerosi 

tool che si occupano in modo trasparente della gran parte del lavoro 

permette l'attuazione di tali attacchi anche a persone non particolarmente 

esperte. esperte 

Le tecniche di difesa consistono per lo più pi nella ricerca sulla LAN di 

pacchetti anomali imputabili ad attacchi noti. noti. 

A questo scopo si rivelano utili 

alcuni degli stessi strumenti di sniffing spesso usati dagli attaccanti 

( Ettercap, Ettercap, 

DSNiff, DSNiff, 

Snort ad esempio ) 

Altri strumenti di monitoraggio delle intrusioni permettono il controllo di 

modifiche effettuate alla cache ARP e la rilevazione di eventuali schede di 

rete impostate in modalità modalit promiscua. promiscua 

Per reti relativamente piccole si segnala poi la possibilità possibilit di impostare 

staticamente sia le voci delle cache ARP sia le associazioni tra MAC e porte 

negli switch. In questo modo nessuna modifica dinamica sarà sar possibile. possibile. 

14



passive monitoring (arpwatch arpwatch) 

active monitoring (ettercap ettercap) 

IDS (rilevano ma non evitano) 

ARP entries statiche (evitano) 

Secure-ARP Secure ARP (in development) 

development 

15





ettercap –Nc Nc Individua poisoners 




development 

16








development 

17







ARP replies gratuite vengono scartate in 

presenza di una definizione statica. 

arp –s s IP_ADDR MAC_ADDR. 

MAC_ADDR 

E’ buona pratica che ciascun host abbia entries 

statiche che definiscano almeno il gateway e i 

server di istituto. 


development 

18








development 

19

ARP cache poisoning(12) 

tracce 

Le ARP cache delle vittime contengono il 

mac address dell’attaccante 

dell attaccante 

20

DNS spoofing(1) 

Il Domain Name System si occupa di 

trasformare i nomi simbolici degli host in 

indirizzi IP utilizzabili dal kernel 

HOST www.kernel.org DNS 

204.152.189.113 

21


Il protocollo in realta’ realta e’ molto piu’ piu 

complesso, ma ci limiteremo alla 

trattazione delle funzionalita’ funzionalita che ci 

servono per l’attacco. l attacco. 

L’unico unico campo del pacchetto UDP (porta 

53) che ci interessa e’ e l’ID ID 

22


Intercettare le richieste e memorizzare il campo 

ID 

Forgiare una falsa risposta con il giusto ID 

vincendo la race condition con il legittimo DNS 

Spedire al client che ha effettuato la richiesta. 

Intercettare eventuali reverse query (PTR) 

23


HOST serverX.localdomain.it DNS 

10.1.1.1 

10.1.1.50 

MITM 

24


In questo caso l’attaccante 

l attaccante puo’ puo fungere 

da proxy per il server e rispondere in 

modo corretto a tutti i servizi che il client si 

aspetta di trovare sul server. 

Port forwarding con iptables 

25


Monitoring & Hardering 

individuare risposte multiple (IDS) 

usare lmhost o host file per risoluzioni 

statiche 

DNSSEC (risoluzione criptata) criptata 

26


tracce 

Usando un risolutore di indirizzi diverso, ci 

si puo’ puo accorgere della differenza di 

risposte 

L’IP IP dell’attaccante dell attaccante e’ e presente all’interno all interno 

delle risposte DNS 

27

Ettercap (http://ettercap.sf.net 

http://ettercap.sf.net) 

Ettercap 

Phantom plugin 

Dsniff (http://www.monkey.org/~dugsong/dsniff 

http://www.monkey.org/~dugsong/dsniff) 

Dnsspoof 

Dsniff 


tools 

Zodiac (http://www.packetfactory.net/Projects/zodiac 

http://www.packetfactory.net/Projects/zodiac) 

28

Switch Port Stealing (1) 

Lo switch è un device di rete che opera a livello 

2 (ethernet) Non sa cosa siano gli IP, “capisce” 

solo MAC addresses. 

CAM (Content Adressable Memory), è la cache 

in cui lo switch tiene traccia degli indirizzi MAC 

incontrati. 

Lo switch popola la propria CAM analizzando il 

MAC address dei pacchetti provenienti da 

ciascuna porta. 

Daremo uno sguardo allo switch port stealing 

che vede come attori tre macchine connesse 

allo stesso switch. 

29

HOST A 


AA:AA:AA:AA:AA:AA 

192.168.0.1 

0 1 2 

HOST C 

CC:CC:CC:CC:CC:CC 

192.168.0.2 

CAM table 

AA:AA:AA:AA:AA:AA 0 

CC:CC:CC:CC:CC:CC 1 

BB:BB:BB:BB:BB:BB 2 

HOST B 

BB:BB:BB:BB:BB:BB 

192.168.0.3 

30

HOST A 



192.168.0.1 

DATA: 

Da: AA:AA:AA:AA:AA:AA 

A: CC:CC:CC:CC:CC:CC 

0 1 2 

HOST C 


192.168.0.2 

CAM table 




HOST B 


192.168.0.3 

31

HOST A 



192.168.0.1 

Il pacchetto da HOST B 

Diretto a HOST A 

viene inviato a HOST C 

Come reinviarlo a 

legittimo destinatario? 

