БАЗОВОЕ О СЕТЕВОМ ВЗЛОМЕ

Самая полезная базовая информация о том как устроена сеть и сетевые атаки. Если ты новичок в сетевом взломе, то эту информацию обязан знать!

ЦИКЛ СТАТЕЙ NETHACK

  1. БАЗОВОЕ О СЕТЕВОМ ВЗЛОМЕ
  2. WIFIPHISHER
  3. DNS + DHCP СЕРВЕР
  4. АТАКА НА DHCP СЕРВЕР
  5. INTERCEPTER-NG

ТЕРМИНЫ

  1. Сеть:
    1. IP (Internet Protocol Address) — уникальный сетевой адрес узла в комьютерной сети.
    2. MAC (Media Access Control) — Уникальный идентификатор, присваиваемый каждой единице активного оборудования.
    3. WAN (Wide Area Network) — Международная компьютерная сеть.
    4. LAN (Local Area Network) — Локальная компьютерная сеть.
    5. VLAN (Virtual Local Area Network) — Виртуальная локальная компьютерная сеть.
    6. WLAN (Wireless Local Area Network) — Беспроводная локальная компьютерная сеть.
  2. Протоколы:
    1. ARP (Address Resolution Protocol) — Протокол определения MAC-адреса, имея IP-адрес другого компьютера.
    2. DHCP (Dynamic Host Configuration Protocol) — Протокол динамической настройки узла, позволяющий компьютерам автоматически получать IP-адрес.
  3. Приложения:
    1. DNS (Domain Name System) — Система доменных имён.
  4. Сетевые атаки:
    1. Фишинг атака — Phishing — рыбная ловля. Вид социальной инженерии, когда жертву заинтересовывают какой-либо информацией и ловят с этого профит.
      1. Spoofing attack — подмена, маскировка или фальсификация данных. Важное отличие spoofing атаки от phishing в том, что spoofing это стратегия/подход, который срабатывает не от выбора человека, а от неграмотной настройки компьютера, либо его обмана/атаки.
    2. Человек посередине — MitM — перехват пакетов между двумя системами.
    3. Отказ в обслуживании — DoS.
      1. DoS (Denial of Service — отказ в обслуживании) — создание условий для доведения системы до отказа.
      2. DDoS (Distributed Denial of Service — распределённая DoS) — атака производится с нескольких компьютеров для доведения системы до отказа.

КАК УСТРОЕНА СЕТЬ

Распределение протоколов по уровням модели OSI:

  1. Канальный:
    1. Физический, например, электрические провода, радиосвязь, волоконно-оптические провода, инфракрасное излучение.
    2. Канальный, например, Ethernet, Token ring, HDLC, PPP, X.25, Frame relay, ISDN, ATM, SPB, MPLS.
  2. Сетевой:
    1. Сетевой, например, IP, ICMP, IGMP, CLNP, OSPF, RIP, IPX, DDP, ARP.
  3. Транспортный:
    1. Транспортный, например, TCP, UDP, SCTP, SPX, ATP, DCCP, GRE.
  4. Прикладной:
    1. Сеансовый, например, ISO 8327 / CCITT X.225, RPC, NetBIOS, PPTP, L2TP, ASP.
    2. Представительский, например, XDR, AFP, TLS, SSL.
    3. Прикладной, например, HTTP, SMTP, SNMP, FTP, Telnet, SSH, SCP, SMB, NFS, RTSP, BGP, DHCP.

* Несмотря на то, что DHCP является протоколом прикладного уровня модели OSI, основная его работа сосредоточена на канальном уровне. Это означает, что (!)возникновение проблем с его функционированием будет иметь последствия на одном из самых базовых уровней сети.

Что такое TCP/UDP и отличия

TCP и UDP — основные транспортные протоколы модели OSI, на которых строятся сетевые приложения.

TCP – протокол передачи данных в сетях TCP/IP, предварительно устанавливающий соединение с сетью.

UDP – протокол, передающий сообщения-датаграммы без необходимости установки соединения в IP-сети.

Основные отличия TCP от UDP:

  1. TCP гарантирует доставку пакетов данных в неизменном виде, последовательности и без потерь, UDP ничего не гарантирует.
  2. TCP нумерует пакеты при передаче, а UDP нет.
  3. TCP работает в дуплексном режиме, в одном пакете можно отправлять информацию и подтверждать получение предыдущего пакета.
  4. TCP требует заранее установленного соединения, UDP соединения не требует, у него это просто поток данных.
  5. UDP обеспечивает более высокую скорость передачи данных.
  6. TCP надежнее и осуществляет контроль над процессом обмена данными.
  7. UDP предпочтительнее для программ, воспроизводящих потоковое видео, видеофонии и телефонии, сетевых игр.
  8. UDP не содержит функций восстановления данных.

Примерами UDP приложений, например можно привести, передачу DNS зон, в Active Directory, там не требуется надежность.

