Tải bản đầy đủ (.pdf) (30 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Năng Mềm
    3. >>
  3. Kỹ năng lãnh đạo

Bài tập lớn môn an toàn mạng (39)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.37 MB, 30 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN I
-----&-----

BÁO CÁO BÀI TẬP LỚN
Học phần: AN TỒN MẠNG
Chủ đề: ARPWATCH

Nhóm mơn học:

Nhóm 02

Giảng viên hướng dẫn:

TS.Đặng Minh Tuấn

Sinh viên thực hiện:

Nguyễn Huy Hiệp

Mã sinh viên:

B18DCAT077

Hà Nội, 2021


LỜI MỞ ĐẦU
Các cuộc tấn cơng ARP Poisoning hay cịn được gọi là ARP Spoofing, là một trong
những cuộc tấn công Man in the Middle được biết đến nhiều nhất và nguy hiểm nhất
mà chúng ta có thể tìm thấy trong các mạng Wifi và mạng Ethernet. Nếu tội phạm


mạng thực hiện cuộc tấn cơng này một cách chính xác, chúng sẽ có thể chặn mọi liên
lạc giữa nạn nhân và kết nối Internet, ngoài ra, với các kỹ thuật tiên tiến hơn, chúng
thậm chí có thể sửa đổi lưu lượng truy cập ngay lập tức, sửa đổi dịa chỉ IP/MAC..
Trong đồ án này chúng ta sẽ đi tìm hiểu về giao thức ARP, các cuộc tấn cơng ARP
Poisoning, nó được thực hiện như thế nào với cá tool Kali phổ biến và cách chúng ta
có thể tự bảo vệ mình khỏi cuộc tấn cơng mạng này bằng việc sử dung một công cụ
đặc biệt giúp ta giám sát, theo dõi phân giải địa chỉ( Address Resolution Protocol ARP) đó là ARPWATCH


MỤC LỤC
LỜI MỞ ĐẦU................................................................................................................ 2
CHƯƠNG 1: TỔNG QUAN VỀ FORENSICS ........................................................ 5
1.1.

ĐỊNH NGHĨA FORENCIS ........................................................................... 5

1.2.

MỤC TIÊU .................................................................................................... 5

1.3.

ĐẶC ĐIỂM .................................................................................................... 6

1.4.

ĐỐI TƯỢNG NHẮM ĐẾNCỦA FORENSICS............................................ 6

CHƯƠNG 2: TỔNG QUAN VỀ GIAO THỨC ARP ................................................... 7
2.1.


MỘT SỐ KHÁI NIỆM CƠ BẢN .................................................................. 7

2.1.1.

Địa chỉ IP ................................................................................................. 7

2.1.2. Địa chỉ MAC................................................................................................ 8
2.1.3. Địa chỉ IP và địa chỉ MAC hoạt động song song như thế nào? .................. 8
2.2.

GIAO THỨC ARP LÀ GÌ? ........................................................................... 9

2.2.1.

CÁC LỖ HỔNG VÀ GIAO THỨC LIÊN QUAN TỚI ARP ............... 11

CHƯƠNG 3: PHẦN MỀM ARPWATCH .................................................................. 15
3.1. GIỚI THIỆU PHẦN MỀM ARPWATCH ....................................................... 15
Arpwatch – Công cụ giám sát hoạt động Ethernet .............................................. 15
3.2.

LỊCH SỬ PHÁT TRIỂN.............................................................................. 15

3.3. HƯỚNG DẪN CÀI ĐẶT ARPWATCH ........................................................ 15
3.4. SỬ DỤNG ARPWATCH ................................................................................. 17
3.4.1. Các tập tin mặc định trong Arpwatch ........................................................ 17
3.4.2.

Cách sử dụng arpwatch.......................................................................... 18


3.4.3. Report Messages đươc tạo bởi arpwatch ................................................... 19
3.4.4. SysLog messages ....................................................................................... 19
CHƯƠNG 4: DEMO ỨNG DỤNG ARPWATCH ..................................................... 21
4.1. Phát hiện Mac/ip bị thay đổi và cấu hình email nhận thơng báo. ................... 21
4.2. Tấn công arp ................................................................................................. 24
CHƯƠNG 5: KẾT LUẬN ....................................................................................... 29
CHƯƠNG 6: TÀI LIỆU THAM KHẢO ..................................................................... 30


DANH MỤC BẢNG
Bảng 3. 1. Các tập tin trong arpwatch ......................................................................... 18
Bảng 3. 2. Optiion ........................................................................................................ 19
Bảng 3. 3Report Massages .......................................................................................... 19
Bảng 3. 4 Syslog Messages ......................................................................................... 20

DANH MỤC HÌNH ẢNH
Hình ảnh 1. 1. Minh Họa Forensic ................................................................................ 5
Hình ảnh 2. 1. Địa chỉ IP ............................................................................................... 7
Hình ảnh 2. 2. ARP request, ARP reply ...................................................................... 10
Hình ảnh 2. 3. Tấn cơng man in middle ...................................................................... 12
Hình ảnh 2. 4. Tấn cơng DOS...................................................................................... 12
Hình ảnh 2. 5. MAC Flooding ..................................................................................... 13
Hình ảnh 3. 1. Sudo apt update .................................................................................... 16
Hình ảnh 3. 2. install arpwatch .................................................................................... 16
Hình ảnh 4. 1. Khởi chạy arpwatch ............................................................................. 21
Hình ảnh 4. 2. Cấu hình tệp arpwatch.conf ................................................................. 22
Hình ảnh 4. 3 Thơng báo mail ..................................................................................... 22
Hình ảnh 4. 4. syslog ................................................................................................... 23



CHƯƠNG 1: TỔNG QUAN VỀ FORENSICS
ĐỊNH NGHĨA FORENCIS
Trong lĩnh vực an tồn thơng tin, Forensics hay cịn gọi là điều tra số là công
việc phát hiện, bảo vệ và phân tích thơng tin được lưu trữ, truyền tải hoặc được
tạo ra bởi một máy tính hoặc mạng máy tính, nhằm đưa ra các suy luận hợp lý để
tìm nguyên nhân, giải thích các hiện tượng trong q trình điều tra.
Khái niệm Forensics (Forensic Science – khoa học pháp y) như tên gọi của nó
xuất phát từ lĩnh vực y tế từ thế kỷ 18 và liên quan đến điều tra pháp y. Ngày nay
Forensics đã được mở rộng ra rất nhiều lĩnh vực khác.
Forensics ra đời vào những năm 1980 do sự phát triển của máy tính cá nhân,
khi xảy ra trộm cắp thiết bị phần cứng, mất mát dữ liệu, vi phạm bản quyền, virus
máy tính phá hoại… Các doanh nghiệp và chính phủ các nước khi đó cũng ý thức
hơn về vấn đề bảo mật.
1.1.

Hình ảnh 1. 1. Minh Họa Forensic

1.2. MỤC TIÊU
Mục tiêu cốt lõi của Computer Forensic là phát hiện, bảo quản, khai thác, tài
liệu hóa và đưa ra kết luận về dữ liệu thu thập được. Cần lưu ý rằng dữ liệu phải
đảm bảo tính xác thực và được lấy mà không bị hư hại, nếu khơng dữ liệu đấy sẽ
khơng cịn ý nghĩa.
• Khi hệ thống bị tấn công, chưa xác định được nguyên nhân
• Khi cần khơi phục dữ liệu thiết bị, hệ thống
• Hiểu rõ cách làm việc của hệ thống
• Điều tra tội phạm liên quan đến công nghệ cao


• Điều tra các hoạt động gián điệp trong công nghệ


Việc tiến hành một cuộc điều tra số nhằm xác định chính xác những hoạt động
mà tội phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi ro khác có thể
xảy ra. Khơi phục thiệt hại mà cuộc tấn cơng vào hệ thống mạng máy tính gây ra:
phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ đích.
1.3. ĐẶC ĐIỂM
• Dữ liệu cần phân tích lớn, nếu dữ liệu chỉ là text thơi thì với dung lượng
vài mb chúng ta cũng có 1 lượng thơng tin rất lớn rồi. Trong thực tế thì cịn
khổng lồ hơn.
• Dữ liệu thường khơng cịn ngun vẹn, bị thay đổi, phân mảnh, và có thể bị
lỗi
• Bảo quản dữ liệu khó khăn, dữ liệu thu được có thể có tính tồn vẹn cao,
chỉ một thay đổi nhỏ cũng có thể làm ảnh hưởng đến tất cả.
• Dữ liệu forensic có thể gồm nhiều loại khác nhau: file hệ thống, ứng dụng,
...
• Vấn đề cần forensics là khá trừu tượng: mã máy, dump file, network
packet...
• Dữ liệu dễ dàng bị giả mạo
• Xác định tội pham khó khăn, có thể bạn tìm ra được dữ liệu về hacker(IP,
email, profile...) nhưng để xác định được được đối tượng thật ngồi đời thì
cũng khơng hề đơn giản.
1.4. ĐỐI TƯỢNG NHẮM ĐẾNCỦA FORENSICS
Forensic thường làm việc với những đối tượng sau:
• Physical Media, Media Management: Liên quan đến phần cứng, tổ chức
phân vùng, phục hồi dữ liệu khi bị xóa...
• File System: Phân tích các file hệ thống, hệ điều hành windows, linux,
android...
• Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình,
reverse ứng dụng...
• Network: Phân tích gói tin mạng, sự bất thường trong mạng

• Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM
được dump ra


CHƯƠNG 2: TỔNG QUAN VỀ GIAO THỨC ARP
2.1. MỘT SỐ KHÁI NIỆM CƠ BẢN
2.1.1. Địa chỉ IP
IP hay Internet Protocol là địa chỉ số có trên mọi thiết bị kết nối mạng để
chia sẻ dữ liệu với nhau giao thức kết nối Internet.
IP có cơng dụng điều hướng dữ liệu. Được dùng sử dụng bởi các máy chủ
nguồn và đích để truyền dữ liệu trong mạng máy tính. Hãy hình dung địa
chỉ IP tương tự như địa chỉ nhà riêng, hoặc địa chỉ mà các doanh nghiệp cung cấp
để người khác có thể nhận diện. Vì vậy, khi bạn truy cập email hay website,
dù IP được cung cấp không gắn trực tiếp với thiết bị thì những con số này vẫn tiết
lộ một vài thơng tin về bạn.

Hình ảnh 2. 1. Địa chỉ IP

IP dùng để làm gì?
IP sẽ giúp các thiết bị trên mạng Internet có thể phân biệt, chia sẻ và giao
tiếp với nhau. Nó sẽ cung cấp danh tính cho các thiết bị khi chúng kết nối mạng
tương tự như địa chỉ doanh nghiệp có vị trí cụ thể.
Ví dụ, khi tơi muốn gửi một lá thư tay đến cho một người bạn ở nước ngoài.
Lúc này, tơi sẽ cần địa chỉ chính xác của họ và số điện thoại để tra cứu, truy xuất.
Đây cũng là quy trình chung khi gửi dữ liệu qua Internet, tuy nhiên nó sẽ hồn tồn
tự động. Thay vì dùng số điện thoại thì máy tính sẽ dùng DNS Server để tra cứu
đích đến và IP.


Khi tơi tìm Keyword “cách kiểm tra IP” trên Google thì yêu cầu này sẽ được

chuyển đến DNS Server. Sau đó, nó sẽ tìm kiếm những Website có chứa kết quả
cùng địa chỉ IP tương ứng. Vì vậy, nếu khơng có IP thì máy tính sẽ khơng biết
được tơi đang muốn tìm kiếm những gì.
2.1.2. Địa chỉ MAC.
Địa chỉ MAC (media access control: kiểm sốt truy cập phương tiện truyền
thơng) của máy tính là một định danh duy nhất được gán cho một bộ điều khiển
giao diện mạng cho truyền thông tại tầng liên kết dữ liệu của một phân đoạn mạng.
Địa chỉ MAC được sử dụng làm địa chỉ mạng cho hầu hết các công nghệ
mạng IEEE 802, bao gồm Ethernet và Wi-Fi, Router/modem. Về mặt logic, các địa
chỉ MAC được sử dụng trong tầng con của media access control của mơ hình tham
chiếu OSI.
Địa chỉ MAC thường được chỉ định bởi nhà sản xuất bộ điều khiển giao diện
mạng và được lưu trữ trong phần cứng, chẳng hạn như bộ nhớ chỉ đọc của card
mạng hoặc một số cơ chế phần mềm khác. Nếu được chỉ định bởi nhà sản xuất,
một địa chỉ MAC thường mã hoá số nhận dạng của nhà sản xuất đã đăng ký. Nó
cũng có thể được biết đến như một địa chỉ phần cứng Ethernet (EHA), địa chỉ phần
cứng hoặc địa chỉ vật lý (không nên nhầm lẫn với địa chỉ vật lý bộ nhớ). Điều này
có thể tương phản với địa chỉ được lập trình, nơi thiết bị ban lệnh đến NIC sử dụng
một địa chỉ nào đó.
Để hiểu hơn Mac là gì bạn hình dung như sau. MAC chính là ID của card
mạng máy tính của bạn để phân biệt với các máy có card mạng khác trong một
máy tính. Một máy tính có nhiều card mạng. Mỗi card mạng đó lại tương ứng với
một địa chỉ của MAC.
2.1.3. Địa chỉ IP và địa chỉ MAC hoạt động song song như thế nào?
Địa chỉ IP được sử dụng để truyền dữ liệu từ mạng này sang mạng khác
bằng giao thức TCP/IP. Địa chỉ MAC được sử dụng để phân phối dữ liệu đến đúng
thiết bị trên mạng.
Giả sử tên của bạn là “John Smith”. Chưa đủ để nhận dạng chính xác vì có
rất nhiều người có cùng tên như vậy. Nhưng nếu ta kết hợp cùng tổ tiên của bạn
(tức là “nhà sản xuất”) thì sao? Bạn sẽ là "John Smith, con trai của Edward,

