Ip spoofing - HackMD

# Ip spoofing **Топология сети** ![](https://i.imgur.com/oAd8RHv.png) Характеристики оборудования: Cisco router (1 шт): > Template: Cisco IOL; Image: L2 образ; RAM (MB): 512. Kali-linux (1 шт): > Template:linux; Image: linux-kali-ful; RAM (MB): 2048. QEMU Nic : e1000. Ubuntu (2 шт): > Template:linux; Image: linux-ubuntu; RAM (MB): 4096. QEMU Nic : e1000. # Последовательность выполнения лабораторной работы Смотрим ip адреса компьютеров. Если их нет, то используем команду: ``` dhclient ``` ![](https://i.imgur.com/L4cdv6y.png) ![](https://i.imgur.com/RbJ9fBq.png) ![](https://i.imgur.com/iZQLMPI.png) Блокируем ip atk: ``` iptables -I INPUT -s 192.168.91.133 -j DROP ``` ![](https://i.imgur.com/9X2mBkn.png) Пробуем пингануть Kali. Пакеты приходят, но Kali на них не отвечает: ![](https://i.imgur.com/O5QOV64.png) Меняем ip адрес источника пакетов: ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.91.130 ``` ![](https://i.imgur.com/jDiWLmZ.png) Пингуем Kali: ![](https://i.imgur.com/MR15gLk.png) Пинги не проходят, но Kali отвечает на request, отправляю пакеты на Ubuntu: ![](https://i.imgur.com/t9zecuG.png) Команда для удаления правила: ``` iptables -t nat -D POSTROUTING -j SNAT --to-source 192.168.91.130 ``` Также можно в качестве источника указать ip DNS-сервера: ![](https://i.imgur.com/pPOcOWr.png) Кроме того, можно в качестве источника указать ip Kali и пингануть DNS сервер. Это может привести к DNS-усилению. Суть усиления заключается в том, что злоумышленник посылает (обычно короткий) запрос уязвимому DNS-серверу, который отвечает на запрос уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (ip spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.91.131 ``` ![](https://i.imgur.com/JIXGuMZ.png) ![](https://i.imgur.com/FsaaZkr.png) # Топология №2 ![](https://i.imgur.com/5iPhpZS.png) Cisco router (2 шт): > Template: Cisco IOL; Image: L2 образ; RAM (MB): 512. Mikrotik (1 шт): Ubuntu (3 шт): > Template: linux; Image: linux-ubuntu; RAM (MB): 4096. QEMU Nic : e1000. **Настройка Mikrotik** ``` ip address add address=70.70.80.254/24 interface=ether3 add address=10.10.10.254/24 interface=ether4 / ip dhcp-client add disabled=no interface=ether1 ip pool add name=dhcp1 ranges=70.70.70.1-70.70.70.100 add name=dhcp2 ranges=70.70.80.1-70.70.80.100 / ip dhcp-server add address-pool=dhcp1 disabled=no interface=ether2 name=DHCP-1 add address-pool=dhcp2 disabled=no interface=ether3 name=DHCP-2 / ip dhcp-server network add address=70.70.70.0/24 dns-server=8.8.8.8 gateway=70.70.70.254 add address=70.70.80.0/24 dns-server=8.8.8.8 gateway=70.70.80.254 / ``` Настройка nat: ``` ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 ``` В итоге все выглядит вот так: ![](https://i.imgur.com/n42Tmbu.png) **Настройка ubuntu-LAN и ubuntu** Заходим в /etc/network/interfaces и добавляем следующие строки: ``` auto eth0 iface eth0 inet dhcp dns-nameservers 8.8.8.8 gateway 70.70.70.254 ``` ![](https://i.imgur.com/Brrvyn9.png) Применяем изменения: ``` service networking restart ``` Для Ubuntu в DMZ делаем тоже самое: ![](https://i.imgur.com/WI52ALT.png) **Атака** Пингуем Mikrotik: ![](https://i.imgur.com/FZHCLAf.png) Пинги прошли, значит может попробовать совершить атаку на ubuntu-LAN. Меняем ip адрес источника на ip ubuntu-LAN: ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 70.70.70.99 ``` ![](https://i.imgur.com/AKf8He0.png) ![](https://i.imgur.com/kcHOOgN.png) ![](https://i.imgur.com/6jUKjsx.png) Атака прошла успешно. **Защита** Для защиты от ip spoofing будем блокировать весь входящий трафик с внешней сети, направленный на сам Mikrotik. ``` ip firewall filter add action=drop chain=input in-interface=ether1 / ``` ![](https://i.imgur.com/9AbEzbx.png) Атакуем ubuntu-LAN: ![](https://i.imgur.com/3N3GMyN.png) ![](https://i.imgur.com/jLURksm.png) При этом доступ к внешней сети сохранился: ![](https://i.imgur.com/B61sqoZ.png) # Ip spoofing **Топология сети** ![](https://i.imgur.com/oAd8RHv.png) Характеристики оборудования: Cisco router (1 шт): > Template: Cisco IOL; Image: L2 образ; RAM (MB): 512. Kali-linux (1 шт): > Template:linux; Image: linux-kali-ful; RAM (MB): 2048. QEMU Nic : e1000. Ubuntu (2 шт): > Template:linux; Image: linux-ubuntu; RAM (MB): 4096. QEMU Nic : e1000. # Последовательность выполнения лабораторной работы Смотрим ip адреса компьютеров. Если их нет, то используем команду: ``` dhclient ``` ![](https://i.imgur.com/L4cdv6y.png) ![](https://i.imgur.com/RbJ9fBq.png) ![](https://i.imgur.com/iZQLMPI.png) Блокируем ip atk: ``` iptables -I INPUT -s 192.168.91.133 -j DROP ``` ![](https://i.imgur.com/9X2mBkn.png) Пробуем пингануть Kali. Пакеты приходят, но Kali на них не отвечает: ![](https://i.imgur.com/O5QOV64.png) Меняем ip адрес источника пакетов: ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.91.130 ``` ![](https://i.imgur.com/jDiWLmZ.png) Пингуем Kali: ![](https://i.imgur.com/MR15gLk.png) Пинги не проходят, но Kali отвечает на request, отправляю пакеты на Ubuntu: ![](https://i.imgur.com/t9zecuG.png) Команда для удаления правила: ``` iptables -t nat -D POSTROUTING -j SNAT --to-source 192.168.91.130 ``` Также можно в качестве источника указать ip DNS-сервера: ![](https://i.imgur.com/pPOcOWr.png) Кроме того, можно в качестве источника указать ip Kali и пингануть DNS сервер. Это может привести к DNS-усилению. Суть усиления заключается в том, что злоумышленник посылает (обычно короткий) запрос уязвимому DNS-серверу, который отвечает на запрос уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (ip spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.91.131 ``` ![](https://i.imgur.com/JIXGuMZ.png) ![](https://i.imgur.com/FsaaZkr.png) # Топология №2 ![](https://i.imgur.com/5iPhpZS.png) Cisco router (2 шт): > Template: Cisco IOL; Image: L2 образ; RAM (MB): 512. Mikrotik (1 шт): Ubuntu (3 шт): > Template: linux; Image: linux-ubuntu; RAM (MB): 4096. QEMU Nic : e1000. **Настройка Mikrotik** ``` ip address add address=70.70.80.254/24 interface=ether3 add address=10.10.10.254/24 interface=ether4 / ip dhcp-client add disabled=no interface=ether1 ip pool add name=dhcp1 ranges=70.70.70.1-70.70.70.100 add name=dhcp2 ranges=70.70.80.1-70.70.80.100 / ip dhcp-server add address-pool=dhcp1 disabled=no interface=ether2 name=DHCP-1 add address-pool=dhcp2 disabled=no interface=ether3 name=DHCP-2 / ip dhcp-server network add address=70.70.70.0/24 dns-server=8.8.8.8 gateway=70.70.70.254 add address=70.70.80.0/24 dns-server=8.8.8.8 gateway=70.70.80.254 / ``` Настройка nat: ``` ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 ``` В итоге все выглядит вот так: ![](https://i.imgur.com/n42Tmbu.png) **Настройка ubuntu-LAN и ubuntu** Заходим в /etc/network/interfaces и добавляем следующие строки: ``` auto eth0 iface eth0 inet dhcp dns-nameservers 8.8.8.8 gateway 70.70.70.254 ``` ![](https://i.imgur.com/Brrvyn9.png) Применяем изменения: ``` service networking restart ``` Для Ubuntu в DMZ делаем тоже самое: ![](https://i.imgur.com/WI52ALT.png) **Атака** Пингуем Mikrotik: ![](https://i.imgur.com/FZHCLAf.png) Пинги прошли, значит может попробовать совершить атаку на ubuntu-LAN. Меняем ip адрес источника на ip ubuntu-LAN: ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 70.70.70.99 ``` ![](https://i.imgur.com/AKf8He0.png) ![](https://i.imgur.com/kcHOOgN.png) ![](https://i.imgur.com/6jUKjsx.png) Атака прошла успешно. **Защита** Для защиты от ip spoofing будем блокировать весь входящий трафик с внешней сети, направленный на сам Mikrotik. ``` ip firewall filter add action=drop chain=input in-interface=ether1 / ``` ![](https://i.imgur.com/9AbEzbx.png) Атакуем ubuntu-LAN: ![](https://i.imgur.com/3N3GMyN.png) ![](https://i.imgur.com/jLURksm.png) При этом доступ к внешней сети сохранился: ![](https://i.imgur.com/B61sqoZ.png)