ICMP Redirect Attacks — подмена сетевых маршрутов
▌ Что такое ICMP Redirect?
Легитимный механизм для:
• Оптимизации маршрутизации в локальных сетях
• Уведомления хостов о лучшем маршруте
• Коррекции ошибочных таблиц маршрутизации
▌ Как работает атака?
1. Атакующий отправляет фальшивый ICMP Redirect:
- "Используй шлюз 192.168.1.100 для 10.0.0.0/8"
2. Жертва обновляет routing table
3. Весь трафик идет через злоумышленника
▌ Пример пакета через Scapy
Код:
from scapy.all import *
send(IP(src="192.168.1.1", dst="192.168.1.50")/ICMP(type=5, code=1, gw="192.168.1.100")/IP(src="192.168.1.50", dst="10.0.0.1")/UDP())▌ Инструменты
- Scapy (ручное создание пакетов)
- Karma (автоматизированные атаки)
- Nemesis (генерация сетевых пакетов)
▌ Последствия
• MITM для всего трафика
• Обход сетевых ACL
• Кража VPN-учетных данных
• DoS через черные дыры
▌ Методы защиты
- Отключение обработки ICMP Redirect:
- Linux: sysctl -w net.ipv4.conf.all.accept_redirects=0
- Windows: реестр EnableICMPRedirect=0 - Фильтрация поддельных ICMP-пакетов
- Использование статических ARP-записей
▌ Реальные кейсы
• Атака на финансовую сеть (2018) — перехват транзакций
• Уязвимость в IoT-устройствах (2020) — CVE-2020-10148