MITM перенаправляет на свой собственный NTP-сервер, блокируя трафик к пулу Apple NTP

КОНФИГУРАЦИИ

ipv4.forwarding 1 (ON)

arp_cache_poisoning между VICTIM и DG. (192.168.1.100 и 192.168.1.1)

**LAN** VICTIM: 192.168.1.100 ATTACKER: 192.168.1.105 DEFAULT GATEAWAY: 192.168.1.1 **WAN** NTP SERVERS: 17.253.52.125 17.253.52.253  17.253.34.125 17.253.34.125 

НОРМАЛЬНОЕ ПОВЕДЕНИЕ ПРОТОКОЛА NTPv4

MAC-машина отправляет запрос NTPv4 на один из NTP-серверов Apple (пул NTP). В ответ он получает время обновления NTPv4. Частота между обновлениями времени 15 минут. Поскольку по умолчанию в NTPv4 нет никаких проверок безопасности, он уязвим для атаки воспроизведения.

ВРЕДНОЕ ПОВЕДЕНИЕ

Злоумышленник запускает MITM и подслушивает трафик, пока не получит запрос NTPv4 от VICTIM. Как только запрос получен, он должен быть перенаправлен на сервер FAKE NTP, работающий на компьютере ATTACKER, затем он ответит с поддельным временем VICTIM, чтобы он обновил свое время.

ПРОБЛЕМЫ

Это может быть достигнуто с помощью iptables. Я утверждаю, как это было сделано раньше, и это работало на меня. Однако я потерял свои конфигурации. Теперь ситуация такова, что я попытался запустить несколько разных настроек iptables, таких как:

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123  iptables -t nat -A POSTROUTING -j MASQUERADE 

ВЫВОДЫ

Мои протоколирующие NTP-серверы показывают следующее журналирование:

Отправлено в 192.168.1.100:55321 Отправлено в 192.168.1.199:54623

это указывает, что запрос NTP перенаправляется на сервер FAKE NTP. Тем не менее, ответы FAKE NTP не доставляются в ЖЕРТВУ, как ожидалось.

Еще один снимок с анализатора Wireshark.

Он показывает, что VICTIM отправляет запрос NTPv4 на NTP-сервер Apple через компьютер ATTACKER и возвращает ответ NTPv4 с того же NTP-сервера Apple через хост ATTACKER.

МОИ ПОПЫТКИ

Попытка: 1.

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123  iptables -t nat -A POSTROUTING -p udp -j MASQUERADE  iptables -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123 

*** Заметки Это не сработало в первый час (15 минут + 15 + 15 + 15), и я решил оставить его на ночь. Когда я вернулся через 7 часов, оказалось, обновленное время, как и ожидалось. Это очень необычно, и определенно что-то идет не так. Мне кажется, что FAKE NTP SERVER выиграл гонку за обновление ответа NTP от NTP-сервера Apple.

Попытка: 2.

Я попытался запустить следующее:

iptables -t nat -A PREROUTING -s 192.168.1.100 -p udp --dport 123 -j DNAT --to-destination 192.168.1.105:123 iptables -t nat -A POSTROUTING -p udp -j MASQUERADE  iptables -A INPUT -s 17.253.0.0/16 -p udp -j DROP 

*** примечания Это не сработало вообще, и даже входящий NTP-трафик от ответов NTP-сервера Apple не был заблокирован.

В конце я попробовал много разных сценариев с iptables, и ищу вас, помогите, ребята, накормить машину VICTIM моим ответным пакетом FAKE NTP, чтобы он получал обновления времени от моего сервера FAKE NTP, а не от пула NTP Apple, использующего iptables ,

Заранее спасибо!