CONFIGURAÇÕES
ipv4.forwarding 1 (ON)
arp_cache_poisoning entre VICTIM & D.G .. (192.168.1.100 & 192.168.1.1)
**LAN**
VICTIM: 192.168.1.100
ATTACKER: 192.168.1.105
DEFAULT GATEAWAY: 192.168.1.1
**WAN**
NTP SERVERS: 17.253.52.125
17.253.52.253
17.253.34.125
17.253.34.125
COMPORTAMENTO NORMAL DO PROTOCOLO NTPv4
A máquina MAC envia a solicitação NTPv4 para um dos servidores NTP da Apple (pool NTP). Como resposta, obtém o tempo atualizado da resposta do NTPv4. A frequência entre o tempo é atualizada 15 minutos. Como não há nenhuma verificação de segurança por padrão no NTPv4, é vulnerável ao ataque de repetição.
COMPORTAMENTO MALICIOSO
O invasor executa o MITM e intercepta o tráfego até receber a solicitação NTPv4 do VICTIM. Uma vez recebido o pedido, ele deve ser redirecionado para o FAKE NTP SERVER em execução na máquina do ATTACKER, então ele responderá com tempo falso ao VICTIM para que ele atualize seu tempo.
PROBLEMAS
Poderia ser alcançado usando o iptables. Estou afirmando que já o fiz antes e estava funcionando para mim. No entanto, perdi minhas configurações. Agora, a situação é que eu tentei executar algumas configurações diferentes do iptables como:
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -j MASQUERADE
CONCLUSÕES
Meus servidores NTP de registro mostram o seguinte registro:
Enviado para 192.168.1.100:55321 Enviado para 192.168.1.199:54623
que indica que a requisição NTP está sendo redirecionada para o servidor FAKE NTP. No entanto, as respostas do FAKE NTP não são entregues ao VICTIM como esperado.
Outra captura é do sniffer do Wireshark.
Ele mostra que o VICTIM envia uma requisição NTPv4 para o servidor NTP da Apple através da máquina ATTACKER, e recebe de volta a resposta NTPv4 do mesmo servidor NTP da Apple via host do ATTACKER.
MINHAS TENTATIVAS
Tentativa: 1.
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -p udp -j MASQUERADE
iptables -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
*** notas Não funcionou na primeira hora (15min + 15 + 15 + 15), e decidi deixá-lo por uma noite. Quando voltei depois de 7 horas, apareceu atualizado o tempo como esperado. É muito incomum e definitivamente algo está errado. Para mim, parece que o FAKE NTP SERVER ganhou uma corrida de atualização da resposta NTP do servidor NTP da Apple.
Tentativa: 2.
Eu tentei executar o seguinte:
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -p udp -j MASQUERADE
iptables -A INPUT -s 17.253.0.0/16 -p udp -j DROP
*** notas Não funcionou, e até mesmo o tráfego NTP recebido das respostas do servidor NTP da Apple não foi bloqueado.
No final, eu tentei muitos scenarious diferentes com iptables, e procurando por você ajudar caras para alimentar a máquina VICTIM 'com o meu pacote de resposta FAKE NTP para que ele obtenha atualizações de tempo do meu FAKE NTP SERVER, não NTP da Apple pool usando o iptables.Obrigado antecipadamente!