Edu DaLatHub
  • Trang chủ
  • Flutter
  • WordPress Plugin
  • GoLang
  • ReactJS
  • NodeJS
  • Networking
    • Basic Networking
      • ARP
      • ICMP
      • TCP/UDP
    • Routing & Switching
      • RIP
      • OSPF
      • EIGRP
      • Redistribution
      • TSHOOT
      • WAN
Liên hệ

  • By  Nguyễn Văn Huy Dũng
  • 0 comments
  • Tháng Một 12, 2022

ARP POISONING

Nội dung
  • MITM (Man in the middle)
    • Khảo sát lưu lượng khi chưa bị tấn công ARP Poisoning
    • Khảo sát lưu lượng khi bị tấn công ARP Poisoning
    • Kết luận
ARP (Address Resolution Protocol) là giao thức được sử dụng để tìm kiếm địa chỉ MAC từ một địa chỉ IP trong cùng một mạng LAN. Tuy nhiên, quá trình hoạt động của giao thức này khá đơn giản và có những lổ hổng để có thể tấn công, và cách tấn công giao thức này được gọi là ARP poisoning (hay ARP spoofing). ARP poisoning là phương thức tấn công sử dụng bằng cách gửi các gói tin giả mạo gói ARP reply trên mạng. Có 2 dạng tấn công sử dụng ARP poisoning sau đây:
  • MITM (Man in the middle): Người tấn công (attacker) sẽ gửi một gói ARP reply với địa chỉ MAC là của chính mình với địa chỉ IP của một máy đích nào đó trong mạng (host, server hay router). Khi máy victim (nạn nhân) nhận được gói ARP reply này sẽ tự động cập nhật lại ARP Table của mình. Khi victim truyền thông tới địa chỉ IP của máy đích trong gói tin ARP vừa mới nhận, thực chất thì dữ liệu sẽ được gửi tới máy của người tấn công.
  • DOS (Denial of Service): người tấn công sẽ gửi rất nhiều gói tin ARP reply với địa chỉ đích là một máy server nào đó trong mạng. Lúc này, tất cả các thiết bị đều cập nhật lại ARP Table, vì vậy tất cả các gói tin từ tất cả các máy sẽ được gửi tới máy server, gây nghẽn (quá tải) cho server.

MITM (Man in the middle)

Quá trình tấn công dạng MITM (Man in the middle), hãy theo dõi ví dụ sau:

Trong mô hình trên ta có một switch kết nối với hai máy tính và một router (Router này giúp ta kết nối với mạng Internet). Máy tính ở phía tay trái là máy sử dụng Windows và có nhu cầu kết nối tới Internet, máy tính ở phía trên là máy tính được sử dụng để thực hiện cuộc tấn công.

Khảo sát lưu lượng khi chưa bị tấn công ARP Poisoning

Thu thập địa chỉ MAC và các thông tin chứa trong ARP Table của máy tính phía tay trái và router:

Phía trên, bạn có thể thấy được địa chỉ MAC và địa chỉ IP của máy tính phía tay trái. Địa chỉ IP Gateway là 192.168.1.254 (R1). Dưới đây là ARP Table của máy:

Các thông tin về địa chỉ IP và địa chỉ MAC của router. Bạn có thể tìm kiếm địa chỉ MAC của Router bằng câu lệnh sau:

ARP Table trên router:

Hình dưới đây sẽ cho bạn thấy được đường đi của dữ liệu khi máy phía tay trái truy cập internet:

Khảo sát lưu lượng khi bị tấn công ARP Poisoning

Có rất nhiều tool cung cấp khả năng thực hiện cuộc tấn công ARP poisoning, trong đó một Kali Linux đáng để thử nghiệm – Kali Linux một Linux distribution với nhiều công cụ hỗ trợ bảo mật. Kali có một ứng dụng gọi là Ettercap cung cấp khả năng thực hiện được một cuộc tấn công ARP poisoning.

Nhắc nhở: Các bạn không nên thử nghiệm cuộc tấn công ARP poisoning trên một mô hình thực tế, hãy dựng ra một môi trường thử nghiệm để test thử các công cụ hỗ trợ bảo mật.

Sử dụng công cụ Ettercap trên máy 192.168.1.2. Trước khi chạy Ettercap, chúng ta phải thực hiện một số cấu hình sau. Đầu tiên là fike etter.conf:

Cấu hình giá trị của hai tham số “ec_uid” và “ec_gid” về 0:

Những giá trị này giúp cho Ettercap có thể sử dụng quyền truy cập root để có thể mở những network socket. Ngoài ra, chúng ta còn phải thêm hai 2 rule sau cho file etter.conf:

Sau đó, khởi động Ettercap:

Sau đó bạn sẽ thấy giao diện sau hiện ra:

Mở “Sniff” menu và chọn “Unified sniffing”:

Chọn interface và click “OK”:

Mở “Hosts” menu và chọn “Hosts list”:

Giao diện sau sẽ hiện ra:

Ở trên bạn có thể thấy thông tin của máy phái tay trái (192.168.1.1) và router (192.168.1.254), Chọn “Mitm” menu và chọn ARP poisoning:

Chọn “Sniff remote connections”. Điều này có nghĩa rằng Ettercap gửi các gói ARP Reply giả mạo tới máy victim và router:

Khi Click OK, Ettercap sẽ bắt đầu gửi ARP replies. Bạn có thể bắt gói sử dụng Wireshark:

Hình trên, bạn có thể thấy rằng gói ARP reply được gửi tới máy 192.168.1.1, địa chỉ MAC là của máy tấn công, tuy nhiên, địa chỉ IP lại là của router. Tương tự như vậy, dưới đây là thông tin của gói ARP reply gửi tới router:

Thông tin ở đây là địa chỉ MAC của máy tấn công, địa chỉ IP lại là của máy phía tay trái.

Cả máy phía tay trái và router đều tự động cập nhật lại ARP Table khi nhận được gói ARP reply:

Ở trên, bạn có thể thấy địa chỉ MAC của máy tấn công trong cả máy phía tay trái cũng như router.

Địa chỉ MAC của máy tấn công (ifconfig – Linux)

Và bạn cũng có thể đoán ra được chiều của lưu lượng dữ liệu của máy phía bên tay trái khi truy cập internet:

Như vậy, ta thấy dạng tấn công MITM đã thực hiện thành công, tất cả các lưu lượng của máy tính phía tay trái bây giờ đều đi ngang qua máy của người tấn công.

Kết luận

ARP poisoning là một dạng tấn công mà chúng ta không muốn gặp trên hệ thống mạng của chúng ta. Vậy làm sao để có thể ngăn chặn được cuộc tấn công dạng này? Bạn có thể sử dụng một số cách sau:
  • Cấu hình ARP tĩnh trên các máy
  • DAI (Dynamic ARP Inspection) – chức năng trên các dòng Cisco Catalyst switch.

“Routing Fundamentals – Network Lesson”

NGUYỄN VĂN HUY DŨNG

Tags:
ARP, Basic Networking, Networking

Leave a Comment Cancel Reply

Your email address will not be published.*

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

Don’t compare yourself with anyone in this world…if you do so, you are insulting yourself.

Bill Gates

When something is important enough, you do it even if the odds are not in your favor.

Elon Musk

Bài viết mới

  • Lorem Ipsum Sample Content123
  • Lorem Ipsum Sample Content
  • Hello world
  • Hello world
  • Hello world
  • Wide area networks (Phần 2)
  • Wide area networks (Phần 1)
  • Redistribution (Phần Cuối)
  • Redistribution (Phần 1)
  • OSPF – Open Shortest Path First (Phần Cuối)

Nơi chia sẻ về tin công nghệ, các kinh nghiệm lập trình. Xây dựng các khoá đào tạo lập trình, mạng, tin học văn phòng...

Thông tin liên hệ

  • 2/9 Phạm Ngũ Lão, Phường 3, Đà Lạt
  • 0865802659
  • info@dalathub.com

Copyright @ 2022 Edu DaLatHub