Edward là con trai của George, George là con trai của ..." Tất cả các thông tin này
mới đủ để biến cái tên “John Smith” trở thành duy nhất. Đó chính là địa chỉ MAC
của bạn.


Nếu ai đó muốn gửi một gói bưu phẩm cho bạn, người đó khơng thể nói với
bưu điện rằng hãy gửi nó đến cho "John Smith, con trai của Edward, Edward là con
trai của George, George là con trai của ..." được. Mặc dù nó xác định chính xác
người nhận là bạn, nhưng nó sẽ khiến bưu điện phát điên nếu phải tìm bạn. Đó là lý
do tại sao cần có địa chỉ nhà.
Nhưng bản thân địa chỉ nhà thơi cũng không đủ. Cần cả địa chỉ nhà và tên
của bạn, nếu khơng bạn sẽ nhận được gói hàng nhưng khơng biết nó gửi cho bạn,
vợ hay con của bạn, v.v... Địa chỉ IP là nơi bạn đang ở, còn địa chỉ MAC cho biết
bạn là ai.

Điều này sẽ như thế nào trong thực tế?
Router/modem của bạn có một địa chỉ IP duy nhất (địa chỉ nhà) được chỉ định bởi
ISP của bạn (dịch vụ bưu chính). Các thiết bị kết nối với router/modem đó (người
sống trong ngơi nhà) có địa chỉ MAC duy nhất (tên cá nhân). Địa chỉ IP nhận dữ
liệu đến router/modem (hộp thư), sau đó router/modem sẽ chuyển tiếp đến thiết bị
phù hợp (người nhận).

2.2.

GIAO THỨC ARP LÀ GÌ?

ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa
chỉ lớp datalink. Quá trình thực hiện bằng cách: một thiết bị IP trong mạng gửi một
gói tin local broadcast đến tồn mạng yêu cầu thiết bị khác gửi trả lại địa chỉ phần
cứng ( địa chỉ lớp datalink ) hay còn gọi là Mac Address của mình.

Ban đầu giao thức ARP chỉ được sử dụng trong mạng Ethernet để phân giải
địa chỉ IP và địa chỉ MAC. Nhưng ngày nay ARP đã được ứng dụng rộng rãi và dùng
trong các công nghệ khác dựa trên lớp hai.


Hình ảnh 2. 2. ARP request, ARP reply

Giả sử:




Host A có địa chỉ IP là 192.168.1.10 và có địa chỉ MAC là 74-2F-6K-B6-4410
Host B có địa chỉ IP là 192.168.1.120 và có địa chỉ MAC là 02-FE-05-A7-0001
Host A muốn tìm địa chỉ MAC của host có địa chỉ IP là 192.168.1.120

Cơ chế:






Host A phát ra một gói tin ARP request (dạng broadcast) trên mạng yêu cầu
tìm MAC của host nào có IP là 192.168.1.120
Gói tín có dạng broadcast nên nó sẽ gửi đến tất cả các host trong mạng
Tất cả các host sẽ kiểm tra xem nó có đúng là địa chỉ IP của mình khơng. Nếu
khơng thì nó sẽ bỏ qua. Nếu đúng thì nó sẽ lấy địa chỉ MAC của nó và gửi gói
tin ARP reply (dạng unicast) về cho host A.
Lúc này Host A đã có địa chỉ MAC của Host B. Nó sẽ lưu và ARP cache của

nó.


