Tấn công giả mạo ARP
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (555.2 KB, 29 trang )
TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO ARP CACHE
POISONING, DNS CACHE POISONING VÀ CÁCH PHÒNG
CHỐNG
GV: TRƯƠNG HOÀI PHAN
Thực hiện: NHÓM 21
Nội dung trình
bày
1. Tổng Quan Về Tấn Công MAN-IN-
THE-MIDDLE
2. Tấn Công Giả Mạo ARP CACHE (ARP
CACHE POISONING)
3. Tấn Công Giả Mạo DNS (DNS CACHE
POISONING)
Tổng Quan Về Tấn Công MAN-
IN-THE-MIDDLE
1
GV: TRƯƠNG HOÀI PHAN
Thực hiện: NHÓM 21
1. Tấn Công MAN-IN-THE-MIDDLE là gì?
2. Các Kiểu Tấn Công MITM
+ Tấn công giả mạo ARP cache (ARP Cache Poisoning).
Các Hình Thức Tấn Công MITM Phổ Biến
+ Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning).
+ Chiếm quyền điều khiển Session (Session Hijacking).
+ Chiếm quyền điều khiển SSL…
Tấn công giả mạo
ARP CACHE (ARP
CACHE POISONING)
2
GV: TRƯƠNG HOÀI PHAN
Thực hiện: NHÓM 21
Sơ lược về địa chỉ MAC
+Mỗi thiết bị mạng đều có một địa chỉ vật lý
– địa chỉ MAC (Medium Access Control
address) và
+ Địa chỉ đó là duy nhất.
+Các thiết bị trong cùng một mạng thường
dùng địa chỉ MAC để liên lạc với nhau tại
tầng Data Link của mô hình OSI.
Địa chỉ ARP (Address Resolution Protocol).
Giao thức ARP (Address Resolution Protocol) là giao thức phân giải địa chỉ động, được
thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa lớp thứ hai (Data Link) và thứ ba
(Network) trong mô hình OSI.
Lớp thứ hai (Data Link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền
thông với nhau một cách trực tiếp.
Lớp thứ ba (Network) sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn
cầu.
Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để có thể
tạo nên một mạng truyền thông
Xuất hiện giao thức phân giải địa chỉ ARP (Address Resolution Protocol).
Cơ chế hoạt động của ARP
Một thiết bị IP trong mạng gửi một gói tin broadcast đến toàn mạng để yêu
cầu các thiết bị khác gửi trả lại địa chỉ phần cứng (địa chỉ MAC) của mình nhằm
thực hiện truyền tin cho nhau giữa thiết bị phát và thiết bị nhận.
ARP về cơ bản là một quá trình 2 chiều Request/Response giữa các thiết bị trong
cùng mạng nội bộ.
+ Thiết bị nguồn yêu cầu (request) bằng cách gửi một bản tin broadcast trên toàn
mạng.
+Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast đến thiết bị nguồn.
Cơ chế hoạt động của quá trình truyền thông ARP
ARP Cache
ARP là một giao thức phân giải địa chỉ động. Quá trình gửi gói
tin Request và Responce sẽ tiêu tốn băng thông mạng. Chính vì
vậy, càng hạn chế tối đa việc gửi gói tin Request và Response sẽ
càng góp phần làm tăng khả năng hoạt động của mạng.Từ đó
sinh ra nhu cầu của ARP Caching, nghĩa là lưu lại thông tin của
các gói tin vào bộ nhớ đệm ARP Cache.
ARP Cache
ARP cache có thể coi như một bảng có chứa một tập tương ứng giữa các phần
cứng và địa chỉ IP. Mỗi một thiết bị trên một mạng đều có ARP cache của riêng
mình. Có hai cách lưu giữ các entry trong Cache để phân giải địa chỉ diễn ra nhanh.
Đó là:
+ ARP Cache tĩnh (Static ARP Cache Entries):
+ ARP Cache động (Dynamic ARP Cache Entries):
Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Giả sử trong một mạng LAN có 3 thiết bị (máy tính) như sau:
Victim A: là máy phát ARP Request, và cũng là một trong hai nạn nhân trong cuộc tấn công ARP Cache.
ARP Cache của Victim A
IP 10.0.0.09
MAC ff-ff-ff-ff-00-09
Victim B: là máy nhận thông tin từ Victim A, và cũng là một trong hai nạn nhân trong
cuộc tấn công ARP Cache. Máy Victim B có:
ARP Cache của Victim B
IP 10.0.0.10
MAC ff-ff-ff-ff-00-10
Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Attacker: là máy tính thực hiện tấn công ARP Cache, có:
ARP Cache của Attacker
IP 10.0.0.11
MAC ff-ff-ff-ff-00-11
Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Nội dung gói ARP Request của A
IP Victim B 10.0.0.10
MAC A ff-ff-ff-ff-00-09
Nội dung gói ARP Response của Victim B
IP Victim B 10.0.0.10
MAC Victim B ff-ff-ff-ff-00-10
MAC A ff-ff-ff-ff-00-09
Nội dung gói ARP Response của Attacker
IP Victim B 10.0.0.10
MAC của Attacker ff-ff-ff-ff-00-11
MAC A ff-ff-ff-ff-00-09
Victim A sẽ gửi ARP Request dạng broadcast
Chỉ có Victim B gửi ARP Response dạng unicast cho A
Attacker tiến hành gửi liên tục các gói ARP Response chứa mã độc cho Victim A
Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Trước khi thực hiện cuộc tấn công ARP poisoning
Khi cuộc tấn công ARP poisoning được thực thi
Lúc này kẻ tấn công sẽ xem được mọi thông tin cơ mật của cuộc trao đổi
Địa chỉ MAC thật của Gateway đã
bị máy tấn công thay thế bằng
MAC của máy tấn công
Thực hiện tấn công ARP Cache (ARP Poisoning)
Demo phần mềm Cain & Abel
CÁC BIỆN PHÁP PHÒNG CHỐNG
+ Cấu hình lại bảng ARP Cache
+ Sử dụng các phần mềm như
- Anti ARP
- Comodo Internet Security Pro
(Phần mềm bảo mật cho máy tính)
+ So sánh địa chỉ MAC trước khi truyền tin
Tấn công giả mạo DNS (DNS
CACHE POISONING)
3
GV: TRƯƠNG HOÀI PHAN
Thực hiện: NHÓM 21
1. DNS là gì….?
- DNS ( Domain Name System)
- Hệ thống phân giải tên miền. Phát
minh năm 1984
- Dùng ánh xạ giữa các tên miền và
các địa chỉ IP
3. Nguyên tắc làm việc của DNS
- Mỗi nhà cung cấp dịch vụ Internet (ISP) có nhiệm vụ
vận hành và duy trì các máy chủ tên miền của mình
- DNS có khả năng truy vấn các máy chủ tên miền khác để
tìm ra một cái tên đã được phân giải.
- Các máy chủ tên miền có khả năng ghi nhớ những tên
vừa phân giải để dùng cho những yêu cầu phân giải lần
sau.
4. Cơ chế làm việc của DNS
1. Giả mạo DNS (DNS Cache Poisoning) là gì
-
Dữ liệu sai sẽ được đưa vào
hệ thống tên miền (DNS) cho một
máy chủ, để khi người dùng duyệt
đến một địa chỉ nào đó sẽ bị
chuyển sang một địa chỉ khác mà
không hề hay biết.
VD: www.abc.com có IP x.x.x.x
www.abc.comgiả mạo có IP y.y.y.y
2. Tấn công giả mạo DNS (DNS CACHE POISONING)
+ Giả mạo địa chỉ DNS
Có 2 cơ chế hoạt động chính:
+ Giả mạo các phản hồi DNS
Giả mạo các phản hồi DNS
