এমআইটিএম আমার নিজস্ব এনটিপি সার্ভারে পুনঃনির্দেশিত, অ্যাপল এনটিপি পুলে ট্রাফিক অবরোধ করে


3

কনফিগারেশনের

ipv4.forwarding 1 (চালু)

ভিসিটিআইএম এর মধ্যে arp_cache_poisoning & amp; ডি। জি। (19২.168.1.100 এবং 19২.168.1.1)

**LAN**
   VICTIM:                           192.168.1.100
   ATTACKER:                         192.168.1.105
   DEFAULT GATEAWAY:                 192.168.1.1
**WAN**
   NTP SERVERS:                      17.253.52.125
                                     17.253.52.253   
                                     17.253.34.125
                                     17.253.34.125

এনটিপিভি 4 প্রটোকলের সাধারণ সম্পাদক মো

এমএসি মেশিন অ্যাপল এর এনটিপি সার্ভার (এনটিপি পুল) এক NTPv4 অনুরোধ পাঠায়। একটি উত্তর হিসাবে এটি NTPv4 প্রতিক্রিয়া আপডেট সময় পায়। 15 মিনিটের সময় আপডেটের মধ্যে ফ্রিকোয়েন্সি। যেহেতু, NTPv4 এ ডিফল্টরূপে কোনও সুরক্ষা পরীক্ষা নেই, এটি পুনরায় আক্রমণের আক্রমণের পক্ষে দুর্বল।

মামী বুদ্ধিমান

আক্রমণকারী এমআইটিএম চালায় এবং ভিকটিম থেকে এনটিপিভি 4 অনুরোধ পেতে না হওয়া পর্যন্ত ট্র্যাফিক বাড়াচ্ছে। অনুরোধটি একবার পেয়ে গেলে, এটি ATAKACKER এর মেশিনে ফেক এনটিপি সার্ভারে ফিরতে হবে, এটি VICTIM এর জাল সময় দিয়ে জবাব দেবে যাতে এটি তার সময় আপডেট করে।

সমস্যা

এটা iptables ব্যবহার করে অর্জন করা যেতে পারে। আমি এটি আগে এটা করা হয়েছে হিসাবে এটি বলছি এবং এটা আমার জন্য কাজ ছিল। যাইহোক, আমি আমার কনফিগারেশন হারিয়ে গেছে। এখন, পরিস্থিতি হল আমি কয়েকটি ভিন্ন iptables সেটিংস চালানোর চেষ্টা করেছি যেমন:

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123

iptables -t nat -A POSTROUTING -j MASQUERADE

তথ্যও

আমার লগিং এনটিপি সার্ভার নিম্নলিখিত লগিং দেখায়:

পাঠানো হয়েছে 19২.168.1.100:55321 পাঠানো হয়েছে 19২.168.1.19956846২

যা এনটিপি অনুরোধ FAKE NTP সার্ভারে পুনঃনির্দেশিত হচ্ছে নির্দেশ করে। যাইহোক, ফ্যাক্ট এনটিপি উত্তর প্রত্যাশিত হিসাবে VICTIM বিতরণ করা হয় না।

আরেকটি ক্যাপচার Wireshark sniffer থেকে হয়।

এটি দেখায় যে VICTIM ATTACKER এর মেশিনের মাধ্যমে অ্যাপল এর NTP সার্ভারে NTPv4 অনুরোধ পাঠায় এবং ATTACKER এর হোস্টের মাধ্যমে একই অ্যাপলের NTP সার্ভার থেকে NTPv4 প্রতিক্রিয়াটি ফেরত পাঠায়।

