|
|
Application for performing man-in-the-middle IPv6 attacks
Kadlec, Branislav ; Jeřábek, Jan (referee) ; Phan, Viet Anh (advisor)
Tato práce představuje vývoj aplikace v jazyce Python určené k provádění útoků Man-in-the-Middle (MITM) ve virtuální síti IPv6. Cílem tohoto výzkumu, motivovaného hlubokým zájmem o informační bezpečnost, sítě a programování, je vytvořit univerzální nástroj, který integruje různé metody útoků do jediného uceleného řešení. Mezi cíle patří vývoj kódu v jazyce Python s využitím knihovny Scapy, důkladné pochopení protokolů IPv6, ICMPv6 a DHCPv6 a vytvoření aplikace, která se zaměřuje na tři hlavní vektory útoku: falešný server DNS, falešný server DHCP a falešnou výchozí bránu. Kritéria hodnocení budou hodnotit výkon a výhody aplikace ve srovnání se stávajícími specializovanými nástroji. Metodicky je použita knihovna Scapy a pro komplexní testování je pečlivě navrženo virtuální síťové prostředí. Etické úvahy zdůrazňují zodpovědnost uživatele při využívání takovýchto nástrojů a vyvozují analogie s dvojúčelovými nástroji, jako jsou nože. Rozsah práce zahrnuje teoretické základy, návrh aplikace, nastavení virtuální sítě, metodiku testování a analýzu výsledků. Cílem je přispět k cenným poznatkům o útocích MITM a zároveň poskytnout univerzální nástroj pro bezpečnostní praktiky. Výzkum zkoumá průsečík programování v jazyce Python, síťových protokolů a kybernetické bezpečnosti a nabízí důkladný průzkum dynamické oblasti útoků Man-in-the-Middle.
|
|
|
Construction of IPv6 covert channels and their impact in the information system
Lohunkov, Ivan ; Jeřábek, Jan (referee) ; Phan, Viet Anh (advisor)
This thesis focuses on the issue of covert channels using IPv6 and ICMPv6 protocols. To transmit packets between devices, we need an application written in Python and also running IDS software on the receiver side. The theoretical part treats the issues of IPv6, ICMPv6 protocols and the possibility of hidden channel transmission in them. It deals with the details of their design and possible implementations. The practical part discusses a scenario that describes how the communication between the sender of packets and their receiver will take place. It also describes how to create a hidden channel and how to send it correctly. It also describes the structure of the application, both for sending the covert channel and for decrypting it. The final chapter describes programs for creating and decrypting covert channels, their communication behavior, and their strengths and weaknesses. According to the analysis of this thesis, it can be concluded that covert channels in IPv6/ICMPv6 are not yet so well understood that they are almost non-existent. This is especially true for extension headers, which are barely used in normal communication. They may be the very source, for the transmission of hidden information. The Suricata IDS has also been able to pass most packets to the receiver without alerting the receiver that the packet is suspicious.
|
|
|
Security testing of IPv6 family protocols and related vulnerabilities
Vopálka, Matěj ; Phan, Viet Anh (referee) ; Jeřábek, Jan (advisor)
This thesis discusses the Internet Protocol version 6 (IPv6), especially the secure deployment of the protocol. The thesis deals with the shortcomings of IPv4 protocol and reason of development of IPv6 protocol. It covers topics like IPv6 addressing, structure of frames, the initial types of IPv6 extension headers. Additionally, the thesis explores related protocols to IPv6, such as NDP, SLAAC, adn DHCPv6. The thesis provides an introduction to penetration testing, describes the basic types of hackers and gives a general overview of information security attacks. The practical part is devoted to the development of an application for automatic vulnerability testing of IPv6 networks Penvuhu6. The tool is developed in Python programming language using Scapy library. Penvuhu6 has been tested in an emulated network environment with the GNS3 program. Three test scenarios were developed for the tool focusing on testing the passage of repetitive and misaligned headers, overlapping fragments, and Router advertisement and DHCPv6 advertisement messages. Penvuhu6 was tested on an emulated RouterOS device with basic and restrictive configurations.
|
|
|
Automation of MitM Attack on WiFi Networks
Vondráček, Martin ; Lichtner, Ondrej (referee) ; Pluskal, Jan (advisor)
Tato bakalářská práce se zaměřuje na výzkum v oblasti bezpečnosti bezdrátových sítí. Práce přináší studii široce využívaných síťových technologií a principů zajištění bezpečnosti bezdrátových sítí. Analyzované technologie a způsoby zabezpečení trpí slabinami, které mohou být zneužity k provedení útoku MitM . Práce zahrnuje přehled dostupných nástrojů zaměřených na využití jednotlivých slabin. Výsledkem této práce je balíček wifimitm a CLI nástroj, oba implementované v jazyce Python. Balíček poskytuje funkcionalitu pro automatizovaný útok MitM a může být použit jako součást dalšího software. Nástroj wifimitmcli je schopen úspěšného provedení plně automatizovaného útoku bez jakéhokoli zásahu útočící osoby. Tento výzkum nachází využití v oblasti automatizovaných penetračních testů a forenzního vyšetřování.
