-
GAMEPOD.hu
Vírusirtó Topic 2019
Új hozzászólás Aktív témák
-
#19482368
törölt tag
válasz
Flagstaff
#48684
üzenetére
Mondom neked hogy nem vírus, se malware se semmi, Talán annyi hogy kapott egy 0.day exploitot. De azokat általában belső hálózatról lehet csak telepíteni. Ha azt írod, hogy olyan ismert eszköz jelent meg a hálózatodon, ami nem volt aktív, akkor bizony átjáró ház időnként. A gond az, hogy ezt csak komolyabb szintű hálózati eszközzel lehet meggátolni. Lakossági eszközök erre képtelenek. Hiába 60-80.000Ft. Mint írtam, ehhez Layer 2 kell, lakossági eszköz képtelen rá.
A leggyakrabban előforduló Layer2 támadási módszerek
CAM table overflow
A switch-ek működése az általunk tárolt MAC cím táblázaton (CAM table) alapul. E táblázatban vannak összerendelve a portok és a rájuk csatlakozó eszközök MAC címei. Amikor egy eszköz kommunikál, a switch csak azon porton küldi ki a csomagot, ahol a cél MAC található. Amennyiben nem ismeri a keresett eszköz címét, minden porton továbbítja a csomagot. (broadcast). A CAM tábla mérete korlátozott, amikor betelik, a switch az ismeretlen MAC címeknek küldendő csomagokat minden porton továbbítja. Ezért a következő támadás lehetséges: Egy hálózatra csatlakoztatott PC-ről folyamatosan újabb és újabb forrás MAC címről küldve adatokat a táblázat betelik és minden forgalom minden porton megjelenik (HUB működés). Ezután egy hálózatra csatlakoztatott speciális program (un. sniffer) segítségével lehallgatható minden kommunikáció.
VLAN hopping
A támadás célja, hogy egy adott VLAN-ba csatlakoztatott eszköz egy másik, számára tiltott VLAN-ba tudjon kommunikálni.
Virtualizált környezetekben a különböző típusú forgalmak (adat, menedzsment, stb.) VLAN-ok alkalmazásával vannak elkülönítve, így az ezek közti illetéktelen átjárhatóság nagyon komoly biztonsági problémát okoz.1, Switch Spoofing
A támadó egy olyan eszközt csatlakoztat a hálózatra, ami switch-ként viselkedik (vagy az) és valamilyen VLAN trunking protokoll (pl. 802.1q) kezelésére képes. Amennyiben a hálózatban működő switch-ek portjain DTP (Dynamic Trunk Protocol) engedélyezett, az idegen eszközzel VLAN trunköt alakítanak ki. Ezen keresztül hozzáférés lehetséges a hálózatban előforduló VLAN-okhoz.2, Double Tagging
Amennyiben egy csomagot két VLAN TAG fejléccel látunk el, abban az esetben lehetőség van adatokat eljuttatni egy másik VLAN-ba
A" switch eltávolítja a külső fejlécet és a belső fejléccel küldi tovább a VLAN trunk portján a támadó csomagot. A „B" switch a kapott csomagot a megfelelő porton VLAN2 továbbítja, így az eljut a támadott géphez.Spanning-Tree Protocol manipulation
A Spanning-Tree protocol a hálózati hurkok kiküszöbölésére való. A switch-ek indulás után e protokoll segítségével alakítják ki a hálózat struktúráját, illetve tiltják a redundáns útvonalakat. Kitüntetett szerepe van a „root" funkciókat ellátó switch-nek, ez lesz a központi eszköz. Kiválasztása prioritás érték megadásával lehetséges, a legkisebb prioritású switch lesz a „root".
A támadó eszköze olyan prioritás értéket hirdet magáról (STP Configuration / Topology Change BPDU) ami alapján ez az eszköz veszi át a „root" szerepét. Ezzel a hálózati struktúra megváltozik és a forgalmak jelentős része áthalad rajta. Ezután hasonlóan, mint a CAM table overflowing esetében, a támadó switchre csatlakoztatott sniffer segítségével lehallgatható a kommunikáció.DHCP starvation
A DHCP szerverek egy ismert támadása az IP pool-ok teljes kihasználása és ezzel a szerver funkcionális működésének leállítása. A módszer: folyamatosan, mindig más-más MAC címről DHCP kérés indítása a szervernek, amíg el nem fogynak a kiosztható címek.
Rouge DHCP server
Egy idegen DHCP szerver hálózatba kapcsolásával, annak működése jelentős mértékben befolyásolható. pl.
1, Az alapértelmezett átjáró megváltoztatása az Internet forgalom leállítását eredményezheti.
