2.6 Zkouškové okruhy

Tato podkapitola obsahuje vypracované odpovědi na zkušební otázky k ústní zkoušce, vycházející ze souboru ExamTopic.md.

Otázka č. 04
Znění otázky: Packet sniffing, sniffer vs analyzer, interface/hub/switch sniffing, promiscuous mode.
Odpověď:

Packet sniffing označuje proces pasivního či aktivního odposlouchávání komunikace na počítačové síti (např. za účelem zjišťování informací v rámci Intelligence Gathering fáze PTES, ať už na zachycení hesel, analýzu útoků, či pochopení struktury).

Sniffer vs. Analyzer:
  • Sniffer primárně zajišťuje fyzické/softwarové zachycení PDU (např. rámců, paketů) z daného síťového rozhraní na úroveň disku či do paměti (např. libpcap knihovna).
  • Analyzer surová data zpětně analyzuje, dekóduje na lidsky čitelný formát (tzv. dissekce) a pomáhá odhalovat souvislosti (viz např. TCP Streams).
  • Většina nástrojů jako Wireshark nebo tcpdump ale integruje tyto funkce dohromady.

Lokality sniffingu:

  • Interface (endpoint): Omezeno pouze na to, co směřuje k danému zařízení (případně broadcasty a multicasty).
  • Hub: Je to nejjednodušší případ – data se replikují na všechny porty všem, takže sniffer jen pasivně naslouchá sdílenému médiu.
  • Switch: Posílá rámce inteligentně podle své CAM tabulky jen přes ty porty, kde jsou připojená konkrétní zařízení s požadovanou cílovou MAC adresou. Aby útočník uviděl provoz ostatních, musí použít aktivní útok (např. MAC flooding, ARP spoofing) nebo nastavit tzv. Switch Mirroring (SPAN port).

Promiskuitní režim (Promiscuous mode):

Jedná se o režim síťové karty, díky němuž zařízení předává operačnímu systému (a následně analyzátoru) veškeré rámce, jež obdrželo na fyzické lince. Aniž by tento režim byl zapnut, karta by normálně zahazovala většinu paketů, které nemají cílovou MAC adresu shodnou s adresou daného zařízení (filtrace na úrovni hardwaru).

Otázka č. 05
Znění otázky: ARP and DNS spoofing, MAC flooding techniques.
Odpověď:

Tyto techniky se používají především na přepínaných sítích (se switchem), aby útočník mohl provoz nasměrovat skrz své zařízení a provádět Man-in-the-Middle, popř. odepřít službu.

MAC flooding:

Je technika útoku, při níž útočník zasílá směrem ke switchi ohromné množství falešných ethernetových rámců s různými podvrženými MAC adresami. Switch si tyto adresy zkouší ukládat do své CAM (Content-Addressable Memory) tabulky. V okamžiku vyčerpání omezené kapacity přepne switch z důvodu neznalosti směrování do tzv. fail-open režimu, čímž začne rozesílat příchozí neznámé pakety ven na všechny porty stejně, jako by byl obyčejným hubem. Útočník tak vidí cizí provoz (tzv. downgrade attack).

ARP Spoofing (ARP Cache poisoning):

ARP se používá k překladu IP (síťových) adres na MAC (linkové) adresy. Útočník zasílá falešné ARP odpovědi (tzv. gratuitous ARP) do lokální sítě a podsouvá v nich svou vlastní MAC adresu pod cizí IP adresou (nejčastěji se tváří jako IP default gateway směrem k oběti, a jako IP oběti směrem k gatewayi). V důsledku tohoto "otrávení" (cache poisoning) začnou cílová zařízení zasílat ethernetové rámce nikoliv skutečnému příjemci, nýbrž útočníkovi (který je navíc může přeposílat dál, aby skryl svou přítomnost). Útok lze provádět nástroji jako Ettercap.

DNS Spoofing (DNS Cache poisoning):

Útočník odpovídá na nezabezpečené dotazy na službu DNS s cílem podstrčit vlastní IP adresu oběti, které se právě dotazuje na nějakou konkrétní doménu. Problémem DNS protokolu (nad UDP) je, že obvykle spoléhá na relativně krátké nezabezpečené identifikační číslo (ID dotazu). Buď může útočník tento dotaz přímo pasivně přečíst po síti (díky ARP spoofingu) a odpovědět tak před odesláním legitimního záznamu, nebo se dané ID snaží vyvzdorovat ("brute force", viz slavný útok Kaminsky's Exploit) a přesvědčit o správnosti svého záznamu DNS server (který si tento záznam následně podvrženě uloží – poisons cache).