1. Trang chủ
  2. Công Nghệ Thông Tin

Tấn công giả mạo địa chỉ IP và MAC

23 2.3K 8
Tấn công giả mạo địa chỉ IP và MAC

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

1 Tấn công giả mạo địa MAC IP DANH SÁCH CÁC HÌNH, BẢNG Học viện kỹ thật mật mã Tấn công giả mạo địa MAC IP LỜI MỞ ĐẦU Học viện kỹ thật mật mã Tấn công giả mạo địa MAC IP CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Khái niệm địa ip mac 1.1.1 Địa IP, MAC gì? 1.1.1.1 Giao thức IP - Internet Protocol Internet Protocol - Giao thức Liên mạng: giao thức hướng liệu sử dụng máy chủ nguồn đích để truyền liệu liên mạng chuyển mạch gói Giao thức liên mạng IP cung cấp khả kết nối mạng thành liên mạng để truyền liệu, vai trò IP vai trò giao thức tầng mạng mô hình OSI Để định danh cho máy tính liên mạng Mỗi giao diện máy có hỗ trợ giao thức IP phải gán địa IP (một máy tính gắn với nhiều mạng có nhiều địa IP) Giao thức liên mạng IP giao thức quan trọng giao thức TCP/IP Giao thức IP giao thức kiểu không liên kết (connectionlees) có nghĩa không cần có giai đoạn thiết lập liên kết trước truyền liệu Mỗi máy tính kết nối vào Internet có địa nhất, địa IP Địa dùng để phân biệt máy tính với máy khác lại mạng Internet 1.1.1.2 Địa MAC - Media Access Control: Là kiểu địa vật lí, đặc trưng cho thiết bị nhóm thiết bị LAN Địa dùng để nhận diện thiết bị giúp cho gói tin lớp đến đích 1.1.2 Cấu trúc địa IP, MAC 1.1.2.1 Giao thức IP - Internet Protocol : Gồm phần: địa mạng (netID) địa máy (hostID) + Net ID: Dùng để nhận dạng hệ thống khu vực vật lý gọi Phân Đoạn (Segment) Mọi hệ thống Phân Đoạn phải có Địa Chỉ Mạng Phần địa phải số mạng có + Host ID: Dùng để nhận dạng trạm làm việc, máy chủ, Router trạm TCP/IP (1 computer) phân đoạn Phần địa trạm phải mạng Học viện kỹ thật mật mã Tấn công giả mạo địa MAC IP Hình 1.1: Minh họa cấu trúc địa IP Trong byte , bit gán giá trị Nếu Bit đặt gán giá trị 0, Bit đặt chuyển đổi thành giá trị thập phân Bit thấp Byte tương ứng với 1, Bit cao tương ứng với 128 Vậy giá trị lớn Byte 255 tương ứng với trường hợp Bit đặt - Có lớp địa IP để tạo mạng có kích thước khác gồm: Lớp A, Lớp B, Lớp C, Lớp D, Lớp E TCP/IP hỗ trợ gán địa lớp A, lớp B, lớp C cho trạm Các lớp có chiều dài phần NET ID HOST ID khác nên số lượng Mạng số lượng Trạm mạng khác 1.1.2.2 Địa MAC - Media Access Control: Một địa MAC bao gồm byte thường viết dạng hexa, thiết bị (card mạng, modem, router ) nhà sản xuất (NSX) định gán sẵn địa định; thường viết theo dạng: MM:MM:MM:SS:SS:SS (cách dấu :) hay MM-MM-MM-SS-SS-SS (cách dấu -) Địa MAC số 48 bit biểu diễn 12 số hexa (hệ số thập lục phân), 24bit đầu (MM:MM:MM) mã số NSX (Linksys, 3COM ) 24 bit sau (SS:SS:SS) số seri card mạng NSX gán Như không xảy trường hợp hai thiết bị trùng địa vật lý số nhận dạng ID lưu chip ROM thiết bị trình sản xuất, người dùng thay đổi Nói cách đơn giản, địa MAC địa vật lý hay gọi số nhận dạng (Identification number) thiết bị Địa MAC phân làm loại: - Unicast: loại địa dùng để đại diện cho thiết bị Multicast: loại địa đại diện cho nhóm thiết bị LAN Địa dùng trường hợp ứng dụng muốn trao đổi với nhóm thiết bị Bằng cách gửi tin có địa multicast; tất thiết bị nhóm nhận xử lí gói tin thiết bị lại mạng bỏ qua Giao thức IP hỗ trợ truyền multicast Khi gói Học viện kỹ thật mật mã Tấn công giả mạo địa MAC IP - tin IP multicast truyền qua LAN, địa MAC multicast tương ứng với địa IP 0100.5exxx.xxxx Broadcast: địa đại diện cho tất thiết bị LAN Điều có nghĩa gói tin có địa MAC FFFF.FFFF.FFFF gửi tất thiết bị LAN phải thu nhận xử lí 1.1.3 Mối liên hệ địa IP MAC Trong mô hình OSI (Open Systems Interconnection) hay mô hình tham chiếu kết nối hệ thống mở địa MAC (Media Access Control) nằm lớp (lớp liên kết liệu hay Data Link Layer), địa IP làm việc lớp (lớp mạng hay Network Layer) Địa MAC cố định (được thiết lập cứng) địa IP thay đổi (thiết lập mềm) Trong mạng trì ánh xạ địa IP địa MAC thiết bị Do đó, thiết bị cần dùng chế để tìm địa MAC, IP thiết bị khác cần thiết lập kết nối DHCP thường dựa vào địa MAC để quản lý việc gán địa IP cho thiết bị Để đáp ứng yêu cầu ta có chế sau: • • chế ARP (Address Resolution Protocol) ánh xạ địa IP sang MAC Cơ chế RARP (Reverse Address Resolution Protocol) ánh xạ địa MAC sang IP 1.2 Giới thiệu giao thức ARP 1.2.1 ARP cần ARP Mạng LAN nhỏ hoạt động dựa hai lớp hai mô hình OSI ( lớp physical datalink) Nhưng giao thức liên mạng ( internet-work ) lại dựa địa lớp ba (lớp network) Việc phân giải địa lớp datalink lớp network nhằm giúp cho việc truyền liệu liên tục qua mạng Có hai phương pháp phân giải địa : map trực tiếp phân giải động Việc map trực tiếp gặp nhiều khó khăn địa MAC (lớp datalink) địa 48 bit địa IP 32 bit Bên cạnh nhà phát triển muốn tạo chế linh hoạt sử dụng Chính họ phát triển ARP (Address Resolution Protocol ) ARP ? ARP phương thức phân giải địa động địa lớp network địa lớp datalink Quá trình thực cách: thiết bị IP mạng gửi gói tin local broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa phần cứng ( địa lớp datalink ) hay gọi Mac Address Ban đầu ARP sử dụng mạng Ethernet để phân giải địa IP địa MAC Nhưng ngày ARP ứng dụng rộng rãi dùng công nghệ khác dựa lớp hai 1.2.2 Cơ chế hoạt động ARP Quá trình thực ARP bắt đầu thiết bị nguồn mạng IP có nhu cầu gửi gói tin IP Trước hết thiết bị phải xác định xem địa IP Học viện kỹ thật mật mã Tấn công giả mạo địa MAC IP đích gói tin có phải nằm mạng nội hay không Nếu thiết bị gửi trực tiếp gói tin đến thiết bị đích Nếu địa IP đích nằm mạng khác, thiết bị gửi gói tin đến router nằm mạng nội để router làm nhiệm vụ forward gói tin Cả hai trường hợp ta thấy thiết bị phải gởi gói tin IP đến thiết bị IP khác mạng nội Ta biết việc gửi gói tin mạng thông qua Switch dựa vào địa MAC hay địa phần cứng thiết bị Sau gói tin đựoc đóng gói bắt đầu chuyển qua trình phân giải địa ARP chuyển ARP trình chiều request/response thiết bị mạng nội Thiết bị nguồn request cách gửi tin local broadcast toàn mạng Thiết bị đích response tin unicast trả lại cho thiết bị nguồn Hình 1.2: Cơ chế hoạt động gói tin ARP Có hai dạng tin ARP: gửi từ nguồn đến đích, gửi từ đích tới nguồn Request: Khởi tạo trình, gói tin gửi từ thiết bị nguồn tới thiết bị đích Reply: Là trình đáp trả gói tin ARP request, gửi từ máy đích đến máy nguồn Có loại địa tin ARP : Sender Hardware Address : địa lớp hai thiết bị gửi tin Sender Protocol Address : Địa lớp ba ( hay địa logic ) thiết bị gửi tin Target Hardware Address : Địa lớp hai ( địa phần cứng ) thiết bị đích tin Học viện kỹ thật mật mã Tấn công giả mạo địa MAC IP Target Protocol Address : Địa lớp ba ( hay địa logic ) thiết bị đích tin Hình 1.3: Cấu trúc gói tin ARP Các bước hoạt động ARP : Source Device Checks Cache: Trong bước này, thiết bị kiểm tra cache ( đệm ) Nếu có địa IP đích tương ứng với MAC chuyển sang bước Source Device Generates ARP Request Message: Bắt đầu khởi tạo gói tin ARP Request với trường địa Source Device Broadcasts ARP Request Message: Thiết bị nguồn quảng bá gói tin ARP Request toàn mạng Local Devices Process ARP Request Message: Các thiết bị mạng nhận gói tin ARP Request Gói tin xử lý cách thiết bị nhìn vào trường địa Target Protocol Address Nếu trùng với địa tiếp tục xử lý, không hủy gói tin Destination Device Generates ARP Reply Message: Thiết bị với IP trùng với IP trường Target Protocol Address bắt đầu trình khởi tạo gói tin ARP Reply cách lấy trường Sender Hardware Address Sender Protocol Address gói tin ARP nhận đưa vào làm Target gói tin gửi Đồng thời thiết bị lấy địa datalink để đưa vào trường Sender Hardware Address Destination Device Updates ARP Cache: Thiết bị đích ( thiết bị khởi tạo gói tin ARP Reply ) đồng thời cập nhật bảng ánh xạ địa IP MAC thiết bị nguồn vào bảng ARP cache để giảm bớt thời gian xử lý cho lần sau Destination Device Sends ARP Reply Message: Thiết bị đích bắt đầu gửi gói tin Reply khởi tạo đến thiết bị nguồn Gói tin reply gói tin gửi unicast Học viện kỹ thật mật mã Tấn công giả mạo địa MAC IP Source Device Processes ARP Reply Message: Thiết bị nguồn nhận gói tin reply xử lý cách lưu trường Sender Hardware Address gói reply địa phần cứng thiết bị đích Source Device Updates ARP Cache: Thiết bị nguồn update vào ARP cache giá trị tương ứng địa network địa datalink thiết bị đích Lần sau không cần tới request Học viện kỹ thật mật mã Tấn công giả mạo địa MAC IP CHƯƠNG 2: CÁC PHƯƠNG PHÁP GIẢ MẠO VÀ TẤN CÔNG GIẢ MẠO ĐỊA CHỈ MAC VÀ IP Có nhiều phương thức công sử dụng kỹ thuật công giả mạo địa IP MAC, nhiên giới hạn tập mạng LAN nên tìm hiểu phương pháp phân loại sau: Tấn công giả mạo địa IP MAC Giả mạo địa IP Giả mạo địa MAC (ARP) Domain Name Server (DNS) ARP Spoofing (ARP Cache) MAC Flooding (CAM) DoS SYN attack Smurf attack Giả mạo Gateway (1 victim) Man In The Middle (2 victim) Hình 2.4: sơ đồ phân loại công sử dụng kỹ thuậ giả mạo IP MAC 2.1 Giả mạo địa MAC (ARP) 2.1.1 Tấn công MAC Flooding (bảng CAM) Cách công dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến Switch Hacker gửi gói ARP Reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp trở nên tải Khi đó, Switch không đủ sức thể chất Layer2 mà broadcast gói tin toàn port Hacker dễ dàng bắt toàn thông tin mạng 2.1.1.1 Chức chuyển mạch Switch Việc đưa thiết bị chuyển mạch vào LAN có nhiều mục đích mục đích quan để chia LAN thành nhiều vùng khác nhằm giảm thiểu việc xung đột gói tin có nhiều thiết bị nối vào môi trường truyền dẫn Các vùng phân chia gọi collision domain.Chức switch vận chuyển frame lớp qua lại collision domain Các collision domain gọi đoạn LAN (LAN segment) Học viện kỹ thật mật mã 10 Tấn công giả mạo địa MAC IP Để vận chuyển xác gói tin đến đích, switch cần phải có sơ đồ ánh xạ địa MAC thiết bị vật lí gắn tương ứng với cổng Sơ đồ lưu lại switch gọi bảng CAM (Content Address Memory) Quá trình vận chuyển gói tin qua switch mô tả sau: • Nếu địa MAC nguồn gói tin chưa có bảng CAM; switch cập nhật với cổng tương ứng Nếu địa MAC nguồn tồn bảng với cổng khác, switch báo lỗi “MAC flapping” huỷ gói tin • Nếu địa đích gói tin địa multicast địa broadcast địa unicast ánh xạ địa không tồn bảng CAM trước gói tin gửi tất cổng switch trừ cổng mà nhận gói tin • Nếu địa đích gói tin địa unicast ánh xạ địa tồn bảng CAM đồng thời cổng mà nhận gói tin khác với cổng mà gói tin cần chuyển gửi gói tin đến xác cổng có bảng CAM • Các trường hợp lại, gói tin bị huỷ Hình 2.5: Chức chuyển mạch Switch Trong ví dụ trên, host A gửi tin đến host B Do switch chưa có địa MAC B bảng CAM nên switch gửi broadcast cổng lại đồng thời lưu lại địa MAC A vào bảng CAM Sau host B nhận tin từ A; B gửi lại tin cho A Khi đó, switch có địa A nên gửi unicast tới port đồng thời cập nhật địa MAC B vào bảng CAM Các thao tác bảng CAM switch [1]: Để xem nội dung bảng CAM switch, dùng lệnh: Học viện kỹ thật mật mã 11 Tấn công giả mạo địa MAC IP Switch# show mac address-table dynamic [address mac-address | interface type mod/num |vlan vlan-id] Lệnh liệt kê tất địa MAC mà switch học Nếu muốn cụ thể hơn, tìm vị trí host gắn vào switch cách địa tìm địa MAC học từ giao diện Xem kích thước bảng CAM switch, dùng lệnh: Switch# show mac address-table count Xoá ánh xạ bảng CAM, dùng lệnh: Switch# clear adress-table dynamic [address mac-address | interface type mod/num |vlan vlan-id] 2.1.1.2 Tấn công làm tràn bảng CAM Nguyên lý công: Kiểu công làm tràn bảng CAM dựa vào điểm yếu thiết bị chuyển mạch: bảng CAM chứa số hữu hạn ánh xạ (ví dụ switch Catalysh 6000 chứa tối đa 128000 ánh xạ) ánh xạ tồn mãi bảng CAM [4] Sau khoảng thời gian đó, thường 300 s; địa không dùng việc trao đổi thông tin bị gỡ bỏ khỏi bảng.Khi bảng CAM điền đầy, tất thông tin đến gửi đến tất cổng trừ cổng nhận Lúc chức switch không khác chức hub Trong hình dưới, host C kẻ công gửi liên tục hàng loạt tin có địa MAC nguồn địa giả mạo (host X host Y) Switch cập nhật địa host giả mạo vào bảng CAM Kết host A gửi tin đến cho host B; địa B không tồn bảng nên gói tin switch gửi cổng tin A gửi riêng cho B chuyển đến C Học viện kỹ thật mật mã 12 Tấn công giả mạo địa MAC IP Hình 2.6: Mô hình công làm ngập bảng cam 2.1.1.3 Cách phòng chống Nguyên lí chung phương pháp phòng chống không để gói tin có địa MAC lạ qua switch Phương pháp phòng chống hiệu cấu hình port security switch Đây đặc trưng cấu hình cho phép điều khiển việc truy cập vào cổng switch thông qua địa MAC thiết bị gắn vào Khi switch nhận gói tin chuyển đến, kiểm tra địa MAC nguồn gói tin với danh sách địa cấu hình trước Nếu hai địa khác tuỳ theo cấu hình người quản trị mà switch xử lí gói tin đến với mức độ khác Các lệnh cấu hình port security: • Switch(config-if)# switchport mode access • Switch(config-if)# switchport port-security: cho phép cổng hoạt động chế độ port-security • Switch(config-if)# switchport port-security maximum value (tuỳ chọn): câu lệnh cho phép cấu hình số địa MAC tối đa mà cổng học tự động cho phép thiết bị truyền liệu qua Mặc định cổng cho phép địa MAC (một thiết bị) gán vào số địa nằm khoảng từ đến 1024 • Switch(config-if)# switchport port-security mac-address mac_address (tuỳ chọn) : bên cạnh cách cấu hình cho phép switch học tự động địa MAC; gán tĩnh số địa MAC truy cập vào port Nếu số lượng địa gán tĩnh mà nhỏ số địa MAC switch học tự động số địa MAC lại học tự động • Switch(config-if)# switchport port-security violation {protect | restrict | shutdown} (tuỳ chọn) : Đây biện pháp mà người quản trị tiến hành gói tin đến không phù hợp với yêu cầu port-security (khi có nhiều số địa Học viện kỹ thật mật mã 13 Tấn công giả mạo địa MAC IP MAC tối đa học gói tin đến có địa MAC khác so với địa MAC cấu hình tĩnh) Các biện pháp xử lí : shutdown: cổng bị ngừng hoạt động; không nhận chuyển gói tin restrict: cổng cho phép gói tin có địa MAC hợp lệ qua; gói tin vi phạm bị huỷ Đồng thời số lượng tin vi phạm thống kê báo cho người quản trị biết protect: giống trường hợp restrict, nhiên việc vi phạm không ghi lại Phương pháp có yêu cầu công việc người quản trị tăng lên đôi chút nhiên phương pháp hiệu để khoá gói tin không rõ nguồn gốc có ý định công vào switch 2.1.2 Tấn công ARP Spoofing (ARP Cache) Giao thức ARP cần thiết quan trọng hệ thống mạng, nhiên giao thức tính xác thực Khi host nhận gói tin ARP Reply, hoàn toàn tin tưởng sử dụng thông tin để sử dụng sau mà không cần biết thông tin có phải trả lời từ host mà mong muốn hay không ARP chế để kiểm tra việc thực tế host chấp nhận gói ARP Reply mà trước không cần phải gửi gói tin ARP Request Lợi dụng điều này, hacker triển khai phương thức công như: Man In The Middle, Denial of Service, MAC Flooding 2.1.2.1 Man In The Middle (MITM) Giả sử hacker muốn theo dõi host A gởi thông tin cho host B Đầu tiên, hacker gởi gói ARP Reply đến host A với nội dung địa MAC hacker địa IP hostB Tiếp theo, hacker gửi gói ARP Reply tới host B với nội dung MAC máy hacker IP host A Như vậy, hai host A host B tiếp nhận gói ARP Reply lưu vào ARP table Đến lúc này, host A muốn gửi thông tin đến host B, liền tra vào ARP table thấy có sẵn thông tin địa MAC host B nên lấy thông tin sử dụng, thực chất địa MAC hacker Đồng thời máy tính hacker mở chức gọi IP Forwading giúp chuyển tải nội dung mà host A gửi qua host B Host A host B giao tiếp bình thường cảm giác bị qua máy trung gian máy hacker.Trong trường hợp khác, hacker nghe thông tin từ máy bạn đến Gateway Như hành động Internet bạn bị hacker ghi lại hết, dẫn đến việc mát thông tin nhạy cảm Một số dạng công sử dụng kỹ thuật Man in the Middle : ARP Cache, DNS Spoofing, Hijacking HTTP session ARP Cache: ARP cache coi bảng chứa tập tương ứng phần cứng địa IP Mỗi thiết bị mạng có cache riêng Để trình phân giải địa diễn nhanh ta sử dụng cách sau để lưu giữ entry cache: Học viện kỹ thật mật mã 14 Tấn công giả mạo địa MAC IP • Sử dụng ARP cache tĩnh: Mỗi địa IP địa MAC tương ứng thêm cách thủ công vào bảng cache trì lâu dài • Sử dụng ARP cache động: Địa IP phần cứng lưu cache phần mềm.Các địa lưu giữ tạm thời sau gỡ bỏ ARP Cache biến trình gây lãng phí mặt thời gian thành trình sử dụng thời gian cách hiệu Mặc dù bắt gặp số vấn đề như: cần phải trì bảng cache, thêm vào entry cache bị “cũ” theo thời gian, cần phải thực thi hết hiệu lực entry cache sau quãng thời gian Nguyên lý công: Phương pháp công cho phép kẻ công (nằm subnet với nạn nhân nó) nghe trộm tất lưu lượng mạng máy tính nạn nhân Đây hình thức công đơn giản hiệu Việc giả mạo bảng ARP lợi dụng tính không an toàn giao thức ARP Không giống giao thức khác, chẳng hạn DNS (có thể cấu hình để chấp nhận cập nhật động an toàn), thiết bị sử dụng giao thức phân giải địa (ARP) chấp nhận cập nhật lúc Điều có nghĩa thiết bị gửi gói ARP reply đến máy tính khác máy tính cập nhật vào bảng ARP cache giá trị Việc gửi gói ARP reply request tạo gọi việc gửi ARP “vu vơ” Khi ARP reply vu vơ đến máy tính gửi request, máy tính request nghĩ đối tượng tìm kiếm để truyền thông, nhiên thực chất họ lại truyền thông với kẻ công Hình 2.7: Mô hình hoạt mạng trạng thái bình thường Học viện kỹ thật mật mã 15 Tấn công giả mạo địa MAC IP Hình 2.8: Mô hình hoạt động mạng bị công ARP Để thực phương pháp công ta sử dụng số công cụ Cain & Abel , Wireshark 2.1.2.2 Giả mạo Gateway Có hai hình thức mà hacker thường sử dụng: Hình thức 1: hacker giả mạo gói tin ARP gửi đến máy victim với địa ip gateway ứng với địa MAC khồng tồn mạng Với hình thức máy victim truy cập internet yêu cầu không gửi đến gateway thật Netcut tool phổ biến dùng để ngắt mạng máy trạm mạng LAN sử dụng hình thức Hình thức 2: hình thức gần giống khác địa MAC đị máy hacker Với hình thức truy vấn internet victim hacker quản lý theo dõi 2.1.2.3 Phương pháp phòng chống: Phòng chống công ARP cache gặp số bất lợi trình ARP xảy chế độ background nên có khả điều khiển trực tiếp chúng Không có giải pháp cụ thể để phòng thủ hữu hiệu tùy tình ta sử dụng số phương pháp sau: • Sử dụng dạng tĩnh ARP cache: Một cách bảo vệ chống lại vấn đề không an toàn vốn có ARP request ARP reply thực trình động Đây tùy chọn máy tính Windows cho phép bạn bổ sung entry tĩnh vào ARP cache Ta xem ARP cache máy tính Windows cách mở cmd đánh vào lệnh arp –a Có thể thêm entry vào danh sách cách sử dụng lệnh: arp –s Học viện kỹ thật mật mã 16 Tấn công giả mạo địa MAC IP Trong trường hợp, cấu hình mạng có thay đổi, ta tạo danh sách entry ARP tĩnh sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay ARP request ARP reply • Kiểm tra lưu lượng ARP cache với chương trình hãng thứ 3: Một biện pháp phòng chống lại việc giả mạo ARP cache phương pháp kiểm tra lưu lượng mạng thiết bị Ta thực điều với vài hệ thống phát xâm phạm (chẳng hạn Snort) thông qua tiện ích thiết kế đặc biệt cho mục đích (như xARP) Điều khả thi ta quan tâm đến thiết bị đó, nhiên cồng kềnh vướng mắc việc giải với toàn phân đoạn mạng 2.2 Giả mạo địa IP 2.2.1 Giả mạo DNS (DNS Spoofing) 2.2.1.1 Truyền thông DNS Giao thức Domain Naming System (DNS) định nghĩa RFC 1034/1035 xem giao thức quan trọng sử dụng Internet Nói ngắn để dễ hiểu, ta đánh địa web chẳng hạn http://www.google.com vào trình duyệt, yêu cầu DNS đưa đến máy chủ DNS để tìm địa IP tương xứng với tên miền mà ta vừa nhập Các router thiết bị kết nối Internet không hiểu google.com gì, chúng hiểu địa chẳng hạn 74.125.95.103 Máy chủ DNS làm việc cách lưu sở liệu entry (được gọi ghi tài nguyên) địa IP để đồ hóa tên DNS, truyền thông ghi tài nguyên đến máy khách đến máy chủ DNS khác Ở ta không vào giới thiệu khía cạnh kiến trúc hay chí kiểu lưu lượng DNS khác nhau, mà giới thiệu phiên giao dịch DNS Hình 2.9: Truy vấn hồi đáp DNS 2.2.1.2 Nguyên lý giả mạo DNS Có nhiều cách để thực vấn đề giả mạo DNS Ở ta tìm hiểu kỹ thuật giả mạo DNS ID Mỗi truy vấn DNS gửi qua mạng có chứa số nhận dạng nhất, mục đích số nhận dạng để phân biệt truy vấn đáp trả chúng Điều có nghĩa máy tính công chặn truy vấn DNS gửi từ thiết bị cụ thể, tất cần thực Học viện kỹ thật mật mã 17 Tấn công giả mạo địa MAC IP tạo gói giả mạo có chứa số nhận dạng để gói liệu chấp nhận mục tiêu Chúng ta hoàn tất trình cách thực hai bước với công cụ đơn giản Đầu tiên, cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu lượng qua host công mình, từ chặn yêu cầu DNS gửi gói liệu giả mạo Mục đích kịch lừa người dùng mạng mục tiêu truy cập vào website độc thay website mà họ cố gắng truy cập Hình 2.10: Tấn công giả mạo DNS cách giả mạo DNSID Có thể sử dụng công cụ Ettercap để thực mô công giả mạo DNS 2.2.1.3 Phòng chống công giả mạo DNS Việc phòng thủ với công giả mạo DNS khó khăn có dấu hiệu để nhận biết bị công Thông thường, ta DNS bị giả mạo điều xảy Kết nhận trang web khác hoàn toàn so với mong đợi Trong công với chủ đích lớn, người dùng bị lừa nhập thông tin quan trọng vào website giả mạo Sau số phương pháp phòng thủ công giả mạo DNS: * Bảo vệ máy tính bên mạng: Các công giống thường thực thi từ bên mạng Nếu thiết bị mạng an toàn ta giảm khả host bị thỏa hiệp sử dụng để khởi chạy công giả mạo * Không dựa vào DNS cho hệ thống bảo mật: Trên hệ thống an toàn có độ nhạy cảm cao, không duyệt Internet cách thực tốt để không sử dụng đến DNS Nếu dùng phần mềm sử dụng hostname để thực số công việc chúng cần phải điều chỉnh cho phù hợp file cấu hình thiết bị * Sử dụng IDS: Một hệ thống phát xâm nhập, đặt triển khai đúng, vạch mặt hình thức giả mạo ARP cache giả mạo DNS Học viện kỹ thật mật mã 18 Tấn công giả mạo địa MAC IP * Sử dụng DNSSEC: DNSSEC giải pháp thay cho DNS, sử dụng ghi DNS có chữ ký để bảo đảm hợp lệ hóa đáp trả truy vấn Tuy DNSSEC chưa triển khải rộng rãi chấp thuận “tương lai DNS” 2.2.1.4 Kết luận: Giả mạo DNS hình thức công MITM nguy hiểm sử dụng với mục đích ăn cắp thông tin Sử dụng công nghệ kẻ công tận dụng kỹ thuật giả mạo để đánh cắp thông tin quan trọng người dùng, hay cài đặt malware ổ đĩa bị khai thác, gây công từ chối dịch vụ 2.2.2 Phương thức công từ chối dịch vụ (DoS) Một công từ chối dịch vụ (tấn công DoS) hay công từ chối dịch vụ phân tán (tấn công DDoS) trình làm cho tài nguyên máy tính sử dụng nhằm vào người dùng Mặc dù phương tiện để tiến hành, động cơ, mục tiêu công từ chối dịch vụ khác nhau, nói chung gồm có phối hợp, cố gắng ác ý người hay nhiều người để chống lại Internet site service (dịch vụ Web) vận hành hiệu tất cả, tạm thời hay cách không xác định Thủ phạm tẩn công từ chối dịch vụ nhằm vào mục tiêu site hay server tiêu biểu ngân hàng, cổng toán thẻ tín dụng chí DNS root servers Một phương thức công phổ biến kéo theo bão hoà máy mục tiêu với yêu cầu liên lạc bên ngoài, đến mức đáp ứng giao thông hợp pháp, đáp ứng chậm Đa phần công DoS hay DDoS khiến máy mục tiêu phải khởi động lại xử lý hết yêu cầu tiêu thụ hết tài nguyên đến mức không cung cấp dịch vụ, làm tắc nghẽn liên lạc người sử dụng nạn nhân Tấn công từ chối dịch dẫn tới vấn đề nhánh mạng máy bị công Ví dụ băng thông router Internet Lan bị tiêu thụ công, làm tổn hại không máy tính ý định công mà toàn thể mạng 2.2.2.1 Kiểu công SYN flood Lợi dụng cách thức hoạt động kết nối TCP/IP, hacker bắt đầu trình thiết lập kết nối TPC/IP tới mục tiêu muốn công mà không gửi trả gói tin ACK, khiến cho mục tiêu rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác giả mạo địa IP nguồn gói tin yêu cầu thiết lập kết nối SYN trường hợp trên, máy tính đích rơi vào trạng thái chờ gói tin SYN ACK đến đích địa IP nguồn thật Kiểu công SYN flood hacker áp dụng để công hệ thống mạng có băng thông lớn hệ thống hacker Học viện kỹ thật mật mã 19 Tấn công giả mạo địa MAC IP Hình 2.11: Sơ đồ bắt tay bước (three way) Hình 2.12: Sơ đồ công SYN flood • Lợi dụng nguồn tài nguyên nạn nhân để công: -Kiểu công Land Attack: Kiểu công Land Attack tương tự SYN flood, hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vòng lặp vô tận cố gắng thiết lập kết nối với -Kiểu công UDP flood: Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần công máy tính mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thông chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng 2.2.2.2 Tấn công Smurf Attack Kiểu công cần hệ thống quan trọng, mạng khuyếch đại Hacker dùng địa máy tính cần công cách gửi gói tin ICMP echo cho toàn mạng (broadcast) với địa IP gói tin ICMP giả mạo Các máy tính Học viện kỹ thật mật mã 20 Tấn công giả mạo địa MAC IP mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn công Kết máy tính xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy 2.2.2.3 Cách phòng chống Hậu mà DoS gây không tiêu tốn nhiều tiền bạc, công sức mà nhiều thời gian để khắc phục Vì vậy, sử dụng biện pháp sau để phòng chống DoS: • Mô hình hệ thống cần phải xây dựng hợp lý, tránh phụ thuộc lẫn mức Bởi phận gặp cố làm ảnh hưởng tới toàn hệ thống • Thiết lập mật mạnh (strong password) để bảo vệ thiết bị mạng nguồn tài nguyên quan trọng khác • Thiết lập mức xác thực người sử dụng nguồn tin mạng Đặc biệt, nên thiết lập chế độ xác thực cập nhật thông tin định tuyến router • Xây dựng hệ thống lọc thông tin router, firewall… hệ thống bảo vệ chống lại SYN flood • Chỉ kích hoạt dịch vụ cần thiết, tạm thời vô hiệu hoá dừng dịch vụ chưa có yêu cầu không sử dụng • Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng tài nguyên server để công server mạng server khác • Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời • Sử dụng biện pháp kiểm tra hoạt động hệ thống cách liên tục để phát hành động bất bình thường • Xây dựng triển khai hệ thống dự phòng Học viện kỹ thật mật mã 21 Tấn công giả mạo địa MAC IP CHƯƠNG 3: TRIỂN KHAI DEMO VÀ ĐÁNH GIÁ KẾT QUẢ 3.1 Triển khai công cụ Ettercap thực công ARP poisoining routing: 3.1.1 Demo chương trình Ettercap: Hình 3.13: Địa IP đại MAC thiết bị mạng Hình 3.14: Cấu hình cho chương trình Ettercap Học viện kỹ thật mật mã 22 Tấn công giả mạo địa MAC IP Hình 3.15:Cấu hình cổng giao tiếp mạng cho Ettercap Hình 3.16: Bắt đầu quét sanh sách máy trạm (host) mạng LAN Học viện kỹ thật mật mã 23 Tấn công giả mạo địa MAC IP Hình 3.17: Danh sách máy tram (host) mạng lan Hình 3.18: Tiến hành giả mạo ARP Học viện kỹ thật mật mã [...]... kỹ thật mật mã 15 Tấn công giả mạo địa chỉ MAC và IP Hình 2.8: Mô hình hoạt động của mạng khi bị tấn công ARP Để thực hiện phương pháp tấn công này ta có thể sử dụng một số công cụ như Cain & Abel , Wireshark 2.1.2.2 Giả mạo Gateway Có hai hình thức mà các hacker thường sử dụng: Hình thức 1: hacker giả mạo gói tin ARP gửi đến máy victim với địa chỉ ip là gateway ứng với 1 địa chỉ MAC nào đó khồng tồn... (khi có nhiều hơn số địa Học viện kỹ thật mật mã 13 Tấn công giả mạo địa chỉ MAC và IP chỉ MAC tối đa được học hoặc khi gói tin đến có địa chỉ MAC khác so với các địa chỉ MAC đã được cấu hình tĩnh) Các biện pháp xử lí có thể là : shutdown: cổng sẽ bị ngừng hoạt động; không nhận và chuyển gói tin restrict: cổng chỉ cho phép các gói tin có địa chỉ MAC hợp lệ đi qua; các gói tin vi phạm sẽ bị huỷ Đồng... kẻ tấn công gửi đi liên tục hàng loạt các bản tin có địa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y) Switch sẽ cập nhật địa chỉ của các host giả mạo này vào bảng CAM Kết quả là khi host A gửi tin đến cho host B; địa chỉ của B không tồn tại trong bảng nên gói tin được switch gửi ra các cổng của nó và bản tin A chỉ gửi riêng cho B cũng sẽ được chuyển đến C Học viện kỹ thật mật mã 12 Tấn công giả. .. địa chỉ IP nguồn là không có thật Kiểu tấn công SYN flood được các hacker áp dụng để tấn công một hệ thống mạng có băng thông lớn hơn hệ thống của hacker Học viện kỹ thật mật mã 19 Tấn công giả mạo địa chỉ MAC và IP Hình 2.11: Sơ đồ bắt tay 3 bước (three way) Hình 2.12: Sơ đồ tấn công SYN flood • Lợi dụng nguồn tài nguyên của chính nạn nhân để tấn công: -Kiểu tấn công Land Attack: Kiểu tấn công Land... và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng 2.2.2.2 Tấn công Smurf Attack Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo cho toàn bộ mạng (broadcast) với địa chỉ IP gói tin ICMP giả mạo Các máy tính trong Học viện kỹ thật mật mã 20 Tấn công giả mạo địa chỉ MAC và. ..11 Tấn công giả mạo địa chỉ MAC và IP Switch# show mac address-table dynamic [address mac- address | interface type mod/num |vlan vlan-id] Lệnh này sẽ liệt kê tất cả các địa chỉ MAC mà switch học được Nếu muốn cụ thể hơn, có thể tìm được vị trí của host đã gắn vào switch bằng cách chỉ ra địa chỉ của nó hoặc có thể tìm được những địa chỉ MAC đã được học từ một giao diện... entry trong cache: Học viện kỹ thật mật mã 14 Tấn công giả mạo địa chỉ MAC và IP • Sử dụng ARP cache tĩnh: Mỗi địa chỉ IP và địa chỉ MAC tương ứng được thêm một cách thủ công vào bảng cache và được duy trì lâu dài • Sử dụng ARP cache động: Địa chỉ IP và phần cứng được lưu trong cache bằng phần mềm.Các địa chỉ này được lưu giữ tạm thời và sau đó được gỡ bỏ ARP Cache biến một quá trình có thể gây lãng phí... số địa chỉ MAC tối đa mà cổng có thể học tự động và cho phép các thiết bị này truyền dữ liệu qua Mặc định thì cổng chỉ cho phép một địa chỉ MAC (một thiết bị) được gán vào và số địa chỉ có thể nằm trong khoảng từ 1 đến 1024 • Switch(config-if)# switchport port-security mac- address mac_ address (tuỳ chọn) : bên cạnh cách cấu hình cho phép switch học tự động địa chỉ MAC; có thể gán tĩnh một số địa chỉ MAC. .. Có thể sử dụng công cụ Ettercap để thực hiện mô phỏng tấn công giả mạo DNS 2.2.1.3 Phòng chống tấn công giả mạo DNS Việc phòng thủ với tấn công giả mạo DNS khá khó khăn vì có ít các dấu hiệu để nhận biết bị tấn công Thông thường, ta không hề biết DNS của mình bị giả mạo cho tới khi điều đó xảy ra Kết quả nhận được là một trang web khác hoàn toàn so với những gì mong đợi Trong các tấn công với chủ đích... giả mạo địa chỉ MAC và IP CHƯƠNG 3: TRIỂN KHAI DEMO VÀ ĐÁNH GIÁ KẾT QUẢ 3.1 Triển khai công cụ Ettercap thực hiện tấn công ARP poisoining routing: 3.1.1 Demo chương trình Ettercap: Hình 3.13: Địa chỉ IP và đại chỉ MAC của các thiết bị trong mạng Hình 3.14: Cấu hình cho chương trình Ettercap Học viện kỹ thật mật mã 22 Tấn công giả mạo địa chỉ MAC và IP Hình 3.15:Cấu hình cổng giao tiếp mạng cho Ettercap

Ngày đăng: 07/06/2016, 19:43

Xem thêm: Tấn công giả mạo địa chỉ IP và MAC

Mục lục

  • DANH SÁCH CÁC HÌNH, BẢNG

  • LỜI MỞ ĐẦU

  • CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

    • 1.1. Khái niệm địa chỉ ip và mac

      • 1.1.1. Địa chỉ IP, MAC là gì?

        • 1.1.1.1 Giao thức IP - Internet Protocol

        • 1.1.1.2 Địa chỉ MAC - Media Access Control:

        • 1.1.2. Cấu trúc địa chỉ IP, MAC.

          • 1.1.2.1 Giao thức IP - Internet Protocol :

          • 1.1.2.2 Địa chỉ MAC - Media Access Control:

          • 1.1.3. Mối liên hệ giữa địa chỉ IP và MAC

          • 1.2. Giới thiệu giao thức ARP

            • 1.2.1. ARP là gì và tại sao cần ARP

            • 1.2.2. Cơ chế hoạt động của ARP

            • CHƯƠNG 2: CÁC PHƯƠNG PHÁP GIẢ MẠO VÀ TẤN CÔNG GIẢ MẠO ĐỊA CHỈ MAC VÀ IP

              • 2.1. Giả mạo địa chỉ MAC (ARP).

                • 2.1.1. Tấn công MAC Flooding (bảng CAM)

                  • 2.1.1.1 Chức năng chuyển mạch của Switch

                  • 2.1.1.2 Tấn công làm tràn bảng CAM

                  • 2.1.1.3 Cách phòng chống

                  • 2.1.2. Tấn công ARP Spoofing (ARP Cache)

                    • 2.1.2.1 Man In The Middle (MITM)

                    • 2.1.2.2 Giả mạo Gateway.

                    • 2.1.2.3 Phương pháp phòng chống:

                    • 2.2. Giả mạo địa chỉ IP.

                      • 2.2.1. Giả mạo DNS (DNS Spoofing)

                        • 2.2.1.1 Truyền thông DNS

                        • 2.2.1.2 Nguyên lý giả mạo DNS

                        • 2.2.1.3 Phòng chống tấn công giả mạo DNS

                        • 2.2.1.4 Kết luận:

                        • 2.2.2. Phương thức tấn công từ chối dịch vụ (DoS).

                          • 2.2.2.1 Kiểu tấn công SYN flood

Tài liệu cùng người dùng

Tài liệu liên quan