Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011
Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5
Che cos è L attacco man-in-the-middle (MITM) consiste nell inserirsi in una connessione tra due host di una rete fingendo, nell interazione con entrambi gli host, di essere l end point legittimo della connessione. L obiettivo è generalmente quello di sniffare (intercettare) i pacchetti in transito nella connessione tra i due host ed eventualmente modificarli per ottenere dei benefici.
Esempio: LAN switched, legittima In una LAN switched, i computer sono connessi ad un dispositivo (switch) che instrada i pacchetti verso i rispettivi host di destinazione, ogni host riceve solo i pacchetti che gli competono. Figure: Connessione normale.
Esempio: LAN switched, con MITM In una connessione sotto attacco man-in-the-middle, l host MITM riesce a convincere A di essere B e viceversa. Figure: Connessione sotto attacco man-in-the-middle.
Perchè farlo? Un host MITM può leggere quello che transita nella connessione, e.g. password e dati sensibili in protocolli plain (non cifrati). Inoltre può ritrasmettere i pacchetti, integri o modificati, ai due host di destinazione. In questo senso l attacco MITM è solo il prerequisito di attacchi più sofisticati (e.g. DNS spoofing).
LAN switched LAN switched ARP Alcuni attacchi MITM Uno switch su una rete locale lavora a livello data-link dello stack ISO OSI. Questo significa che i pacchetti vengono instradati in base all indirizzo hardware (MAC address) del dispositivo di rete del destinatario. Figure: Pacchetto a livello data-link.
LAN switched, cont d LAN switched ARP Alcuni attacchi MITM Ogni host mantiene una tabella (ARP cache) di associazioni IP/MAC address relativi agli host della rete con cui ha già avuto delle interazioni. Lo switch mantiene una tabella (CAM) di associazioni MAC/porta, e quando riceve un pacchetto Ethernet (indirizzato con un MAC address) lo redirige verso l host connesso alla porta relativa.
ARP: Address Resolution Protocol LAN switched ARP Alcuni attacchi MITM Il meccanismo con cui ogni host costruisce la propria tabella di associazioni IP/MAC address è basato sul protocollo ARP. Il protocollo è basato su due pacchetti: ARP request e ARP reply. Quando un host vuole comunicare un messaggio ad un altro di cui conosce l IP ma non il MAC address invia in broadcast un pacchetto ARP request in cui chiede a chi appartiene l IP in questione. Chi non possiede quell IP ignora il pacchetto, il proprietario invece risponde con un ARP reply in cui comunica il suo MAC address. Lo switch sfrutta questa informazione per aggiornare la sua tabella CAM.
Vulnerabilità di ARP LAN switched ARP Alcuni attacchi MITM Il protocollo ARP è stateless. Gli host accettano ARP reply anche se non hanno fatto alcuna ARP request (questo migliora le prestazioni). L attacco MITM su reti LAN switched si basa su questo dettaglio.
LAN switched ARP Alcuni attacchi MITM Un host MITM può inquinare le ARP cache degli host di una rete inviando ARP reply non richieste contenenti informazioni false sulle associazioni IP/MAC address. Questa fase di preparazione all attacco prende il nome di. Nel caso dell esempio precedente, A riceve un ARP reply in cui si dice che l indirizzo di B è associato al MAC address del MITM. B riceve un ARP reply in cui si dice che l indirizzo di A è associato al MAC address del MITM. Risultato: quando A comunica con B, in realtà comunica con MITM, e viceversa. Se MITM ritrasmette i pacchetti integri i due host non si accorgono dell attacco e MITM può leggere il traffico tra i due host.
Esempio:, prima LAN switched ARP Alcuni attacchi MITM Figure: ARP cache prima di.
Esempio:, dopo LAN switched ARP Alcuni attacchi MITM Figure: ARP cache dopo.
