MITM-Umleitung zu meinem eigenen NTP-Server, Blockierung des Datenverkehrs zum Apple NTP-Pool

491
mhibert

KONFIGURATIONEN

ipv4.weiterleiten 1 (EIN)

arp_cache_poisoning zwischen VICTIM & DG. (192.168.1.100 und 192.168.1.1)

**LAN** VICTIM: 192.168.1.100 ATTACKER: 192.168.1.105 DEFAULT GATEAWAY: 192.168.1.1 **WAN** NTP SERVERS: 17.253.52.125 17.253.52.253  17.253.34.125 17.253.34.125 

NORMALES VERHALTEN DES NTPv4-PROTOKOLLS

Die MAC-Maschine sendet eine NTPv4-Anforderung an einen NTP-Server (NTP-Pool) von Apple. Als Antwort erhält es eine aktualisierte NTPv4-Antwortzeit. Die Häufigkeit zwischen den Zeiten wird 15 Minuten aktualisiert. Da es in NTPv4 standardmäßig keine Sicherheitsüberprüfungen gibt, ist es anfällig für Replay-Angriffe.

MALICIOUS VERHALTEN

Der Angreifer führt MITM aus und lauscht den Datenverkehr ab, bis er eine NTPv4-Anforderung von VICTIM erhält. Nachdem die Anforderung empfangen wurde, muss sie an FAKE NTP SERVER umgeleitet werden, der auf dem Computer von ATTACKER ausgeführt wird, und antwortet mit gefälschter Zeit an VICTIM, sodass die Uhrzeit aktualisiert wird.

PROBLEME

Dies könnte durch die Verwendung von iptables erreicht werden. Ich sage es so, wie es vorher gemacht wurde und es hat für mich funktioniert. Ich habe jedoch meine Konfigurationen verloren. Nun ist die Situation, dass ich versucht habe, einige verschiedene iptables-Einstellungen auszuführen, wie zum Beispiel:

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123  iptables -t nat -A POSTROUTING -j MASQUERADE 

ERGEBNISSE

Meine Protokollierungs-NTP-Server zeigen folgende Protokollierung an:

Gesendet an 192.168.1.100:55321 Gesendet an 192.168.1.199:54623

Dies zeigt an, dass die NTP-Anforderung an den FAKE-NTP-Server umgeleitet wird. FAKE NTP-Antworten werden jedoch nicht wie erwartet an das VICTIM übermittelt.

Eine weitere Aufnahme stammt von Wireshark Sniffer.

Es zeigt, dass VICTIM eine NTPv4-Anforderung über den Computer von ATTACKER an den NTP-Server von Apple sendet und die NTPv4-Antwort vom selben NTP-Server von Apple über den ATTACKER-Host zurücksendet.

MEINE VERSUCHE

Versuch: 1.

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123  iptables -t nat -A POSTROUTING -p udp -j MASQUERADE  iptables -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123 

*** notizen Es hat in der ersten Stunde nicht funktioniert (15 Minuten + 15 + 15 + 15), und ich entschied mich für eine Nacht. Als ich nach 7 Stunden zurückkam, schien die Uhrzeit wie erwartet zu aktualisieren. Es ist sehr ungewöhnlich und definitiv geht etwas schief. Für mich scheint es, als hätte der FAKE NTP-Server das Update der NTP-Antwort vom NTP-Server von Apple gewonnen.

Versuch: 2.

Ich habe versucht folgendes auszuführen:

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123 iptables -t nat -A POSTROUTING -p udp -j MASQUERADE  iptables -A INPUT -s 17.253.0.0/16 -p udp -j DROP 

*** Hinweise Es funktionierte überhaupt nicht und selbst eingehender NTP-Verkehr von den Antworten des NTP-Servers von Apple wurde nicht blockiert.

Am Ende habe ich viele verschiedene Szenarien mit iptables ausprobiert. Ich suche Sie dabei, Jungs dabei zu helfen, die VICTIM-Maschine mit meinem FAKE NTP-Antwortpaket zu füttern, sodass sie Zeitaktualisierungen von meinem FAKE NTP-SERVER erhält und nicht den NTP-Pool von Apple mit iptables .

Danke im Voraus!

3
Lol, warum willst du ein Zeit-Update angreifen? Tim_Stewart vor 6 Jahren 0
Denken Sie an die Zertifikate oder Mechanismen in Abhängigkeit von der Zeit) mhibert vor 6 Jahren 0
Ich glaube nicht, dass Zertifikate für Sie nützlich sind. (Es sei denn, Sie haben einige alte öffentliche und private Zertifikate erworben.) Tim_Stewart vor 6 Jahren 0
Sie haben * erwähnt *, dass Sie eine MITM-Attacke durchführen, aber ohne Erklärung, dass Sie unsicher sind, dass Sie wissen, wovon Sie sprechen. Was erwartest du? Erwarten Sie, dass das Opfer NTP-Anfragen an Ihren (Angreifer) Computer sendet? Warum? Oder erwarten Sie, dass der Angreifer die Anfrage abhört und eine Antwort sendet, die vor der Antwort des realen Servers an den Opfermaschinencomputer zurückgesendet wird? Zeigt Wireshark, dass der Angreifer eine NTP-Antwort sendet? … (Fortsetzung) G-Man vor 6 Jahren 1
(Fortsetzung)… Haben Sie irgendwelche Anhaltspunkte dafür, dass der NTP-Server auf dem Computer des Angreifers (MITM) die Anforderungen des Opfers sieht? (Können Sie die Protokollierung auf dem NTP-Server aktivieren? Können Sie "strace" darauf ausführen?) Bitte antworten Sie nicht in Kommentaren. Bearbeiten Sie Ihre Frage, um sie klarer und vollständiger zu machen. G-Man vor 6 Jahren 1

0 Antworten auf die Frage