Simulati un atac de tip TCP RST pentru a intrerupe o conexiune existenta de tip telnet. Se poate incerca apoi intreruperea unei conexiuni SSH existente prin acelasi tip de atac.Descrieti pe scrut observatiile efectuate.
M-am inspirat de la laboratoarele trecute si am folosit acelasi setup de 3 masini virtuale. Una tip router R1 si doua masini virtuale C1 respectiv C2
TELNET
Am instalat un server de telnet pe masina C2 efectuand o serie de comenzi si de confitgurarii de riguare.
- Pentru instalarea pachetului
~ $ : sudo apt-get install xinetd telnetd
- Configurare:
~ $ : sudo vim /etc/xinet.d/telnet
# basic configurations
service telnet
{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure +=USERID
only_from = 192.168.1.0/24 #Only Users in 192.168.1.0 cann access this
}
~ $ : sudo vim /etc/xinetd.conf
# basic configuration inetd
defaults
{
instances = 60
log_type = SYSLOG authpriv
log_on_success = HOST PID
log_on_failure = HOST
cps = 25 30
}
includedir /etc/xinetd.d
- Dupa modificari trebuie resetat serverul telnet
~ $ : sudo /etc/init.d/xinetd restart
SSH
Am instalat un server de ssh tot pentru masina C2.
~ $ : sudo apt-get install openssh-server
Apoi dupa instalare am restart lasad configuratiile pe default.
~ $ : sudo systemctl restart ssh
Dupa o comanda simpla de nmap putem vedea ca serverele telnet cat si ssh sunt disponibile.
~ $ : nmap 192.168.1.13
Starting Nmap 6.47( http://nmap.org ) at 2016-01-13 19:39 EET
Nmap scan report for 192.168.1.13
Host is up (0.00018s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
23/tcp open telnet
Nmap done: 1 IP address ( 1 host up) scanned in 11.10 seconds
Avand in vedere ca masiniile virtuale au ca sistem de operare distributia de linux Lubuntu vor avea pe default clientul de ssh si telnet.
Mai intai sa ne lamurim cine sunt C1 si C2.
~ $: ip addr
eth0 : <BROADCAST, MULTICAST, UP, LOWER_UP> mtu 1500 qdisc pfifo_fast Up group
default qlen 1000
link/ether 08:00:27:c4:8e:44 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.12/24 brd 192.168.1.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::a00:27ff:fec4:8eec/64 scope link
valid_lft forever preferred_lft forever
~ $: ip addr
eth0 : <BROADCAST, MULTICAST, UP, LOWER_UP> mtu 1500 qdisc pfifo_fast Up group
default qlen 1000
link/ether 08:00:27:c4:8e:ec brd ff:ff:ff:ff:ff:ff
inet 192.168.1.13/24 brd 192.168.1.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::a00:27ff:fec4:8eec/64 scope link
valid_lft forever preferred_lft forever
C1 se va conecta la C2 prin commanda
~ $ : telnet 192.168.1.13
Trying 192.168.1.13..
Connected to 192.168.1.13
Ubuntu 15.04
hoenirvili-VirtaulBox login: hoenirvili
Password:
Last login Wej Jan 13 19:54: 14 EET 2016 from 192.168.1.12 on pts/1
Welcome to ubuntu 15.04(GNU/LINUX 3.19.0-30-generic i686)
Dupa conexiunea TCP C2 va transmite un pachet cu bitul RST setat folosind comanda.
~ $: sudo netwox 78 -i 192.168.1.12
Iar C1 cand va incepe sa tasteze in terminalul de la telnet acesta va afisa
Connection closed by foreign host
Daca verificam traficul cu wireshark de pe C1 va aparea imediat packetul RST primit.
C1 se va connecta la C2 princ commanda
~ $ : ssh hoenirvili@192.168.1.13
Iar tot C2 transmite acceasi comanda pentru a trimite packetul TCP cu RST setat si de data asta C1 primeste eroarea de forma Write failed:Broken pipe
Conform exemplelor anterioare observam ca atat telnet cat si ssh sunt vulnerabile la acest tip de atack deoarece ambele folosesc protocolul TCP.
Din punct de vedere a datelor , ssh asigura integritatea si anonimatul datelor. Totodata impedica atacurile de tip hijacking, atacuri ce implica reordonarea pachetelor in retea cat si modificarea lor. Un lucru de luat in vedere fata de conexiuniile de tip telnet.