Tấn Công Giả Mạo IP Mac Nhóm 11 thực hiện: Ngô Văn Thỉnh Phạm Quốc Đạt Nguyễn Văn Hoàng Phạm Công Lý Nội Dung Cơ sở lý thuyết  Tìm hiểu IP MAC  Giao Thức ARP Các hình thức công giả mạo IP MAC  Tấn công MAC Flooding  Tấn công ARP Spoofing  Giả mạo DNS  Một số công từ chối dịch vụ DoS Video Demo Địa Chỉ IP MAC Mỗi thiết bị mạng (máy tính, router,…) nhận diện loại địa chỉ: o Địa logic (IP): phụ thuộc vào cấu trúc mạng thay đổi o Địa vật lý (MAC addres): địa nhà sx ghi card mạng nằm bên thiết bị, thay đổi Địa Chỉ IP MAC Giao thức IP - Internet Protocol : Gồm phần: địa mạng (netID) địa máy (hostID) o Net ID: Dùng để nhận dạng hệ thống khu vực vật lý gọi Phân Đoạn (Segment) Mọi hệ thống Phân Đoạn phải có Địa Chỉ Mạng Phần địa phải số mạng có o Host ID: Dùng để nhận dạng trạm làm việc, máy chủ, Router trạm TCP/IP (1 computer) phân đoạn Phần địa trạm phải mạng NET ID HOST ID 1…………………………………32 Địa Chỉ IP MAC Địa MAC - Media Access Control: o Một địa MAC bao gồm byte thường viết dạng hexa, thiết bị (card mạng, modem, router ) nhà sản xuất (NSX) định gán sẵn địa định o Thường viết theo dạng: MM:MM:MM:SS:SS:SS hay MMMM-MM-SS-SS-SS o Địa MAC số 48 bit biểu diễn 12 số hexa (hệ số thập lục phân), đó: o 24bit đầu (MM:MM:MM) mã số NSX (Linksys, 3COM ) o 24 bit sau (SS:SS:SS) số seri card mạng NSX gán Địa Chỉ IP MAC  Giao thức liên mạng IP cung cấp khả kết nối mạng thành liên mạng để truyền liệu, vai trò IP nằm tầng mạng (Network layer) mô hình OSI  Media Access Control (MAC) địa dùng để nhận diện thiết bị giúp cho gói tin lớp (Datalink layer) đến đích Giao thức ARP (Address Resolution Protocol) o Giao thức ARP giao thức phân giải địa động, thiết kế để phục vụ cho nhu cầu thông dịch địa giữ lớp thứ hai (data link) thứ ba (network) mô hình OSI • Lớp thứ hai (datalink): sử dụng địa MAC để thiết bị phần cứng truyền thông với cách trực tiếp • Lớp thứ ba (Network): sử dụng địa IP để tạo mạng có khả mở rộng toàn cầu o Mỗi lớp có chế phân định địa riêng, chúng phải làm việc với để tạo nên mạng truyền thông => Xuất giao thức phân giải địa ARP Cơ chế hoạt động ARP o ARP trình chiều Request/Response thiết bị mạng nội • Thiết bị nguồn yêu cầu (request) gửi tin broadcast (FF-FF-FF-FF-FF-FF) toàn mạng • Thiết bị đích trả lời (response) tin unicast đến thiết bị nguồn Cơ chế hoạt động ARP Các Phương Pháp Tấn Công Giả Mạo IP MAC Tấn công MAC Flooding: Tấn công bảng CAM Switch Tấn công ARP Spoofing: Tấn công giả mạo vào ARP Cache máy trạm Giả mạo DNS: Giả mạo địa phân giải tên miền máy trạm yêu cầu Một số công từ chối dịch vụ DoS: Kiểu công SYN Flood & Kiểu công Smurf Attack Tấn Công MAN IN THE MIDDLE (MITM) Nguyên Lý: o Việc giả mạo bảng ARP lợi dụng tính không an toàn giao thức ARP o Việc gửi gói ARP reply Port MAC request tạo gọi A việc c gửi ARP “vu vơ” Các thiết bị sử dụng giao thức phân giải địa (ARP) chấp nhận cập nhật lúc Tấn Công MAN IN THE MIDDLE (MITM) Nguyên Lý: Bảng CAM Port Port PC A ARP Cache PC A IP MAC B BC C C D D … … MAC A B C Port Port MAC A c PC C Port PC B ARP Cache PC B IP MAC A AC C C D D … Phòng Chống Tấn Công MAN IN THE MIDDLE  Sử dụng dạng tĩnh ARP cache: Đây tùy chọn máy tính Windows cho phép bạn bổ sung entry tĩnh vào ARP cache o Xem arp cache lệnh cmd arp –a o Thêm entry lênh arp –s A c Kiểm tra lưu lượng ARP cache với chương trình của hãng thứ 3: Ta thực điều với vài hệ thống phát xâm phạm (chẳng hạn Snort) thông qua tiện ích thiết kế đặc biệt cho mục đích (như xARP) Domain Name Server (DNS) Port MAC A c Tấn Công Giả Mạo Domain Name Server (DNS) Sử dụng kỹ thuật giảo mạo DNS ID • Mỗi truy vấn DNS gửi qua mạng chứa số nhận dạng nhất, mục đích để phân biệt truy vấn đáp trả • Cần tạo gói giả mạo có chứa số nhận dạng để gói liệu chấp nhận bỏi victim Port MAC DNS: A • bước để thực giả mạo • Giả mạo ARP cache c • Chặn yêu cầu DNS gửi gói liệu giả mạo • Mục đích việc giả mạo đánh lừa victim truy cập vào trang web giả mạo (chứa mã độc, đánh cắp thông tin,…) Tấn Công Giả Mạo Domain Name Server (DNS) Nguyên Lý: Facebook.com Bảng CAM Port MAC A B C … Port Port PC A Port ARP Cache PC A IP MAC B B C C C D D … PC C 69.171.203.5 Internet Port MAC Router B A c Fakefacebook.com 69.161.204.52 Tấn Công Từ Chối Dịch Vụ DoS •Một phương thức công phổ biến kéo theo bão hoà máy mục tiêu với yêu cầu liên lạc bên ngoài, đến mức đáp ứng giao thông hợp pháp, đáp ứng chậm •Đa phần công DoS hay DDoS khiến máy mục tiêu phải khởi động lại xử lý hết yêu cầu tiêu thụ hết tài nguyên Port MAC đến mức không cung cấp lạc A người sử dụng nạn dịch vụ, làm tắc nghẽn liên c nhân •Tấn công từ chối dịch dẫn tới vấn đề nhánh mạng máy bị công Ví dụ băng thông router Internet Lan bị tiêu thụ công, làm tổn hại không máy tính ý định công mà toàn thể mạng Kiểu Tấn Công SYN Flood Port MAC A c Kiểu Tấn Công SYN Flood Port MAC A c Kiểu Tấn Công Smurf Attack Port MAC A c Phòng Chống Tấn Công Từ Chối Dịch Vụ DoS • Mô hình hệ thống cần phải xây dựng hợp lý, tránh phụ thuộc lẫn mức • Thiết lập mức xác thực người sử dụng nguồn tin mạng Đặc biệt, nên thiết lập chế độ xác thực cập nhật thông tin định tuyến router • Xây dựng hệ thống lọc thông tin router, firewall… hệ thống bảo vệ Port MAC chống lại SYN flood A • Chỉ kích hoạt dịch vụ cần thiết, tạm c thời vô hiệu hoá dừng dịch vụ chưa có yêu cầu không sử dụng • Liên tục cập nhật, nghiên cứu, kiểm tra để phát lỗ hổng bảo mật có biện pháp khắc phục kịp thời • Sử dụng biện pháp kiểm tra hoạt động hệ thống cách liên tục để phát hành động bất bình thường • Xây dựng triển khai hệ thống dự phòng Các Phương Pháp Tấn Công Giả Mạo IP MAC Demo Tấn Công Giả Mạo DNS Công cụ sử dụng để thực Ettercap • Có thể sử dụng cho Windows Linux • Có nhiều chức khác phục vụ cho nhiều kiểu công MITM • Có tính đánh kết nối trực tiếp, lọc nội dung chuyển mạng nhiều thủ thuật thú vị khác Port MAC • Ettercap mức lõi đánh (sniffer) liệu, sử A dụng plug-in để thực công khác c  Ngoài sử dụng Social Toolkit: Dùng để giả lập website nhanh chóng giả mạo trang đăng nhập Demo Tấn Công Giả Mạo DNS • Ở ta dung plug-in dns_spoof, ta phải điều chỉnh file cấu hình liên quan với plug-in Port MAC /usr/share/ettercap/etter.dns C:\Program Files (x86)\EttercapNG\share\etter.dns (Window) A c Demo Tấn Công Giả Mạo DNS • Thực lệnh: Ettercap –T –q –P dns_spoof –M arp // // • -T – Chỉ định sử dụng giao diện văn • -q – Chạy lệnh chế độ “yên lặng” để gói liệu Port MAC capture không hiển thị hình A c • -P dns_spoof – Chỉ định3sử dụng plug-in dns_spoof • -M arp – Khởi tạo công MITM giả mạo ARP để chặn gói liệu host • // // - Chỉ định toàn mạng mục tiêu công [...]