КОНФИГУРАЦИИ
ipv4.forwarding 1 (ON)
arp_cache_poisoning между VICTIM и DG. (192.168.1.100 и 192.168.1.1)
**LAN**
VICTIM: 192.168.1.100
ATTACKER: 192.168.1.105
DEFAULT GATEAWAY: 192.168.1.1
**WAN**
NTP SERVERS: 17.253.52.125
17.253.52.253
17.253.34.125
17.253.34.125
НОРМАЛЬНОЕ ПОВЕДЕНИЕ ПРОТОКОЛА NTPv4
MAC-машина отправляет запрос NTPv4 на один из NTP-серверов Apple (пул NTP). В ответ он получает время обновления NTPv4. Частота между обновлениями времени 15 минут. Поскольку по умолчанию в NTPv4 нет никаких проверок безопасности, он уязвим для атаки воспроизведения.
ВРЕДНОЕ ПОВЕДЕНИЕ
Злоумышленник запускает MITM и подслушивает трафик, пока не получит запрос NTPv4 от VICTIM. Как только запрос получен, он должен быть перенаправлен на сервер FAKE NTP, работающий на компьютере ATTACKER, затем он ответит с поддельным временем VICTIM, чтобы он обновил свое время.
ПРОБЛЕМЫ
Это может быть достигнуто с помощью iptables. Я утверждаю, как это было сделано раньше, и это работало на меня. Однако я потерял свои конфигурации. Теперь ситуация такова, что я попытался запустить несколько разных настроек iptables, таких как:
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -j MASQUERADE
ВЫВОДЫ
Мои протоколирующие NTP-серверы показывают следующее журналирование:
Отправлено в 192.168.1.100:55321 Отправлено в 192.168.1.199:54623
это указывает, что запрос NTP перенаправляется на сервер FAKE NTP. Тем не менее, ответы FAKE NTP не доставляются в ЖЕРТВУ, как ожидалось.
Еще один снимок с анализатора Wireshark.
Он показывает, что VICTIM отправляет запрос NTPv4 на NTP-сервер Apple через компьютер ATTACKER и возвращает ответ NTPv4 с того же NTP-сервера Apple через хост ATTACKER.
МОИ ПОПЫТКИ
Попытка: 1.
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -p udp -j MASQUERADE
iptables -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
*** Заметки Это не сработало в первый час (15 минут + 15 + 15 + 15), и я решил оставить его на ночь. Когда я вернулся через 7 часов, оказалось, обновленное время, как и ожидалось. Это очень необычно, и определенно что-то идет не так. Мне кажется, что FAKE NTP SERVER выиграл гонку за обновление ответа NTP от NTP-сервера Apple.
Попытка: 2.
Я попытался запустить следующее:
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -p udp -j MASQUERADE
iptables -A INPUT -s 17.253.0.0/16 -p udp -j DROP
*** примечания Это не сработало вообще, и даже входящий NTP-трафик от ответов NTP-сервера Apple не был заблокирован.
В конце я попробовал много разных сценариев с iptables, и ищу вас, помогите, ребята, накормить машину VICTIM моим ответным пакетом FAKE NTP, чтобы он получал обновления времени от моего сервера FAKE NTP, а не от пула NTP Apple, использующего iptables ,
Заранее спасибо!