KỸ THUẬT GIẢ mạo ARP
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (617.87 KB, 14 trang )
KỸ THUẬT GIẢ MẠO ARP
Giả mạo ARP là một kỹ thuật tấn cơng, mà theo đó kẻ
tấn cơng sẽ gửi mạo danh (“lừa đảo) Address Resolution
Protocol (ARP) trên Local Area Network.
Kỹ thuật giả mạo ARP cho phép kẻ tấn công có thể
chặn dữ liệu trên LAN, thay đổi đường đi, hoặc chặn hồn
tồn truy cập. Thơng thường của tấn cơng này là được sử
dụng để mở ra những tấn công khác như là: tấn công từ
chối dịch vụ, cướp phiên, man-in-the-middle.
Các cuộc tấn cơng chỉ có thể được sử dụng trên các
mạng sử dụng giao thức ARP, và được giới hạn trong các
phân đoạn mạng cục bộ.
SƠ LƯỢC VỀ ĐỊA CHỈ MAC
+Mỗi thiết bị mạng đều
có một địa chỉ vật lý –
địa chỉ MAC (Medium
Access Control
address) và
+ Địa chỉ đó là duy nhất.
+Các thiết bị trong cùng
một mạng thường dùng
địa chỉ MAC để liên lạc
với nhau tại tầng Data
Link của mơ hình OSI.
GIAO THỨC ARP
Giao thức ARP (Address Resolution Protocol) là giao
thức phân giải địa chỉ động, được thiết kế để phục vụ cho
nhu cầu thông dịch các địa chỉ giữa lớp thứ hai (Data Link)
và thứ ba (Network) trong mơ hình OSI.
Lớp thứ hai (Data Link) sử dụng địa chỉ MAC để các thiết
bị phần cứng có thể truyền thơng với nhau một cách trực
tiếp.
Lớp thứ ba (Network) sử dụng địa chỉ IP để tạo các mạng
có khả năng mở rộng trên tồn cầu.
Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải
làm việc với nhau để có thể tạo nên một mạng truyền thơng
Xuất hiện giao thức phân giải địa chỉ ARP (Address
Resolution Protocol).
CƠ CHẾ HOẠT ĐỘNG CỦA ARP
ARP về cơ bản là một quá trình 2 chiều
Request/Response giữa các thiết bị trong cùng mạng nội
bộ.
+ Thiết bị nguồn yêu cầu (request) bằng cách gửi một
bản tin broadcast trên tồn mạng.
+Thiết bị đích sẽ trả lời (response) bằng một bản tin
unicast đến thiết bị nguồn.
Một thiết bị IP trong mạng gửi một gói tin broadcast đến
toàn mạng để yêu cầu các thiết bị khác gửi trả lại địa chỉ
phần cứng (địa chỉ MAC) của mình nhằm thực hiện truyền
tin cho nhau giữa thiết bị phát và thiết bị nhận.
Q TRÌNH TRUYỀN THƠNG ARP
Tấn cơng Man-in-the-Middle
Tấn cơng Man-in-the-Middle (MITM): là hình thức tấn
cơng (attacker) nằm vùng trên đường kết nối mạng Lan với
vai trị là máy trung gian trong việc trao đổi thơng tin giữa
hai máy tính, hai thiết bị, hay giữa một máy tính và server,
nhằm nghe trộm, thơng dịch dữ liệu nhạy cảm, đánh cắp
thông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn
nhân
Các hình thức tấn cơng MITM phổ biến:
+ Tấn công giả mạo ARP cache (ARP Cache Poisoning)
+ Tấn công giả mạo DNS (DNS Spoofing hay DNS
Cache Poisoning)
+ Chiếm quyền điều khiển Session (Session Hijacking)
+ Chiếm quyền điều khiển SSL...
TẤN CÔNG GIẢ MẠO DNS
- Hệ thống phân giải tên miền. Phát
minh năm 1984
- Dùng ánh xạ giữa các tên miền và
các địa chỉ IP
+ Nguyên tắc làm việc
- Mỗi nhà cung cấp dịch vụ Internet
(ISP) có nhiệm vụ vận hành và duy trì
các máy chủ tên miền của mình
- DNS có khả năng truy vấn các máy
chủ tên miền khác để tìm ra một cái tên
đã được phân giải.
- Các máy chủ tên miền có khả năng
ghi nhớ những tên vừa phân giải để
dùng cho những yêu cầu phân giải lần
sau.
TẤN CÔNG GIẢ MẠO DNS
(DNS CACHE POISONING)
Là một kỹ thuật tấn cơng MITM, theo đó dữ liệu sai sẽ được
đưa vào hệ thống tên miền (DNS) cho một máy chủ, để khi người
dùng duyệt đến một địa chỉ nào đó sẽ bị chuyển sang một địa chỉ
khác mà không hề hay biết.
VD: www.gmail.com có IP x.x.x.x
www.gmailcom giả mạo có IP y.y.y.y
Có 2 cơ chế hoạt động
chính:
+ Giả mạo các phản hồi
DNS
+ Giả mạo địa chỉ DNS
GIẢ MẠO ĐỊA CHỈ DNS
CÁC BƯỚC THỰC HIỆN
Bước 1: Tạo một địa chỉ ip giả cho tên miền
vd: www.mail.yahoo.com
CÁC BƯỚC THỰC HIỆN
Bước 2: Thiết lập một website giả trên máy hacker để lừa nạn
nhân. Sử dụng công cụ Social Enerying Toolkit, tạo các trang giả
thông qua việc kết nối với trang thật để lấy dữ liệu.
CÁC BƯỚC THỰC HIỆN
Bước 3: Sử dụng ettercap để thiết lập Sniffer đến máy nạn
nhân
- Chọn card
- Quét host
- Plugin Manager: double click chọn dns-proof
- Mitm –> ARP poisoning –> Sniff remote connections
- Start –> Start Sniffing
KẾT QUẢ
DEMO
