Dostęp aktywny do medium sieci - podsłuch w sieciach przełączanych

Przełączniki (switch) w odróżnieniu od koncentratorów (hub) dane otrzymane od jednej karty sieciowej przesyłają tylko do tej karty, dla której te dane są zaadresowane.

Zmniejsza to obciążenie sieci, ale także, co dla nas bardziej istotnie, wzrasta poziom bezpieczeństwa.

Podsłuch jest utrudniony, ale nie jest niemożliwy. Wystarczy zmusić przełącznik by kierował wszystkie ramki do wszystkich portów, a przynajmniej do tego, do którego podłączony jest komputer używany do podsłuchu.

Atak MAC FLOODING

Jeden ze sposobów: atak MAC FLOODING na przełącznik

Cel:

• zapełnienie tablicy adresów służącej do translacji adresów MAC na adresy IP (zazwyczaj ma miejsce na kilka tysięcy pozycji)
  Jeśli atak się uda, przełącznik działa jak koncentrator.

Narzędzia:

• również pakiet dsniff (do generowania losowych adresów MAC i wysyłania ich do sieci służy polecenie macof)

Realizacja:

• przepełniamy tablicę adresów przy pomocy macof (polecenie uruchomione na jednym komputerze)
• podsłuchujemy sieć na innym komputerze

Atak ARP SPOOFING

Narzędzia:

• pakiet dsniff (program arpspoof)
• Windoze Connection Inspector (Windows)
• ARPTools (Windows)

Realizacja:

Załóżmy, że chcemy podsłuchać komunikacje między komputerami o adresach IP1 i IP2 mając do dyspozycji komputer o adresie IP3:

• włączamy na naszym komputerze przekazywanie pakietów (IP Forwarding)
  

  	echo 1 > /proc/sys/net/ipv4/ip_forward
  	

• przekonujemy komputer IP1, że nasz komputer ma adres IP2:

  	arpspoof -t IP1 IP2
  	

• analogicznie dla IP2

  	arpspoof -t IP2 IP1
  	

• Teraz wszystkie pakiety przechodzą przez nasz komputer i możemy je rejestrować przy pomocy tcpdump lub Ethereal.

Uwaga:
Niniejsza metoda podsłuchu jest skuteczna, ale ingeruje w trasę pakietów więc jest również łatwa do wykrycia (wystarczy użyć polecenia ping)

Atak DNS SPOOFING

Komputer śledzony wysyła do serwera DNS zapytanie o adres jakiegoś serwera (np. pocztowego), zanim serwer DNS odpowie, komputer podsłuchujący wysyła zafałszowaną odpowiedź i dzięki temu komputer podsłuchiwany zamiast z prawidłowym serwerem, komunikuje się z komputerem podsłuchującym. Komputer podsłuchujący uzyskuje w ten sposób dane do uwierzytelniania.