HOME»情報処理安全確保支援士掲示板»ARPスプーフィングについて(H25秋  午後2 )
投稿する

ARPスプーフィングについて(H25秋  午後2 ) [0620]

 へっぽこ大学生さん(No.1) 
表題の問題の設問3についてなのですが、なぜこのシチュエーションで盗聴が成立するのかがよくわかりません。。

図13のようにLさんのARPを書き換えることで、LさんがL3SWを経由してメールを送信する場合は盗聴できるというのはわかるのですが、なぜ受信時にL3SWにNさんがLさんであるとARPスプーフィング(※1)をせずともNさんのPCは受信を盗聴できたのでしょうか?
問題には記載されていないが実際には裏でL3SWあてにもARPスプーフィングが行われていたということになるということでしょうか、?(結果的にMITMの構図が出来上がっていたという解釈)

(※1) L3SWのARPテーブルに、
IP:192.168.1.1  MAC:xx:xx:xx:aa:bb:22
を登録するということです。


L2SW単体での動作ならはっきりとわかるのですが、L3SWと接続されているとこんがらがってくるので、そこの動作で誤解があるのかもしれません。。
もし受信時のNさん盗聴の流れを詳しくわかる方いらっしゃいましたら教えていただけるととても嬉しいです。。
2021.03.12 01:00
 へっぽこ大学生さん(No.2) 
書きそびれましたが午後2の問1の話になります。
失礼しました。。
2021.03.12 01:03
昭和62年さん(No.3) 
L3SWには、ソースIP:192.168.1.1 のパケットが MAC:xx:xx:xx:aa:bb:22 から届き、
L3SWはその組み合わせを学習してしまいます。
そしてメールの受信は、送信同様PC側から始まります。
2021.03.12 03:06
 へっぽこ大学生さん(No.4) 
ご返信ありがとうございます。

すみませんまだ分かりませんでした。。
・L3SWがその組み合わせの学習をするタイミングというのはLさん宛のメールが届く前の段階でしょうか?

・送信同様PC側からということは、正規のL3SWから正規のLさんのPCへのメールのパケットが、LさんのPCに到着した後にNさんのPCに送られるということでしょうか?(もしこの解釈が合っているならなぜ、LさんのPCがわざわざ偽造されたL3SWにメールを転送するのかわかりません。)

もし可能でしたら教えていただければ幸いです。
2021.03.12 11:13
昭和62年さん(No.5) 
「送信同様PC側から始まります。」は、
PCがメールを受信するとき、実際にはPCがメールサーバにメールを取りに行くので、
アクションを起こすのはPCという意味です。

LさんのPCがメールサーバにメールを取りにいくために、
デフォルトゲートウェイであるL3SW経由でメールサーバに接続するのですが、
LさんのPCではARPテーブルが改ざんされているため、NさんのPCを経由してL3SWに到達します。
その時点でL3SWが学習します。
(別の通信によって既に学習している可能性もありますけど)
学習の結果Lさんへのメール(受信メール)もNさんのPCに届きます。
さらにLさんのPCへ送られるはずです。
2021.03.12 13:18
 へっぽこ大学生さん(No.6) 
なるほど。。モヤモヤがスッキリしました。
確かにメールサーバに問い合わせする際にはNさんを経由するため、そこでL3SWのテーブルが書き換えられますね。
なぜか完全に見落としていました。。

しっかりと動作をトレースして行くように心がけたいと思います。
ご丁寧に教えていただきありがとうございました!
2021.03.12 13:54
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop