ARP POISONING
- MITM (Man in the middle): Người tấn công (attacker) sẽ gửi một gói ARP reply với địa chỉ MAC là của chính mình với địa chỉ IP của một máy đích nào đó trong mạng (host, server hay router). Khi máy victim (nạn nhân) nhận được gói ARP reply này sẽ tự động cập nhật lại ARP Table của mình. Khi victim truyền thông tới địa chỉ IP của máy đích trong gói tin ARP vừa mới nhận, thực chất thì dữ liệu sẽ được gửi tới máy của người tấn công.
- DOS (Denial of Service): người tấn công sẽ gửi rất nhiều gói tin ARP reply với địa chỉ đích là một máy server nào đó trong mạng. Lúc này, tất cả các thiết bị đều cập nhật lại ARP Table, vì vậy tất cả các gói tin từ tất cả các máy sẽ được gửi tới máy server, gây nghẽn (quá tải) cho server.
MITM (Man in the middle)
Quá trình tấn công dạng MITM (Man in the middle), hãy theo dõi ví dụ sau:

Trong mô hình trên ta có một switch kết nối với hai máy tính và một router (Router này giúp ta kết nối với mạng Internet). Máy tính ở phía tay trái là máy sử dụng Windows và có nhu cầu kết nối tới Internet, máy tính ở phía trên là máy tính được sử dụng để thực hiện cuộc tấn công.
Khảo sát lưu lượng khi chưa bị tấn công ARP Poisoning
Thu thập địa chỉ MAC và các thông tin chứa trong ARP Table của máy tính phía tay trái và router:

Phía trên, bạn có thể thấy được địa chỉ MAC và địa chỉ IP của máy tính phía tay trái. Địa chỉ IP Gateway là 192.168.1.254 (R1). Dưới đây là ARP Table của máy:

Các thông tin về địa chỉ IP và địa chỉ MAC của router. Bạn có thể tìm kiếm địa chỉ MAC của Router bằng câu lệnh sau:

ARP Table trên router:

Hình dưới đây sẽ cho bạn thấy được đường đi của dữ liệu khi máy phía tay trái truy cập internet:

Khảo sát lưu lượng khi bị tấn công ARP Poisoning
Có rất nhiều tool cung cấp khả năng thực hiện cuộc tấn công ARP poisoning, trong đó một Kali Linux đáng để thử nghiệm – Kali Linux một Linux distribution với nhiều công cụ hỗ trợ bảo mật. Kali có một ứng dụng gọi là Ettercap cung cấp khả năng thực hiện được một cuộc tấn công ARP poisoning.
Nhắc nhở: Các bạn không nên thử nghiệm cuộc tấn công ARP poisoning trên một mô hình thực tế, hãy dựng ra một môi trường thử nghiệm để test thử các công cụ hỗ trợ bảo mật.
Sử dụng công cụ Ettercap trên máy 192.168.1.2. Trước khi chạy Ettercap, chúng ta phải thực hiện một số cấu hình sau. Đầu tiên là fike etter.conf:

Cấu hình giá trị của hai tham số “ec_uid” và “ec_gid” về 0:

Những giá trị này giúp cho Ettercap có thể sử dụng quyền truy cập root để có thể mở những network socket. Ngoài ra, chúng ta còn phải thêm hai 2 rule sau cho file etter.conf:

Sau đó, khởi động Ettercap:

Sau đó bạn sẽ thấy giao diện sau hiện ra:

Mở “Sniff” menu và chọn “Unified sniffing”:

Chọn interface và click “OK”:

Mở “Hosts” menu và chọn “Hosts list”:

Giao diện sau sẽ hiện ra:

Ở trên bạn có thể thấy thông tin của máy phái tay trái (192.168.1.1) và router (192.168.1.254), Chọn “Mitm” menu và chọn ARP poisoning:

Chọn “Sniff remote connections”. Điều này có nghĩa rằng Ettercap gửi các gói ARP Reply giả mạo tới máy victim và router:

Khi Click OK, Ettercap sẽ bắt đầu gửi ARP replies. Bạn có thể bắt gói sử dụng Wireshark:

Hình trên, bạn có thể thấy rằng gói ARP reply được gửi tới máy 192.168.1.1, địa chỉ MAC là của máy tấn công, tuy nhiên, địa chỉ IP lại là của router. Tương tự như vậy, dưới đây là thông tin của gói ARP reply gửi tới router:

Thông tin ở đây là địa chỉ MAC của máy tấn công, địa chỉ IP lại là của máy phía tay trái.
Cả máy phía tay trái và router đều tự động cập nhật lại ARP Table khi nhận được gói ARP reply:


Ở trên, bạn có thể thấy địa chỉ MAC của máy tấn công trong cả máy phía tay trái cũng như router.

Địa chỉ MAC của máy tấn công (ifconfig – Linux)
Và bạn cũng có thể đoán ra được chiều của lưu lượng dữ liệu của máy phía bên tay trái khi truy cập internet:

Như vậy, ta thấy dạng tấn công MITM đã thực hiện thành công, tất cả các lưu lượng của máy tính phía tay trái bây giờ đều đi ngang qua máy của người tấn công.
Kết luận
- Cấu hình ARP tĩnh trên các máy
- DAI (Dynamic ARP Inspection) – chức năng trên các dòng Cisco Catalyst switch.
“Routing Fundamentals – Network Lesson”
NGUYỄN VĂN HUY DŨNG
Don’t compare yourself with anyone in this world…if you do so, you are insulting yourself.
Bill Gates
When something is important enough, you do it even if the odds are not in your favor.