TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO ARP CACHE POISONING, DNS CACHE POISONING VÀ CÁCH PHÒNG CHỐNG GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM 21 Nội dung trình bày 1. Tổng Quan Về Tấn Công MAN-IN- THE-MIDDLE 2. Tấn Công Giả Mạo ARP CACHE (ARP CACHE POISONING) 3. Tấn Công Giả Mạo DNS (DNS CACHE POISONING) Tổng Quan Về Tấn Công MAN- IN-THE-MIDDLE 1 GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM 21 1. Tấn Công MAN-IN-THE-MIDDLE là gì? 2. Các Kiểu Tấn Công MITM + Tấn công giả mạo ARP cache (ARP Cache Poisoning). Các Hình Thức Tấn Công MITM Phổ Biến + Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning). + Chiếm quyền điều khiển Session (Session Hijacking). + Chiếm quyền điều khiển SSL… Tấn công giả mạo ARP CACHE (ARP CACHE POISONING) 2 GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM 21 Sơ lược về địa chỉ MAC +Mỗi thiết bị mạng đều có một địa chỉ vật lý – địa chỉ MAC (Medium Access Control address) và + Địa chỉ đó là duy nhất. +Các thiết bị trong cùng một mạng thường dùng địa chỉ MAC để liên lạc với nhau tại tầng Data Link của mô hình OSI. Địa chỉ ARP (Address Resolution Protocol). Giao thức ARP (Address Resolution Protocol) là giao thức phân giải địa chỉ động, được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa lớp thứ hai (Data Link) và thứ ba (Network) trong mô hình OSI.  Lớp thứ hai (Data Link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp.  Lớp thứ ba (Network) sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu. Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để có thể tạo nên một mạng truyền thông  Xuất hiện giao thức phân giải địa chỉ ARP (Address Resolution Protocol). Cơ chế hoạt động của ARP Một thiết bị IP trong mạng gửi một gói tin broadcast đến toàn mạng để yêu cầu các thiết bị khác gửi trả lại địa chỉ phần cứng (địa chỉ MAC) của mình nhằm thực hiện truyền tin cho nhau giữa thiết bị phát và thiết bị nhận. ARP về cơ bản là một quá trình 2 chiều Request/Response giữa các thiết bị trong cùng mạng nội bộ. + Thiết bị nguồn yêu cầu (request) bằng cách gửi một bản tin broadcast trên toàn mạng. +Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast đến thiết bị nguồn. Cơ chế hoạt động của quá trình truyền thông ARP [...]... cho Victim A Nội dung gói ARP Response của Attacker IP Victim B MAC của Attacker MAC A 10.0.0.10 ff-ff-ff-ff-00-11 ff-ff-ff-ff-00-09 Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning) Trước khi thực hiện cuộc tấn công ARP poisoning Khi cuộc tấn công ARP poisoning được thực thi Địa chỉ MAC thật của Gateway đã bị máy tấn công thay thế bằng MAC của máy tấn công Lúc này kẻ tấn công sẽ xem được mọi thông... trong cuộc tấn công ARP Cache ARP Cache của Victim A IP 10.0.0.09 MAC ff-ff-ff-ff-00-09  Victim B: là máy nhận thông tin từ Victim A, và cũng là một trong hai nạn nhân trong cuộc tấn công ARP Cache Máy Victim B có: ARP Cache của Victim B IP 10.0.0.10 MAC ff-ff-ff-ff-00-10 Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)  Attacker: là máy tính thực hiện tấn công ARP Cache, có: ARP Cache của Attacker... có ARP cache của riêng mình Có hai cách lưu giữ các entry trong Cache để phân giải địa chỉ diễn ra nhanh Đó là: + ARP Cache tĩnh (Static ARP Cache Entries): + ARP Cache động (Dynamic ARP Cache Entries): Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning) Giả sử trong một mạng LAN có 3 thiết bị (máy tính) như sau:  Victim A: là máy phát ARP Request, và cũng là một trong hai nạn nhân trong cuộc tấn