Embed Size (px)
Citation preview
1. MAC, ARP là gì?
Mỗi thiết bị mạng đều có một địa chỉ MAC (Medium Access Control address) và địa chỉ đó là duy nhất. Các thiết bị trong cùng một mạng thường dùng địa chỉ MAC để liên lạc với nhau tại tầng Data Link.
Các thiết bị thường dùng cơ chế ARP (Address Resolution Protocol) và RARP (Reverse Address Resolution Protocol) để biết được các địa chỉ MAC, IP của các thiết bị khác
2. Quá trình ARP
HostA và HostB truyền tin cho nhau, các packet se được đưa xuông tầng Datalink để đóng gói, các Host se phai đóng gói MAC nguôn, MAC đich vào frame. Như vây trước khi quá trinh truyền dư liêu xay ra, 2 máy se phai làm động tác hoi MAC của nhau.
Nếu mà HostA khơi động quá trinh hoi MAC trước, nó broadcast gói tin ARP request để hoi MAC HostB, thi HostB coi như đa có MAC của HostA, và HostB chỉ tra lời cho A MAC của HostB thôi (gói tin tra lời tư HostB là ARP reply).
3. Làm thế nào để tấn công bằng ARP
Gia sử ta có mạng Lan như mô hinh trên gôm các host
Attacker: là máy hacker dùng để tấn công ARP attackIP: 10.0.0.11Mac: 0000:0000:0111
HostAIP: 10.0.0.09MAC: 0000:0000:0109
HostBIP: 10.0.0.08MAC: 0000:0000:0108
Victim: là máy bị tấn công ARP attackIP: 10.0.0.10MAC: 0000:0000:0110
Attacker muôn thực hiên ARP attack đôi với máy Victim. Attacker muôn mọi gói tin HostA truyền tới máy Victim đều có thể chụp lại được để xem trộm. Làm thế nào để Attacker có thể hiên được điều đó?
Đầu tiên, HostA muôn gơi dư liêu cho Victim. HostA cần phai biết địa chỉ MAC của Victim để liên lạc. HostA se gửi broadcast ARP Request tới tất ca các máy trong cùng mạng Lan để hoi xem IP 10.0.0.10 (IP của Victim) có địa chỉ MAC là bao nhiêu.
HostB, Attacker, Victim đều nhân được gói tin ARP Request, nhưng chỉ có Victim là gửi lại gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP của Victim, MAC Victim, MAC HostA
Sau khi nhân được gói tin ARP Reply tư Victim, HostA đa biết được địa chỉ MAC của Victim. HostA bắt đầu thực hiên liên lạc, truyền dư liêu tới Victim. HostB, Attacker không thể xem nội dung dư liêu được truyền giưa 2 máy HostA và Victim
Attacker muôn xem dư liêu truyền giưa HostA và Victim. Attacker sử dụng kiểu tấn công ARP Spoof. Attacker thực hiên gửi liên tục ARP Reply chứa thông tin về IP Victim, MAC Attacker, MAC HostA. Ở đây, thay vi là MAC Victim, Attacker đa đổi thành địa chỉ MAC của minh.
ARP ATTACH – CƠ CHẾ TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG
Phạm Phú Trường
HostA nhân được ARP Reply và nghĩ là IP Victim 10.0.0.10 se có địa chỉ MAC là 0000:0000:0111 ( MAC của Attacker). HostA lưu thông tin này vào bang ARP Cache.
Bây giờ mọi thông tin, dư liêu HostA gửi tới 10.0.0.10 (Victim), Attacker đều có thể nhân được, Attacker có thể xem tòan bộ nội dung HostA gửi cho Victim
Attacker còn có thể kiểm sóat tòan bộ quá trinh liên lạc giưa HostA và Victim thông qua ARP Attack
Attacker thường xuyên gửi các gói tin ARP Reply chứa địa chỉ IP của HostA và Victim nhưng có địa chỉ MAC là của Attacker.
HostA nhân được gói tin này thi cứ nghĩ Victim se có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)
Victim nhân đươc gói tin này thi cứ nghĩ HostA se có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)
Mọi thông tin trao đổi giưa HostA và Victim, Attacker đều có thể nhân được. Như vây là Attacker có thể biết được nội dung trao đổi giưa HostA và Victim
Sau khi bị tấn công ARP attack, se rất nguy hiểm cho người dùng vi mọi thông tin trao đổi của họ đều bị lộ, nhất là nhưng thông tin đó là quan trọng, cần phai giư bi mât
4. Giới hạn và điểm yếu của kiểu tấn công ARP Spoof:
Chỉ có nhưng máy nằm trong cùng đường mạng với máy Attacker mới bị tấn công. Các máy nằm khác mạng se không thể bị tấn công bằng hinh thức này vi
Trong cùng một đường mạng LAN, các máy se thực hiên trao đổi dư liêu với nhau dựa vào địa chỉ MAC . HostA muôn trao đổi dư liêu với HostB. HostA se dò tim trong bang ARP cache xem IP của HostB se có địa chỉ MAC tương ứng là gi. HostA đóng gói dư liêu cần truyền với MAC nguôn là MAC HostA, MAC đich là MAC HostB. Sau đó HostA se truyền dư liêu tới HostB dựa vào MAC đich của gói tin
Trong trường hợp HostA, HostB khác đường mạng muôn liên lạc với nhau, ta phai dựa vào địa chỉ IP để truyền dư liêu và phai thông qua một thiết bị định tuyến, đó là router. HostA se đóng gói dư liêu cần truyền với MAC nguôn là HostA, MAC đich là router. Gói tin đó se được truyền đến router, router se dựa vào địa chỉ IP đich (IP HostB)và dò tim trong bang định tuyến nhằm xác định con đường đi đến HostB. Router có kha năng ngăn chặn các gói tin broadcast
Hinh thức tấn công này không thể thực hiên được trong mạng WAN, trên Internet mà chỉ thực hiên được trên cùng mạng LAN
5. Một số chương trình tấn công bằng ARP
ARP0c http://www.l0t3k.org/security/tools/arp/ WinArpSpoofer http://www.nextsecurity.net/ Ettercap http://ettercap.sourceforge.net/
5. Cách phát hiên và phong chống:
Dung lênh:
ipconfig /all xem MAC của minh arp -a xem bang ARP trên máy minh, kiểm tra MAC của B có phai đúng là MAC B hay không. arp -d * xóa toàn bộ ARP table trên máy minh, như vây các địa chỉ MAC bị tấn công cung mất, và máy
tinh se bắt đầu học lại. Nhưng nếu máy tấn công vân tiếp tục bơm các gói tin ARP đầu độc thi viêc xóa ARP table này cung vô ich
arp -s gắn cô định IP đich vào MAC thât của nó, như vây ke tấn công không đầu độc được IP này nưa. Nhưng viêc này không kha thi cho mạng lớn, nhiều máy tinh, và có sự thay đổi IP (vi dụ dùng DHCP).
Dung phần mềm :
Chúng ta có thể cài đặt phần mềm Anti ARP để tránh viêc nhân ARP Reply gia mạo
Dung thiết bi:
Dynamic ARP Inspection : Switch se dựa vào bang DHCP Snooping Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lê hay không, nếu không hợp lê se DROP ngay
