Tha dragh air mòran chompanaidhean an-diugh mu bhith a’ dèanamh cinnteach à tèarainteachd fiosrachaidh a’ bhun-structair aca, bidh cuid a’ dèanamh seo air iarrtas sgrìobhainnean riaghlaidh, agus bidh cuid ga dhèanamh bhon mhionaid a thachras a’ chiad tachartas. Tha gluasadan o chionn ghoirid a 'sealltainn gu bheil an àireamh de thachartasan a' fàs, agus tha na h-ionnsaighean fhèin a 'fàs nas adhartaiche. Ach chan fheum thu a dhol fada, tha an cunnart tòrr nas fhaisge. An turas seo bu mhath leam cuspair tèarainteachd solaraiche eadar-lìn a thogail. Tha puist air Habré a bheachdaich air a’ chuspair seo aig ìre an tagraidh. Bidh an artaigil seo a’ cuimseachadh air tèarainteachd aig ìrean lìonra agus ceangal dàta.
Mar a thòisich seo air fad
O chionn ùine, chaidh eadar-lìn a chuir a-steach san àros bho sholaraiche ùr; roimhe seo, chaidh seirbheisean eadar-lìn a lìbhrigeadh don àros a ’cleachdadh teicneòlas ADSL. Leis nach eil mòran ùine agam aig an taigh, bha barrachd iarrtas air eadar-lìn gluasadach na eadar-lìn dachaigh. Leis a 'ghluasad gu obair iomallach, cho-dhùin mi nach robh an astar 50-60 Mb / s airson eadar-lìn dachaigh gu leòr agus cho-dhùin mi an astar àrdachadh. Le teicneòlas ADSL, airson adhbharan teicnigeach, chan eil e comasach an astar àrdachadh os cionn 60 Mb/s. Chaidh co-dhùnadh gluasad gu solaraiche eile le astar dearbhte eadar-dhealaichte agus le solar sheirbheisean nach ann tro ADSL.
Dh’ fhaodadh e a bhith rudeigin eadar-dhealaichte
Chuir sinn fios gu riochdaire bhon t-solaraiche eadar-lìn. Thàinig an luchd-stàlaidh, drileadh iad toll a-steach don àros, agus chuir iad a-steach sreang paiste RJ-45. Thug iad dhomh aonta agus stiùireadh leis na roghainnean lìonra a dh’ fheumar a shuidheachadh air an router (IP coisrigte, geata, masg subnet agus seòlaidhean IP an DNS aca), ghabh iad pàigheadh airson a ’chiad mhìos obrach agus dh’ fhalbh iad. Nuair a chaidh mi a-steach do na roghainnean lìonra a chaidh a thoirt dhomh a-steach don router dachaigh agam, chaidh an eadar-lìn a-steach don àros. Bha an dòigh-obrach airson a’ chiad logadh a-steach aig neach-clàraidh ùr don lìonra a’ coimhead ro shìmplidh dhomh. Cha deach cead bun-sgoile sam bith a dhèanamh, agus b’ e an aithnichear agam an seòladh IP a thugadh dhomh. Dh'obraich an eadar-lìon gu luath agus gu stàbaill. Aon latha, dh'fheumadh mi faidhle a luchdachadh sìos a 'tomhas dà dhusan gigabytes. Bha mi a’ smaoineachadh, carson nach ceangail thu an RJ-45 a’ dol don àros gu dìreach ris a’ PC.
Aithnich do choimhearsnach
An dèidh dhomh am faidhle gu lèir a luchdachadh sìos, chuir mi romham eòlas nas fheàrr fhaighinn air na nàbaidhean anns na suidsichean suidse.
Ann an togalaichean àros, bidh an ceangal eadar-lìn gu tric a ’tighinn bhon t-solaraiche tro fiber optigeach, a’ dol a-steach don chlòsaid uèirleas gu aon de na suidsichean agus air a chuairteachadh eadar slighean a-steach agus àros tro chàbaill Ethernet, ma bheachdaicheas sinn air an diagram ceangail as prìomhadaiche. Tha, tha teicneòlas ann mu thràth far am bi optics a ’dol dìreach chun àros (GPON), ach chan eil seo fhathast farsaing.
Ma ghabhas sinn topology gu math sìmplidh air sgèile aon taigh, bidh e a’ coimhead rudeigin mar seo:
Tha e coltach gu bheil luchd-dèiligidh an t-solaraiche seo, cuid de thaighean-còmhnaidh faisg air làimh, ag obair anns an aon lìonra ionadail air an aon uidheamachd suidse.
Le bhith a’ comasachadh èisteachd air eadar-aghaidh ceangailte gu dìreach ri lìonra an t-solaraiche, chì thu trafaic ARP craolaidh ag itealaich bho gach aoigh air an lìonra.
