¿Puede un atacante con privilegios MitM realizar una denegación de servicio y otros ataques además de la intercepción en la LAN local?

0

Me gustaría entender mejor qué es un atacante que tiene el control MitM en una LAN puede hacer a la víctima. Entiendo que, básicamente, un ataque MitM significa que usted intercepta el tráfico y puede ver los datos [y también potencialmente modificar].

Más allá de esto, ¿puede un atacante usar su acceso MitM para realizar un ataque de denegación de servicio? ¿Puede el atacante apuntar a puertos específicos? Si es así, ¿cómo puedo evitar que el atacante me cause una denegación de servicio?

¿El atacante que realiza MitM en mí puede controlar todo mi tráfico, qué puedo hacer?

¿Puede el atacante saber qué puertos estoy usando (la víctima) en cualquier momento y luego apuntar a esos o hacer algo más en función de esto?

    
pregunta Wine 01.01.2018 - 23:06
fuente

3 respuestas

4

Un atacante puede bloquear el tráfico

Sí, un atacante puede crear, modificar o incluso eliminar tráfico.

¿Por qué un atacante puede bloquear el tráfico

A medida que todo el tráfico fluye a través de la máquina del atacante, pueden eliminar el tráfico

¿Cómo puedo defenderme?

Una vez que tenga un atacante MITM, no puede estar seguro de que no se están eliminando los mensajes, puede intentar detectar esto con los mensajes que se envían para asegurarse de que la conexión esté activa, pero esto solo le permite detectar un ataque, no funcionar alrededor de él cuando está en progreso.

    
respondido por el jrtapsell 01.01.2018 - 23:14
fuente
1

Los ataques MITM generalmente se presentan como un punto final que suplanta a otro (por ejemplo, un enrutador). Para que esto funcione, el imitador tiene que actuar como lo es el impersonal. Esto hace que el MITM sea transparente para el usuario.

Para restaurar las funciones de seguridad, como la confidencialidad, debe usar herramientas de seguridad de capa de aplicación, como TLS para cifrar sus comunicaciones web. Dado que el imitador no puede falsificar el certificado del servidor (a menos que su computadora esté comprometida, o usted omita las alertas de seguridad), podrá detectar esto. Saber que los puertos son irrelevantes, ya que son parte de la carga útil y, por lo tanto, se transmiten de forma clara en los paquetes (a menos que estén tuneados).

En lo que respecta al bloqueo de la comunicación, el imitador puede eliminar cualquier paquete que pueda controlar. Normalmente no hace esto, porque esto es detectable (falla la conexión).

    
respondido por el M'vy 04.01.2018 - 16:30
fuente
0

Un ataque MitM puede ocurrir desde la capa 2 hacia arriba de la pila TCP / IP. En el ejemplo al que está vinculado, este es un ataque ARP, pero también podría interceptar el tráfico en el nivel de la aplicación (por ejemplo, técnicamente, un proxy web sería un MitM).

MitM es una clase de ataques con el propósito explícito de interceptar el tráfico, ya sea para escuchar o modificar. Como observa @ M'vy, técnicamente, cuando tiene MitM, puede elegir qué hacer con el tráfico que intercepta, por lo que podría eliminar el tráfico que sería un DoS. Sin embargo, hay otras cosas más fáciles de hacer en la red local para DoS (por ejemplo, un DHCP falso y te indican que debes hacer una puerta de enlace o DNS incorrecta).

Si está en la red local y desea ver qué servicios se están ejecutando en la máquina de la víctima, puede hacer un escaneo de puertos Usar algo como nmap y ver qué servicios se están ejecutando. Si desea ver qué es el tráfico saliente de una víctima, simplemente puede monitorear el tráfico usando algo como wireshark o algo como p0f . No es necesario que tenga MitM para ver qué hay dentro del dominio de transmisión. Es posible que MitM sea ruidoso o se detecte, por lo que no querría usarlo solo para ver qué sucede.

En términos de defensa, cosas como 802.1x y Network Admission Control pueden ayudar. Estas técnicas ayudan a garantizar que solo está hablando con puntos finales legítimos y para mantener los nodos no autorizados fuera de la red.

Otras tecnologías que pueden ayudar a prevenir ataques MitM en la capa 2/3:

  • DHCP Snooping - "El caso de uso fundamental para el DHCP snooping es evitar que no se autorice (rogue ) Los servidores DHCP que ofrecen direcciones IP a los clientes DHCP. Los servidores DHCP falsos a menudo se utilizan en el hombre en medio de los ataques de denegación de servicio con fines maliciosos ".
  • ARP dinámico Inspección : "La inspección dinámica de ARP (DAI) es una característica de seguridad que rechaza los paquetes ARP no válidos y maliciosos. La característica evita una clase de ataques de hombre en el medio, donde una estación hostil intercepta el tráfico de otras estaciones mediante envenenando los escondites de ARP de sus confiados vecinos ".
  • IP Source Guard - "P Source Guard es una función de seguridad que restringe el tráfico de IP en puertos no confiables de Capa 2 al filtrar el tráfico según la base de datos de enlaces de indagación DHCP o enlaces de origen IP configurados manualmente ".

Para evitar un ataque DoS, querrá apagar el nodo del atacante local o su red. Es posible que pueda filtrar el tráfico una vez que conozca el MAC / IP del atacante (suponiendo que no cambie constantemente) en su punto final. En el nivel de red, puede configurar su conmutador / enrutador para deshabilitar el puerto del atacante por mal comportamiento. Deberá leer los documentos de su equipo específico para ver si es posible con lo que tiene.

    
respondido por el Eric G 05.01.2018 - 17:14
fuente

Lea otras preguntas en las etiquetas