2.2.1. CÁC LỖ HỔNG VÀ GIAO THỨC LIÊN QUAN TỚI ARP
2.2.1.1. Lỗ hổng bảo mật ARP
Khi một host nhận được gói tin ARP Reply, nó hồn tồn tin tưởng và mặc
nhiên sử dụng thơng tin đó để sử dụng sau này mà khơng cần biết thơng tin đó có
phải trả lời từ một host mà mình mong muốn hay khơng.
Lợi dụng điều này, hacker có thể triển khai các phương thức tấn công như: Man
In The Middle, Denial of Service, MAC Flooding.


Man in middle

Man in middle là một trong những kiểu tấn cơng mạng thường thấy nhất, có thể
hiểu kiểu tấn công này là kẻ đứng giữa nghe trộm thông tin. Đây là một hình thức
tấn cơng mạng có xuất xứ lâu đời nhất (nó cịn được biết đến với cái tên ARP Poison
Routing) tấn công này cho phép hacker có thể nghe trộm tất cả các lưu lượng mạng
giữa các máy tính nạn nhân. Nó là một trong những hình thức tấn cơng đơn giản
nhưng cực kì hiệu quả
Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B.







Đầu tiên, hacker sẽ gởi gói ARP Reply đến host A với nội dung là địa chỉ
MAC của hacker và địa chỉ IP của hostB.

Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội dung là MAC của
máy hacker và IP của host A.
Như vậy, cả hai host A và host B đều tiếp nhận gói ARP Reply đó và lưu vào
trong ARP table của mình.
Đến lúc này, khi host A muốn gửi thơng tin đến host B, nó liền tra vào ARP
table thấy đã có sẵn thơng tin về địa chỉ MAC của host B nên sẽ lấy thơng tin
đó ra sử dụng, nhưng thực chất địa chỉ MAC đó là của hacker. Đồng thời máy
tính của hacker sẽ mở chức năng gọi là IP Forwading giúp chuyển tải nội dung
mà host A gửi qua host B.
Host A và host B giao tiếp bình thường và khơng có cảm giác bị qua máy
trung gian là máy của hacker.


Hình ảnh 2. 3. Tấn cơng man in middle

Cơng cụ phổ biến nhất để thực hiện cuộc tấn công này là Cain & Abel, ettercap …


Denial of service

Denial of service hay cịn gọi là tấn cơng từ chối dịch vụ. Cũng vận dụng kỹ thuật
trên, hacker tiến hành tấn công bằng cách gởi gói ARP Reply đến tồn bộ các host
trong mạng với nội dung mang theo là địa chỉ IP của Gateway và địa chỉ MAC không
hề tồn tại. Như vậy các host trong mạng tin tưởng rằng mình đã biết được MAC của
Gateway và khi gửi thông tin đến Gateway, kết quả là gửi đến một nơi hoàn tồn
khơng tồn tại. Đó là điều hacker mong muốn, tồn bộ các host trong mạng đều không
thể đi ra Internet được.

Hình ảnh 2. 4. Tấn cơng DOS





Mac Flooding

Cách tấn công này cũng dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến là
Switch. Hacker sẽ gửi những gói ARP Reply giả tạo với số lượng khổng lồ nhằm
làm Switch xử lý không kịp và trở nên q tải. Khi đó, Switch sẽ khơng đủ sức thể
hiện bản chất Layer2 của mình nữa mà broadcast gói tin ra tồn bộ các port của
mình. Hacker dễ dàng bắt được tồn bộ thơng tin trong mạng của bạn.

Hình ảnh 2. 5. MAC Flooding

2.2.1.2.

Cách phịng chống tấn cơng mạng kiểu ARP

Đối với mạng nhỏ: Ta có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi
đó, bạn sẽ liệt kê bằng tay IP nào đi với MAC nào. Trong Windows có thể sử dụng
câu lệnh ipconfig /all để xem IP và MAC, dùng câu lệnh arp -s để thêm vào ARP
table. Khi mà ép tĩnh như vậy sẽ ngăn chặn hacker gởi các gói ARP Reply giả tạo
đến máy của mình vì khi sử dụng ARP table tĩnh thì nó ln ln khơng thay đổi.
Chú ý rằng cách thức này chỉ áp dụng được trong môi trường mạng với quy mô nhỏ,
nếu mạng lớn hơn là không thể vì chúng ta phải thêm vào ARP table bằng tay với số
lượng quá nhiều.
Đối với mạng lớn: Khi quản trị trong một mạng quy mơ lớn, ta có thể sử dụng
chức năng Port security. Khi mở chức năng Port security lên các port của Switch, ta
có thể quy định port đó chỉ chấp nhận một địa chỉ MAC. Như vậy sẽ ngăn chặn việc
thay đổi địa chỉ MAC trên máy hacker.Ngồi ra cũng có thể sử dụng các cơng cụ, ví



