În cadrul acestui exercițiu, ne propunem să simulăm un atac de tip Man in the Middle (MitM). Pentru aceasta, vom considera stația red
ca fiind sistemul de pe care se inițiază atacul și stația green
sistemul victimă. Vom încerca să capturăm traficul către https://curs.upb.ro/
și să îl redirecționăm către un server web malițios aflat pe stația red
. Într-un scenariu real, un atacator ar putea să creeze o replică a unui site web cu scopul de a captura comportamentul victimei sau informații cu caracter personal (parole, adrese, opțiuni etc.).
Folosind ARP spoofing și DNS spoofing, vom crea un atac de tip MitM.
Pentru început, vom porni arpspoof:
root@red:~# arpspoof -i <interfață (red-eth0)> -t <ip_victimă 192.168.2.2> <ip_gateway 192.168.0.100> -r # apoi, în alt terminal: root@red:~# ip a s # pentru a vedea adresa MAC root@green:~# arp -n # comparați adresa MAC a statiei ''red'' cu cea înregistrată pentru gateway. Se poate observa pe mașina victimei faptul că adresa MAC a gateway-ului corespunde cu adresa MAC a adresei IP aferente atacatorului
Deoarece am pornit mai sus ARP spoofing, pachetele victimei trec pe la atacator, inclusiv cererile de tip DNS. Astfel, sistemul atacator (MiTM) va răspunde la aceste cereri în locul serverelor dedicate și va trimite drept rezoluție de nume pentru domeniul curs.upb.ro
adresa IP scrisă într-un fișier hosts
pe care va trebui sa îl creăm. În cazul de față aceasta adresa este adresa IP a atacatorului unde rulează o copie malițioasă a site-ului http://curs.upb.ro/.
root@red:~# cat hosts <adresa_mea_ip> curs.upb.ro (folosiți TAB!) root@red:~# dnsspoof -f hosts
Pentru a valida succesul atacului, de pe stația green
rulați browser-ul text elinks
și accesați pagina curs.upb.ro
. Veți observa faptul că, în locul paginii clasice, vă va apărea o pagină web diferită (pagina implicită Apache).
Resurse: