A portas de roubo ou porta roubo , é uma técnica utilizada para fazer um ataque; no nível de redes LAN que conectam computadores em um determinado espaço. Quem faz esse ataque, usa a rede Ethernet e um dispositivo ou comutador de comutação para interconectar.
No momento do ataque, o objetivo é que quem fizer o ataque use a localização da vítima ; tanto para a origem quanto para o destino, portanto, o switch toma a conexão do atacante como se fosse a vítima; portanto, esse ataque é caracterizado como um roubo de porta.
Este ataque é constantemente ; uma vez que toda vez que a vítima recebe um arquivo, uma solicitação de ARP surge; isto é, um protocolo que determina a localização real da remessa. É quando o atacante envia o referido arquivo para a vítima, no estado original ou pode fazer algumas alterações, dependendo do que procura; depois, o ataque de roubo de porta continua.
A tabela CAM em roubo de porta ou roubo de porta
As tabelas CAM ou Addressable Content Memory , como são conhecidas de acordo com a sigla em inglês; basicamente cuida do tráfego de informações na rede; possibilitando o envio de um arquivo para um único computador conectado à rede; evitando assim que qualquer informação vaze ou seja enviada incorretamente.
Agora, ao realizar um roubo de portos ou roubo de portos; as informações contidas na tabela CAM são manipuladas ; fazer com que o comutador relacione o endereço MAC da vítima com a porta roubada. É aí que é possível o roubo de portas.
Pelo contrário, em condições normais, a tabela CAM armazena a associação entre o comutador que recebe o quadro ; o endereço de uma vítima, incluindo a porta que receberia a trama.
Para executar o ataque Port Stealing ou Port Stealing; Através do arping, o seguinte deve ser feito.
- # arping -s MAC_VICTIMA IP_DESTINO -S IP_ORIGEN -i INTERFAZ_LAN
Vamos identificar os participantes:
- MAC_VICTIMA: é o endereço MAC do qual se pretende ” roubar a porta “.
- IP_DESTINO: isso é necessário, porque é uma mensagem de solicitação ARP.
- IP_ORIGEN: é o IP da mensagem ARP.
- LAN INTERFACE: nome da interface de rede a ser usada.
Na hora do ataque; quem realiza, pode indicar a periodicidade no envio de mensagens ARP ao comando arping; Isso é obtido usando o parâmetro –w; vamos ver um exemplo:
- # arping -s AA: BB: CC: 11: 22: 33 1.1.1.1 -S 2.2.2.2 -w 1
De acordo com este exemplo, o número “1” ao lado do parâmetro “–w”; significa um microssegundo aguardando arping e, em seguida, prossiga para enviar a mensagem; deixando um certo benefício para o atacante encontrar o porto de sua vítima.
O roubo ou o roubo de portas podem ser detectados?
Com um antivírus suficientemente avançado, um sistema de detecção de intrusos ; ou observando o tráfego da rede, você pode determinar se há fatores duvidosos e inseguros. Para não ser exposto, o invasor tenta registrar uma atividade normal na rede; Isso seria expresso:
- # arping -s AA: BB: CC: 11: 22: 33 192.168.0.2 -S 192.168.0.1 -t AA: BB: CC: 22: 33: 44
Esses são alguns aspectos com os quais o atacante de roubo ou roubo de porta joga; Para passar despercebido:
- Quem faz o ataque pode indicar o endereço MAC do destino e do que está tentando roubar a porta.
- Em relação às mensagens ARP; o invasor os envia com endereços IP específicos, para não serem expostos a uma transmissão.
- O invasor usa o endereço IP da vítima para fazer com que as mensagens ARP pareçam autênticas, mesmo que não sejam; para passar despercebido em um antivírus.
- Finalmente, o atacante pode decidir se envia à vítima alguns dos arquivos que recebeu durante a execução do ataque; para que sejam modificados ou, por outro lado, você pode decidir nunca enviá-los. Você também pode combinar este ataque com o ataque do homem no meio ou do homem no meio .
