Закодировав данные в пакетах, ошибочно пересылаемых некоторыми протоколами в оба сегмента сети, можно обойти изоляцию.
Реализованная в современных маршрутизаторах программная изоляция сети не так надежна, как принято считать. Специалисты университета имени Бен-Гуриона в Негеве (Израиль) обнаружили в устройствах TP-Link, D-Link, Edimax и Belkin ряд уязвимостей, позволяющих переносить данные из одного изолированного сегмента сети в другой на одном и том же устройстве. Разработанные ими методы не позволяют извлекать большие объемы данных, однако демонстрируют возможность обхода логических барьеров.
Добиться связи между изолированными сегментами сети можно путем кодирования данных в пакетах, ошибочно пересылаемых некоторыми протоколами в оба сегмента. Представленные исследователями методы работают не на всех протестированных маршрутизаторах. Там, где методы работают, передача данных в обоих направлениях возможна не во всех случаях.
Архитектура маршрутизаторов должным образом не блокирует непосредственную связь между изолированными сегментами сети. Ограниченных разрешений вполне достаточно для передачи сетевого трафика между изолированными сегментами сети.
Как обнаружили исследователи, путем отправки недействительного запроса DHCP на некоторых маршрутизаторах можно вызвать ответ-отказ (NAK), который будет отправлен и гостевой сети, и сети-хосту. Некоторые пакеты DHCP имеют непривычный заголовок, включающий 0.0.0.0 и 255.255.255.255 как адрес источника и пути назначения соответственно. Благодаря этому, закодировав данные в 32-битном поле ID транзакции, можно передать их в обе сети.
Метод также срабатывает с протоколом управления групповой передачей данных Internet Group Management Protocol (IGMP). Когда участник покидает группу, информация об этом передается в поле Group IP запроса. IGMP проверяет оставшихся участников, отправляя всем подключенным интерфейсам запрос с полем Group IP, которое может заполнить атакующий.
Еще один метод предполагает использование протокола Address Resolution Protocol (ARP), позволяющий находить в сети MAC-адреса по IP. Когда клиент отправляет ARP-запрос на получение MAC-адреса устройства с определенным IP-адресом, он получает ответ, содержащий все запрашиваемые данные.
Некоторые маршрутизаторы отправляют ARP-запросы в виде пакетов, доставляемых гостевой сети и сети-хосту. Злоумышленник может воспользоваться этой особенностью для передачи данных между изолированными частями сети.
