PHƯƠNG THỨC TẤN CƠNG ARP Làm nào? Làm để phòng thủ?  Làm để cơng ARP  Điểm yếu ?  Mô tả? Tấn công ARP  Cách phát bị công  Cách phòng thủ Các khái niệm Gioi thiệu     Sơ lược MAC,ARP gì? Qúa trình ARP Lỗ hổng ARP Cách phòng thủ ví dụ Các phương thức cơng Ngun lý Nội dung phương thức     Man in the middle Denial of service Mac flooding Một số Tool công Mỗi thiết bị mạng có địa MAC (Medium Access Control address) địa Các thiết bị mạng thường dùng địa MAC để liên lạc với tầng Data Link ARP phương thức phân giải địa động địa lớp network địa lớp datalink Quá trình thực cách: thiết bị IP mạng gửi gói tin local broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa phần cứng ( địa lớp datalink ) hay gọi Mac Address Ban đầu ARP sử dụng mạng Ethernet để phân giải địa IP địa MAC Nhưng ngày ARP ứng dụng rộng rãi dùng công nghệ khác dựa lớp hai Có hai dạng tin ARP : gửi từ nguồn đến đích, gửi từ đích tới nguồn Request : Khởi tạo q trình, gói tin gửi từ thiết bị nguồn tới thiết bị đích Reply : Là q trình đáp trả gói tin ARP request, gửi từ máy đích đến máy nguồn Có loại địa tin ARP : Sender Hardware Address : Địa lớp hai thiết bị gửi tin Sender Protocol Address : Địa lớp ba ( hay địa logic ) thiết bị gửi tin Target Hardware Address : Địa lớp hai ( địa phần cứng ) thiết bị đích tin Target Protocol Address : Địa lớp ba ( hay địa logic ) thiết bị đích tin Host A Host B truyền tin cho nhau, packet sẽ đưa xuống tầng Datalink để đóng gói, Host sẽ phải đóng gói MAC nguồn, MAC đích vào frame Như vậy trước trình truyền liệu xảy ra, máy sẽ phải làm động tác hỏi MAC Nếu mà Host A khởi động q trình hỏi MAC trước, broadcast gói tin ARP request để hỏi MAC Host B, Host B coi có MAC Host A, Host B trả lời cho A MAC Host B thơi (gói tin trả lời từ Host B ARP reply) Lỗ hổng ARP ARP giao thức phi trạng thái Máy chủ mạng sẽ tự động lưu trữ ARP reply mà chúng nhận được, máy khác có yêu cầu hay không Ngay mục ARP chưa hết hạn sẽ bị ghi đè nhận gói tin ARP reply Khơng có phương pháp giao thức ARP mà giúp máy xác nhận máy mà từ gói tin bắt nguồn Hành vi lỗ hổng cho phép ARP spoofing xảy TẤN CƠNG ARP Làm để cơng? Attacker: máy hacker dùng để công ARP attack IP: 10.0.0.11 Mac: 0000:0000:0111 Host A IP: 10.0.0.09 MAC: 0000:0000:0109 Host B IP: 10.0.0.08 MAC: 0000:0000:0108 Victim: máy bị công ARP attack IP: 10.0.0.10 MAC: 0000:0000:0110 Attacker muốn thực ARP attack máy Victim Attacker muốn gói tin Host A truyền tới máy Victim chụp lại để xem trộm Làm để Attacker điều đó? Host A muốn gởi liệu cho Victim Host A cần phải biết địa MAC Victim để liên lạc Host A sẽ gửi broadcast ARP Request tới tất máy mạng Lan để hỏi xem IP 10.0.0.10 (IP Victim) có địa MAC Host A broadcast ARP Request MA C: 00 0:0 00 0:0 110 Victim Host B, Attacker, Victim nhận gói tin ARP Request, có Victim gửi lại gói tin ARP Reply lại cho Host A ARP Reply chứa thông tin IP Victim, MAC Victim, MAC Host A Attacker Host B ARP Reques Host A Victim ARP Reply 10 Sau nhận gói tin ARP Reply từ Victim, Host A biết địa MAC Victim Host A bắt đầu thực liên lạc, truyền liệu tới Victim Host B, Attacker xem nội dung liệu truyền máy Host A Victim Host A IP: 10.0.0.10 MAC: 0000:0000:0110 Host A 11 Attacker muốn xem liệu truyền Host A Victim Attacker sử dụng kiểu công ARP Spoof Attacker thực gửi liên tục ARP Reply chứa thông tin IP Victim, MAC Attacker, MAC Host A Ở đây, thay MAC Victim, Attacker đổi thành địa MAC ARP Rep ly 12 Host A nhận ARP Reply nghĩ IP Victim 10.0.0.10 sẽ có địa MAC 0000:0000:0111 (MAC Attacker) Host A lưu thông tin vào bảng ARP Cache Bây thông tin, liệu Host A gửi tới 10.0.0.10 (Victim), Attacker nhận được, Attacker xem tòan nội dung Host A gửi cho Victim Attacker kiểm sóat tòan q trình liên lạc Host A Victim thông qua ARP Attack Attacker thường xuyên gửi gói tin ARP Reply chứa địa IP Host A Victim có địa MAC Attacker Host A nhận gói tin nghĩ Victim sẽ có địa MAC 0000:0000:0111 (MAC Attacker) Victim nhận đươc gói tin nghĩ Host A sẽ có địa MAC 0000:0000:0111 (MAC Attacker) Mọi thông tin trao đổi Host A Victim, Attacker nhận Như vậy Attacker biết nội dung trao đổi Host A Victim Sau bị công ARP attack, sẽ nguy hiểm cho người dùng thơng tin trao đổi họ bị lộ, thơng tin quan trọng, cần phải giữ bí mật 13 14 Điểm yếu phương thức công Chỉ có máy nằm đường mạng với máy Attacker bị công Các máy nằm khác mạng sẽ khơng thể bị cơng hình thức Trong đường mạng LAN, máy sẽ thực trao đổi liệu với dựa vào địa MAC Host A muốn trao đổi liệu với Host B Host A sẽ dò tìm bảng ARP cache xem IP Host B sẽ có địa MAC tương ứng Host A đóng gói liệu cần truyền với MAC nguồn MAC Host A, MAC đích MAC Host B Sau Host A sẽ truyền liệu tới Host B dựa vào MAC đích gói tin Trong trường hợp Host A, Host B khác đường mạng muốn liên lạc với nhau, ta phải dựa vào địa IP để truyền liệu phải thông qua thiết bị định tuyến, router Host A sẽ đóng gói liệu cần truyền với MAC nguồn Host A, MAC đích router Gói tin sẽ truyền đến router, router sẽ dựa vào địa IP đích (IP Host B)và dò tìm bảng định tuyến nhằm xác định đường đến Host B Router có khả ngăn chặn gói tin broadcast 15 NGUYÊN LÝ VÀ PHƯƠNG THỨC Phương thức công Man in the middle(Gỉa mạo DNS) Denial of service(Từ chối dịch vụ) Mac flooding 16 Denial of service Hacker tiến hành cơng cách gởi gói ARP Reply đến tồn host mạng với nội dung mang theo địa IP Gateway địa MAC không tồn Như vậy host mạng tin tưởng biết MAC Gateway gửi thông tin đến Gateway, kết gửi đến nơi hồn tồn khơng tồn Đó điều hacker mong muốn, toàn host mạng Internet 17 Tool công SwitchSniffer 18 Tool công Cain &abel 19 Tool cơng Netcut 20 CÁCH PHỊNG THỦ Phát công Sử dụng phần mềm XArp 2.0 Bạn chạy chương trình XArp 2.0 sẽ nhìn thấy số dòng màu đỏ, có IP Gateway, máy công máy nạn nhân Bạn loại IP Gateway IP máy nạn nhân bị mạng, lại IP máy tính cơng (máy khơng bị mạng) Nếu ý vào XArp 2.0, bạn kéo sau sẽ thấy cột How Often seen, bạn sẽ thấy số liệu trao đổi Gateway máy nạn nhân tăng lên tương ứng nhau, máy cơng khác hẳn 21 Cách phòng thủ Mạng nhỏ Ta sử dụng địa IP tĩnh ARP table tĩnh, đó, bạn sẽ liệt kê tay IP với MAC Trong Windows sử dụng câu lệnh ipconfig /all để xem IP MAC, dùng câu lệnh arp -s để thêm vào ARP table Khi mà ép tĩnh vậy sẽ ngăn chặn hacker gởi gói ARP Reply giả tạo đến máy sử dụng ARP table tĩnh ln ln khơng thay đổi Chú ý cách thức áp dụng môi trường mạng với quy mô nhỏ, mạng lớn khơng thể phải thêm vào ARP table tay với số lượng nhiều 22 Cách phòng thủ Mạng lớn Khi quản trị mạng quy mơ lớn, ta sử dụng chức Port security Khi mở chức Port security lên port Switch, ta quy định port chấp nhận địa MAC Như vậy sẽ ngăn chặn việc thay đổi địa MAC máy hacker Ngồi sử dụng cơng cụ, ví dụ ArpWatch Nó sẽ phát báo cáo cho bạn thông tin liên quan đến ARP diễn mạng Nhờ đó, có tượng cơng ARP Poisoning bạn giải kịp thời 23 Cảm ơn người lắng nghe Tháng 11 24 ... sẽ tự động lưu trữ ARP reply mà chúng nhận được, máy khác có yêu cầu hay không Ngay mục ARP chưa hết hạn sẽ bị ghi đè nhận gói tin ARP reply Khơng có phương pháp giao thức ARP mà giúp máy xác... nhận máy mà từ gói tin bắt nguồn Hành vi lỗ hổng cho phép ARP spoofing xảy TẤN CƠNG ARP Làm để cơng? Attacker: máy hacker dùng để công ARP attack IP: 10.0.0.11 Mac: 0000:0000:0111 Host A IP: 10.0.0.09... Victim gửi lại gói tin ARP Reply lại cho Host A ARP Reply chứa thông tin IP Victim, MAC Victim, MAC Host A Attacker Host B ARP Reques Host A Victim ARP Reply 10 Sau nhận gói tin ARP Reply từ Victim,