книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

Цель этого практического упражнения состоит в том, чтобы учащиеся узнали, как предотвратить повреждение содержимого таблицы CAM коммутатора.

1.3.2 Описание

Чтобы предотвратить отравление таблиц CAM, администраторы безопасности обычно полагаются на наличие функции «безопасности порта» коммутаторов. Большинство коммутаторов можно настроить для ограничения количества MAC-адресов, которые можно узнать на портах, подключенных к конечным станциям. Меньшая таблица «безопасных» MAC-адресов поддерживается в дополнение (и в качестве подмножества) к традиционной таблице CAM.

Например, коммутаторы Cisco Catalyst серии 3560 позволяют ограничить количество допустимых MAC-адресов на порту (или интерфейсе) с помощью функции безопасности порта. Когда это число превышено, нарушение безопасности будет вызвано, и действие нарушения будет выполнено на основе режима, настроенного на этом порту. Следовательно, любой неавторизованный MAC-адрес не сможет получить доступ и повредить таблицу CAM коммутатора. Интерфейс может быть настроен для одного из трех режимов нарушения в зависимости от действия, которое должно быть выполнено в случае нарушения:

1.Защита. Когда число защищенных MAC-адресов достигает максимально допустимого для интерфейса предела, пакеты с неизвестными исходными MAC-адресами отбрасываются до тех пор, пока администратор коммутатора не удалит достаточное количество защищенных MAC-адресов, чтобы опуститься ниже максимального значения или увеличить количество максимально допустимых адресов. Администратор коммутатора не уведомляется о нарушении

безопасности.

2.Ограничение: этот режим аналогичен предыдущему режиму. Однако в этом режиме администратор коммутатора уведомляется о нарушении безопасности.

3.Завершение работы: нарушение безопасности порта приводит к немедленному завершению работы интерфейса. Администратор коммутатора может вывести его из этого состояния и настроить время восстановления. Это режим "по умолчанию".

1.3.3 Эксперимент

В следующем эксперименте описывается, как настроить и протестировать функции безопасности портов в коммутаторах Cisco Catalyst серии 3560, чтобы предотвратить повреждение содержимого таблицы CAM. Эксперимент использует ту же сетевую архитектуру, которая описана в предыдущей лабораторной работе, и состоит из следующих шагов:

Шаг 1. Назначьте статические IP-адреса хостам сети

Шаг 2: Настройте порт безопасности режима ограничения в коммутаторе

Шаг 3: Создайте вредоносный пакет для повреждения таблицы CAM Шаг 4: Настройте порт безопасности режима выключения на коммутаторе

1.3.3.1 Шаг 1. Назначьте статические IP-адреса хостам сети

Обратитесь к шагу 1 в предыдущей лабораторной работе.

1.3.3.2 Шаг 2. Настройте порт безопасности режима ограничения в коммутаторе

Чтобы настроить порт безопасности режима ограничения:

* Подключите хост к консольному порту на коммутаторе

Switch> enable//введите команду enable для доступа в привилегированный режим EXEC

Switch# Configure terminal

Switch(config)# interface fastethernet

0/2//Функция безопасности порта применяется на хосте, подключенном к Port #2

Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security violation restrict

Switch(config-if)# end

Switch# copy running-config startup-config

* Чтобы отобразить режим безопасности порта, введите следующую команду:

Switch# show port-security

На снимке экрана ниже показан режим безопасности порта до попытки повреждения

1.3.3.3 Шаг 3. Создайте вредоносный пакет, чтобы испортить таблицу CAM

Используйте любой генератор пакетов, например CommView Visual Packet Builder, для создания вредоносного пакета, для которого в качестве MACисточника в заголовке Ethernet задан поддельный MAC-адрес. Например,

* Введите следующую команду, чтобы просмотреть содержимое таблицы CAM после попытки повреждения:

Switch# show mac-address-table.

Следующий скриншот ясно показывает, что таблица CAM не была повреждена.

* Введите следующую команду, чтобы снова отобразить режим безопасности порта:

Switch# show port-security.

Снимок экрана ниже ясно показывает, что было двадцать семь пакетов, которые пытались нарушить функцию безопасности, реализованную на порту № 2 (Fa0 / 2). Эти пакеты попытались повредить таблицу CAM; однако коммутатор заблокировал их.

Switch# скопируйте running-config startup-config

* Показать режим безопасности порта.

На следующем снимке экрана показан режим безопасности порта до попытки повреждения.

* Сгенерируйте тот же поддельный ICMP-пакет из предыдущего теста, а затем отобразите режим безопасности порта.