0 1 2 

HOST C 


192.168.0.2 

CAM table 




HOST B 


192.168.0.3 

32

HOST A 



192.168.0.1 

0 1 2 

HOST C invia 

In broadcast 

(FF:FF:FF:FF:FF:FF) 

Una ARP request: 

HOST C 

“chi ha il 192.168.0.1”? CC:CC:CC:CC:CC:CC 

192.168.0.2 

CAM table 




HOST B 


192.168.0.3 

33

HOST A 



192.168.0.1 

HOST A invia 

a BB:BB:BB:BB:BB:BB 

Una ARP reply: 

“io ho 192.168.0.1” 

Ciò restituisce la porta a 

HOST A 

0 1 2 

HOST C 


192.168.0.2 

CAM table 




HOST B 


192.168.0.3 

34

HOST A 



192.168.0.1 

HOST C può finalmente 

Reindirizzare il pacchetto 

HOST A 

0 1 2 

HOST C 


192.168.0.2 

CAM table 




HOST B 


192.168.0.3 

35


prevenzione 

Switch protetti contro attacchi DOS 

(serie Catalyst 6500 Cisco) Cisco 

http://www.cisco.com/en/US/products 

http://www.cisco.com/en/US/ products/hw hw/switches switches/ps708/products_white_paper0900aec 

/ps708/products_white_paper0900aec 

d802ca5d6.shtml 

Possono isolare hosts che generano traffico 

sospetto impedendo questo genere di 

attacco. 

36

CAM table flooding 

Sommergendo lo switch con pacchetti con pacchetti dalle arp 

sources contraffatte e differenti fra loro si ottiene la saturazione del del 

buffer dedicato alla CAM table 

L’effetto effetto causato è il funzionamento dello switch in “hub hub mode” mode con 

ovvie implicazioni sulla sicurezza e sulla mole del traffico di rete 

generata dallo switch sottoposto a questo genere di attacco 

37

Man in the middle 

local to remote attacks 

(tre semplici casi) 

•Arp cache poisoning 

•DHCP spoofing 

38

Attacchi locale - remoto 

ARP poisoning - introduzione 

Per raggiungere una destinazione 

all’esterno all esterno della LAN un host deve 

conoscere l’IP l IP del gateway. gateway 

L’host host manda una ARP request per l’IP l IP del 

gateway 

39


ARP poisoning - attacco 

Simile all’attacco all attacco locale. 

Il gateway e’ un host locale, quindi puo’ puo 

essere poisonato come qualsiasi altro host 

40


ARP poisoning - contromisure 

Entry statica del gateway su tutti gli host 

41


DHCP spoofing - introduzione 

Il servizio DHCP e' utilizzato per 

l'assegnazione dinamica di una serie di 

parametri per la connettivita' di rete: 

Indirizzo IP 

DNS 

Default route 

42


DHCP spoofing 

Intercattando una richiesta (broadcast ( broadcast) ) dhcp e' 

possibile rispondere prima del vero server. 

Impostando un tempo di lease opportuno si può 

giostrare opportunemente la durata dell’attacco 

dell attacco 

In questo modo possiamo modificare i parametri 

di : 

Default gateway 

DNS 

43


DHCP spoofing 

Default gateway: gateway assegnando l'indirizzo IP 

dell'attaccante come default gateway, gateway, 

tutto il 

traffico verso l'esterno della lan passera' da esso 

DNS: assegnando l'indirizzo IP dell'attaccante 

come DNS, tutte le richieste di risoluzione 

dei nomi verranno fatte a lui e sara' quindi in 

grado di portare un attacco simile a quello visto 

in precedenza (DNS spoofing) 

spoofing 

44


DHCP spoofing - tools 

Non e' necessario un tool apposito ma 

bastera' configurare la macchina 

attaccante come DHCP server, installando 

ad esempio dhcpd. 

dhcpd 

45


DHCP spoofing - tracce lasciate 

L‘indirizzo indirizzo IP dell'attaccante nelle 

configurazioni del client. 

client 

46


DHCP spoofing - contromisure 

La migliore contromisura e' l'attenzione 

dell'utente che si vedra' probabilmente 

arrivare piu' di una risposta dhcp e potra' 

controllare "manualmente" alla ricerca di 

strane o inaspettate configurazioni 

assegnate 

47

Conclusioni: 

La sicurezza è un compromesso 

La sicurezza di una nostra comunicazione e’ e affidata 

ad una corretta configurazione del client (per evitare ad esempio ARP 

Poisoning etc.) etc.) 

all'infrastruttura del nostro interlocutore (es. DNS dynamic update), update), 

alla robustezza di apparati di "terzi", su cui non possiamo avere avere 

nessun 

tipo di controllo e di garanzia (es. Tunnelling e Route Mangling). Mangling). 

Il modo migliore per proteggere i nostri dati che viaggiano in rete rete 

e'quindi l'utilizzo corretto di suite crittografiche sicure 

sia dal lato client sia dal lato server 

per la protezione a livello rete (es. IPSec) IPSec 

a livello trasporto (es. SSLv3) 

a livello applicativo (es. PGP) 

48

GRAZIE PER LA VOSTRA 

ATTENZIONE 

49

Bibliografia e Ringraziamenti 

http://www.sikurezza.org/webbit02/Man_in_the_middle_attacks.ppt 

Marco Valleri naga@users.sourceforge.net 

naga@users.sourceforge.net 

Alberto Ornaghi alor@users.sourceforge.net 

50

Ethernet: Man in the middle - Inaf

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?