Počítače Okna Internet
Rozšířit
Domov

Jako muž uprostřed. Podmínky. Injekce škodlivého kódu

V tomto článku se pokusíme přijít na teorii útoků typu man-in-the-middle a některé praktické body, které pomohou těmto typům útoků předcházet. To nám pomůže porozumět riziku, které takovéto narušení představuje pro naše soukromí, protože útoky MitM nám umožňují narušovat komunikaci a naslouchat našim rozhovorům.

Pochopení toho, jak funguje internet

Abyste pochopili útok typu man-in-the-middle, musíte nejprve pochopit, jak funguje samotný internet. Hlavní body interakce: klienti, routery, servery. Nejběžnějším komunikačním protokolem mezi klientem a serverem je Hypertext Transfer Protocol (HTTP). Surfování po webu pomocí prohlížeče, e-mail, rychlé zasílání zpráv – to vše přes HTTP.

Když zadáte do adresního řádku prohlížeče, klient (vy) odešle požadavek na zobrazení webové stránky na server. Paket (požadavek HTTP GET) je odeslán přes několik směrovačů na server. Server poté odpoví webovou stránkou, která je odeslána klientovi a zobrazena na jeho monitoru. Zprávy HTTP musí být přenášeny v zabezpečeném režimu, aby byla zajištěna důvěrnost a anonymita.

Obrázek 1. Interakce klient-server

Zabezpečení komunikačního protokolu

Zabezpečený komunikační protokol musí mít každou z následujících vlastností:

  1. Soukromí- Zprávu si může přečíst pouze určený příjemce.
  2. Pravost- je prokázána totožnost spolupracujících stran.
  3. Integrita- potvrzení, že zpráva nebyla při přepravě změněna.

Pokud není dodrženo alespoň jedno z těchto pravidel, je ohrožen celý protokol.

Man-in-the-middle útok přes protokol HTTP

Útočník může snadno provést útok typu man-in-the-middle pomocí techniky zvané ARP spoofing. Kdokoli ve vaší síti Wi-Fi vám může poslat falešný paket ARP, což způsobí, že veškerý provoz nevědomky pošlete přes útočníka místo routeru.

Poté útočník převezme plnou kontrolu nad provozem a může sledovat požadavky odeslané oběma směry.

Obrázek 2. Schéma útoku typu Man-in-the-middle


Aby se takovým útokům zabránilo, byla vytvořena zabezpečená verze protokolu HTTP. Transport Layer Security (TLS) a jeho předchůdce Secure Socket Layer (SSL) jsou kryptografické protokoly, které poskytují zabezpečenou komunikaci po síti. Proto se zabezpečený protokol bude nazývat HTTPS. Jak funguje zabezpečený protokol, můžete zjistit zadáním do adresního řádku prohlížeče (všimněte si S v https).

Man-in-the-middle útok na špatně implementované SSL

Moderní SSL používá dobrý šifrovací algoritmus, ale nezáleží na tom, pokud není implementován správně. Pokud se hackerovi podaří požadavek zachytit, může jej změnit odstraněním písmene „S“ z požadované adresy URL, a tím obejít SSL.

Takové zachycení a úprava požadavku lze zaznamenat. Pokud například požadujete https://login.yahoo.com/ a odpověď je http://login.yahoo.com/ , mělo by to vyvolat podezření. V době psaní tohoto článku takový útok skutečně funguje na e-mailové službě Yahoo.

Obrázek 3. Zachycení a úprava požadavku


Aby se takovému útoku zabránilo, mohou servery implementovat HTTP Strict Transport Security (HSTS), mechanismus, který vynucuje vynucené zabezpečené připojení přes protokol HTTPS. V tomto případě, pokud útočník upraví požadavek odstraněním „S“ z adresy URL, server stále přesměruje uživatele pomocí přesměrování 302 na stránku se zabezpečeným protokolem.

Obrázek 4. Schéma provozu HSTS


Tento způsob implementace SSL je zranitelný vůči jinému typu útoku – útočník vytvoří SSL připojení k serveru, ale přiměje uživatele k použití HTTP.

Obrázek 5. Schéma útoku pro HSTS


Aby se takovým útokům zabránilo, moderní prohlížeče jako Chrome, Firefox a Tor monitorují weby, které používají HSTS, a vynucují s nimi připojení SSL na straně klienta. V tomto případě bude muset útočník provádějící útok typu man-in-the-middle vytvořit SSL spojení s obětí.

Obrázek 6. Schéma útoku, kdy útočník naváže SSL spojení s obětí


Aby bylo možné zabezpečit SLL připojení k uživateli, musí útočník vědět, jak se chovat jako server. Pojďme pochopit technické aspekty SSL.

Porozumění SSL

Z pohledu hackera kompromitace jakéhokoli komunikačního protokolu spočívá v nalezení slabého článku mezi výše uvedenými komponentami (soukromí, autenticita a integrita).

SSL používá asymetrický šifrovací algoritmus. U symetrického šifrování je problém v tom, že k šifrování a dešifrování dat se používá stejný klíč, tento přístup není přijatelný pro internetové protokoly, protože útočník může tento klíč vysledovat.

Asymetrické šifrování na druhé straně zahrnuje 2 klíče pro každou stranu: veřejný klíč používaný k šifrování a soukromý klíč používaný k dešifrování dat.

Obrázek 7. Práce veřejného a soukromého klíče

Jak SSL poskytuje tři vlastnosti potřebné pro zabezpečenou komunikaci?

  1. Protože se k šifrování dat používá asymetrická kryptografie, SSL poskytuje soukromé připojení. Toto šifrování není tak snadné prolomit a zůstat bez povšimnutí.
  2. Server prokazuje svou legitimitu zasláním SSL certifikátu klientovi vydaného certifikační autoritou, důvěryhodnou třetí stranou.

Pokud se útočníkovi nějakým způsobem podaří certifikát získat, může vytvořit podmínky pro útok typu man-in-the-middle. Vytvoří tedy 2 spojení – se serverem a s obětí. Server si v tomto případě myslí, že útočníkem je normální klient, a oběť nemá jak útočníka identifikovat, protože poskytla certifikát prokazující, že je server.

Vaše zprávy se dostávají a přicházejí v zašifrované podobě, ale procházejí řetězcem přes počítač kyberzločince, kde má plnou kontrolu.

Obrázek 8. Schéma útoku, pokud má útočník certifikát


Certifikát nemusí být padělaný, pokud má útočník schopnost kompromitovat prohlížeč oběti. V tomto případě může vložit certifikát s vlastním podpisem, který bude ve výchozím nastavení důvěryhodný. Takto je implementována většina útoků typu man-in-the-middle. Ve složitějších případech musí hacker jít jinou cestou – zfalšovat certifikát.

Problémy certifikačních autorit

Certifikát odeslaný serverem je vydán a podepsán certifikační autoritou. Každý prohlížeč má seznam důvěryhodných certifikačních autorit a můžete je přidat nebo odebrat. Problém je v tom, že pokud se rozhodnete odebrat velké autority, nebudete moci navštěvovat stránky, které používají certifikáty podepsané těmito autoritami.

Certifikáty a CA byly vždy nejslabším článkem HTTPS připojení. I když bylo vše správně implementováno a každá certifikační autorita má solidní autoritu, je stále těžké smířit se s tím, že musíte důvěřovat mnoha třetím stranám.

Dnes existuje více než 650 organizací schopných vydávat certifikáty. Pokud útočník některý z nich hackne, získá certifikáty, které chce.

I když existovala pouze jedna certifikační autorita, VeriSign, nastal problém – lidé, kteří měli zabránit útokům typu man-in-the-middle, prodávali odposlechové služby.

Mnoho certifikátů bylo také vytvořeno hackerskými certifikačními autoritami. Byly použity různé techniky a triky, jak donutit napadeného uživatele věřit podvodným certifikátům.

Kriminalistika

Protože útočník posílá falešné ARP pakety, nevidíte jeho IP adresu. Místo toho je třeba věnovat pozornost MAC adrese, která je specifická pro každé zařízení v síti. Pokud znáte MAC adresu svého routeru, můžete ji porovnat s MAC adresou výchozí brány a zjistit, zda je to skutečně váš router nebo narušitel.

Například v systému Windows můžete pomocí příkazu ipconfig v příkazovém řádku (CMD) zobrazit IP adresu vaší výchozí brány (poslední řádek):

Obrázek 9 Použití příkazu ipconfig


Poté pomocí příkazu arp -a zjistěte MAC adresu této brány:

Obrázek 10. Použití příkazu arp –a


Existuje ale i jiný způsob, jak si útok všimnout – pokud jste sledovali síťovou aktivitu v době, kdy začal, a sledovali pakety ARP. K tomuto účelu můžete použít například Wireshark, tento program vás upozorní, pokud se změnila MAC adresa výchozí brány.

Poznámka: Pokud útočník správně podvrhne MAC adresy, bude velký problém ho vystopovat.

Závěr

SSL je protokol, který nutí útočníka k provedení útoku. Ale neochrání vás před útoky sponzorovanými vládou nebo kvalifikovanými hackerskými organizacemi.

Úkolem uživatele je chránit svůj prohlížeč a počítač, aby zabránil vložení falešného certifikátu (velmi častá technika). Měli byste také věnovat pozornost seznamu důvěryhodných certifikátů a odstranit ty, kterým nedůvěřujete.

Označuje situaci, kdy je útočník schopen číst a libovolně upravovat zprávy vyměňované korespondenty a nikdo z nich nemůže odhadnout jeho přítomnost v kanálu.


Nadace Wikimedia. 2010 .

Podívejte se, co je „Muž uprostřed (útok)“ v jiných slovnících:

    Man in the middle attack, MITM útok (angl. Man in the middle) je termín v kryptografii, který označuje situaci, kdy je kryptoanalytik (útočník) schopen číst a upravovat zprávy vyměňované dle libosti ... ... Wikipedia

    - ... Wikipedie

    Kryptoanalýza (z řeckého κρυπτός skrytý a analýza) je věda o metodách pro získání počáteční hodnoty zašifrovaných informací bez přístupu k tajné informaci (klíči), která je k tomu nezbytná. Ve většině případů to znamená ... ... Wikipedii

    Hackerský útok v užším slova smyslu je v současné době chápán pod slovním spojením „Útok na bezpečnostní systém“ a má tendenci být více podobný významu následujícího termínu Crackerský útok. Stalo se tak kvůli zkreslení významu slova „hacker“ ... Wikipedie

    - (z jiného řeckého κρυπτός skrytý a rozbor) nauka o metodách dešifrování zašifrovaných informací bez klíče určeného k takovému dešifrování. Termín zavedl americký kryptograf William F. Friedman v roce 1920. Neformálně ... ... Wikipedie

Attack "man in the middle" (angl. Man in the middle, MitM-attack) - termín v kryptografii označující situaci, kdy je útočník schopen číst a upravovat zprávy vyměňované korespondenty dle libosti a žádný z nich nemůže hádat o jeho přítomnosti v kanálu.

Způsob kompromitování komunikačního kanálu, při kterém útočník po připojení ke kanálu mezi protistranami aktivně zasahuje do přenosového protokolu, maže, zkresluje informace nebo vnucuje nepravdivé informace.

Princip útoku:

Řekněme, že objekt „A“ plánuje odeslat nějaké informace objektu „B“. Objekt "C" má znalosti o struktuře a vlastnostech použité metody přenosu dat, stejně jako o skutečnosti plánovaného přenosu aktuální informace, kterou "C" plánuje zachytit.

K provedení útoku je "C" "reprezentováno" objektu "A" jako "B" a objektu "B" jako "A". Objekt "A", mylně se domnívající, že posílá informace "B", je posílá do objektu "C".

Objekt "C" po obdržení informací a provedení některých akcí s nimi (například zkopírování nebo úprava pro vlastní účely) odešle data samotnému příjemci - "B"; objekt "B" se zase domnívá, že informace obdržel přímo od "A".

Příklad útoku MitM:

Předpokládejme, že Alice má finanční potíže a pomocí programu pro rychlé zasílání zpráv se rozhodne požádat Johna o částku peněz zasláním zprávy:
Alice: Johne, ahoj!
Alice: Zašlete prosím šifrovací klíč, existuje malý požadavek!
John: Ahoj! Počkej!

Ale v tu chvíli pan X, který si při analýze provozu pomocí čichače všiml této zprávy a slov „šifrovací klíč“, vzbudil zvědavost. Proto se rozhodl zachytit následující zprávy a nahradit je údaji, které potřeboval, a když obdržel následující zprávu:
John: Zde je můj klíč: 1111_D

Změnil Johnův klíč za svůj a poslal Alici zprávu:
John: Zde je můj klíč: 6666_M

Alice, která si neuvědomuje a myslí si, že je to Johnův klíč, používá soukromý klíč 6666_M, posílá zašifrované zprávy Johnovi:
Alice: Johne, mám potíže a naléhavě potřebuji peníze, převeďte prosím 300 $ na můj účet: Z12345. Děkuji. p.s. Můj klíč: 2222_A

Po obdržení zprávy ji Mister-X dešifruje pomocí svého klíče, přečte si ji a s radostí změní Alicino číslo účtu a šifrovací klíč na své vlastní, zašifruje zprávu klíčem. 1111_D a pošle Johnovi zprávu:
Alice: Johne, mám problémy a naléhavě potřebuji peníze, převeďte prosím 300 $ na můj účet: Z67890. Děkuji. p.s. Můj klíč: 6666_A

Po obdržení zprávy ji John dešifruje pomocí klíče. 1111_D a bez pochyby převede peníze na účet Z67890...

A tak si pan X vydělal 300 dolarů pomocí útoku typu man-in-the-middle, ale Alice teď musí vysvětlit, že peníze nedostala... A John? John musí Alici dokázat, že je poslal...

Implementace:

Podobný typ útoku se používá v některých softwarových produktech pro naslouchání v síti, například:
NetStumbler- program, pomocí kterého můžete shromáždit mnoho užitečných dat o bezdrátové síti a vyřešit některé problémy spojené s jejím provozem. NetStumbler vám umožňuje určit dosah sítě a pomůže vám přesně nasměrovat anténu pro komunikaci na velké vzdálenosti. U každého nalezeného přístupového bodu lze zjistit MAC adresu, odstup signálu od šumu, název služby a stupeň jejího zabezpečení. Pokud provoz není šifrován, bude užitečná schopnost programu detekovat neoprávněná připojení.

dsniff- je sada programů pro síťový audit a kontrolu penetrace, poskytuje pasivní monitorování sítě pro vyhledávání zájmových dat (hesla, e-mailové adresy, soubory atd.), zachycování síťového provozu, který je běžně pro analýzu nepřístupný (např. , na přepínané síti), stejně jako možnost organizovat útoky MITM k zachycení relací SSH a HTTPS využitím nedostatků PKI.

Kain a Ábel- bezplatný program, který vám umožní obnovit ztracená hesla pro operační systémy rodiny Windows. Je podporováno několik režimů obnovy: prolomení hrubou silou, výběr slovníku, zobrazení hesel skrytých hvězdičkami atd. K dispozici jsou také možnosti detekce hesel zachycením informačních paketů a jejich následnou analýzou, záznamem síťové konverzace, analýzou mezipaměti a dalšími.

Ettercap- je sniffer, zachycovač paketů a registrátor pro místní ethernetové sítě, který podporuje aktivní i pasivní analýzu mnoha protokolů, stejně jako "házení" vlastních dat do existujícího připojení a filtrování "za běhu" bez narušení synchronizace připojení. Program umožňuje zachytit SSH1, HTTPS a další zabezpečené protokoly a poskytuje možnost dešifrovat hesla pro následující protokoly: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA- sada utilit pro hodnocení bezpečnosti bezdrátových klientů, je bezdrátový sniffer, který pasivním nasloucháním rámcům 802.11 Probe Request umožňuje odhalit klienty a jejich preferované/důvěryhodné sítě. Pro jednu z požadovaných sítí pak lze vytvořit falešný přístupový bod, ke kterému se automaticky připojí. Falešné služby na vysoké úrovni lze použít ke krádeži osobních údajů nebo zneužití zranitelnosti na straně klienta na hostiteli.

airjack- sada programů, která je podle odborníků v oblasti WiFi hackingu tím nejlepším nástrojem pro generování různých 802.11 rámců. AirJack obsahuje řadu utilit určených k detekci skrytého ESSID, odesílání rámců ukončení relace s falešným MAC, provádění útoků MitM a jeho úpravy.

opozice:

Aby se zabránilo útokům tohoto typu, stačí, aby si účastníci „A“ a „B“ vzájemně přenesli digitální podpisy veřejných šifrovacích klíčů pomocí spolehlivého kanálu. Poté při porovnávání podpisů klíčů v šifrovacích relacích bude možné zjistit, kterým klíčem byla data zašifrována a zda byly klíče podvrženy.

Útok typu man-in-the-middle je obecný název pro různé techniky zaměřené na získání přístupu k provozu jako prostředníka. Vzhledem k široké škále těchto technik je problematické implementovat jediný nástroj pro detekci těchto útoků, který by fungoval pro všechny možné situace. Například při útoku typu man-in-the-middle na lokální síť se běžně používá ARP spoofing (otrava). A mnoho nástrojů pro detekci útoků typu man-in-the-middle sleduje změny páru ethernetových adres / nebo hlásí podezřelou aktivitu ARP pasivním monitorováním požadavků/odpovědí ARP. Ale pokud je tento útok použit na zlomyslně nakonfigurovaný proxy server, VPN nebo jiné možnosti, když se nepoužívá otrava ARP, pak jsou takové nástroje bezmocné.

Účelem této části je podívat se na některé techniky pro detekci útoků typu man-in-the-middle a také na některé nástroje určené k určení, zda jste pod útokem MitM. Vzhledem k rozmanitosti metodologií a implementačních scénářů nelze zaručit 100% detekci.

1. Detekce modifikace provozu

Jak již bylo zmíněno, spoofing ARP se v útocích typu man-in-the-middle vždy nepoužívá. Proto, zatímco detekce aktivity na úrovni ARP je nejoblíbenější metodou detekce, detekce změn provozu je obecnější metodou. S tím nám může pomoci program mitmcanary.

Princip programu spočívá v tom, že dělá "kontrolní" požadavky a ukládá přijaté odpovědi. Poté v určitých intervalech opakuje stejné požadavky a porovnává obdržené odpovědi. Program je poměrně inteligentní a aby se vyhnul falešným poplachům, detekuje dynamické prvky v odpovědích a správně je zpracovává. Jakmile program zaznamená stopy aktivity nástrojů pro útoky MitM, podá o tom zprávu.

Příklady toho, jak mohou některé nástroje „zdědit“:

  • MITMf ve výchozím nastavení změní všechny adresy URL HTTPS v kódu HTML na HTTP. Zjištěno porovnáním obsahu HTTP.
  • Zarp + MITMProxy , MITMProxy má funkci, která umožňuje vymazat kompresi HTTP, používá se pro transparentnost přenášeného provozu, tento balíček je detekován vymizením dříve přítomné komprese
  • Responder , detekovaný náhlými změnami v překladu odpovědi mDNS: neočekávaná odpověď; odezva je vnitřní, ale očekává se vnější; odezva je jiná než očekávaná IP
  • MITMCanary vs MITMF:

  • MITMCanary vs Responder:

  • MITMCanary vs Zarp + MITMProxy:

sudo pip install Cython sudo apt-get install python-kivy python-dbus sudo pip install plyer uuid požadavek na analýzu urlopen simplejson datetime git clone https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Jak již bylo zmíněno, práce mitmcanary musí být zahájena kontrolními požadavky. Chcete-li to provést, přejděte do adresáře

cd servis/

A spusťte soubor setup_test_persistence.py:

Python2 setup_test_persistence.py

Bude to chvíli trvat - počkejte až do konce. Neměly by se zobrazovat žádné chybové zprávy (pokud ano, pak vám chybí některé závislosti).