Следующий снимок экрана ясно показывает, что был пакет, который пытался нарушить функцию безопасности, реализованную на порту № 2. Коммутатор заблокировал вредоносный пакет и закрыл порт.

На следующем снимке экрана четко видно, что узел A потерял соединение с коммутатором (интерфейс 0/2 был отключен), и на рабочем столе узла A появилось предупреждающее сообщение.

1.4 Краткое содержание главы

В этой главе описывается создание и предотвращение атаки отравления таблицей CAM коммутатора. Атака заключается в повреждении записей в таблице CAM для создания ситуации DoS. После атаки целевой коммутатор становится неспособным пересылать пакеты в их законные места назначения. Практические упражнения главы позволяют пользователям узнать, как выполнить и предотвратить атаку отравления таблицей CAM коммутатора.

2.1 Введение

2.1.1 Address Resolution Protocol (ARP)

ARP используется для сопоставления IP-адреса с заданным MACадресом (Media Access Control), чтобы пакеты могли передаваться по локальной сети. Сообщения ARP обмениваются, когда один хост знает IP-адрес (адрес интернет-протокола) удаленного хоста и хочет определить MAC-адрес удаленного хоста. Например, в локальной сети для получения MAC-адреса хоста 2 хосту 1 необходимо сначала отправить сообщение запроса широковещательного ARP всем хостам в сети. Затем узел 2 отправит ответное сообщение одноадресной ARP обратно узлу 1, содержащему его MAC-адрес. Сообщение ARP в сети Ethernet / IP имеет восемь параметров, а именно:

17

ARP не определяет никаких правил для поддержания согласованности между заголовком ARP и заголовком Ethernet. Это означает, что можно указать некоррелированные адреса между этими двумя заголовками. Например, MAC-адрес источника в заголовке Ethernet может отличаться от MAC-адреса источника в заголовке ARP.

2.1.2 ARP кэш

Каждый хост в сегменте LAN имеет таблицу, которая называется ARPкеш, которая сопоставляет IP-адреса с соответствующими им MACадресами, как показано на рисунке ниже.

Существует два типа записей в кэше ARP, а именно: (1) статические записи: в зависимости от операционной системы (ОС) записи остаются в кэше ARP постоянно или до перезагрузки системы; и (2) динамические записи: записи остаются в кэше ARP в течение нескольких минут (в зависимости от ОС), а затем удаляются, если на них нет ссылок. К сожалению, механизм статических записей используется только в небольших локальных сетях. Однако в больших сетях развертывание и обновление статических записей в кэшах ARP не являются обычной практикой.

Впринципе, в зависимости от операционной системы, сообщения запроса или ответа ARP позволяют нам создавать новые записи и обновлять существующие записи в кэше ARP. То есть, если запись не существует в кэше ARP, ответное сообщение ARP позволяет нам создать запись в кэше ARP. Кроме того, когда хост получает сообщение с запросом ARP, он полагает, что соединение будет выполнено. Следовательно, чтобы минимизировать трафик ARP, он создает новую запись в своем кэше ARP для адресов, предоставленных в сообщении запроса ARP. Если запись уже существует в кэше ARP, то сообщения запроса или ответа ARP разрешают

ееобновление по адресам (исходным MAC-адресам и IP-адресам), указанным в заголовках ARP.

Вэтой главе рассматриваются три практических упражнения. Первый описывает технику отравления кэша ARP. Другие посвящены реализации атак DoS и MiM, соответственно, с использованием метода отравления

кэша ARP.

*Cisco switch*

*CommView tool†: Network monitor and analyzer tool (Sniffer)

*CommView Visual Packet Builder‡: A Graphical User Interface (GUI) based packet generator

2.2Лабораторная работа 2.1: Атака отравление ARP кэша

2.2.1 Результат

Цель этого упражнения состоит в том, чтобы учащиеся узнали, как повредить кэши ARP хостов в локальной сети.

2.2.2 Описание

Атака с отравлением ARP-кеша является злонамеренным действием (со стороны хоста в локальной сети) введения ложного IP-адреса в сопоставление MAC-адреса в ARP-кэше другого хоста. Это может быть сделано путем прямого манипулирования кэшем ARP целевого хоста независимо от сообщений ARP, отправленных целевым хостом. Для этого злонамеренный хост может либо добавить новую поддельную запись в кэш ARP целевого хоста, либо обновить уже существующую запись поддельными IP-адресами и MAC-адресами. Эти два метода объясняются следующим образом:

1.Создайте новую поддельную запись: Для этого целевому хосту отправляется сообщение запроса ARP с поддельными IP-адресами источника и MAC-адресами в заголовке ARP. Когда целевой хост

*http://www.cisco.net

† http://www.tamos.com

‡ http://www.tamos.com