Attaque de vol de port simple

Table des matières
Dans un réseau commuté, tel qu'un réseau local Ethernet domestique, un commutateur est le périphérique utilisé pour interconnecter les périphériques réseau.
Le commutateur utilise la couche de liaison pour effectuer la commutation de trames réseau. Dans un scénario typique, Bob envoie une trame réseau spécifiant son adresse MAC en tant qu'expéditeur et l'adresse d'Alice en tant que destination, et envoie la trame via sa connexion physique au commutateur. Lorsque le Switch reçoit la trame, il associe l'adresse de Bob (expéditeur) au port où la trame « est arrivée » au Switch; cette association est stockée dans une table dite "Table CAM".

AGRANDIR

Il peut y avoir plusieurs adresses MAC associées au même port de commutateur, mais chaque adresse MAC sera associée à un et un seul port de commutateur. Une fois l'adresse de Bob associée, le commutateur recherche dans la table CAM l'adresse MAC de destination et procède à la transmission de la trame reçue via le port associé (et uniquement via ce port).
L'algorithme n'envisage pas de validation, et le mécanisme de mise à jour de la table CAM est soumis à la réception de trames, de sorte que l'adresse MAC de Bob continuera à être associée au port jusqu'à ce qu'"un délai d'expiration se soit écoulé", ou que le commutateur reçoive une trame avec L'adresse MAC de Bob sur un autre port. Ce dernier, par exemple, se produirait si Bob déconnecte son câble réseau du port "1" et le connecte au port "2"; À l'instant suivant, si Bob envoie une trame, le commutateur détectera le MAC de Bob entrant par le port « 2 » et mettra à jour l'entrée dans la table CAM.
Désormais, toute trame envoyée par Alice à Bob sera routée vers le port qui enregistre l'adresse MAC de Bob dans la table CAM.
Les adresses MAC des appareils doivent être uniques dans les réseaux Ethernet, car si deux systèmes ont la même adresse MAC et se connectent sur des ports différents du Switch, ils entraîneront la mise à jour de la table CAM pour chaque trame envoyée, provoquant une condition de concurrence pour le association du port dans la table CAM. Ensuite, pour chaque trame reçue, le Switch va délivrer la trame sur le port qui lui est associé au moment de la traiter, sans possibilité de déterminer lequel des deux systèmes de même adresse MAC correspond au trafic réseau.
L'application de la technique dite "Vol de port« Ou » Port Theft » dans les attaques informatiques, consiste essentiellement à induire une mise à jour de la table CAM d'un Switch, avec des informations d'adressage manipulées, afin que le switch associe une adresse MAC spécifique (victim system) au port connecté à l'appareil qui applique cette technique.
Un "Attaquant" pourrait alors forcer le Switch à associer l'adresse MAC de Bob au port où son équipement est connecté, recevant ainsi les trames réseau destinées à l'adresse MAC de Bob.
En option, l'attaquant choisira de transmettre ou non les trames, une action qui entraînera respectivement une attaque Man in the Middle (MitM) ou un déni de service (DoS). Il existe une grande variété d'applications qui permettent d'appliquer cette technique. Voici une procédure simple utilisant GNU/Linux.
Systèmes impliquésBob AA : BB : CC : 11 : 22 : 33 (192.168.0.1/24)
Alice AA : BB : CC : 22 : 33 : 44 (192.168.0.2/24)
Attaquant AA : BB : CC : 33 : 44 : 55 (192.168.0.3/24)
GNU/Linux Ubuntu sera utilisé pour le système attaquant et la commande harponner (version de Thomas Habets).
Pour appliquer la technique Vol de port en utilisant harponner, exécutez en tant que root :
# arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN

OùMAC_VICTIMA : Adresse MAC du système dont il est prévu de "voler le port".
IP_DESTINATION : comme il s'agit d'un message de requête ARP, une adresse IP de destination doit être indiquée.
SOURCE_IP : adresse IP source ou expéditeur du message ARP.
INTERFAZ_LAN : nom de l'interface réseau à utiliser.
Depuis le système de l'attaquant générant des trames dont le MAC source correspond au MAC de la victime, Bob :