Výstupem bude něco takového:

[e-mail chráněný]:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Zjištěna starší verze konfigurace (0 místo 14) Probíhá aktualizace konfigurace. Spuštěn záznam o čištění. Analýza... Čištění dokončeno! Záznam přihlášení /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (výchozí, 1. září 2016, 20:27:38)

Po dokončení tohoto procesu ve stejném adresáři spusťte (tím se spustí proces na pozadí):

Python2 main.py

Poté otevřete nové okno terminálu a přejděte do kořenového adresáře pomocí mitmcanary. Můj adresář je bin/mitmcanary/, takže zadám

cd bin/mitmcanary/

a tam provést:

Python2 main.py

V prvním okně se zobrazí něco jako:

[e-mail chráněný]:~/bin/mitmcanary/service$ python2 main.py Přihlášení k záznamu /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (výchozí, 1. září 2016, 20:27 :38) pomocí pro poslech ze zásuvky pro Tuio na 127.0.0.1:3000 Spánek 60 sekund Spánek 60 sekund Spánek 60 sekund Spánek 60 sekund Spánek 60 sekund Spánek 60 sekund

Tito. program provádí kontrolní požadavky jednou za minutu a hledá v nich známky útoku typu man-in-the-middle.

Ve druhém okně je také výstup + otevře se tmavé okno, autoři programu toto okno nazývají „grafické rozhraní“:

Můžete chvíli počkat, surfovat po internetu, abyste se ujistili, že program nevydává žádné falešné výstrahy.

Vyzkoušíme klasický program Ettercap.

Provádím běžný útok MitM s ARP spoofingem. mitmcanary na samotné leptání nereaguje. Nástroj mitmcanary generuje provoz sám, to znamená, že není vyžadována žádná akce uživatele. Po nějaké době se objeví jediné varování, které se při dalších dalších kontrolách nepotvrdí. Ale stejné varování se objeví po několika minutách. Bez dodatečné analýzy je pro mě těžké říci, zda se jedná o příklad falešně pozitivního výsledku - je to velmi podobné. Je možné, že toto varování je způsobeno selháním připojení kvůli potřebě provozu procházet dalšími trasami nebo zvláštnostmi mého špatného připojení k internetu.

Protože výsledek není zřejmý (spíše „ne“ než „ano“), pak zkusme program Bettercap, který má různé moduly. Nepochybuji o tom, že při použití různých zásuvných modulů Ettercap a / nebo doplňkových programů pro rozšíření funkčnosti bychom se „rozsvítili“ i pro mitmcanary.

Pro čistotu experimentu restartuji zařízení, spustím mitmcanary na napadeném stroji a Bettercap na útočícím. Zároveň není nutné na napadeném stroji znovu zadávat kontrolní požadavky - jsou uloženy v souboru uvnitř adresáře s programem. Tito. stačí spustit službu a grafické rozhraní.

A v útočícím stroji spustíme Bettercap s povolenými analyzátory:

Sudocap -X

Objevují se samostatná varování, která také vypadají spíše jako falešně pozitivní.

Ale spuštění tohoto příkazu:

sudo bettercap -X --proxy

Na napadeném stroji způsobí velké množství varování o možném útoku typu man-in-the-middle:

Takže čím funkčnější je nástroj pro útok typu man-in-the-middle, tím více stop zanechává v provozu. Pro praktické použití mitmcanary musí být splněny následující podmínky:

  • provádět počáteční požadavky v důvěryhodné síti, když jste si jisti, že při přenosu provozu není žádný prostředník;
  • upravovat zdroje, na které jsou zadávány požadavky na ověření, protože profesionální útočník může k výjimkám přidat výchozí zdroje, díky nimž bude pro tento nástroj neviditelný.

2. Detekce ARP spoofingu (arp cache poisoning)

Útok typu man-in-the-middle na místní síť velmi často začíná otravou ARP. Proto je mnoho nástrojů určených k detekci útoků MitM založeno na mechanismu sledování změn v ARP cache, ve kterém jsou přiřazeny korespondence mezi Ethernetem (MAC adresami) a IP adresami.

Příklady takových programů zahrnují arpwatch , arpalert a velké množství nových programů. Program ArpON změny ARP cache nejen hlídá, ale také ji před nimi chrání.

Jako příklad spusťte arpwatch v režimu ladění, bez vytváření fork na pozadí a odesílání zpráv poštou. Místo toho jsou zprávy odesílány na stderr (standardní chybový výstup).

sudo /usr/sbin/arpwatch -d

Na útočícím stroji spusťte Ettercap a spusťte ARP spoofing. Na napadeném stroji pozorujeme:

Program arpwatch vám pomůže rychle zjistit nová zařízení připojená k vaší místní síti a také změny v mezipaměti ARP.

Dalším nástrojem pro detekci ARP spoofingu v reálném čase je plugin od samotného Ettercapu nazvaný arp_cop. Na napadeném počítači spusťte Ettercap následovně:

sudo ettercap -TQP arp_cop ///

A co se týče útočníka, začněme ARP-etching. Na napadeném stroji se okamžitě začnou objevovat varování:

3. Detekce falšování DNS

DNS spoofing znamená, že mezi vámi a cílem existuje prostředník, který může upravit váš provoz. Jak můžete zjistit, že záznamy DNS byly podvrženy? Nejjednodušší způsob, jak to udělat, je porovnat s odpověďmi jmenného serveru, kterému důvěřujete. Koneckonců, záznamy v odpovědi zaslané na vaši žádost lze také nahradit ...

Tito. musíte zkontrolovat buď přes šifrovaný kanál (například přes Tor), nebo použít nestandardní nastavení (jiný port, TCP místo UDP). Program sans od XiaoxiaoPu je k tomu určen přibližně (alespoň, jak to chápu). Podařilo se mi pomocí tohoto programu přesměrovat DNS dotazy přes Tor a přes nestandardní nastavení na můj DNS server. Nikdy se mi ale nepodařilo přimět ji, aby mi ukazovala zprávy o falšování odpovědi DNS. A bez toho se smysl programu ztrácí.

Nenašel jsem lepší alternativy.

V zásadě, vzhledem k tomu, že DNS spoofers obvykle monitoruje pouze port 53 a pouze protokol UDP, stačí i ručně jednoduše zkontrolovat skutečnost DNS spoofingu, ačkoli to vyžaduje vlastní DNS server s nestandardní konfigurací. Například na útočícím stroji jsem vytvořil soubor dns.conf s následujícím obsahem:

Místní mi-al.ru

Tito. při požadavku na DNS záznam pro stránku mi-al.ru bude namísto skutečné IP odeslána IP útočníkova stroje.

Běžím na útočícím stroji:

sudo bettercap --dns dns.conf

A u napadeného dělám dvě kontroly:

Dig mi-al.ru # a dig mi-al.ru -p 4560 @185.117.153.79

Výsledek:

[e-mail chráněný]:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; globální možnosti: +cmd ;; dostal odpověď: ;; ->>HLAVIČKA<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 [e-mail chráněný]:~$ dig mi-al.ru -p 4560 @185.117.153.79;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79;; globální možnosti: +cmd ;; dostal odpověď: ;; ->>HLAVIČKA<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

Je vidět, že pro „normální“ DNS dotaz byla odeslána lokální IP 192.168.1.48 a při dotazu DNS na atypickém portu je odeslána správná IP serveru.

Pokud byl server nakonfigurován pro práci s TCP (spíše než UDP), příkaz by vypadal takto:

Dig mi-al.ru -p 4560 + tcp @ 185.117.153.79

Je zřejmé, že chybí nástroj, který by sledoval odpovědi DNS v samotném provozu, dvakrát je porovnal s alternativním zdrojem a spustil poplach v případě falšování.

Abyste se vyhnuli nastavování vlastního vzdáleného DNS, můžete se dotazovat na jmenný server přes Tor. Vzhledem k tomu, že veškerý provoz Tor je šifrovaný, odpovědi DNS přijaté tímto způsobem jsou pro zprostředkovatele příliš obtížné. Pokud Tor ještě není nainstalován, nainstalujte jej.

sudo apt-get install tor

Sudo pacman -S tor

Spusťte službu:

sudo systemctl start tor

Pokud ji potřebujete, přidejte tuto službu do spuštění:

sudo systemctl povolit tor

Otevřít soubor /etc/tor/torrc a přidejte tam následující řádky:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSuffixes .exit, .onion

Pozor na číslo 530. Toto je číslo portu, místo 530 můžete zadat jakýkoli jiný (neobsazený) port. Hlavně si to zapamatujte.

Opět kontrolujeme:

Dig mi-al.ru # a dig mi-al.ru -p 530 @localhost

Nyní zadáme jako server localhost a zapište číslo portu, jak je uvedeno v /etc/tor/torrc.

Jak můžete vidět na následujícím snímku obrazovky, proti počítači, na kterém byla provedena kontrola, je prováděn útok DNS spoofing:

4. Vyhledejte síťová rozhraní v promiskuitním režimu

Pokud má vaše lokální síť (a zvláště pokud se náhle objevilo) zařízení v promiskuitním režimu, je to velmi podezřelé, i když to jasně nenaznačuje útok typu man-in-the-middle.

V tomto režimu umožňuje síťová karta přijímat všechny pakety bez ohledu na to, komu jsou určeny.

V normálním stavu se na ethernetovém rozhraní používá filtrování paketů linkové vrstvy a pokud MAC adresa v cílové hlavičce přijatého paketu neodpovídá MAC adrese aktuálního síťového rozhraní a není vysílána, pak je paket zahozen. . V promiskuitním režimu je filtrování na síťovém rozhraní zakázáno a všechny pakety, včetně těch, které nejsou určeny pro aktuálního hostitele, jsou povoleny do systému.

Většina operačních systémů vyžaduje k aktivaci promiskuitního režimu administrátorská práva. Tito. uvedení síťové karty do promiskuitního režimu je vědomý čin, který může sloužit k čichání.

Pro vyhledávání síťových rozhraní v promiskuitním režimu existuje plugin Ettercap nazvaný search_promisc.

Příklad spuštění pluginu:

sudo ettercap -TQP search_promisc ///

Fungování pluginu není zcela spolehlivé, může docházet k chybám při určování režimu síťového rozhraní.

Závěr

Některé metody útoku typu man-in-the-middle zanechávají mnoho stop a některé (například pasivní hledání přihlašovacích údajů na proxy) je nemožné nebo téměř nemožné odhalit.

Ve kterém útočník, který se připojil ke kanálu mezi protistranami, zasahuje do přenosového protokolu a vymazává nebo zkresluje informace.

Princip útoku

Útok obvykle začíná poslechem komunikačního kanálu a končí tím, že se kryptoanalytik snaží zachycenou zprávu nahradit, extrahovat z ní užitečné informace a přesměrovat ji na nějaký externí zdroj.

Předpokládejme, že objekt A plánuje odeslat nějaké informace objektu B. Objekt C má znalosti o struktuře a vlastnostech použité metody přenosu dat, stejně jako o tom, že plánovaný přenos skutečných informací, které C plánuje zachytit. K provedení útoku se C „objeví“ objektu A jako B a objektu B jako A. Objekt A, který se mylně domnívá, že posílá informace B, je pošle objektu C. Objekt C poté, co obdržel informace a provádění některých akcí s ním (například kopírování nebo úpravy pro vlastní účely) odesílá data samotnému příjemci - B; objekt B se zase domnívá, že informace obdržel přímo od A.

Příklad útoku

Injekce škodlivého kódu

Útok typu man-in-the-middle umožňuje kryptoanalytikovi vložit svůj kód do e-mailů, příkazů SQL a webových stránek (tj. umožňuje vkládání SQL, vkládání HTML/scriptů nebo útoky XSS) a dokonce modifikuje binární soubory nahrané uživatelem. za účelem přístupu k uživatelskému účtu nebo změny chování programu staženého uživatelem z internetu.

Downgrade útok

Pojem „downgrade Attack“ označuje takový útok, při kterém kryptoanalytik nutí uživatele používat méně bezpečné funkce, protokoly, které jsou stále podporovány z důvodu kompatibility. Tento typ útoku lze provést na protokolech SSH, IPsec a PPTP.

Pro ochranu před útokem na nižší verzi je třeba deaktivovat nezabezpečené protokoly alespoň na jedné straně; pouze podpora a používání zabezpečených protokolů ve výchozím nastavení nestačí!

SSH V1 místo SSH V2

Útočník se může pokusit změnit parametry připojení mezi serverem a klientem, když je mezi nimi navázáno spojení. Podle přednášky na konferenci Blackhat Conference Europe 2003 může kryptoanalytik „přinutit“ klienta zahájit relaci SSH1 namísto relace SSH2 změnou čísla verze „1.99“ relace SSH na „1.51“, což znamená použití SSH. V1. Protokol SSH-1 má zranitelnosti, které může kryptoanalytik zneužít.

IPsec

V tomto scénáři útoku kryptoanalytik klame svou oběť, aby si myslela, že relace IPsec nemůže začít na druhém konci (serveru). To způsobí, že zprávy budou předávány explicitně, pokud je hostitelský počítač v režimu vrácení zpět.

