Анализ атак man in the middle | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Библиографическое описание:

Анализ атак man in the middle / А. В. Лысенко, И. С. Кожевникова, Е. В. Ананьин [и др.]. — Текст : непосредственный // Молодой ученый. — 2016. — № 30 (134). — С. 33-36. — URL: https://moluch.ru/archive/134/37560/ (дата обращения: 16.12.2024).



Рассмотрены основные атаки man in the middle. Описаны особенности их реализации и разработаны блок-схемы алгоритмов их проведения. Выделены основные последствия проведения MITM-атак.

Ключевые слова: man in the middle, безопасность сети, ARP-spoofing, подмена DHCP-сервера, двойник точки доступа

Условием существования и ведения успешной экономической деятельности для любой организации является обеспечение безопасности и непрерывности бизнеса, что невозможно без поддержания постоянной безопасности информации, с которой оперирует данная организация, ее партнеры и клиенты [1]. Безопасность информации подразумевает обеспечение её доступности, целостности и конфиденциальности. Атаки man in the middle нарушают все эти три условия, поэтому при поддержании безопасности информации, необходимо обеспечить защиту от данного вида атак. [2]

На данный момент самыми популярными атаками man in the middle являются:

  1. создание двойника выходной точки;
  2. ARP-spoofing;
  3. подмена DHCP-сервера.

Атака посредством создания двойника выходной точки основана на том, что при переподключении к Wi-Fi сети учитывается только SSID и пароль точки доступа, тем самым злоумышленник, подделав точку доступа, может получить доступ к каналу передачи данных. Блок-схема алгоритма атаки посредством создания двойника выходной точки представлена на рисунке 1. [3]

Рис. 1. Блок-схема алгоритма создания двойника выходной точки

На первом шаге злоумышленник создает копию точки доступа использующейся в сети, с указанием того же SSID и пароля. Потом производится DoS-атака на точку доступа таким образом, чтобы у клиентов точки доступа произошел разрыв соединения. В момент провисания точки доступа запускается двойник, клиенты используя только SSID и пароль считают двойника реальной точкой доступа и подключаются к нему. Таким образом получается, что весь трафик будет проходить через подконтрольную злоумышленником точку доступа.

Атака ARP-spoofing основана на том, что протокол ARP не проверяет подлинности ARP-запросов и ARP-ответов, таким образом сетевое оборудование будет обрабатывать ARP-ответ даже без запроса. Блок схема ARP-spoofing представлена на рисунке 2. [4]

Рис. 2. Блок-схема алгоритма проведения атаки ARP — spoofing

При проведении атаки ARP-spoofing злоумышленнику необходимо знать IP-адрес жертвы, на который он будет отсылать ARP-ответ, для этого производится сканирование сети. Идентифицировать жертву можно по различным признакам, например: используемая операционная система, используемы службы и т. д. После идентификации жертвы и получения ее IP-адреса злоумышленник посылает жертве и коммутатору ARP-ответ в котором указаны MAC-адрес злоумышленника и IP-адреса жертвы для коммутатора и коммутатора для жертвы. В итоге коммутатор и жертва записывают в свою ARP — таблицу MAC — адрес злоумышленника ассоциируя его с IP-адресом жертвы и коммутатора соответственно. Таким образом весь сетевой трафик начинает проходить через злоумышленника, так как жертва считает его коммутатором, а коммутатор жертвой.

Атака посредством подмены DHCP-сервера основана на том, что у клиента нет возможности аутентифицировать DHCP-сервер. Блок-схема подмены DHCP сервера представлена на рисунке 3.

Рис. 3. Блок-схема алгоритма атаки подмены DHCP-сервера

При подключении к сети терминал не имеющий IP-адреса отправляется широковещательный DHCP — запрос с целью выяснить DHCP-сервер и получить у него IP-адрес и параметры сети. Если в сети несколько DHCP-серверов терминал выбирает за легальный тот, который первым ответит на запрос. Таким образом атака подмены DHCP-сервера осуществляется следующим образом. Злоумышленник создает свой DHCP-сервер, подключает его к сети, в которой расположена жертва, и осуществляет DoS — атаку на легальный DHCP-сервер, чтобы гарантировать, что его ответ дойдет до жертвы быстрее. После злоумышленник ждет пока у жертвы закончится срок аренды IP-адреса. Как только это происходит жертва пытается связаться с известным ей DHCP-сервером. Из-за того что он не доступен, жертва вынуждена повторить процесс поиска DHCP-сервера, то есть отправляет широковещательный запрос. Злоумышленник отвечает на него, после чего жертва начинает считать DHCP-сервер злоумышленника легальным. Таким образом, злоумышленник может изменять параметры работы с сетью жертвы (адрес DNS — сервера, маршрутизацию и т. д.).

Рассмотренные атаки являются самыми распространенными MITM–атаками. Успешная реализация данных атак позволит злоумышленнику получить конфиденциальную информацию, криптографический сертификат, данные о всем трафике. Полученная информация может быть подменена или использована в корыстных целях.