... bỏi victim Port MAC 1 DNS: A • 2 bước để thực hiện giả mạo • Giả mạo ARP cache 3 c • Chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo • Mục đích của việc giả mạo là đánh lừa victim truy cập vào trang web giả mạo (chứa mã độc, đánh cắp thông tin,…) Tấn Công Giả Mạo Domain Name Server (DNS) Nguyên Lý: Facebook.com Bảng CAM Port MAC 1 A 2 B 3 C … Port 2 Port 1 PC A Port 3 ARP Cache PC A IP MAC B B C C C... bình thường • Xây dựng và triển khai hệ thống dự phòng Các Phương Pháp Tấn Công Giả Mạo IP và MAC Demo Tấn Công Giả Mạo DNS Công cụ sử dụng để thực hiện là Ettercap • Có thể sử dụng cho cả Windows và Linux • Có nhiều chức năng khác phục vụ cho nhiều kiểu tấn công MITM • Có tính năng đánh hơi các kết nối trực tiếp, lọc nội dung chuyển trên mạng và nhiều thủ thuật thú vị khác Port MAC • Ettercap ở mức... duy trì trong quá trình hoạt động và sẽ bị xóa đi sau 1 khoảng thời gian timeout hoặc khi Switch khởi động lại Tấn Công MAC Flooding (CAM) Chức năng chuyển mạch của Switch Port MAC 1 A 3 c Tấn Công MAC Flooding (CAM) Nguyên lý tấn công Port MAC G 13 A H 23 B 3 C 3 D 3 E 3 F Phòng Chống Tấn Công MAC Flooding (CAM) Nguyên lí chung là không để các gói tin có địa chỉ MAC lạ đi qua switch Phương pháp phòng... hiện các tấn công khác nhau 3 c  Ngoài ra còn sử dụng Social Toolkit: Dùng để giả lập 1 website nhanh chóng và chỉ giả mạo trang đăng nhập Demo Tấn Công Giả Mạo DNS • Ở đây ta dung plug-in dns_spoof, ta phải điều chỉnh file cấu hình liên quan với plug-in đó tại Port MAC /usr/share/ettercap/etter.dns hoặc C:\Program Files 1 3 (x86)\EttercapNG\share\etter.dns (Window) A c Demo Tấn Công Giả Mạo DNS •... của MAC nó đến mức nó không cung cấp 1 lạc A giữa người sử dụng và nạn dịch vụ, hoặc làm tắc nghẽn liên 3 c nhân Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công Ví dụ băng thông của router giữa Internet và Lan có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng Kiểu Tấn Công SYN Flood Port MAC 1 A 3 c Kiểu Tấn. .. Cache PC A IP MAC B BC C C D D … … MAC A B C Port 3 Port MAC 1 A 3 c PC C Port 2 PC B ARP Cache PC B IP MAC A AC C C D D … Phòng Chống Tấn Công MAN IN THE MIDDLE  Sử dụng dạng tĩnh của ARP cache: Đây là một tùy chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache o Xem arp cache bằng lệnh trong cmd arp –a o Thêm các entry bằng lênh arp –s ... security trên switch Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm tra địa chỉ MAC Port MAC 1 gói A tin nguồn của 3 c với danh sách các địa chỉ đã được cấu hình trước đó Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử lí gói tin đến với các mức độ khác nhau Phòng Chống Tấn Công MAC Flooding (CAM) Các lệnh cấu hình port security:  Switch(config-if)# switchport... switchport port-security maximum value (tuỳ chọn): câu lệnh cho phép cấu hình số địa chỉ MAC tối đa mà cổng có thể học tự động và cho phép các thiết bị này truyền dữ liệu qua  Switch(config-if)# switchport port-security mac- address mac_ address (tuỳ chọn) : gán tĩnh một số địa chỉ MAC có thể truy cập vào port Portmột MAC  Switch(config-if)# switchport port-security {protect | restrict | shutdown}.. .Tấn Công MAC Flooding (CAM) o Bảng CAM: là vùng nhớ trong RAM của Switch dùng để lưu các ánh xạ giữa địa chỉ MAC nguồn với port trên Switch mà các thiết bị đó kết nối vào mạng o Kích thước của CAM là có giới hạn tùy thuộc vào các dòng Port MAC Switch khác nhau Ví dụ Switch 1 A Catalysh 6000 có thể chứa tối 3 c đa 128000 ánh xạ o Dữ liệu trong bảng CAM được Switch xây dựng qua quá trình học địa chỉ, ... một vài hệ thống phát hiện xâm phạm (chẳng hạn như Snort) hoặc thông qua các tiện ích được thiết kế đặc biệt cho mục đích này (như xARP) Domain Name Server (DNS) Port MAC 1 A 3 c Tấn Công Giả Mạo Domain Name Server (DNS) Sử dụng kỹ thuật giảo mạo DNS ID • Mỗi truy vấn DNS được gửi qua mạng đều chứa một số nhận dạng duy nhất, mục đích để phân biệt các truy vấn và đáp trả • Cần tạo một gói giả mạo có