আমার ATMEMPTS

প্রচেষ্টা: 1।

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123

iptables -t nat -A POSTROUTING -p udp -j MASQUERADE

iptables -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123

***নোট এটি প্রথম ঘন্টা (15 মিনিট + 15 + 15 + 15) এ কাজ করে নি, এবং আমি রাতে এটি ছেড়ে দেওয়ার সিদ্ধান্ত নিলাম। আমি 7 ঘন্টা পরে ফিরে এসেছিলেন, এটা প্রত্যাশিত সময়ের আপডেট হাজির। এটা খুব নৈমিত্তিক, এবং স্পষ্টভাবে কিছু ভুল যাচ্ছে। আমার কাছে, এটি দেখে মনে হচ্ছে ফ্যাট এনটিপি সার্ভার অ্যাপল এর এনটিপি সার্ভার থেকে এনটিপি প্রতিক্রিয়া আপডেট করার একটি জাতি জিতেছে।

প্রচেষ্টা: 2।

আমি নিম্নলিখিত চালানোর চেষ্টা করেছি:

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -p udp -j MASQUERADE

iptables -A INPUT -s 17.253.0.0/16 -p udp -j DROP

***নোট এটি কাজ করে নি, এমনকি অ্যাপল এর এনটিপি সার্ভারের প্রতিক্রিয়া থেকে এমনকি ইনকামিং এনটিপি ট্রাফিকও অবরুদ্ধ ছিল না।

শেষ পর্যন্ত, আমি iptables এর সাথে অনেকগুলি দৃশ্যমান চেষ্টা করেছি এবং আপনার জন্য চাইছি যে লোকেরা আমার ফ্যাক্ট এনটিপি প্রতিক্রিয়া প্যাকেটের সাথে ভিক্টিম মেশিনটি ফিড করার জন্য সাহায্য করছে যাতে এটি আমার ফেক এনটিপি সার্ভারের সময় আপডেট পেতে পারে, আইপ্যাটables ব্যবহার করে অ্যাপলের NTP পুল না ।

তুমাকে অগ্রিম ধন্যবাদ!


Lol, আপনি কেন একটি সময় আপডেট আক্রমণ করতে চান?
Tim_Stewart

সার্টিফিকেট, বা সময় উপর নির্ভর করে প্রক্রিয়া ভাবুন)
mhibert

আমি certs আপনার জন্য দরকারী হবে না। (অবশ্যই আপনি কিভাবে কিছু আপেল পুরাতন পাবলিক এবং ব্যক্তিগত সার্টিফিকেট আছে।)
Tim_Stewart

1
আপনি উল্লিখিত যে আপনি একটি এমআইটিএম আক্রমণ করছেন, কিন্তু, কোন ব্যাখ্যা ছাড়াই, আপনি আমাদের সম্পর্কে নিশ্চিত করছেন যে আপনি জানেন যে আপনি কি নিশ্চিত। আপনি কি ঘটতে আশা করেন? আপনি কি শিকারটিকে আপনার (আক্রমণকারী) মেশিনে NTP অনুরোধ পাঠাতে চান? কেন? অথবা আপনি কি আক্রমণকারী মেশিনটিকে অনুরোধে গোপন রাখতে এবং প্রতিক্রিয়া পাঠাতে চান যা প্রকৃত সার্ভারের প্রতিক্রিয়া আগে শিকার মেশিনে ফিরে আসবে? Wireshark একটি এনটিপি প্রতিক্রিয়া পাঠানো আক্রমণকারী মেশিন প্রদর্শন করে? ... (Cont'd)
G-Man

1
(Cont'd) ... আপনার কি কোন প্রমাণ আছে যে আক্রমণকারীর এনটিপি সার্ভারটি (এমআইটিএম) যন্ত্র শিকারের অনুরোধগুলি দেখছে? (আপনি NTP সার্ভারে লগিং সক্ষম করতে পারেন? আপনি চালাতে পারেন strace এটা?) Pleasedonot মন্তব্য প্রতিক্রিয়া; সম্পাদন করা আপনার প্রশ্ন এটা পরিষ্কার এবং আরও সম্পূর্ণ টম।
G-Man
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.