PPTP

Ve fázi vyjednávání parametrů relace PPTP může útočník donutit oběť, aby použila méně bezpečnou autentizaci PAP, MSCHAP V1 (to znamená „vrátit se“ z MSCHAP V2 na verzi 1), nebo šifrování nepoužila vůbec.

Útočník může donutit svou oběť, aby zopakovala krok vyjednávání parametru relace PPTP (odeslání paketu Terminate-Ack), ukradla heslo ze stávajícího tunelu a útok zopakovala.

Veřejné komunikační prostředky bez ochrany pravosti, důvěrnosti, dostupnosti a integrity informací

Nejběžnějším komunikačním prostředkem pro tuto skupinu je sociální síť, veřejná e-mailová služba a systém rychlých zpráv. Vlastník zdroje, který poskytuje komunikační službu, má plnou kontrolu nad informacemi vyměňovanými korespondenty a podle vlastního uvážení může kdykoli snadno provést útok.

Na rozdíl od předchozích scénářů založených na technických a technologických aspektech komunikace je v tomto případě útok založen na mentálních aspektech, konkrétně na zakořenění v myslích uživatelů konceptu ignorování požadavků na bezpečnost informací.

Zachrání šifrování?

Zvažte případ standardní transakce HTTP. V tomto případě může útočník poměrně snadno rozdělit původní TCP spojení na dvě nová: jedno mezi sebou a klientem, druhé mezi sebou a serverem. To je poměrně snadné, protože jen velmi zřídka je spojení mezi klientem a serverem přímé a ve většině případů jsou připojeni přes řadu zprostředkujících serverů. Útok MITM lze provést na kterémkoli z těchto serverů.

Pokud však klient a server komunikují přes HTTPS - protokol, který podporuje šifrování - může být také proveden útok typu man-in-the-middle. U tohoto typu připojení se k šifrování požadavků používá TLS nebo SSL, což, jak se zdá, činí kanál zabezpečeným před sniffováním a útoky MITM. Útočník může vytvořit dvě nezávislé relace SSL pro každé připojení TCP. Klient naváže spojení SSL s útočníkem, který zase vytvoří spojení se serverem. Prohlížeč v takových případech obvykle upozorní, že certifikát není podepsán důvěryhodnou certifikační autoritou, ale běžní uživatelé starších prohlížečů toto varování snadno obejdou. Útočník může mít navíc certifikát podepsaný kořenovou CA (například takové certifikáty se někdy používají pro DLP) a negenerovat varování. Kromě toho existuje řada útoků na HTTPS. Protokol HTTPS tedy nelze považovat za bezpečný před útoky MITM ze strany běžných uživatelů. [ ] Existuje řada opatření, která zabraňují některým útokům MITM na weby https, zejména HSTS , který zakazuje používání http připojení z webů, Připínání certifikátů a Připínání veřejného klíče HTTP , které zakazují nahrazování certifikátů.

Detekce útoků MITM

Aby bylo možné detekovat útok typu man-in-the-middle, musí být analyzován síťový provoz. Chcete-li například detekovat útok SSL, měli byste věnovat pozornost následujícím parametrům:

  • IP serveru
  • DNS server
  • certifikát serveru X.509
    • Je certifikát podepsaný sám sebou?
    • Je certifikát podepsán certifikační autoritou?
    • Byl certifikát zneplatněn?
    • Změnil se certifikát v poslední době?
    • Získali stejný certifikát i jiní klienti na internetu?

Implementace útoků MITM

Uvedené programy lze použít k provádění útoků typu man-in-the-middle a také k jejich detekci a testování zranitelnosti systému.

viz také

  • Aspidistra (anglicky) - Britský rádiový vysílač používaný během druhé světové války „invaze“, varianta útoku MITM.
  • Babingtonské spiknutí (anglicky) – spiknutí proti Alžbětě I., během kterého Walsingham zachytil korespondenci.

Jiné útoky

  • „Man in the Browser“ je typ útoku, při kterém je útočník schopen okamžitě změnit parametry transakce, změnit stránky zcela transparentně pro oběť.
  • „Meet-in-the-middle attack“ – kryptografický útok, který stejně jako narozeninový útok využívá kompromisu mezi časem a pamětí.
  • "Ztráta uprostřed" (útok slečna uprostřed) je účinná metoda tzv. nemožné diferenciální kryptoanalýzy.
  • Relay attack – Varianta útoku MITM založená na předání zachycené zprávy platnému příjemci, ale ne zamýšlenému příjemci.
  • Rootkit je program navržený tak, aby skryl stopy přítomnosti vetřelce.

Napište recenzi na článek "Útok zprostředkovatele"

Literatura

Odkazy

  • www.all.net/CID/Attack/Attack74.html
  • www.nag.ru/2003/0405/0405.shtml
  • www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

Úryvek charakterizující útok prostředníka

"Quartire, quartire, logement," řekl důstojník a pohlédl na malého muže se shovívavým a dobromyslným úsměvem. – Les Francais sont de bons enfants. Que diable! Voyony! Ne nous fachons pas, mon vieux, [Apartmány, apartmány... Francouzi jsou dobří chlapi. Sakra, nehádejme se, dědečku.] - dodal a poplácal vyděšeného a tichého Gerasima po rameni.
– Asi! Dites donc, on ne parle donc pas francais dans cette boutique? [No, nemluví tady taky nikdo francouzsky?] dodal, rozhlédl se a setkal se s Pierrovýma očima. Pierre se vzdálil ode dveří.
Důstojník se znovu obrátil ke Gerasimovi. Požadoval, aby mu Gerasim ukázal pokoje v domě.
"Žádný mistře - nerozumím... můj tvůj..." řekl Gerasim a snažil se svá slova objasnit tím, že je pronesl pozpátku.
Francouzský důstojník s úsměvem roztáhl ruce před Gerasimovým nosem, takže měl pocit, že mu také nerozumí, a kulhal ke dveřím, kde stál Pierre. Pierre se chtěl odstěhovat, aby se před ním schoval, ale právě v tu chvíli uviděl Makara Alekseicha, jak se z kuchyňských dveří otevírají s pistolí v rukou. Makar Alekseevič s vychytralostí šílence pohlédl na Francouze, zvedl pistoli a zamířil.
- Na palubu!!! - vykřikl opilec a stiskl spoušť pistole. Francouzský důstojník se s výkřikem otočil a ve stejnou chvíli se Pierre vrhl na opilce. Zatímco Pierre popadl a zvedl pistoli, Makar Alekseich konečně stiskl spoušť prstem a ozval se výstřel, který všechny ohlušil a zalil prachovým kouřem. Francouz zbledl a vrhl se zpátky ke dveřím.
Pierre zapomněl na svůj úmysl neprozradit své znalosti francouzštiny, popadl pistoli a odhodil ji, přiběhl k důstojníkovi a promluvil na něj francouzsky.
- Vous n "etes pas blesse? [Jsi zraněný?] - řekl.
"Je crois que non," odpověděl důstojník a cítil se sám sebou, "mais je l "ai manque belle cette fois ci," dodal a ukázal na oprýskanou omítku ve zdi. "Quel est cet homme? [Zdá se... .. ale jakmile to bylo blízko. Kdo je ten muž?] - podíval se přísně na Pierra, řekl důstojník.
- Ach, je suis vraiment au desespoir de ce qui vient d "příjezd, [Ach, opravdu jsem zoufalý z toho, co se stalo,] - řekl Pierre rychle, úplně zapomněl na svou roli. - C" est un fou, un malheureux qui ne savait pas ce qu "il faisait." [To je nešťastný šílenec, který nevěděl, co dělá.]
Důstojník přistoupil k Makaru Alekseevičovi a chytil ho za límec.
Makar Alekseich s pootevřenými rty, jako by usnul, se zakolísal a opřel se o zeď.
"Brigande, tu me la payeras," řekl Francouz a stáhl ruku.
– Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux traitres, [Loupežníku, za tohle mi zaplatíš. Náš bratr je po vítězství milosrdný, ale zrádcům neodpouštíme,] dodal s ponurou vážností ve tváři a s krásným energickým gestem.
Pierre pokračoval ve francouzštině přesvědčování důstojníka, aby od tohoto opilého, šíleného muže nevymáhal. Francouz mlčky naslouchal, aniž by změnil svůj zachmuřený pohled, a najednou se s úsměvem obrátil k Pierrovi. Několik sekund na něj mlčky hleděl. Jeho hezká tvář nabyla tragicky něžného výrazu a napřáhl ruku.
- Vous m "avez sauve la vie! Vous etes Francais, [Zachránil jsi mi život. Jsi Francouz," řekl. Pro Francouze byl tento závěr nepopiratelný. Jen Francouz mohl udělat velký čin a zachránit si život, m r Ramball „I capitaine du 13 me leger [Monsieur Rambal, kapitán 13. lehkého pluku] byl bezpochyby největší čin.
Ale bez ohledu na to, jak nepochybný byl tento závěr a na něm založené přesvědčení důstojníka, Pierre považoval za nutné ho zklamat.
"Je suis Russe, [jsem Rus]," řekl Pierre rychle.
- Ti ti ti, a d "autres, [řekni to ostatním] - řekl Francouz, zamával si prstem před nosem a usmál se. - Tout a l "heure vous allez me conter tout ca," řekl. – Charme de rencontrer un compatriote. Eh bien! qu "allons nous faire de cet homme? [Teď mi to všechno povíš. Je velmi příjemné potkat krajana. No! co bychom s tím mužem měli dělat?] - dodal a oslovil Pierra, už jako svého bratra. Kdyby jen Pierre nebyl Francouz, který jednou získal tento nejvyšší titul na světě, nemohl by se ho vzdát, řekl výraz ve tváři a tón francouzského důstojníka. Na poslední otázku Pierre ještě jednou vysvětlil, kdo je Makar Alekseich , vysvětlil, že těsně před jejich příjezdem tento opilý nepříčetný muž odtáhl nabitou pistoli, kterou mu nestihli vzít, a požádal, aby jeho čin zůstal bez trestu.
Francouz vystrčil hruď a rukou udělal královské gesto.
- Vous m "avez sauve la vie. Vous etes Francais. Vous me requestez sa grace? Je vous l" souhlasím. Qu "on emmene cet homme, [Zachránil jsi mi život. Jsi Francouz. Chceš, abych mu odpustil? Odpouštím mu. Odnes toho muže," řekl francouzský důstojník rychle a energicky a vzal za paži, co chtěl. se pro záchranu jeho života promluvil do Pierreovy francouzštiny a šel s ním do domu.
Vojáci, kteří byli na dvoře, když slyšeli výstřel, šli do průchodu, ptali se, co se stalo, a vyjádřili svou připravenost potrestat viníky; ale důstojník je tvrdě zastavil.
"Na vous demandera quand on aura besoin de vous, [Když to bude potřeba, budete zavoláni," řekl. Vojáci odešli. Netopýří muž, který byl mezitím v kuchyni, přistoupil k důstojníkovi.
"Kapitáne, je tu polévka a gigot de mouton dans la kuchyně," řekl. - Faut il vous l "apporter? [Kapitán má v kuchyni polévku a pečené jehněčí maso. Chcete to přinést?]
- Oui, et le vin, [Ano, a víno,] - řekl kapitán.

Francouzský důstojník spolu s Pierrem vstoupil do domu. Pierre považoval za svou povinnost znovu ujistit kapitána, že není Francouz, a chtěl odejít, ale francouzský důstojník o tom nechtěl ani slyšet. Byl tak zdvořilý, přívětivý, dobromyslný a opravdu vděčný za záchranu jeho života, že Pierre neměl odvahu ho odmítnout a posadil se s ním na chodbu, do první místnosti, do které vešli. Na Pierrovo tvrzení, že není Francouz, kapitán, očividně nechápající, jak je možné odmítnout tak lichotivý titul, pokrčil rameny a řekl, že pokud určitě chce být známý jako Rus, tak ano, ale že se s ním přesto navždy spojil pocitem vděčnosti za záchranu života.
Kdyby byla tato osoba nadaná alespoň nějakou schopností porozumět pocitům druhých a tušila o Pierrových pocitech, Pierre by ho pravděpodobně opustil; ale živá neprostupnost tohoto muže ke všemu, co nebyl sám, Pierra porazila.
- Francais ou prince russe inkognito, [Francouz nebo ruský princ inkognito,] - řekl Francouz a podíval se na Pierrovo špinavé, ale tenké spodní prádlo a prsten na ruce. - Je vous dois la vie je vous offre mon amitie. Un Francais n "oublie jamais ni une insulte ni un service. Je vous offre mon amitie. Je ne vous dis que ca. [Dlužím ti svůj život a nabízím ti přátelství. Francouz nikdy nezapomene na urážky nebo služby. Nabízím své přátelství k tobě, už neříkám.]
Ve zvucích jeho hlasu, ve výrazu jeho tváře, v gestech tohoto důstojníka bylo tolik dobré povahy a ušlechtilosti (ve francouzském smyslu), že Pierre reagoval nevědomým úsměvem na úsměv Francouze: potřásl nataženou rukou.
- Kapitán Ramball du treizieme leger, decore pour l "affaire du Sept, [kapitán Ramball, třináctý lehký pluk, jezdec Čestné legie pro věc sedmého září,] - představil se se samolibým, neovladatelným úsměvem, který svraštil rty pod knírem. - Voudrez vous bien me dire dárek, a qui "j" ai l "honneur de parler aussi agreablement au lieu de rester a l" ambulance avec la balle de ce fou dans le corps. tak laskavý, že mi teď řekneš, s kým jsem, mám tu čest si tak příjemně popovídat, místo abych byl u obvazové stanice s kulkou toho šílence v těle?]
Pierre odpověděl, že nemůže říct své jméno, a začervenal se a začal se snažit vymyslet jméno, mluvit o důvodech, proč to nemůže říct, ale Francouz ho spěšně přerušil.
"De grace," řekl. - Rozumím vos raisons, vous etes officier ... officier superieur, peut etre. Vous avez porte les armes contre nous. Ce n "est pas mon affaire. Je vous dois la vie. Cela me suffit. Je suis tout a vous. Vous etes gentilhomme? [Dokončete, prosím. Rozumím vám, jste důstojník ... možná štábní důstojník." Sloužil jsi proti nám To není moje věc. Dlužím ti svůj život. To mi stačí a jsem celý tvůj. Jsi šlechtic?] - dodal s náznakem otázky. Pierre naklonil hlavu. - Votre nom de bapteme, s "il vous plait? Je ne náročné pas davantage. Monsieur Pierre, dites vous... Parfait. C "est tout ce que je touha savoir. [Vaše jméno? Na nic jiného se neptám. Pane Pierre, řekl jste? Dobře. To je vše, co potřebuji.]
Když bylo přivezeno pečené jehněčí, míchaná vejce, samovar, vodka a víno z ruského sklepa, které si Francouzi přivezli, požádal Ramball Pierra, aby se této večeře zúčastnil a okamžitě, dychtivě a rychle, jako zdravý a hladový muž, začal jíst, rychle žvýkal svými silnými zuby, neustále mlátil rty a říkal vynikající, vynikající! [úžasné, vynikající!] Obličej měl zrudlý a pokrytý potem. Pierre měl hlad a rád se zúčastnil večeře. Morel, zřízenec, přinesl hrnec s teplou vodou a dal do něj láhev červeného vína. Navíc přinesl láhev kvasu, kterou si odnesl z kuchyně na testování. Tento nápoj znali již Francouzi a dostal jméno. Říkali kvass limonade de cochon (vepřová limonáda) a Morel chválil tuto limonade de cochon, kterou našel v kuchyni. Ale protože kapitán měl víno získané při průjezdu Moskvou, poskytl kvas Morelovi a vzal láhev Bordeaux. Láhev až po hrdlo zabalil do ubrousku a nalil sobě i Pierrovi víno. Ukojení hladu a vína kapitána ještě více oživilo a během večeře nepřestal mluvit.
- Oui, mon cher monsieur Pierre, je vous dois une fiere chandelle de m "avoir sauve ... de cet enrage ... J" en ai assez, voyez vous, de balles dans le corps. En voila une (ukázal na bok) Wagram et de deux a Smolensk, - ukázal jizvu, kterou měl na tváři. - Et cette jambe, comme vous voyez, qui ne veut pas marcher. C "est a la grande bataille du 7 a la Moskowa que j" ai recu ca. Sacre dieu, c "etait beau. Il fallait voir ca, c" etait un deluge de feu. Vous nous avez taille une rude besogne; vous pouvez vous en vanter, nom d "un petit bonhomme. Et, ma parole, malgre l" atoux que j "y ai gagne, je serais pret a recommencer. Je plains ceux qui n" ont pas vu ca. [Ano, můj drahý pane Pierre, jsem povinen zapálit vám dobrou svíčku za to, že jste mě zachránil před tímto šílencem. Vidíte, už mám dost kulek, které mám v těle. Tady je jeden u Wagramu, druhý u Smolenska. A tahle noha, jak vidíš, se nechce hýbat. To je během velké bitvy 7. u Moskvy. Ó! Bylo to úžasné! Měli jste to vidět, byla to záplava ohně. Dali jste nám těžkou práci, můžete se pochlubit. A proboha, i přes tento trumf (ukázal na kříž) bych byl připraven začít znovu. Lituji těch, kteří to neviděli.]
- J "y ai ete, [byl jsem tam] - řekl Pierre.
- Bah, vraiment! Eh bien, tant mieux, řekl Francouz. - Vous etes de fiers ennemis, tout de meme. La grande redoute a ete tenace, nom d "une pipe. Et vous nous l" avez fait cranement payer. J "y suis alle trois fois, tel que vous me voyez. Trois fois nous etions sur les canons et trois fois on nous a culbute et comme des capucins de cartes. Oh!! c" etait beau, monsieur Pierre. Vos granátníci ont ete superbes, tonnerre de Dieu. Je les ai vu šest fois de suite serrer les rangs, et marcher comme a une revue. Les beaux hommes! Notre roi de Neapol, qui s "y connait a cre: bravo! Ach, ach! soldat comme nous autres! - řekl s úsměvem a chvíli mlčel. - Tant mieux, tant mieux, monsieur Pierre. Terribles en bataille . .. galanti ... - mrkl s úsměvem, - avec les belles, voila les Francais, monsieur Pierre, n "est ce pas? [Ba, opravdu? Tím lépe. Musím uznat, že jste úskoční nepřátelé. Velká reduta obstála dobře, sakra. A donutil jsi nás zaplatit draze. Byl jsem tam třikrát, jak vidíte. Třikrát jsme byli na kanónech, třikrát jsme byli sraženi jako kartáři. Vaši granátníci byli skvělí, proboha. Viděl jsem, jak se jejich řady šestkrát uzavřely a jak pochodovaly přesně do průvodu. Úžasní lidé! Náš neapolský král, který v těchto případech psa snědl, na ně křičel: bravo! - Ha, ha, tak ty jsi náš bratr voják! "Tím lépe, tím lépe, monsieur Pierre." Hrozný v bitvě, laskavý ke kráskám, tady jsou Francouzi, monsieur Pierre. Není to ono?]
Kapitán byl do té míry naivně a dobromyslně veselý a z celého srdce a spokojený sám se sebou, že Pierre na sebe málem mrkl a vesele se na něj díval. Pravděpodobně slovo „galantní“ přimělo kapitána přemýšlet o postavení Moskvy.



Nenašli jste odpověď na svou otázku? Podívejte se sem
Aplikace pro nahrávání hlasových poznámek „Pamatuj si všechnoAplikace pro nahrávání hlasových poznámek „Pamatuj si všechno
Don Not Turn Off Target - jak odstranit nápisDon Not Turn Off Target - jak odstranit nápis
Mobilní telefon Explay Power, inženýrské nastavení menu - zvyšte hlasitost hudby, odhalte skryté rezervy a optimalizujte nastaveníMobilní telefon Explay Power, inženýrské nastavení menu - zvyšte hlasitost hudby, odhalte skryté rezervy a optimalizujte nastavení