dụ như ArpWatch. Nó sẽ phát hiện và báo cáo cho bạn các thông tin liên quan đến
ARP đang diễn ra trong mạng. Nhờ đó, nếu có hiện tượng tấn cơng bằng ARP
Poisoning thì bạn có thể giải quyết kịp thời.
Bên cạnh đó ta có thể dùng arpwatch để giám sát các thông tin về ARP để
phát hiện kịp thời khi bị tấn công.
2.2.3. Kết luận
Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng của chúng
ta. Ban đầu ARP chỉ được sử dụng trong mạng Ethernet để phân giải địa chỉ IP và
địa chỉ MAC. Nhưng ngày nay ARP đã được ứng dụng rộng rãi và dùng trong các
công nghệ khác dựa trên lớp hai. Do vậy thông qua đây SecurityBox chỉ giới thiệu
khái quát về ARP và cách bảo vệ hệ thống liên quan tới lỗ hổng bảo mật ARP một
cách an toàn.


CHƯƠNG 3: PHẦN MỀM ARPWATCH
3.1. GIỚI THIỆU PHẦN MỀM ARPWATCH
Arpwatch – Công cụ giám sát hoạt động Ethernet
Arpwatch là một cơng cụ phần mềm máy tính được thiết kế nhằm giám sát,
theo dõi phân giải địa chỉ( Address Resolution Protocol - ARP) , những thay đổi
về địa chỉ MAC và IP của một mạng Ethernet trên hệ thống Linux. Nó liên tục theo
dõi và sinh ra log về những địa chỉ IP và Mac thay đổi cùng mốc thời gian.
Arpwatch cũng cung cấp tính năng gửi và nhận email để cảnh báo đến người quản
trị. Nó rất hữu ích trong việc phát hiện có tấn cơng ARP spoofing trong mạng.
Cơng cụ này đặc biệt hữu ích cho các quản trị viên mạng giám sát hoạt động
ARP để phát hiện giả mạo ARP , mạng flip-flops…
LỊCH SỬ PHÁT TRIỂN
Arpwatch được phát triển bởi Phịng thí nghiệm Quốc gia Lawrence
Berkeley (Phịng thì nghiệm quốc gia Hoa Kỳ), Arpwatch được viết dưới
dạng phần mềm mã nguồn mở và được phát hành theo giấy phép BSD.

3.2.

Arpwatch được viết bằng ngôn ngữ C, được phát hành phiên bản đầu tiên v1 vào
ngày 16/6/1992. Và phiên bản 3.2 mới nhất được ra mắt vào ngày 15/12/2021.

3.3. HƯỚNG DẪN CÀI ĐẶT ARPWATCH
Hướng dẫn cài đặt ArpWatch trên Kali Linux
Để cài đặt ArpWatch trên Linux ta có 3 cách
Cách 1: Cài đặt arpwatch bằng apt
Mở terminal Emulator trên kali linux
Cập nhật cơ sở dữ liệu apt bằng lệnh sau.
sudo apt update


Hình ảnh 3. 1. Sudo apt update

Sau khi cập nhật cơ sở dữ liệu apt, chúng ta có thể cài đặt arpwatch bằng cách chạy
lệnh sau:
sudo apt -y install arpwatch

Hình ảnh 3. 2. install arpwatch


Cách 2: Cài đặt arpwatch bằng apt-get
Cập nhật cơ sở dữ liệu apt-get bằng lệnh sau.
sudo apt-get update
Sau khi cập nhật cơ sở dữ liệu apt, chúng ta có thể cài đặt arpwatch bằng apt-get
bằng cách chạy lệnh sau:
sudo apt-get -y install arpwatch
Cách 3: Cài đặt arpwatch bằng aptitude

Nếu bạn muốn làm theo phương pháp này, bạn có thể cần phải cài
đặt aptitude trước vì aptitude thường khơng được cài đặt theo mặc định trên Kali
Linux. Cập nhật cơ sở dữ liệu apt aptitude bằng lệnh sau.
sudo aptitude update
Sau khi cập nhật cơ sở dữ liệu apt, chúng ta có thể cài đặt arpwatch bằng cách chạy
lệnh sau:
sudo aptitude -y install arpwatch