Клиент-сервер и сокеты

Клиент и сервер — это две программы, которые нацелены друг на друга, вроде таких как браузер и web-сервер, и обмениваются между собой данными на определённом порту при помощи протоколов передачи данных вроде TCP и UDP. В случае браузера и web-сервера это 80(HTTP) и 443(HTTPS) порты, а так же транспортный протокол TCP. Основная разница между клиентом и сервером следующая: при TCP клиент подключается к серверу первым, сервер же слушает порт, то есть ожидает подключения клиента и отвечает на данными без потерь, а при UDP клиент получает данные сразу при подключении, потому что сервер вещает данные как в радиоэфире с большими потерями, если нет клиентов, но при этом так же слушает порт и принимает данные — об этом написано выше в основных различиях между TCP и UDP, что требуется изучить.

Логика клиент-серверного приложения может быть запрограммирована как угодно, и что обычно свойственно для сервера может оказаться на стороне клиента, как в случае с reverse shell или ботнетами(это всё клиенты) — и это важно учесть для понимания этой абстракции. Так же самая существенная разница — серверу необходим проброс портов за NAT, а клиенту — нет. Это означает, что в случае с NAT — на его борту так же, как и в ОС компьютера, есть фаервол, который по умолчанию запрещает серверу принимать клиентов извне, но не блокирует исходящий трафик, по этому пропускает клиентов из своей сети в интернет. То есть сервер как сервис ОС контролируется по умолчанию и произвести взлом(несанкционированно подключиться/получить свободный доступ) компьютера сразу не выйдет. Из-за этого есть такие вещи как reverse shell и ботнеты — обратное подключение. Обычно доступ к шеллу предоставляется сервисом, который принимает клиентов(сервер), но в случае с reverse shell — он является клиентом и подключается к стороннему удалённому серверу — и это не безопасно, потому что его можно подменить и потерять доступ.

Сокет — программный интерфейс для обеспечения обмена данными между процессами. В клиент-серверном приложении сокет является основой сетевого соединения и является более абстрактной моделью чем клиент и сервер, но это всего-лишь программирование, что просто стоит знать. Сокеты бывают клиентскими и серверными, и делиться по протоколам(TCP/UDP) — все различия между ними описаны выше в разнице между клиентом, сервером и различиями в передаче данных.

СЕТЕВЫЕ АТАКИ

Сетевые атаки можно разделить на:

  1. Внутренние — атакующий действует внутри локальной сети, используя Wi-Fi или прямое сетевое подключение к роутеру, например.
  2. Внешние — атакующий производит атаки через WAN. То есть:
    1. Атака происходит из интернета.
    2. Атака происходит между провайдером и роутером.

Внутренние и внешние виды атак

Атаки на беспроводную сеть.

  1. DoS атака на легитимную точку доступа.
  2. Rogue AP — DoS атака на легитимную точку доступа и создание открытой фишинговой точки доступа с целью заманить пользователя легитимной в свою сеть.
  3. Атака на WPS
  4. Атака на WEP
  5. Атака на WPA/WPA2

Атаки канального уровня.

  1. Атака на таблицу MAC-адресов (MAC spoofing).
  2. Атака на таблицу ARP (ARP spoofing).
  3. Атака на DHCP сервера (DHCP server spoofing).
  4. Атака на VLAN.

ARP SPOOFING

ARP-spoofing (ARP-poisoning) — разновидность сетевой атаки типа MitM. Атака основана на недостатках протокола ARP.

DHCP SERVER SPOOFING

Атака состоит из двух частей:

  1. Отказ в обслуживании легитимного DHCP сервера.При осуществлении спуфинга клиентских запросов увеличивается вероятность того, что DHCP сервер присвоит все возможные адреса, что, соответственно, приведет к DoS. Любой машине, захотевшей присоединиться к сети, будет отказано, т.к. весь диапазон адресов уже будет присвоен поддельным MAC адресам.
  2. Организация поддельного DHCP сервера.Организация поддельного DHCP сервера даст взломщику широкие возможности. Например можно перенаправить траффик через свою машину (атака посредника) или посылать пользователям поддельные web-страницы через поддельный DNS сервер. Это происходит потому, что при присвоении IP адреса, DHCP сервер также передает клиенту еще и DNS сервер.

МАТЕРИАЛЫ

  1. Wiki — TCP/IP
  2. Wiki — Атака посредника
  3. Wiki — Хакерская атака
  4. Wiki — Удалённые сетевые атаки
  5. Wiki — WAN
  6. Wiki — LAN
  7. Wiki — VLAN
  8. Wiki — WLAN
  9. Wiki — IP
  10. Wiki — IPv4
  11. Wiki — IPv6
  12. Wiki — IP-спуфинг
  13. Wiki — MAC
  14. Wiki — MAC-спуфинг
  15. Wiki — ARP
  16. Wiki — ARP-spoofing
  17. Wiki — DHCP
  18. Cryptoworld — DHCP STARVATION
  19. Wiki — DNS
  20. Wiki — DNS-сервер
  21. Wiki — DNS cache poisoning
  22. Wiki — DoS
  23. Wiki — DDoS