Alcuni attacchi MITM LAN switched ARP Alcuni attacchi MITM è solo il primo passo di un attacco MITM, che mette l host intruso in una posizione di controllo della comunicazione. A questo punto si possono effettuare svariati attacchi, tra questi: DNS spoofing, lettura di password in protcolli non cifrati, DoS (denial of service), isolamento di un host,...
Ettercap + Wireshark Per questo esempio useremo un software per attacchi su reti locali chiamato Ettercap (http://ettercap.sourceforge.net), sviluppato da due hacker italiani. Il progetto non viene aggiornato dal 2005, ma è tuttora funzionante. Useremo anche Wireshark (http://www.wireshark.org) per leggere i pacchetti in transito per l host MITM. La rete LAN che useremo nell esempio è molto semplice, include un host legittimo e un router (e.g. un router ADSL), nel nostro caso il router è un computer che fa da ponte Wi-Fi.
Sull host MITM
Sull host MITM
Sull host MITM
Sull host MITM
Sull host MITM
Sull host MITM
Sull host MITM
Connessione FTP File Transfer Protocolo (FTP) è un protocollo per il trasferimento di file attraverso la rete. Nella sua versione più elementare, ancora molto diffusa, la autenticazione su un server FTP non è cifrata. Un host MITM può intercettare i pacchetti all inizio di una connessione FTP ottenendo i dati di accesso di un utente.
Sull host MITM
Sull host MITM
DNS spoofing Domain Name System (DNS) è il protocollo per la risoluzione dei nomi degli host in una rete. Serve a convertire un hostname mnemonico, e.g. uniud.it, in un indirizzo IP, e.g. 67.215.65.132, che può essere utilizzato per stabilire una connessione. Il servizio è fornito su una rete da un server DNS, spesso è lo stesso router a fornire il servizio. Durante la navigazione Internet vengono generate molte richieste DNS (circa una per ogni sito che si visita). Un host MITM può sostituirsi al server DNS e fornire associazioni hostname/ip false, redirigendo così le connessioni verso l esterno della rete ad un host di sua scelta.
DNS spoofing, cont d Figure: DNS spoofing.
Phishing, l esempio di Gmail Supponiamo che un utente voglia connettersi a www.gmail.com per controllare la propria posta elettronica. Prima di tutto invierà al proprio server DNS una richiesta DNS per l hostname gmail.com. Poi effettuerà una serie di richieste HTTP all indirizzo restituito dal servizio DNS. Redirigendo il traffico verso un web server (solitamente lo stesso host MITM) che contenga un sito identico a Gmail, l utente non si accorgerà di non trovarsi sul sito originale e quando farà il login, di fatto fornirà i propri dati di accesso all attaccante.
Plugin di Ettercap Ettercap contiene nativamente una serie di plugin per fare attacchi basati su MITM, compreso DNS spoofing. In sostanza è sufficiente fornire delle associazioni hostname/ip sostitutive a quelle reali: *.gmail.com A 10.42.43.85 gmail.com A 10.42.43.85
Sull host MITM
Sull host MITM
Sull host MITM
Sull host MITM
a MITM su LAN Ci sono alcune tecniche per contrastare questi attacchi: Cisco Port Security consiste nell impedire l aggiornamento della tabella CAM negli switch, che possono essere modificate solo da un amministratore, la conseguenza è che i messaggi destinati ad un host non potranno mai finire sulla porta di un MITM, static ARP caches consiste nell impostare manualmente le associazioni IP/MAC address sugli host, in modo da non dover ricorrere al protocollo ARP,
a MITM su LAN, cont d detection ovvero accorgersi di un ed escludere il MITM dalla rete, questo può essere fatto semplicemente controllando le ARP cache dei vari host della rete e cercare associazioni contrastanti (Ettercap ha una funzionalità di questo tipo).
Ettercap Ettercap http://ettercap.sourceforge.net Wireshark Wireshark http://www.wireshark.org Marco Valleri, Alberto Ornaghi Man in the middle attacks http://www.blackhats.it/en/papers/paper-mitm.pdf
fine