12.02.26. - PRD 8 - IP spoofing

Praktiskais darbs Nr. 8

Tēma: IP adrešu atdarināšana (IP spoofing) — atpazīšana un aizsardzība

Mērķauditorija: Datortīklu administrēšanas un kiberdrošības studenti.

Ilgums: 160 minūtes.

Nepieciešamais aprīkojums:

• Virtualizācijas vide (VirtualBox vai VMware).

• Divas virtuālās mašīnas:

1. Uzbrucējs (Kali Linux) – ar instalētu hping3 vai Scapy.

2. Upuris (Windows vai Linux serveris) – ar instalētu Wireshark (lai redzētu paketes).

• Vēlams: Lokālais tīkls (NAT Network vai Host-Only tīkls), lai netraucētu reālo tīklu.

Brīdinājums: Šis darbs veicams tikai izolētā mācību vidē. IP atdarināšana publiskos tīklos ir nelikumīga.

________________________________________

1. daļa: IP Spoofing demonstrācija ar hping3

Uzdevuma mērķis: Nosūtīt SYN paketi upurim, izliekoties par citu ierīci, un novērot, kas notiek ar atbildi.

1. Sagatavošanās:

• Uzzini Upura IP adresi (piem., 192.168.56.102).

• Izdomā Viltoto (Spoofed) IP adresi (piem., 192.168.56.200 – pārliecinies, ka tāda eksistē vai ir brīva tīklā).

• Uz Upura mašīnas palaid Wireshark un sāc ķert paketes. Filtrā ieraksti: icmp or tcp.

2. Uzbrukuma veikšana (no Kali Linux):

• Atver termināli un ievadi komandu:

bash

sudo hping3 -S [Upura_IP] -a [Viltotā_IP] -c 5 -p 80

• -S: sūta SYN paketi (kā sākumu TCP savienojumam).

• -a: norāda viltoto avota adresi (spoof).

• -c 5: nosūta 5 paketes.

• -p 80: mērķē uz 80. portu (HTTP).

3. Analīze (uz Upura mašīnas ar Wireshark):

• Apskati noķertās paketes. Tu redzēsi ienākošās SYN paketes.

• Jautājums 1: Kas norādīts kā "Source IP" šīm paketēm? (Jābūt viltotajai 192.168.56.200, nevis Kali īstajai).

• Jautājums 2: Uz kuru IP adresi Upuris nosūtīja atbildi (SYN-ACK)? (Jābūt uz viltoto adresi).

• Secinājums: Kāpēc Kali Linux nesaņēma atbildi? (Jo atbilde aizgāja uz viltoto adresi).

________________________________________

2. daļa: "Man-in-the-Middle" (MitM) scenārijs ar ARP Spoofing

Lai IP spoofing būtu efektīvs lokālajā tīklā un uzbrucējs saņemtu atbildes, bieži vispirms jāveic ARP Spoofing.

Uzdevuma mērķis: Pārliecināt Upuri, ka Vārteja (Gateway) ir Uzbrucēja dators, lai pārtvertu trafiku.

1. Sagatavošanās:

• Kali Linux terminālī iespējo IP pārsūtīšanu (lai nepārrautu internetu upurim):

bash

echo 1 > /proc/sys/net/ipv4/ip_forward

2. ARP Spoofing veikšana (ar arpspoof):

• Terminālī ievadi:

bash

arpspoof -i [Interfeiss] -t [Upura_IP] [Vārtejas_IP]

(Piemēram: arpspoof -i eth0 -t 192.168.56.102 192.168.56.1)

• Tas Upurim "melos", ka Vārtejas MAC adrese ir tava (Kali) MAC adrese.

3. Novērojumi:

• Uz Upura datora komandrindā ieraksti arp -a.

• Jautājums 3: Salīdzini Vārtejas MAC adresi ar Kali Linux MAC adresi. Vai tās sakrīt?

• Tagad Kali Linux var redzēt visu Upura trafiku ar Wireshark, jo tas plūst caur viņu.

________________________________________

3. daļa: Aizsardzības metodes

Uzdevums: Izpēti un apraksti, kā novērst šos uzbrukumus.

