MITM hyökkäys käytännössä

Jotta Man in the Middle hyökkäyksen käytännön toteutus olisi helpommin ymmärrettävissä, niin tässä on ensin lueteltuna aiheeseen liittyviä käsitteitä.

IP-osoite

Laitteen yksilöllinen osoite verkossa. Verrattavissa esimerkiksi matkapuhelimien puhelinnumeroon.

MAC-osoite

Esimerkiksi jokaisella verkkokortilla on oma yksilöllinen MAC-osoite, jolla laite tunnistetaan tietoliikenneverkossa. Tämä osoite tunnetaan myös ns fyysisenä osoitteena.

ARP

Tällä termillä tarkoitetaan yleensä ARP-protokollaa (Address Resolution Protocol). Protokollan tavoitteena on selvittää mistä IP-osoitteesta tietty MAC-osoite löytyy. Verkossa keskustelevat koneet lähettävät toisilleen ARP-paketteja, jotka kertovat koneiden sijainteja.

ARP-taulu

Käyttöjärjestelmä ylläpitää ns ARP-taulua, johon se tallentaa edellä mainitut MAC ja IP osoiteparit. ARP-taulu on siis kuin osoitekirja.

arp_table_windows

Kuvassa on esimerkki ARP-taulusta. Tietty Internet-osoite on yhdistetty tiettyyn Fyysiseen osoitteeseen. Aina kun käyttäjän koneelta (IP osoite: 192.168.1.100) lähtee paketteja laitteelle192.168.1.254 (esim WLAN-modeemi), niin ne tiedetään lähettää oikeaan fyysiseen (MAC) osoitteeseen 00-04-ed-xx-xx-xx. WLAN modeemi sitten ohjaa tiedot muualle verkkoon. Vastaavasti kun joku haluaa keskustella .100 koneen kanssa, niin paketit tulevat ensin .254 laitteen kautta.

ARP Spoofing ja ARP Poisoning

Spoofing on suomeksi ”huijaus” ja Poisoning tarkoittaa ”myrkytys”. MITM-hyökkäyksessä näillä termeillä tarkoitetaan operaatiota, jossa hyökkääjä väärentää (huijaa/myrkyttää) uhrikoneen ARP-taulun. Myrkytys tapahtuu siten, että hyökkääjä lähettää ARP-pakettina virheellistä tietoa jonkin koneen sijainnista. Uhrikone tallentaa virheellisen tiedon ARP-tauluunsa (kts kuva alla).

arp_table_spoofed

Kuvassa on ARP-taulu sen jälkeen, kun uhrikoneelle on suoritettu ARP-huijaus (MITM-hyökkäys!). Nyt kun 192.168.1.100 lähettää paketin modeemille 192.168.1.254 niin se ei menekäään enää fyysisesti osoitteeseen 00-04-ed-…. vaan ohjautuu hyökkääjän laitteelle 00-11-22-33-44-55. Hyökkääjä voi muokata pakettia matkalla ja lähettää sen sitten eteenpäin verkkoon.

Vastaavasti kun joku lähettää paketin .100 koneelle, niin hyökkääjä voi muokata sitä ensin ja laittaa väärennetyn tiedon eteenpäin koneelle .100.

Vastaa

Sähköpostiosoitettasi ei julkaista.