công. .. ff-ff-ff-ff-00-11 Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning) Victim A sẽ gửi ARP Request dạng broadcast Nội dung gói ARP Request của A IP Victim B Chỉ có Victim B gửi ARP Response dạng unicast cho A Nội dung gói ARP Response của Victim B IP Victim B 10.0.0.10 10.0.0.10 MAC Victim B MAC A ff-ff-ff-ff-00-09 ff-ff-ff-ff-00-10 MAC A ff-ff-ff-ff-00-09 Attacker tiến hành gửi liên tục các gói ARP Response chứa... công sẽ xem được mọi thông tin cơ mật của cuộc trao đổi Thực hiện tấn công ARP Cache (ARP Poisoning) Demo phần mềm Cain & Abel CÁC BIỆN PHÁP PHÒNG CHỐNG + So sánh địa chỉ MAC trước khi truyền tin + Cấu hình lại bảng ARP Cache + Sử dụng các phần mềm như - Anti ARP - Comodo Internet Security Pro (Phần mềm bảo mật cho máy tính) 3 Tấn công giả mạo DNS (DNS CACHE POISONING) GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM... phân giải lần sau 4 Cơ chế làm việc của DNS 1 Giả mạo DNS (DNS Cache Poisoning) là gì - Dữ liệu sai sẽ được đưa vào hệ thống tên miền (DNS) cho một máy chủ, để khi người dùng duyệt đến một địa chỉ nào đó sẽ bị chuyển sang một địa chỉ khác mà không hề hay biết VD: www.abc.com có IP x.x.x.x  www.abc.comgiả mạo có IP y.y.y.y 2 Tấn công giả mạo DNS (DNS CACHE POISONING) Có 2 cơ chế hoạt động chính: + Giả. . .ARP Cache ARP là một giao thức phân giải địa chỉ động Quá trình gửi gói tin Request và Responce sẽ tiêu tốn băng thông mạng Chính vì vậy, càng hạn chế tối đa việc gửi gói tin Request và Response sẽ càng góp phần làm tăng khả năng hoạt động của mạng.Từ đó sinh ra nhu cầu của ARP Caching, nghĩa là lưu lại thông tin của các gói tin vào bộ nhớ đệm ARP Cache ARP Cache ARP cache có thể... mà không hề hay biết VD: www.abc.com có IP x.x.x.x  www.abc.comgiả mạo có IP y.y.y.y 2 Tấn công giả mạo DNS (DNS CACHE POISONING) Có 2 cơ chế hoạt động chính: + Giả mạo các phản hồi DNS + Giả mạo địa chỉ DNS Giả mạo các phản hồi DNS Giả mạo địa chỉ DNS Tình trạng các máy chủ DNS ở Việt Nam  Ngay khi phát hiện ra lỗ hổng này: - Các chuyên gia trên thế giới đã làm việc với nhau để tìm ra các phương pháp... Hệ thống phân giải tên miền Phát minh năm 1984 - Dùng ánh xạ giữa các tên miền và các địa chỉ IP 3 Nguyên tắc làm việc của DNS - Mỗi nhà cung cấp dịch vụ Internet (ISP) có nhiệm vụ vận hành và duy trì các máy chủ tên miền của mình - DNS có khả năng truy vấn các máy chủ tên miền khác để tìm ra một cái tên đã được phân giải - Các máy chủ tên miền có khả năng ghi nhớ những tên vừa phân giải để dùng cho... DNS của các ISP VN như FPT, VDC, Viettel, SCTV đều chưa được vá lỗi => Điều này có nghĩa là tất cả những ai sử dụng dịch vụ Internet (dial-up, ADSL hay leased line) của các ISP này đều có thể bị tấn công GiẢI PHÁP PHÒNG CHỐNG - Thận trọng khi duyệt Internet - Sử dụng DNSSEC - Kiểm tra lỗ hổng DNS Cache Poisoning, ví dụ BkavDNSCheck - Và 1 số phần mềm phòng chống lại DNS Poisoning như Kaspersky Labs . MAN-IN-THE-MIDDLE là gì? 2. Các Kiểu Tấn Công MITM + Tấn công giả mạo ARP cache (ARP Cache Poisoning). Các Hình Thức Tấn Công MITM Phổ Biến + Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache. Tấn Công Giả Mạo ARP CACHE (ARP CACHE POISONING) 3. Tấn Công Giả Mạo DNS (DNS CACHE POISONING) Tổng Quan Về Tấn Công MAN- IN-THE-MIDDLE 1 GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM 21 1. Tấn Công. gửi liên tục các gói ARP Response chứa mã độc cho Victim A Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning) Trước khi thực hiện cuộc tấn công ARP poisoning Khi cuộc tấn công ARP poisoning được