Nous sommes le 22 Mai 2017, 21:35

Heures au format UTC + 1 heure [ Heure d'été ]





Poster un nouveau sujet Répondre au sujet  [ 2 messages ] 
  Imprimer le sujet Sujet précédent | Sujet suivant 
Auteur Message
 Sujet du message: "ARPNAK" DoS DHCP PoC
MessagePosté: 05 Nov 2014, 23:00 
Hors ligne

Inscription: 18 Mar 2013, 22:07
Messages: 12
Salut à tous,
je me décide à vous montrer une attaque que j'ai trouvé dans la RFC du DHCP , ne l'ayant vu nulle part, je me suis permis de la nommer.

L'idée est d'exploiter le fait que en DHCP c'est le client qui détient la vérité et non le serveur.
Un échange DHCP standard(c'est à dire correspondant à une première connexion à un segment de réseau d'un host utilisant le DHCP ) ressemble en gros à ça:

_Le client DHCP envoie un paquet udp "DHCP DISCOVER" en Broadcast sur le port 68 en espérant trouver un serveur DHCP qui répondra.

_Tous les serveurs DHCP présents sur le réseau répondent par un paquet "DHCP OFFER" qui offre une addresse IP de leur pool dhcp avec tous les paramétres de connexions fournis par l'admin pour ce segment de réseau(gateway,dns,etc)

_Le premier "DHCP OFFER" reçu par le client est retenu les autres sont droppés, le client réserve l'addresse IP fournie en envoyant un "DHCP REQUEST" au serveur.

_Le serveur valide et termine l'attribution de l'addresse IP en envoyant un paquet "DHCP ACK" et retire pour la durée du bail cette addresse IP de son pool dhcp.
Ceci est l'échange que j'ai pu observer le plus généralement.

Mais car il y a un mais;)

Certains clients font une derniére vérification une fois que l'addresse IP a été attribuée par le serveur.
Le client fait un ping ARP sur l'addresse IP qui vient de lui être attribuée si le ping répond alors le client utilise le 6eme type de paquet DHCP:le DHCP DECLINE.

Le DHCP DECLINE indique au serveur qu'il s'est trompé , que l'addresse qu'il croyait disponible dans son pool dhcp est en fait déjà utilisée par un autre Host.
Selon la RFC le serveur doit alors sortir l'addresse déclinée de son pool dhcp et indiquée une erreur BAD_ADDRESS .

Le client ayant décliné l'addresse IP attribuée par le serveur , il recommence le processus d'attribution d'addresse en DHCP en envoyant à nouveau un DHCP DISCOVER.
avec un petit code scapy on créée la boucle.
Cela à deux effets :
_Le client ne peut se connecter et repère un conflit IP
_Le serveur épuise son pool dhcp

Ce qui est fun je trouve c'est que c'est un client tiers qui attaque le serveur, la machine attaquante se contentant d'envoyer un paquet ARP au bon moment.
Bon là où j'atteint mes limites de Noob c'est que j'ai pas réussi à déterminer précisément quels OS ou quel NIC étaient vulnérables , et de même pour les serveurs.
Il faut dire que je n'ai pas grand chose dispo à la maison pour tester...
Ce que je sais c'est que l'attaque fonctionne , capture wireshark à l'appui pour ce qu'il se passe côté client.
C'est pourquoi si quelqu'un de la communauté HZV veut me filer un coup de main pour tester l'attaque dans son labo ça serait vraiment cool.

https://github.com/bus7d/ARPNAK-ATTACK

;)


Haut
 Profil  
 
 Sujet du message: Re: "ARPNAK" DoS DHCP PoC
MessagePosté: 17 Nov 2014, 21:10 
Hors ligne
Administrateur
Administrateur
Avatar de l'utilisateur

Inscription: 22 Mar 2008, 22:45
Messages: 1716
Tu ne pourrais pas simplement spoofer ton adresse MAC et envoyer plein de DHCP REQUEST + DHCP DECLINE ?
Ça me paraît plus simple et plus rapide. Et y'a même pas besoin de jouer avec ARP.

Et tu pourrais même faire mieux en déconnectant les clients déjà connecté avec un DHCP RELEASE en te faisant passer pour le client qui a cette adresse IP. Suite à ça tu recommences tes REQUEST + DECLINE sur les adresses nouvellement libérées.

Mais bon, cette attaque n'a pas vraiment d'autre intérêt que de bloquer un réseau. Et si ton réseau c'est un /8, tu risques de mettre un bout de temps pour le bloquer complètement.

De plus, pour l'attaque que tu proposes où c'est un autre client qui "fait l'attaque", le client DHCP n'a pas un délais entre deux REQUEST ? Et il faut aussi que le switch ne fasse pas chier sur les paquets ARP foireux (qui sont la base de l'ARP cache poisoning).


Haut
 Profil  
 
Afficher les messages précédents:  Trier par  
Poster un nouveau sujet Répondre au sujet  [ 2 messages ] 

Heures au format UTC + 1 heure [ Heure d'été ]


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités


Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Rechercher:
Aller à:  
cron



HZV WILL NEVER DIE !!