1. Ingress/Egress Filtering:

• Uzzīmē vienkāršu shēmu, kurā maršrutētājs bloķē paketes, kas nāk no ārējā interfeisa (WAN), bet kurām kā "Source IP" norādīta iekšējā tīkla (LAN) adrese (piem., 192.168.x.x). Kāpēc tas apturētu 1. daļā veikto uzbrukumu, ja tas nāktu no interneta?

2. Dinamiskā ARP inspekcija (DAI):

• Atrodi informāciju, kas ir "Dynamic ARP Inspection" tīkla komutatoros (switches). Kā tas palīdzētu pret 2. daļas uzbrukumu?

________________________________________

Atskaite (iesniedzamais darbs)

Lai veiksmīgi nokārtotu praktisko darbu, sagatavo PDF formāta atskaiti, kurā dokumentēts viss darba process. Atskaitei jābūt strukturētai, pārskatāmai un jāietver šādas sadaļas:

1. Darba vides apraksts

• Titullapa

• Īss apraksts par izveidoto laboratorijas vidi (kādas virtuālās mašīnas izmantotas, to IP adreses un tīkla konfigurācija – NAT/Host-Only).

• Ekrānšāviņš: ip addr (Linux) vai ipconfig (Windows) komandas rezultāts no abām mašīnām, lai fiksētu sākotnējās adreses.

2. IP Spoofing demonstrācija (1. daļa)

• Komandas izpilde: Ekrānšāviņš no Kali Linux termināļa ar ievadīto hping3 komandu un tās izvadi.

• Trafika analīze: Ekrānšāviņš no Wireshark uz Upura datora, kurā skaidri redzama ienākošā SYN pakete.

• Komentārs: Izcel vai apvelc "Source IP" lauku, paskaidrojot, kāpēc šī adrese ir viltota un atšķiras no uzbrucēja patiesās IP.

• Atbildes pakete: Ekrānšāviņš no Wireshark ar atbildes paketi (SYN-ACK).

• Komentārs: Paskaidro, uz kuru IP adresi Upuris nosūtīja atbildi un kāpēc Uzbrucējs to nesaņēma (vai saņēma, ja konfigurācija bija specifiska).

3. ARP Spoofing un MitM (2. daļa)

• Uzbrukuma sākšana: Ekrānšāviņš ar arpspoof komandas palaišanu Kali Linux.

• ARP tabulas izmaiņas: Divi ekrānšāviņi no Upura datora komandrindas (arp -a):

1. Pirms uzbrukuma (normāls stāvoklis).

2. Pēc uzbrukuma (viltots stāvoklis).

• Komentārs: Salīdzini Vārtejas (Gateway) MAC adresi abos gadījumos. Paskaidro, kā arpspoof panāca šo izmaiņu un ko tas nozīmē tīkla plūsmai.

4. Aizsardzības metožu analīze (3. daļa)

• Ingress/Egress Filtering: Īss apraksts (3–5 teikumi) un vienkārša shēma (var būt zīmēta ar roku vai rīkā), kā maršrutētājs filtrē ienākošās paketes. Paskaidro, kā tas novērstu IP spoofing no ārējā tīkla.

• Dynamic ARP Inspection (DAI): Paskaidrojums, kas ir DAI un kā tas komutatoru līmenī bloķētu 2. daļā veikto ARP spoofing mēģinājumu.

5. Secinājumi

• Kopsavilkums par to, ko iemācījies darba gaitā.

• Atbildes uz jautājumiem:

• Kāpēc IP spoofing ir bīstams (piem., DDoS, uzticības apiešana)?

• Kāpēc ARP spoofing ir priekšnosacījums efektīvam MitM uzbrukumam lokālajā tīklā?

• Kādas ir galvenās grūtības aizsargāties pret šiem uzbrukumiem (piem., vai pietiek tikai ar ugunsmūri uz datora)?

Noformējums:

• Fails: PDF.

• Nosaukums: IP_Spoofing_Vards_Uzvards.pdf.

• Visiem ekrānšāviņiem jābūt salasāmiem, un pie katra jābūt paskaidrojošam tekstam (nevis tikai pliki attēli).