3.4. SỬ DỤNG ARPWATCH
3.4.1. Các tập tin mặc định trong Arpwatch
/ var / arpwatch
thư mục mặc định
/var/arpwatch/arp.dat
Cơ sở dữ liệu bản ghi địa chỉ ethernet / ip mặc
định
/var/arpwatch/ethercodes.dat - danh sách khối ethernet của nhà cung cấp

/ etc / sysconfig / arpwatch

Dịch vụ Arpwatch để khởi động hoặc dừng
daemon
Đây là tệp cấu hình chính

/ usr / sbin / arpwatch

Lệnh nhị phân để khởi động và dừng công cụ

/etc/rc.d/init.d/arpwatch



bằng thiết bị đầu cuối
/ var / log / messages

Đây là tệp nhật ký hệ thống nơi arpwatch ghi bất
kỳ thay đổi hoặc hoạt động bất thường nào lên IP
/ MAC

Bảng 3. 1. Các tập tin trong arpwatch

3.4.2. Cách sử dụng arpwatch.
Cách sử dụng: sử dụng câu lệnh theo cú pháp
arpwatch [-CdFNpqsvzZ] [-D arpdir] [-f datafile] [-i interface] [-P pidfile] [-w
watcher@email] [-W watchee@email] [-n net[/width]] [-x net[/width]] [-r file]
với các tùy chọn sau:
Cờ -C(cờ
mặc định)
Cờ -d

Cờ -D
Cờ -f
Cờ -F
Cờ -i
Cờ -n

Cờ -N
Cờ -p
Cờ -P
Cờ -q
Cờ -r


sử dụng địa chỉ Ethernet đệm nhỏ trong arp.dat, ví dụ như
0: 8: e1: 1: 2: d6.
được sử dụng cho phép gỡ lỗi. Điều này cũng hạn chế việc
ẩn dưới nền và gửi các báo cáo qua email. Thay vào đó,
chúng được gửi đến stderr.
được sử dụng để chỉ định thư mục làm việc của arpwatch,
mặc định là / usr / local / arpwatch.
cờ được sử dụng để đặt tên tệp cơ sở dữ liệu địa chỉ
ethernet / ip. Mặc định là arp.dat.
cờ ngăn không cho arpwatch phân nhánh khiến nó chạy
trên foreground
được sử dụng để ghi đè lên giao diện mặc định.
chỉ định các mạng cục bộ bổ sung. Điều này có thể hữu ích để
tránh cảnh báo "bogon" khi có nhiều hơn một mạng chạy trên
cùng một dây. Nếu độ rộng tùy chọn không được chỉ định, mặt nạ
mạng mặc định cho lớp của mạng sẽ được sử dụng.
Vơ hiệu hóa báo cáo bogons
vơ hiệu hóa chế độ promiscuous
xác định pidfile.
ngăn chặn các báo cáo được ghi lại hoặc in ra stderr.
được sử dụng để chỉ định một tệp lưu (có thể được tạo bởi
tcpdump hoặc pcapture) để đọc từ đó thay vì đọc từ mạng. Trong


Cờ -s
Cờ -v
Cờ -z
Cờ -Z
Cờ -w
Cờ -W


trường hợp này, arpwatch không phân nhánh. Lưu ý rằng tệp
arp.dat trống phải được tạo trước lần đầu bạn chạy arpwatch.
ngăn chặn các báo cáo được gửi qua email.
vơ hiệu hóa báo cáo tiền tố ethernet VRRP / CARP
vơ hiệu hóa báo cáo các thay đổi 0.0.0.0, hữu ích trong các
mạng bận rộn do DHCP phân phối.
sử dụng địa chỉ ethernet không đệm trong arp.dat, ví dụ:
00: 08: e1: 01: 02: d6.
được sử dụng để chỉ định địa chỉ đích cho các báo cáo
email. Mặc định là root.
được sử dụng để chỉ định địa chỉ từ cho các báo cáo email.
Mặc định là root.
Bảng 3. 2. Optiion

3.4.3. Report Messages đươc tạo bởi arpwatch
new activity
new station
flip flop
changed ethernet
address

Cặp địa chỉ ethernet / ip này đã được sử dụng lần đầu tiên từ
sáu tháng trở lên.
Địa chỉ ethernet chưa từng được nhìn thấy trước đây.
Địa chỉ ethernet đã được thay đổi từ địa chỉ được thấy gần
đây nhất thành địa chỉ thứ 2.
Máy chủ lưu trữ đã chuyển sang một địa chỉ ethernet mới.
Bảng 3. 3Report Massages


