Slijede razlike između dviju inačica stranice.
Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
racfor_wiki:mrezna_forenzika:man_in_the_middle_napad [2021/12/28 12:44] lkramaric [Vrste man in the middle napada] |
racfor_wiki:mrezna_forenzika:man_in_the_middle_napad [2023/06/19 18:17] (trenutno) |
||
---|---|---|---|
Redak 11: | Redak 11: | ||
===== Vrste man in the middle napada ===== | ===== Vrste man in the middle napada ===== | ||
- | Kako bi napadač došao u priliku čitati podatke iz komunikacijskog on se prvo treba neopaženo priključiti na kanal. Ako napadač samo promatra komunikaciju između žrtve i poslužitelja to je pasivni man in the middle napad, a ako napadač preusmjeri promet na drugi poslužitelj prije nego li se žrtva spoji to je aktivni man in the middle napad. Kako bi napadač uspješno izveo man in the middle napad prvo mora doći do toka podataka. Napadač to može napraviti na više načina. | + | Kako bi napadač došao u priliku čitati podatke iz komunikacijskog on se prvo treba neopaženo priključiti na kanal. Ako napadač samo promatra komunikaciju između žrtve i poslužitelja to je pasivni man in the middle napad, a ako napadač preusmjeri promet na drugi poslužitelj prije nego li se žrtva spoji to je aktivni man in the middle napad. Kako bi napadač uspješno izveo man in the middle napad prvo mora doći do toka podataka. Napadač to može napraviti na više načina. |
+ | {{: | ||
| | ||
| | ||
- | *IP spoofing: Svako računalo spojeno na Internet ima dodijeljenu Internet Protocol(IP) adresu. Podaci u Internetu se šalju paketima od jednog računala prema drugom pomoću niza usmjeritelja. IP spoofing podrazumijeva stvaranje i slanje IP paketa potpisujući se žrtvinom IP adresom. IP spoofing se koristi pretežno u svrhu napada uskraćivanja usluge, neovlaštenim spajanjem na poslužitelj, | + | *IP spoofing: Svako računalo spojeno na Internet ima dodijeljenu Internet Protocol(IP) adresu. Podaci u Internetu se šalju paketima od jednog računala prema drugom pomoću niza usmjeritelja. IP spoofing podrazumijeva stvaranje i slanje IP paketa potpisujući se žrtvinom IP adresom. IP spoofing se koristi pretežno u svrhu napada uskraćivanja usluge, neovlaštenim spajanjem na poslužitelj, |
- | *DNS spoofing: U Internetu svaki poslužitelj ima vlastitu IP adresu, ali mu se može pristupiti pomoću imena poslužitelja. To omogućava DNS koji na korisnikov zahtjev za IP adresom poslužitelja dan njegovim imenom daje odgovor u kojem se nalazi njegova IP adresa. Nakon primitka IP adrese ona je zapisana u cache memoriju računala. Napadač izvodi DNS spoofing tako što se predstavi kao autoritativni poslužitelj(authoritative nameserver). Nakon što korisnikov zahtjev dođe do DNS poslužitelja on proslijedi zahtjev stvarnom autoritativnom poslužitelju i čeka odgovor. Tada napadač šalje svoju IP adresu DNS poslužitelju praveći se da odgovara na zahtjev koji onda tu adresu proslijedi korisniku. To je moguće jer se paketi između DNS poslužitelja i autoritativnog poslužitelja šalju User Datagram Protocolom(UDP). | + | *DNS spoofing: U Internetu svaki poslužitelj ima vlastitu IP adresu, ali mu se može pristupiti pomoću imena poslužitelja. To omogućava DNS koji na korisnikov zahtjev za IP adresom poslužitelja dan njegovim imenom daje odgovor u kojem se nalazi njegova IP adresa. Nakon primitka IP adrese ona je zapisana u cache memoriju računala. Napadač izvodi DNS spoofing tako što se predstavi kao autoritativni poslužitelj(authoritative nameserver). Nakon što korisnikov zahtjev dođe do DNS poslužitelja on proslijedi zahtjev stvarnom autoritativnom poslužitelju i čeka odgovor. Tada napadač šalje svoju IP adresu DNS poslužitelju praveći se da odgovara na zahtjev koji onda tu adresu proslijedi korisniku. To je moguće jer se paketi između DNS poslužitelja i autoritativnog poslužitelja šalju User Datagram Protocolom(UDP). |
+ | {{: | ||
+ | Slika 2[2] | ||
- | *ARP spoofing: Address Resolution Protocol(ARP) je protokol koji zabilježava IP adresu računala i Media Access Control(MAC) adresu računala u ARP tablici. ARP tablice su pohranjene u usmjeritelju i u računalima u lokalnoj mreži. Računala koriste ARP protokol komunicirajući pomoću request(zahtjev) i response(poruka). Napadač prvo mora saznati IP i MAC adrese žrtve i usmjeritelja. Nakon što žrtvino računalo pošalje ARP request ono čeka odgovor. ARP protokol ne verificira odgovore tako da napadač može odgovoriti na žrtvinu poruku te u ARP response navesti svoju MAC adresu te tako preusmjeriti sav promet usmjeren prema lokalnoj i ostalim mrežama. | + | *ARP spoofing: Address Resolution Protocol(ARP) je protokol koji zabilježava IP adresu računala i Media Access Control(MAC) adresu računala u ARP tablici. ARP tablice su pohranjene u usmjeritelju i u računalima u lokalnoj mreži. Računala koriste ARP protokol komunicirajući pomoću request(zahtjev) i response(poruka). Napadač prvo mora saznati IP i MAC adrese žrtve i usmjeritelja. Nakon što žrtvino računalo pošalje ARP request ono čeka odgovor. ARP protokol ne verificira odgovore tako da napadač može odgovoriti na žrtvinu poruku te u ARP response navesti svoju MAC adresu te tako preusmjeriti sav promet usmjeren prema lokalnoj i ostalim mrežama. |
+ | {{: | ||
+ | Slika 3[6] | ||
- | Nakon što se napadač uspješno " | + | Nakon što se napadač uspješno " |
+ | {{: | ||
+ | Slika 4[9] | ||
+ | ===== Primjeri man in the middle napada ===== | ||
+ | Man in the middle napadi se događaju svakodnevno i često prođu neopaženo i bez velike štete. Kvalitetni man in the middle napadi se fokusiraju na špijunažu te krađe novca u transakcijama. Najkvalitetniji napadi će zauvijek ostati neopaženi. Dolje je navedeno nekoliko poznatijih napada koji su otkriveni. | ||
- | ===== Primjeri | + | |
+ | | ||
+ | | ||
+ | |||
+ | Osim navedenih napada postoji nebrojeno mnogo sitnih napada koji nisu na ovoj razini utjecaja. Takvi napadi rezultiraju krađom novca, a od takvih najpoznatiji je slučaj kada su napadači ukrali milijunsku transakciju između kineske i izraelske firme što pokazuje koliko je sigurnost od man in the middle napada potrebna. Kako se štiti od man in the middle napada piše u sljedećem poglavlju. | ||
+ | |||
===== Detekcija i prevencija man in the middle napada ===== | ===== Detekcija i prevencija man in the middle napada ===== | ||
+ | Korisnicima nije jednostavno detektirati man in the middle napade jer su oni napravljeni na način da korisnik vidi napadača kao legitimnog poslužitelja. Napade je ipak moguće detektirati prilikom ubacivanja napadača u komunikaciju. Detektirati ARP spoofing je moguće kroz komandnu liniju koristeći naredbu "arp -a" koja će ispisati ARP tablicu. Ukoliko dvije IP adrese imaju istu MAC adresu to znači da je računalo pod napadom. ARP spoofing se može donekle preventirati koristeći Virtual Private Network(VPN) koji kriptira komunikaciju koja onda čini ARP spoofing neučinkovitim. Ako računalo uvijek spajamo na isti usmjeravač onda možemo definirati statičku ARP tablicu, a onda računalo neće slušati ARP response poruke. Posljednji način je postaviti filter paketa koji će pokušati identificirati i odbaciti pakete s nelogičnim izvorima podataka. DNS spoofing je moguće detektirati slično kao i ARP spoofing, a to je koristeći alat dnstraceroute koji koristeći TTL polje u zaglavlju otkriva je li DNS request odgovoren od točnog DNS poslužitelja. DNS spoofing je moguće preventirati koristeći DNSSEC verziju DNS-a. DNSSEC uvodi dvije ključne stvari, a to su data origin authentication koji omogućava korisniku da potvrdi da su primljeni podaci došli odakle bi trebali i data integrity protection koji potvrđuje da podaci nisu izmijenjeni u komunikacijskom kanalu. IP spoofing je moguće detektirati pregledavanjem zaglavlja paketa i uočavati nepravilnosti. Slično kao i za ARP spoofing IP spoofing se preventira koristeći filtere paketa koji detektiraju i odbacuju sumnjive pakete. Detekcija navedenih spoofinga zahtjeva aktivno korištenje raznih alata kako bi se odmah primijetio napad dok se prevencija napada obavlja postavljenjem filtera i korištenjem sigurnijih protokola kao što su HTTPS i DNSSEC. Upute krajnjim korisnicima za detekciju i prevenciju man in the middle napada su izbjegavanje neslužbenih javnih pristupnih točaka. Ukoliko se primijeti višestruko odspajanje i spajanje na poslužitelj znači da je računalo pod napadom. Napadači na ovaj način pokušavaju uloviti korisnička imena i lozinke koji se šalju za ponovno spajanje. Čudni znakovi i nepravilna imena adresa u pretraživaču kao npr. Go0gle umjesto Google. | ||
Redak 39: | Redak 54: | ||
===== Zaključak ===== | ===== Zaključak ===== | ||
+ | |||
+ | Svatko može biti žrtva man in the middle napada čak i ako se koriste navedene upute za detekciju i prevenciju napada. Problem cyber napada je što je napadač uvijek u prednosti. Problemi cyber sustava dolaze do izražaja tek nakon što je napad uspješno izveden. Man in the middle napadi postoje dulje nego računalo i ostati će opasnost na jedan ili drugi način zauvijek. Napadači će se prilagoditi novim sigurnosnim protokolima i tražiti rupe u sustavima. Man in the middle napadi se događaju svakodnevno, | ||
Redak 46: | Redak 63: | ||
[1] [[https:// | [1] [[https:// | ||
- | [2] [[http://www.google.com/books? | + | [2] [[https:// |
+ | |||
+ | [3] [[https://www.imperva.com/learn/ | ||
+ | |||
+ | [4] [[https:// | ||
+ | |||
+ | [5] [[https:// | ||
+ | |||
+ | [6] [[https:// | ||
+ | |||
+ | [7] [[https:// | ||
+ | |||
+ | [8] [[https:// | ||
+ | |||
+ | [9] [[https:// | ||
+ | |||
+ | [10] [[https:// | ||
+ | |||
+ | [11] [[https:// | ||
- | [3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, | + | [12] [[https://www.techdirt.com/articles/20131004/ |