Jak manipulować przełącznikami bez autoryzacji?

Przełączniki stosowane są jako inteligentne urządzenia znacznie zwiększające wydajność i bezpieczeństwo sieci lokalnej. Ale czy na pewno? ARP jest protokołem pozwalającym badać aktywność komputerów. Co ciekawe wysyłany jest na wszystkich portach routera do wszystkich hostów w sieci lokalnej.

Opisze na przykładzie sniffera Iris jak przekierunkować wszystkie maszyny w sieci lokalnej tak aby uznały dowolną maszynę za router. Wersję testową po wypełnieniu formularza pobrać można stąd. Powstrzymam się od opisywania zasad jego obsługi. Nie różni się ona jednak niczym on obsługi wszelkich innych snifferów.

Pakiety ARP służą jedynie do celów komunikacyjnych, "Ala, jesteś tam?". Aby wszystko było klarowne sugeruje nastawić w programie filtry na własny adres wykluczając tym samym tysiące niepotrzebnych pakietów, które poruszają się dookoła. Na początku trzeba zdobyć pakiet arp - nie polecam wychwytywać pingów ponieważ są to pakiety ICMP o nieco innej strukturze. ARP charakteryzuje się ustawionym broadcastem na MACowskim adresie przeznaczenia. Typowy pakiet wygląda tak (zapis szesnastkowy):

FF FF FF FF FF FF XX XX XX XX XX XX 08 06 00 01 08 00 06 04 00 01 XX XX XX XX XX XX C0 A8 01 90 00 00 00 00 00 00 C0 A8 01 03

W paced decoder wszystkie bajty są ładnie wyszczególnione. Aby było najłatwiej sugeruje uruchomić dowolny skaner portów. Każdy skaner w swych procedurach wysyła ARP / Request w celu odgadnięcia kto jest w sieci, a kto nie. Najlepiej wychwycić taki pakiet ponieważ ma w sobie zapisane nasze informacje (MAC , IP) co ograniczy potrzebę zbędnych zmian.

Skanowanie powinno obejmować sieć lokalną. Tam gdzie oznaczone na niebiesko xx to właśnie MAC nadawcy musi to być adres własny. Na czerwono natomiast, adres IP nadawcy w tym przypadku jest to 192.168.1.144 - i tu najważniejsze TRZEBA zmienić to na adres lokalnej BRAMKI. Postępując z opisem wystarczy zmienić tylko ostatni bajt adresu IP nadawcy na bramkę lokalną. Na tym przykładzie adres 192.168.1.144 zmieniamy na 192.168.1.1 (zazwyczaj podobny adres ma lokalna bramka) czyli: C0 A8 01 90 zmieniamy na C0 A8 01 01. Tak zmodyfikowany pakiet wystarczy wysyłać co jakiś czas w domenę rozgłoszeniową.

Wpisując w wierszu poleceń komendę ARP /a powinniśmy zobaczyć przy adresie bramki nasz adres MAC to samo we wszystkich komputerach w sieci lokalnej. Po kilku minutach ruch sieciowy powinien wrócić do normy. Na niedługi czas dynamicznie zostaje powiązany adres MAC dowolnego komputera z adresem IP lokalnej bramki.