Cho-dhùin an solaraiche gun a bhith a’ cur cus dragh air a bhith a’ roinneadh an lìonra gu earrannan beaga, agus mar sin dh’ fhaodadh trafaic craolaidh bho 253 aoigh sruthadh taobh a-staigh aon suidse, gun a bhith a’ cunntadh an fheadhainn a chaidh a chuir dheth, agus mar sin a’ dùnadh leud-bann an t-seanail.
Às deidh dhuinn an lìonra a sganadh a’ cleachdadh nmap, cho-dhùin sinn an àireamh de luchd-aoigheachd gnìomhach bhon amar seòlaidh gu lèir, an dreach bathar-bog agus puirt fosgailte a’ phrìomh suidse:
Agus càite a bheil ARP an sin agus ARP-spoofing
Gus tuilleadh ghnìomhan a dhèanamh, chaidh an goireas ettercap-grafaigeach a chleachdadh; tha analogues nas ùire ann cuideachd, ach tha am bathar-bog seo a’ tàladh leis an eadar-aghaidh grafaigeach prìomhadail agus furasta a chleachdadh.
Anns a’ chiad cholbh tha seòlaidhean IP a h-uile router a fhreagair am ping, anns an dàrna fear tha na seòlaidhean corporra aca.
Tha an seòladh corporra gun samhail; faodar a chleachdadh gus fiosrachadh a chruinneachadh mu shuidheachadh cruinn-eòlasach an router, msaa, agus mar sin bidh e falaichte airson adhbharan an artaigil seo.
Bidh Amas 1 a’ cur a’ phrìomh gheata leis an t-seòladh 192.168.xxx.1, tha amas 2 a’ cur aon de na seòlaidhean eile ris.
Bidh sinn gar toirt a-steach don gheata mar aoigh leis an t-seòladh 192.168.xxx.204, ach leis an t-seòladh MAC againn fhèin. An uairsin bidh sinn gar taisbeanadh fhèin don router cleachdaiche mar gheata leis an t-seòladh 192.168.xxx.1 leis a MAC. Tha mion-fhiosrachadh mun so-leòntachd protocol ARP seo air a dheasbad gu mionaideach ann an artaigilean eile a tha furasta do Google.
Mar thoradh air a h-uile làimhseachadh, tha trafaic againn bho na h-aoighean a tha a’ dol troimhe, an dèidh dhuinn pasgan a chuir air adhart roimhe seo:
Tha, tha https mu thràth air a chleachdadh cha mhòr anns a h-uile àite, ach tha an lìonra fhathast làn de phròtacalan neo-thèarainte eile. Mar eisimpleir, an aon DNS le ionnsaigh DNS-spoofing. Tha an dearbh fhìrinn gun gabh ionnsaigh MITM a dhèanamh ag adhbhrachadh mòran ionnsaighean eile. Bidh cùisean a’ fàs nas miosa nuair a tha grunn dhusan neach-aoigheachd gnìomhach rim faighinn air an lìonra. Is fhiach beachdachadh gur e seo an roinn phrìobhaideach, chan e lìonra corporra, agus chan eil ceumannan dìon aig a h-uile duine gus ionnsaighean co-cheangailte a lorg agus a chuir an aghaidh.
Ciamar a sheachnadh
Bu chòir dragh a bhith air an t-solaraiche mun duilgheadas seo; tha stèidheachadh dìon an aghaidh ionnsaighean mar sin gu math sìmplidh, a thaobh an aon tionndadh Cisco.
Le bhith a’ comasachadh Sgrùdadh ARP Dynamic (DAI) chuireadh stad air prìomh sheòladh MAC geata bho bhith air a spùtadh. Le bhith a’ briseadh an raon craolaidh gu earrannan nas lugha chuir sin stad air trafaic ARP bho bhith a’ sgaoileadh chun a h-uile neach-aoigheachd ann an sreath agus a’ lughdachadh an àireamh de luchd-aoigheachd a dh’ fhaodadh ionnsaigh a thoirt orra. Faodaidh an neach-dèiligidh, an uair sin, e fhèin a dhìon bho leithid de làimhseachadh le bhith a’ stèidheachadh VPN gu dìreach air an router dachaigh aige; tha a ’mhòr-chuid de dh’ innealan a ’toirt taic don ghnìomhachd seo mu thràth.
toraidhean
Nas coltaiche, chan eil dragh aig solaraichean mu dheidhinn seo; tha a h-uile oidhirp ag amas air an àireamh de luchd-dèiligidh a mheudachadh. Cha deach an stuth seo a sgrìobhadh gus ionnsaigh a nochdadh, ach gus do chuir nad chuimhne gur dòcha nach bi eadhon lìonra an t-solaraiche agad gu math tèarainte airson an dàta agad a chuir thairis. Tha mi cinnteach gu bheil mòran sholaraichean seirbheis eadar-lìn roinneil beaga ann nach do rinn dad a bharrachd na tha riatanach gus uidheamachd lìonra bunaiteach a ruith.
Source: www.habr.com