2, Az idegen DHCP szerver saját címét osztva átjáróként, a hálózati forgalom elterelhető és így hozzáférhető.MAC Address Spoofing, illetve ARP Spoofing
A MAC címek hamisításával lehetőség van a hálózathoz való illetéktelen hozzáférésre. Az ARP táblák hamisításával pedig forgalmak elterelésére. Amennyiben pl. a támadó gépe az adott hálózat átjáró IP címét veszi fel, abban az esetben valamennyi forgalom áthalad rajta. Így a támadó hozzájut az áthaladó adatokhoz.
-
#19482368
törölt tag
válasz
Flagstaff
#48674
üzenetére
Üdv a klubban!
Nem a készülékedben van a hiba, a probléma megoldása is több rétegű.
Egy olyan hálózati eszköz beszerzése ahol a nem kívánt hálózati protokollokat le tudod tiltani. P2P, RDP, SSH TELNET, ICMP, IGMP, Egy tűzfal nem add védelmet, sajna. Legalább 2 db tűzfal, lehetőleg mindent külön VLAN-ba tenni. A wifi, az egy olyan opció hogy addig amíg nem oldódott meg a probléma ki kell kapcsolni. A második lépés egy proxy szerver beüzemelése. Ami rendesen megszűri a bejövő https csomagokat. Mert vagy a böngészőn keresztül jön be, vagy rosszabb.
99% hogy valaki VLAN hoppol, és behamisítja azt az eszközt, amit sűrűn használtok. Ezt lakossági szinten elég nehéz kivédeni. Hiszen Layer 2 hálózati eszköz kell hozzá, amiknek a jelenlegi piaci ára hát.... de az igazán gyenge láncszemek a szolgáltatók által biztosított eszközök. A UPC még modem módban se tud mit kezdeni vele. Telekom, ki kell venni a modemből az internetes falhasználó név, jelszó párost. És a kapcsolatot a saját eszközre bízni, ha nem használjátok bontani kell a kapcsolatot. Sajna ezt így szokták már csinálni, hogy vagy a routert, vagy a csatlakozott kliens eszközt hamisítják be. A rosszabbik eset hogy egy olyan plusz betol egy switch-nek tűnő eszközt, és a teljes forgalmat át tudja irányítani. Te meg azt hiszed hogy vírus. A másik amit lehet tenni az összes VPS szolgáltatót le tiltani, ugyanis az esetek X% azt szokták csinálni, hogy bérelnek egy VPS szervert amin linux fut, az SSH át állítják 443 portra, és gyakorlatilag máris átjáró ház lettél. Nézd meg hogy nincs esetleg snifferelés a hálózatodon, és nmap-el, nincs véletlen dupla geatway-ed. Sajna soho eszközökből kinyerni a wifi jelszót könnyebb mint sokan gondolnák. És már csak a hülye gyerek alkalmaz brute force-ot. Ettől sokkal kifinomultabban, szokták csinálni. Van olyan web oldal, ahol sok sok lakossági eszköz van be húzva, és be lehet rájuk lépni. Gyakorlatilag simán ki lehet olvasni a Wifi jelszavakat. Ha egy ilyen oldalra valami paraszt behúzott akkor basz... Amennyiben feltevésem helytálló, akkor részvétem.[ Szerkesztve ]
Új hozzászólás Aktív témák
Szellem.● TILOS a warez!
● Vírusos, vagy egyéb kártevőt tartalmazó linkek a topikban való elhelyezésére vonatkozó szabály:
Tilos a topikban bármilyen vírusos vagy lehetséges vírusos kártevő link elhelyezése.
Az ilyen linkek megosztása csak privátban, PH tagok számára osztható meg.
Ellenkező esetben a hozzászólás törölve lesz.
- Honor Magic6 Pro - kör közepén számok
- Milyen Android TV boxot vegyek?
- Gaming notebook topik
- One otthoni szolgáltatások (TV, internet, telefon)
- Kamionok, fuvarozás, logisztika topik
- Yettel topik
- Samsung Galaxy S22 Ultra - na, kinél van toll?
- Milyen TV-t vegyek?
- Hisense LCD és LED TV-k
- Xbox Series X|S
- További aktív témák...
- Windows 10/11 Home/Pro , Office 2024 kulcsok
- Eredeti Microsoft termékek - MEGA Akciók! Windows, Office Pro Plus, Project Pro, Visio Pro stb.
- Adobe Előfizetések - Adobe Creative Cloud All Apps - 12 Hónap
- Game Pass Ultimate előfizetések 1 - 19 hónapig azonnali kézbesítéssel a LEGOLCSÓBBAN! AKCIÓ!
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest