¿Cómo disfrazar tu MAC para evitar ataques arp?
La mejor manera de lidiar con este ataque es configurar el enrutador para que pueda descartar mensajes que provienen de la red externa pero dicen ser de una interna. anfitrión.
Por supuesto, hay otros:
Ataque de suplantación de IP
La tecnología de suplantación de IP es una tecnología de ataque que defrauda los permisos falsificando la dirección IP del host. Muchas aplicaciones creen que si el paquete de datos puede recorrer la ruta hasta el destino y el paquete de respuesta también puede regresar al origen, entonces la dirección IP de origen debe ser válida, lo cual es un requisito previo para realizar ataques de suplantación de dirección IP de origen. posible.
Supongamos que hay dos hosts A y B en el mismo segmento de red, y el host X en otro segmento de red. b otorga ciertos privilegios. Para obtener los mismos permisos que A, X llevó a cabo el siguiente ataque de suplantación de identidad: Primero, el número de serie más 1. Pero en este momento, el host A ha sido "inundado" por el host X mediante un ataque de denegación de servicio, lo que provocó que el servicio del host A fallara. Por lo tanto, el host A descartará el paquete de datos enviado por B. Para completar el protocolo de enlace de tres vías, X también necesita enviar un paquete de respuesta a B. El número de respuesta es igual al número de secuencia del paquete de datos enviado por B a A más 1. En este momento, el host proviene del host interno A. En este punto, X obtiene los privilegios que disfruta el host A sobre el host B y comienza a atacar estos servicios.
Para evitar la suplantación de direcciones IP de origen, se pueden tomar las siguientes medidas para proteger el sistema tanto como sea posible contra dichos ataques:
Abandonar las políticas de confianza basadas en direcciones: una forma de detenerlas Este ataque La forma más sencilla es abandonar la verificación basada en direcciones. Los comandos de llamadas remotas de clase R no están permitidos; eliminar el archivo rhosts; borrar el archivo /etc/hosts.equiv. Esto obligará a todos los usuarios a utilizar otros métodos de comunicación remota como telnet, ssh, skey, etc.
Usar métodos de cifrado: Podemos cifrar el paquete antes de enviarlo a la red. Si bien el proceso de cifrado requiere cambios apropiados en el entorno de red actual, garantizará la integridad y autenticidad de los datos.
Filtrado de paquetes: Los routers se pueden configurar para rechazar solicitudes de conexión con la misma dirección IP dentro y fuera de la red. Además, los enrutadores no deben enviar paquetes a los hosts de la red local cuando la dirección IP del paquete no está en la red local.
Una cosa a tener en cuenta es que los enrutadores pueden bloquear ciertos tipos de paquetes para que no intenten llegar a la red interna. Pero también operan analizando la dirección de origen de la prueba. Por lo tanto, sólo pueden filtrar paquetes entrantes que afirman provenir de la red interna. Si tiene hosts externos de confianza en su red, el enrutador no podrá evitar que otros se hagan pasar por esos hosts para falsificar IP.
Ataque de suplantación de identidad ARP
En una LAN, la dirección IP debe convertirse en una dirección física de segunda capa (es decir, dirección MAC) a través del protocolo ARP para poder comunicarse. El protocolo ARP es de gran importancia para la seguridad de la red, pero el diseño inicial del modo ARP no consideró demasiados problemas de seguridad, lo que dejó muchos peligros ocultos para ARP, uno de los cuales es la suplantación de ARP. El ataque de suplantación de ARP es una tecnología de ataque que explota las lagunas del protocolo para lograr la suplantación de ARP falsificando direcciones IP y MAC.
Supongamos que tres hosts A, B y C están ubicados en la misma LAN conmutada, el escucha está ubicado en el host A y los hosts B y C se están comunicando. Ahora A quiere detectar los datos de B-C, por lo que A puede pretender ser C y hacer una suplantación de ARP a B: enviar un paquete de respuesta ARP falso a B. La dirección IP que contiene es la dirección IP de C y la dirección MAC es la de A. Dirección MAC.
Este paquete de respuesta actualizará la caché ARP de B, lo que hará que B piense que A es C. Más específicamente, B piensa que la dirección MAC asignada a la dirección IP de C es la dirección MAC del host A. De esta manera, los datos que B quiere enviar a C, en realidad se envía a A, logrando el propósito de olfatear. Después de olfatear los datos, deben reenviarse a C, para garantizar que la comunicación entre B y C no se interrumpa.
Lo anterior es el principio básico del rastreo basado en la suplantación de ARP. En este método de rastreo, el rastreador A en realidad se inserta en B->; en C, los datos de B se envían primero a A y luego de A a C. La relación de transmisión de datos es la siguiente:
b - gt; a- gt; C
B lt;-A lt;-C
Entonces A interceptó con éxito los datos que envió de B a c. Suplantación de ARP.
Hay dos posibilidades para los ataques de suplantación de ARP. Una es falsificar la tabla ARP del enrutador; la otra es falsificar la tabla ARP de las computadoras de la intranet. Por supuesto, ambos ataques podrán realizarse simultáneamente. Sin embargo, después de la suplantación de identidad, los datos enviados entre la computadora y el enrutador pueden enviarse a la dirección MAC incorrecta.
Se pueden tomar las siguientes medidas para prevenir ataques de suplantación de identidad de ARP:
Utilice el comando arp en el cliente para vincular la dirección MAC real de la puerta de enlace.
Realice un enlace estático entre el puerto del switch y la dirección MAC.
Vinculación estática de dirección IP y dirección MAC en el enrutador.
Utilice el "servidor ARP" para transmitir la tabla de mapeo IP-MAC correcta de todos los hosts en el segmento de red a intervalos regulares.
Ataque de suplantación de DNS
La suplantación de DNS, es decir, la suplantación de información de nombres de dominio, es el problema de seguridad DNS más común. Cuando un servidor DNS cae en la trampa y utiliza información incorrecta de un servidor DNS malicioso, entonces el servidor DNS ha sido falsificado. La suplantación de DNS puede causar muchos problemas de seguridad en servidores DNS vulnerables, como dirigir a los usuarios a sitios de Internet incorrectos o enviar correos electrónicos a servidores de correo no autorizados. Los ciberatacantes suelen falsificar el DNS mediante los siguientes métodos.
(1) Infección de caché
Los piratas informáticos utilizarán inteligentemente las solicitudes de DNS para colocar datos en el caché de un servidor DNS desprevenido. Esta información almacenada en caché se devolverá al cliente cuando este acceda a DNS, lo que guiará al cliente a ejecutar el troyano en el servidor web o servidor de correo configurado por el intruso, y luego el pirata informático puede obtener información del usuario de estos servidores.
(2) Secuestro de información DNS
El intruso escucha la conversación entre el cliente y el servidor DNS y adivina la respuesta del servidor al ID de consulta DNS del cliente. Cada mensaje DNS contiene un número de identificación asociado de 16 dígitos y el servidor DNS obtiene la ubicación del origen de la solicitud en función de este número de identificación. Los piratas informáticos dan a los usuarios respuestas falsas frente al servidor DNS, engañando así a los clientes para que accedan a sitios web maliciosos.
(3) Redirección de DNS
Un atacante puede redirigir consultas de nombres DNS a un servidor DNS malicioso. Esto permite al atacante obtener acceso de escritura al servidor DNS.
Se pueden tomar las siguientes medidas para prevenir ataques de suplantación de DNS.
Usar IP para acceder directamente a servicios importantes puede al menos evitar ataques de suplantación de DNS. Pero esto requiere que recuerdes la dirección IP que deseas visitar.
Cifre todos los flujos de datos externos. Para los servidores, intente utilizar SSH y otros protocolos que admitan el cifrado. Para los usuarios normales, todos los datos enviados a la red deben cifrarse mediante software como PGP. No es fácil.
Ataque de suplantación de enrutamiento de origen
Al especificar rutas, comunicarse legítimamente con otros hosts o enviar mensajes falsos con identidades falsas, el host atacado realiza acciones incorrectas. Este es un ataque de enrutamiento de origen. En circunstancias normales, el camino que sigue un paquete desde su origen hasta su destino está determinado por los enrutadores ubicados entre estos dos puntos. El paquete de datos en sí sólo sabe adónde ir, no cómo ir.
El enrutamiento de origen permite al remitente de un paquete escribir en el paquete la ruta que tomará para que el paquete pueda seguir una ruta impredecible hasta el host de destino. La forma de este ataque todavía se da en el ejemplo de suplantación de IP de origen mencionado anteriormente:
El host A disfruta de algunos privilegios del host B y el host X quiere hacerse pasar por el host A para obtener algunos servicios del host B (suponiendo que La IP es aaa.bbb.ccc.ddd). Primero, el atacante modifica el enrutador más cercano a Enviar paquete enrutado de origen (especifique el enrutador más cercano). Cuando B devuelve un paquete, se envía al enrutador que se cambió. Esto permite al intruso obtener algunos datos protegidos a través de una ruta especial en nombre del host.