Библиографическое описание:

Лысенко А. В., Кожевникова И. С., Ананьин Е. В., Никишова А. В., Мартынова Л. Е., Назарова К. Е., Попков С. М., Белозёрова А. А. Анализ атак man in the middle // Молодой ученый. — 2016. — №30. — С. 33-36.



Рассмотрены основные атаки man in the middle. Описаны особенности их реализации и разработаны блок-схемы алгоритмов их проведения. Выделены основные последствия проведения MITM-атак.

Ключевые слова: man in the middle, безопасность сети, ARP-spoofing, подмена DHCP-сервера, двойник точки доступа

Условием существования и ведения успешной экономической деятельности для любой организации является обеспечение безопасности и непрерывности бизнеса, что невозможно без поддержания постоянной безопасности информации, с которой оперирует данная организация, ее партнеры и клиенты [1]. Безопасность информации подразумевает обеспечение её доступности, целостности и конфиденциальности. Атаки man in the middle нарушают все эти три условия, поэтому при поддержании безопасности информации, необходимо обеспечить защиту от данного вида атак. [2]

На данный момент самыми популярными атаками man in the middle являются:

  1. создание двойника выходной точки;
  2. ARP-spoofing;
  3. подмена DHCP-сервера.

Атака посредством создания двойника выходной точки основана на том, что при переподключении к Wi-Fi сети учитывается только SSID и пароль точки доступа, тем самым злоумышленник, подделав точку доступа, может получить доступ к каналу передачи данных. Блок-схема алгоритма атаки посредством создания двойника выходной точки представлена на рисунке 1. [3]

Рис. 1. Блок-схема алгоритма создания двойника выходной точки

На первом шаге злоумышленник создает копию точки доступа использующейся в сети, с указанием того же SSID и пароля. Потом производится DoS-атака на точку доступа таким образом, чтобы у клиентов точки доступа произошел разрыв соединения. В момент провисания точки доступа запускается двойник, клиенты используя только SSID и пароль считают двойника реальной точкой доступа и подключаются к нему. Таким образом получается, что весь трафик будет проходить через подконтрольную злоумышленником точку доступа.

Атака ARP-spoofing основана на том, что протокол ARP не проверяет подлинности ARP-запросов и ARP-ответов, таким образом сетевое оборудование будет обрабатывать ARP-ответ даже без запроса. Блок схема ARP-spoofing представлена на рисунке 2. [4]

Рис. 2. Блок-схема алгоритма проведения атаки ARP — spoofing

При проведении атаки ARP-spoofing злоумышленнику необходимо знать IP-адрес жертвы, на который он будет отсылать ARP-ответ, для этого производится сканирование сети. Идентифицировать жертву можно по различным признакам, например: используемая операционная система, используемы службы и т. д. После идентификации жертвы и получения ее IP-адреса злоумышленник посылает жертве и коммутатору ARP-ответ в котором указаны MAC-адрес злоумышленника и IP-адреса жертвы для коммутатора и коммутатора для жертвы. В итоге коммутатор и жертва записывают в свою ARP — таблицу MAC — адрес злоумышленника ассоциируя его с IP-адресом жертвы и коммутатора соответственно. Таким образом весь сетевой трафик начинает проходить через злоумышленника, так как жертва считает его коммутатором, а коммутатор жертвой.

Атака посредством подмены DHCP-сервера основана на том, что у клиента нет возможности аутентифицировать DHCP-сервер. Блок-схема подмены DHCP сервера представлена на рисунке 3.

Рис. 3. Блок-схема алгоритма атаки подмены DHCP-сервера

При подключении к сети терминал не имеющий IP-адреса отправляется широковещательный DHCP — запрос с целью выяснить DHCP-сервер и получить у него IP-адрес и параметры сети. Если в сети несколько DHCP-серверов терминал выбирает за легальный тот, который первым ответит на запрос. Таким образом атака подмены DHCP-сервера осуществляется следующим образом. Злоумышленник создает свой DHCP-сервер, подключает его к сети, в которой расположена жертва, и осуществляет DoS — атаку на легальный DHCP-сервер, чтобы гарантировать, что его ответ дойдет до жертвы быстрее. После злоумышленник ждет пока у жертвы закончится срок аренды IP-адреса. Как только это происходит жертва пытается связаться с известным ей DHCP-сервером. Из-за того что он не доступен, жертва вынуждена повторить процесс поиска DHCP-сервера, то есть отправляет широковещательный запрос. Злоумышленник отвечает на него, после чего жертва начинает считать DHCP-сервер злоумышленника легальным. Таким образом, злоумышленник может изменять параметры работы с сетью жертвы (адрес DNS — сервера, маршрутизацию и т. д.).

Рассмотренные атаки являются самыми распространенными MITM–атаками. Успешная реализация данных атак позволит злоумышленнику получить конфиденциальную информацию, криптографический сертификат, данные о всем трафике. Полученная информация может быть подменена или использована в корыстных целях.

Литература:

  1. Аткина В. С. Оценка эффективности катастрофоустойчивых решений // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность.. — 2012. — № 6. — С. 45–48.
  2. Никишова А. В. Интеллектуальная система обнаружения атак на основе многоагентного подхода // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. — 2011. — № 5. — С.35–37.
  3. Атака «ManInTheMiddle» (MITM) в Wi-Fi сети // интернет-ресурс habrahabr.ru— 2015г.
  4. Атака канального уровня ARP-spoofing и как защитить коммутатор Cisco // интернет-ресурс habrahabr.ru— 2013г.
Основные термины (генерируются автоматически): двойника выходной точки, точки доступа, Блок-схема алгоритма, создания двойника выходной, Блок-схема алгоритма атаки, подмены dhcp-сервера, точку доступа, подмена dhcp-сервера, атаки подмены dhcp-сервера, Вестник Волгоградского государственного, двойник точки доступа, DHCP-сервер злоумышленника легальным, Блок-схема алгоритма создания, Блок-схема алгоритма проведения, пароль точки доступа, Волгоградского государственного университета, Wi-Fi сети, копию точки доступа, атака подмены dhcp-сервера, провисания точки доступа.

Ключевые слова

человек посередине, безопасность сети, ARP-спуфинг, подмена DHCP-сервера, двойник точки доступа

Обсуждение

Социальные комментарии Cackle
Задать вопрос