3.4.4. SysLog messages
Đưới đây là một số thông báo nhật ký hệ thống phổ biến trong ứng dựng arpwatch:
ethernet broadcast

Địa chỉ mac ethernet của máy chủ lưu trữ là địa chỉ
quảng bá(được sử dụng để truyền đến tất cả các thiết bị
được kết nối với mạng truyền thông đa truy nhập. Tất cả


ip broadcast
Bogon
ethernet broadcast
ethernet mismatch
reused old ethernet
address

suppressed DECnet
flip flop

các máy chủ kết nối mạng có thể nhận được thơng báo
được gửi đến một địa chỉ quảng bá.)
Địa chỉ ip của máy chủ lưu trữ là địa chỉ quảng bá.
Địa chỉ ip nguồn không phải là địa chỉ cục bộ của mạng
con cục bộ. Ethernet broadcast
Địa chỉ ethernet mac hoặc arp nguồn là tất cả số 1 hoặc
tất cả các số 0.
Địa chỉ ethernet mac nguồn không khớp với địa chỉ bên
trong gói arp.
Địa chỉ ethernet đã thay đổi từ địa chỉ được nhìn thấy
gần đây nhất thành địa chỉ thứ ba (hoặc lớn hơn) ít được

nhìn thấy gần đây nhất. (Điều này tương tự như flip
flop.)
Báo cáo "flip flop" đã bị chặn vì một trong hai địa chỉ là
địa chỉ DECnet.
Bảng 3. 4 Syslog Messages


CHƯƠNG 4: DEMO ỨNG DỤNG ARPWATCH
4.1. Phát hiện Mac/ip bị thay đổi và cấu hình email nhận thơng báo.
- Bắt đầu sử dụng dịch vụ bằng lệnh:
sudo systemctl start arpwatch
hoặc lệnh: /etc/init.d/arpwatch

Hình ảnh 4. 1. Khởi chạy arpwatch

Tạo 1 tệp arp.dat để chương trình lưu dữ liệu vào đó
sudo touch /var/lib/arpwatch/arp.dat
Chỉnh sửa cấu hình tệp arpwatch.conf bằng lệnh
sudo nano /etc/arpwatch.conf

Chèn vào email mà mình muốn arpWatch thơng báo đến theo định dạng:
eth0 -a -n 192.168.1.0/24 -m


Hình ảnh 4. 2. Cấu hình tệp arpwatch.conf

Sử dụng lệnh sudo /usr/sbin/arpwatch -d -i eth0 -f /tmp/arp.dat

Hình ảnh 4. 3 Thông báo mail



Arpwatch hiển thị report email, khi có một đia chỉ MAC mới đươc kết nối vào
Thơng báo new station có nghĩa là địa chỉ mạng này chưa từng đươc nhìn
thấy trước đây.

Xem nhật ký hệ thống sau khi cặp MAC/IP bị thay đổi bằng dịng lệnh:
tail –f/var/log/messages

Hình ảnh 4. 4. syslog


4.2. Tấn công arp
- Khởi động Kali Linux
- Mở ứng dụng ettercap trên kali
- Bước tiếp theo chúng ta chọn các thơng số Ettercap cơ bản, chúng ta có
thể để thông số mặc định, tức là bắt đầu ngửi lúc đầu chúng ta sẽ chọn
card mạng mà mình muốn, mặc định là eth0, giữ nguyên phần còn lại
của các tùy chọn và nhấp vào nút ở phần trên bên phải để chấp nhận các
thay đổi.

Khi chúng ta đã bắt đầu chương trình, chúng ta sẽ phải nhấp vào "kính lúp" mà bạn
nhìn thấy ở phía trên bên trái, những gì Ettercap sẽ làm là quét toàn bộ mạng cục
bộ mà chúng ta được kết nối để tìm kiếm các thiết bị khác nhau được kết nối. , và
do đó, một số nạn nhân để tấn công.


- thiết lập cả hai mục tiêu.




Mục tiêu 1 - Chúng ta chọn IP của thiết bị cần giám sát, trong trường hợp
này là thiết bị nạn nhân, và bấm vào nút đó.
Mục tiêu 2 - Chúng tơi nhấn IP mà chúng tôi muốn mạo danh, trong trường
hợp này là một trong những cổng vào.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×