TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO ARP CACHE POISONING, DNS CACHE POISONING VÀ CÁCH PHÒNG CHỐNG Nội dung trình bày Tổng Quan Về Tấn Công MAN-IN-THE-MIDDLE Tấn Công Giả Mạo ARP CACHE (ARP CACHE POISONING) Tấn Công Giả Mạo DNS (DNS CACHE POISONING) Tổng Quan Về Tấn Công MAN-INTHE-MIDDLE GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM 21 Tấn Công MAN-IN-THE-MIDDLE gì? Các Kiểu Tấn Công MITM Các Hình Thức Tấn Công MITM Phổ Biến + Tấn công giả mạo ARP cache (ARP Cache Poisoning) + Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning) + Chiếm quyền điều khiển Session (Session Hijacking) + Chiếm quyền điều khiển SSL… Tấn công giả mạo ARP CACHE (ARP CACHE POISONING) GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM 21 Sơ lược địa MAC +Mỗi thiết bị mạng có địa vật lý – địa MAC (Medium Access Control address) + Địa +Các thiết bị mạng thường dùng địa MAC để liên lạc với tầng Data Link mô hình OSI Địa ARP (Address Resolution Protocol) Giao thức ARP (Address Resolution Protocol) giao thức phân giải địa động, thiết kế để phục vụ cho nhu cầu thông dịch địa lớp thứ hai (Data Link) thứ ba (Network) mô hình OSI Lớp thứ hai (Data Link) sử dụng địa MAC để thiết bị phần cứng truyền thông với cách trực tiếp Lớp thứ ba (Network) sử dụng địa IP để tạo mạng có khả mở rộng toàn cầu Mỗi lớp có chế phân định địa riêng, chúng phải làm việc với để tạo nên mạng truyền thông  Xuất giao thức phân giải địa ARP (Address Resolution Protocol) Cơ chế hoạt động ARP ARP trình chiều Request/Response thiết bị mạng nội + Thiết bị nguồn yêu cầu (request) cách gửi tin broadcast toàn mạng +Thiết bị đích trả lời (response) tin unicast đến thiết bị nguồn Một thiết bị IP mạng gửi gói tin broadcast đến toàn mạng để yêu cầu thiết bị khác gửi trả lại địa phần cứng (địa MAC) nhằm thực truyền tin cho thiết bị phát thiết bị nhận Cơ chế hoạt động trình truyền thông ARP Cơ chế công giả mạo ARP Cache (ARP Poisoning) Chỉ có Victim B gửi ARP Response dạng unicast cho A Victim A gửi ARP Request dạng broadcast Nội dung gói ARP Request A Nội dung gói ARP Response Victim B IP Victim B IP Victim B 10.0.0.10 10.0.0.10 MAC Victim B MAC A ff-ff-ff-ff-00-10 MAC A ff-ff-ff-ff-00-09 ff-ff-ff-ff-00-09 Attacker tiến hành gửi liên tục gói ARP Response chứa mã độc cho Victim A Nội dung gói ARP Response Attacker IP Victim B MAC Attacker MAC A 10.0.0.10 ff-ff-ff-ff-00-11 ff-ff-ff-ff-00-09 Cơ chế công giả mạo ARP Cache (ARP Poisoning) Trước thực công ARP poisoning Khi công ARP poisoning thực thi Địa MAC thật Gateway bị máy công thay MAC máy công Lúc kẻ công xem thông tin mật trao đổi Thực công ARP Cache (ARP Poisoning) Demo phần mềm Cain & Abel CÁC BIỆN PHÁP PHÒNG CHỐNG + So sánh địa MAC trước truyền tin + Cấu hình lại bảng ARP Cache + Sử dụng phần mềm - Anti ARP - Comodo Internet Security Pro (Phần mềm bảo mật cho máy tính) Tấn công giả mạo DNS (DNS CACHE POISONING) GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM 21 DNS gì….? - DNS ( Domain Name System) - Hệ thống phân giải tên miền Phát minh năm 1984 - Dùng ánh xạ tên miền địa IP Nguyên tắc làm việc DNS - Mỗi nhà cung cấp dịch vụ Internet (ISP) có nhiệm vụ vận hành trì máy chủ tên miền - DNS có khả truy vấn máy chủ tên miền khác để tìm tên phân giải - Các máy chủ tên miền có khả ghi nhớ tên vừa phân giải để dùng cho yêu cầu phân giải lần sau Cơ chế làm việc DNS Giả mạo DNS (DNS Cache Poisoning) - Dữ liệu sai đưa vào hệ thống tên miền (DNS) cho máy chủ, để người dùng duyệt đến địa bị chuyển sang địa khác mà không hay biết VD: www.abc.com có IP x.x.x.x www.abc.comgiả mạo có IP y.y.y.y Tấn công giả mạo DNS (DNS CACHE POISONING) Có chế hoạt động chính: + Giả mạo phản hồi DNS + Giả mạo địa DNS Giả mạo phản hồi DNS Giả mạo địa DNS Tình trạng máy chủ DNS Việt Nam Ngay phát lỗ hổng này: - Các chuyên gia giới làm việc với để tìm phương pháp sửa lỗi - Các hãng phần mềm có cung cấp bảng vá lỗi cho phần mềm máy chủ DNS họ Tuy - Mặc dù bảng vá phát hành, nhiều máy chủ DNS ISP VN FPT, VDC, Viettel, SCTV chưa vá lỗi => Điều có nghĩa tất sử dụng dịch vụ Internet (dial-up, ADSL hay leased line) ISP bị công GiẢI PHÁP PHÒNG CHỐNG - Thận trọng duyệt Internet - Sử dụng DNSSEC - Kiểm tra lỗ hổng DNS Cache Poisoning, ví dụ BkavDNSCheck - Và số phần mềm phòng chống lại DNS Poisoning Kaspersky Labs TDSSKiller McAfee Stinger Microsoft Safety Scanner Avira’s DNS Repair-Tool,… Thank you !