MITM Attack とは、Man in the middle attack 中間者攻撃。
- Attack 関係では数日前に、Caffe Latte Attack を紹介した。
【Aircrack-ng カフェラテ攻撃 (Caffe Latte Attack) ?】
MITM Attack について、まずは最近投稿されたこのよく出来たビデオ。
ターゲット PC (victim PC) は、 XP で Firefox を起動して、Gmail にログインしようとしている。
BackTrack 4 の攻撃 PC は、無線LAN (wlan0) で接続しており、ettercap NG 0.73 を使って、ターゲット PC とルータ?間の通信を中継、傍受(sniffing)している。(ARP poisoning)
ターゲット PC が Gmail にログインすると、Gmail のユーザ名とパスワードが、攻撃 PC の ettercap に表示される。
ユーザ名とパスワードが表示されてしまったが、ターゲット PC の通信は 443 ポートだから、暗号化されてるはずの https (SSL) だ。本当だろうか?
ARP poisoning は、ターゲットPCとルーターに偽の ARP を送り、双方のパケットが攻撃 PC に到達するようにして、それを中継、キャプチャしている。
「ARP Poisoning」とは:ITpro
ARP poisoning を使えば、有線 LAN でスイッチング HUB を使っていても、同じサブネットに攻撃 PC を接続されたら、傍受されてしまう。
スイッチング HUB はブロードキャストドメインが分かれるので、スイッチのミラーポート(設定が必要)に接続しないと他のマシンの通信は傍受できないものと思っていた。
無線 LAN は電波なので、近くにある全てのマシンにパケットが流れてしまうが、スイッチは通常の場合、通信しているマシン間パケットは他のマシンには流れない。
無線 LAN は危険だが、有線 LAN はスイッチを使っていれば安心ということでもないようだ。
ettercap は、パスワード収集ツールだが最新版のリリースはかなり前だ。
BackTrack 4 には最初から入っている。
ARP poisoning の対策はこれから調べるが、情報があったら教えてください。