La commande harponner prend l'argument -s pour indiquer l'adresse MAC source ou de l'expéditeur, spécifiant ainsi l'adresse MAC de la victime Bob.
L'argument -S détermine l'adresse IP source, dans ce cas 2.2.2.2 (elle est facultative et arbitraire).
Si elle n'est pas spécifiée, l'adresse IP configurée dans la carte réseau sera prise.
L'adresse IP 1.1.1.1 est l'adresse de destination et puisque le but n'est que de "confondre le Switch", la valeur sélectionnée est totalement arbitraire mais obligatoire.
Cette commande génère du trafic ARP avec la source MAC AA : BB : CC : 11 : 22 : 33 :

AGRANDIR

Une fois que le port de l'attaquant est associé à l'adresse MAC de Bob, toutes les trames adressées à Bob seront routées vers le port de l'attaquant :

AGRANDIR

À partir de ce point, le Spiker entre en condition de course avec Bob. Toute trame envoyée par Bob forcera la mise à jour de la table CAM. Un attaquant pourrait spécifier la fréquence à laquelle la commande envoie des messages ARP harponner en utilisant le paramètre -w :
# arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1

La valeur "1" pour le paramètre "-w”Indique que l'arping attend 1 microseconde avant d'envoyer le message suivant. De cette façon l'attaquant agira avec avantage pour obtenir le port de la victime.
Concernant les adresses IP source et destination, il n'y a pas d'observation particulière, puisqu'il n'est pas important de résoudre la requête ARP, mais plutôt, en termes d'application de l'attaque de vol de port, il suffira que la trame indique la source MAC de la victime.
Un système antivirus, un IDS ou une inspection du trafic réseau pourraient révéler une activité suspecte sur le réseau, de sorte qu'un attaquant pourrait préférer indiquer des données cohérentes avec l'activité « normale » du trafic réseau :
# arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44

OùMAC_ORIGEN : MAC de Bob, AA : BB : CC : 11 : 22 : 33
DESTINATION_IP : IP d'Alice, 192.168.0.2
IP_ORGIEN : IP de Bob, 192.168.0.1
MAC_DESTINATION : MAC d'Alice, AA : BB : CC : 22 : 33 : 44
En examinant le trafic réseau, des requêtes ARP seront observées :

AGRANDIR

L'attaquant spécifie l'adresse MAC de destination avec l'adresse MAC de Bob (obligatoire, puisque Bob est le système essayant de « voler le port »).
Le message ARP a été dirigé directement vers l'adresse IP d'Alice, de plus l'adresse MAC d'Alice a été spécifiée pour tenter de forcer la livraison du message ARP directement à Alice et éviter un contrôle de diffusion.
Enfin, l'attaquant indique l'adresse IP de Bob comme adresse IP source, de sorte que le message ARP contienne des informations valides bien qu'elles ne soient pas légitimes. Ce dernier pourrait empêcher la détection de l'anomalie, car si l'adresse MAC et l'adresse IP source ne correspondent pas à une entrée ARP précédemment enregistrée, certains systèmes antivirus pourraient assumer une activité d'usurpation d'ARP.
Jusqu'à ce point, l'attaquant obtient les trames que les autres hôtes du réseau envoient à la victime. Cette condition dissocie un scénario d'attaque par déni de service puisque les parcelles ne sont pas seulement livrées à l'attaquant mais elles n'atteignent jamais la victime.
Facultativement, l'attaquant pourrait transmettre les trames à sa victime induisant une attaque d'homme au milieu, pour le trafic envoyé vers Bob.Avez-vous aimé et aidé ce tutoriel ?Vous pouvez récompenser l'auteur en appuyant sur ce bouton pour lui donner un point positif
wave wave wave wave wave