Литература:

  1. Аткина В. С. Оценка эффективности катастрофоустойчивых решений // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность.. — 2012. — № 6. — С. 45–48.
  2. Никишова А. В. Интеллектуальная система обнаружения атак на основе многоагентного подхода // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. — 2011. — № 5. — С.35–37.
  3. Атака «ManInTheMiddle» (MITM) в Wi-Fi сети // интернет-ресурс habrahabr.ru— 2015г.
  4. Атака канального уровня ARP-spoofing и как защитить коммутатор Cisco // интернет-ресурс habrahabr.ru— 2013г.
Основные термины (генерируются автоматически): ARP, SSID, DHCP, жертва, злоумышленник, подмен DHCP-сервера, создание двойника, DNS, MAC, MITM.


Ключевые слова

Безопасность сети, человек посередине, безопасность сети, ARP-спуфинг, подмена DHCP-сервера, двойник точки доступа, man in the middle, ARP-spoofing

Похожие статьи

Актуальность MiTM-атак в современных Wi-Fi-сетях

В данной статье рассматривается сетевая атака Man in the middle в общедоступных сетях Wi-Fi и её возможности. Описываются методы защиты и возможные способы их нейтрализации.

Защита корпоративных сетей от внутренних атак

В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...

Обеспечение анонимности при использовании программного обеспечения Tor

В настоящей статье представлены современные технологии обеспечения анонимности пользователя сети Tor с использованием дополнительного программного обеспечения. Рассмотрены некоторые уязвимости данной сети и способы их ликвидации.

Методы защиты доступа в ERP-системах: идентификация и аутентификация

В статье рассмотрена проблема обеспечения защиты доступа в ERP — системах. Описаны основные методы идентификации и аутентификации, принципы их работы. Выделены их достоинства и недостатки.

Интеллектуализация системы обнаружения и предотвращения сбоев в сети

В статье обсуждены вопросы разработки программного приложения по обнаружению, предотвращению и предсказанию наблюдающихся сбоев в составе локальной сети. Целью создания программного приложения является интеллектуализация его алгоритмов, где на основе...

Аналитический обзор методов обнаружения вредоносных программ в распределенных вычислительных системах

Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС. В статье были изучены продукционные / экспертные системы обнаружения атак, изучен метод обнаружения вторжений на основе графовых методов, произведен анали...

Принципы построения безопасности Bluetooth

В статье авторы исследуют механизмы обеспечения безопасности технологии Bluetooth, а также основные ландшафты проведения атак.

Обзор видов атак по побочным каналам на криптографические устройства

Данная статья посвящена исследованию основных видов атак по сторонним каналам, применяемых для криптографических устройств. Рассмотрены отличительные особенности и способы реализации. В заключение статьи приведен краткий вывод.

Типовые атаки на DHCP

В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

IRC сеть и возможные методы ее реализации

В статье дается краткое описание IRC (Internet relay chat) протокола и его особенностей. Описываются возможные программные решения для реализации собственного IRC сервера.

Похожие статьи

Актуальность MiTM-атак в современных Wi-Fi-сетях

В данной статье рассматривается сетевая атака Man in the middle в общедоступных сетях Wi-Fi и её возможности. Описываются методы защиты и возможные способы их нейтрализации.

Защита корпоративных сетей от внутренних атак

В данной статье исследуется разработка корпоративной сети на базе технологии Multiprotocol Label Switching (MPLS) и стратегии защиты от атак типа Address Resolution Protocol (ARP) spoofing и троянских программ [1]. Основой стратегии безопасности служ...

Обеспечение анонимности при использовании программного обеспечения Tor

В настоящей статье представлены современные технологии обеспечения анонимности пользователя сети Tor с использованием дополнительного программного обеспечения. Рассмотрены некоторые уязвимости данной сети и способы их ликвидации.

Методы защиты доступа в ERP-системах: идентификация и аутентификация

В статье рассмотрена проблема обеспечения защиты доступа в ERP — системах. Описаны основные методы идентификации и аутентификации, принципы их работы. Выделены их достоинства и недостатки.

Интеллектуализация системы обнаружения и предотвращения сбоев в сети

В статье обсуждены вопросы разработки программного приложения по обнаружению, предотвращению и предсказанию наблюдающихся сбоев в составе локальной сети. Целью создания программного приложения является интеллектуализация его алгоритмов, где на основе...

Аналитический обзор методов обнаружения вредоносных программ в распределенных вычислительных системах

Цель данной работы: определить эффективность методов обнаружения вредоносных программ для РВС. В статье были изучены продукционные / экспертные системы обнаружения атак, изучен метод обнаружения вторжений на основе графовых методов, произведен анали...

Принципы построения безопасности Bluetooth

В статье авторы исследуют механизмы обеспечения безопасности технологии Bluetooth, а также основные ландшафты проведения атак.

Обзор видов атак по побочным каналам на криптографические устройства

Данная статья посвящена исследованию основных видов атак по сторонним каналам, применяемых для криптографических устройств. Рассмотрены отличительные особенности и способы реализации. В заключение статьи приведен краткий вывод.

Типовые атаки на DHCP

В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

IRC сеть и возможные методы ее реализации

В статье дается краткое описание IRC (Internet relay chat) протокола и его особенностей. Описываются возможные программные решения для реализации собственного IRC сервера.

Задать вопрос