|
|
|
Evaluation of rte_flow Network Interface Cards Support
Šuráň, Jakub ; Fukač, Tomáš (referee) ; Šišmiš, Lukáš (advisor)
Podpora klasifikačního rozhraní rte_flow se značně liší napříč různými síťovými kartami. Tato bakalářská práce se zabývá procesem testování této podpory. Hlavním cílem je vyvinout nástroje, které umožní provádět testování systematicky a automatizovaně. K tomuto účelu jsou využity dva přístupy. Ten první je založen na postupném nahrávání rte_flow pravidel do síťové karty a následném sbírání podporovaných vlastností z úspěšných pokusů. Ty jsou na konci využity k vytvoření závěrečného shrnutí. Druhý přístup naopak ověřuje, že jednotlivá pravidla opravdu mají očekávané efekty na pakety zpracovávané kartou. Každý z těchto přístupů byl následně transformován do podoby spustitelného nástroje. Oba byly aplikovány a otestovány na několika síťových kartách od společností Intel a NVIDIA. Zároveň byly výstupy obou z nich použity na vzájemné porovnání podpory rte_flow rozhraní na těchto síťových kartách.
|
|
|
Graphical Tool for IPv6 Packet Generation
Jochec, Jakub ; Bartoš, Václav (referee) ; Puš, Viktor (advisor)
This thesis is targeted on creation of graphic interface for generating IPv6 packets which can be used for creation of correct packets with different options. It describes TCP/IP model of network and IPv6 including extension headers. In next part is presented some of existing tools for IPv6 packet generating. Last part includes user interface design and implementation using Python and wxPython and Scapy libraries.
|
|
|
Detection of fake access points
Lővinger, Norbert ; Gerlich, Tomáš (referee) ; Martinásek, Zdeněk (advisor)
The risk of cyber-attacks in the local networks is constantly increasing due to the underestimation of their security. In wireless LANs, an attacker does not require physical access to the network. These types of attacks are almost impossible to spot. The typical signature of fake access point is the same configuration as the legitimate access point, which increases the effectivness of the attack. Detection systems are used to detect these cyber-attacks in local networks. Detection systems offer advanced methods for real-time analysis of captured network communication. In this bachelor thesis two open detection systems – Suricata and Kismet are analysed and compared. Custom implementation of detection system is based on functionality analysis of these two detection systems. Custom implemetation is programmed in Python at an affordable Raspberry Pi 4. The success of detecting cyber-attacks using fake access point was tested in 4 different scenarios at the experimental testbed.
|
|
|
Network Toolkit for exploiting Internet Protocol version 6 Security Vulnerabilities
Anh Phan, Viet ; Jeřábek, Jan
This work has developed a network toolkit inPython to automatically carry out several network attacks andsecurity vulnerability testing when operating IPv6. Specifically,the program can be used to launch specified practical typesof attacks according to the user’s direction such as DoS(Denial of Service), dumping servers, spoofing or bypassing thefirewall. The essence of these attacks is based on the inherentvulnerabilities of Extension headers, and protocols such asICMPv6 (Internet Control Message Protocol), DHCPv6 (DynamicHost Configuration) Protocol, which are the most importantprotocols in the IPv6 network operation. In addition, the analysisand illustrations have been presented, which can help networkanalysts to have a clearer understanding of the potential dangersthat could arise from implementation of IPv6. From there,they can propose appropriate solutions to eliminate or mitigatedamage when attacks occur.
|
|
|
Evaluation of rte_flow Network Interface Cards Support
Šuráň, Jakub ; Fukač, Tomáš (referee) ; Šišmiš, Lukáš (advisor)
Podpora klasifikačního rozhraní rte_flow se značně liší napříč různými síťovými kartami. Tato bakalářská práce se zabývá procesem testování této podpory. Hlavním cílem je vyvinout nástroje, které umožní provádět testování systematicky a automatizovaně. K tomuto účelu jsou využity dva přístupy. Ten první je založen na postupném nahrávání rte_flow pravidel do síťové karty a následném sbírání podporovaných vlastností z úspěšných pokusů. Ty jsou na konci využity k vytvoření závěrečného shrnutí. Druhý přístup naopak ověřuje, že jednotlivá pravidla opravdu mají očekávané efekty na pakety zpracovávané kartou. Každý z těchto přístupů byl následně transformován do podoby spustitelného nástroje. Oba byly aplikovány a otestovány na několika síťových kartách od společností Intel a NVIDIA. Zároveň byly výstupy obou z nich použity na vzájemné porovnání podpory rte_flow rozhraní na těchto síťových kartách.
|
|
|
Industrial Network Security Module
Kuchař, Karel ; Holasová, Eva
This article is focused on a fast and efficient evaluation method of communication of theModbus/TCP protocol. Modbus/TCP does not implement authentication or communication encryption.Therefore, a Modbus Security module was created, which allows sniffing specific network trafficand parsing particular information from the packets. This information is stored in the database usingPostgreSQL on each master and slave station. It evaluates whether there is an attack on the networkby comparing information in individual databases. There is an additional authentication of individualstations using the created SSH connection between databases. Everything is visualised using theGrafana tool.
|
guest ::
