Bài tiểu Lớp: luận TÌM HIỂU VỀ PHƯƠN G THỨC TẤN Sinh viên 1: Nguyễn Hửu Nhân Sinh viên 2: Bùi Tấn Đạt D15_TH08 Giới thiệu lý thuyết a Sơ lược Ngày Internet mang lại nhiều lợi ích hữu dụng cho chúng ta, tiện ích phổ thơng Internet hệ thống thư điện tử (email), trò chuyện trực tuyến (chat), cơng cụ tìm kiếm (search engine), dịch vụ thương mại chuyển ngân dịch vụ y tế giáo dục chữa bệnh từ xa tổ chức lớp học ảo Chúng cung cấp khối lượng thông tin dịch vụ khổng lồ Internet Một khối thơng tin dịch vụ khổng lồ có nhiều thông tin quan trọng mật nhiều tổ chưc cá nhân… từ intenet nơi nhắm đến nhiều lực xấu gọi tội phạm công nghệ cao gọi tắt hacker dùng nhiều phương thức xâm nhập nhằm đánh sập ăn cấp thông tin Nhiều hình thức cơng DDOS, ARP, Ransomware…Và sau ta nghiên cứu rõ phương thức công ARP b MAC, ARP gì? Mỗi thiết bị mạng có địa MAC (Medium Access Control address) địa Các thiết bị mạng thường dùng địa MAC để liên lạc với tầng Data Link Các thiết bị thường dùng chế ARP (Address Resolution Protocol) RARP (Reverse Address Resolution Protocol) để biết địa MAC, IP thiết bị khác c Qua trình ARP HostA HostB truyền tin cho nhau, packet đưa xuống tầng Datalink để đóng gói, Host phải đóng gói MAC nguồn, MAC đích vào frame Như trước trình truyền liệu xảy ra, máy phải làm động tác hỏi MAC Nếu mà HostA khởi động trình hỏi MAC trước, broadcast gói tin ARP request để hỏi MAC HostB, HostB coi đã có MAC HostA, HostB trả lời cho A MAC HostB thơi (gói tin trả lời từ HostB ARP reply) d Lỗ hổng ARP Address Resolution Protocol giao thức truyền thông sử dụng rộng rãi để tìm địa tầng liên kết liệu từ địa tầng mạng Khi gói tin (datagram) Giao thức Internet (IP) gửi từ máy đến máy khác mạng cục bộ, địa IP đích phải giải thành địa MAC để truyền qua tầng liên kết liệu Khi biết địa IP máy đích, địa MAC cần truy cập, gói tin broadcast gửi mạng nội Gói gọi ARP request Máy đích với IP ARP request trả lời với ARP reply, chứa địa MAC cho IP ARP giao thức phi trạng thái Máy chủ mạng tự động lưu trữ ARP reply mà chúng nhận được, máy khác có u cầu hay khơng Ngay mục ARP chưa hết hạn bị ghi đè nhận gói tin ARP reply Khơng có phương pháp giao thức ARP mà giúp máy xác nhận máy mà từ gói tin bắt nguồn Hành vi lỗ hổng cho phép ARP spoofing xảy e Làm để cơng ARP ARP ATTAK Giả sử ta có mạng Lan mơ hình gồm host Attacker: máy hacker dùng để công ARP attack IP: 10.0.0.11 Mac: 0000:0000:0111 HostA IP: 10.0.0.09 MAC: 0000:0000:0109 HostB IP: 10.0.0.08 MAC: 0000:0000:0108 Victim: máy bị công ARP attack IP: 10.0.0.10 MAC: 0000:0000:0110 Attacker muốn thực ARP attack máy Victim Attacker muốn gói tin HostA truyền tới máy Victim chụp lại để xem trộm Làm để Attacker điều đó? Đầu tiên, HostA muốn gởi liệu cho Victim HostA cần phải biết địa MAC Victim để liên lạc HostA gửi broadcast ARP Request tới tất máy mạng Lan để hỏi xem IP 10.0.0.10 (IP Victim) có địa MAC HostB, Attacker, Victim nhận gói tin ARP Request, có Victim gửi lại gói tin ARP Reply lại cho HostA ARP Reply chứa thông tin IP Victim, MAC Victim, MAC HostA Sau nhận gói tin ARP Reply từ Victim, HostA đã biết địa MAC Victim HostA bắt đầu thực liên lạc, truyền liệu tới Victim HostB, Attacker xem nội dung liệu truyền máy HostA Victim Attacker muốn xem liệu truyền HostA Victim Attacker sử dụng kiểu công ARP Spoof Attacker thực gửi liên tục ARP Reply chứa thông tin IP Victim, MAC Attacker, MAC HostA Ở đây, thay MAC Victim, Attacker đã đổi thành địa MAC HostA nhận ARP Reply nghĩ IP Victim 10.0.0.10 có địa MAC 0000:0000:0111 (MAC Attacker) HostA lưu thông tin vào bảng ARP Cache Bây thông tin, liệu HostA gửi tới 10.0.0.10 (Victim), Attacker nhận được, Attacker xem tòan nội dung HostA gửi cho Victim Attacker kiểm sóat tòan q trình liên lạc HostA Victim thơng qua ARP Attack Attacker thường xuyên gửi gói tin ARP Reply chứa địa IP HostA Victim có địa MAC Attacker HostA nhận gói tin nghĩ Victim có địa MAC 0000:0000:0111 (MAC Attacker) Victim nhận đươc gói tin nghĩ HostA có địa MAC 0000:0000:0111 (MAC Attacker) Mọi thông tin trao đổi HostA Victim, Attacker nhận Như Attacker biết nội dung trao đổi HostA Victim Sau bị công ARP attack, nguy hiểm cho người dùng thơng tin trao đổi họ bị lộ, thơng tin quan trọng, cần phải giữ bí mật f Giới hạn điểm yếu kiểu công ARP Spoof: - Chỉ có máy nằm đường mạng với máy Attacker bị công Các máy nằm khác mạng bị công hình thức - Trong đường mạng LAN, máy thực trao đổi liệu với dựa vào địa MAC HostA muốn trao đổi liệu với HostB HostA dò tìm bảng ARP cache xem IP HostB có địa MAC tương ứng HostA đóng gói liệu cần truyền với MAC nguồn MAC HostA, MAC đích MAC HostB Sau HostA truyền liệu tới HostB dựa vào MAC đích gói tin - Trong trường hợp HostA, HostB khác đường mạng muốn liên lạc với nhau, ta phải dựa vào địa IP để truyền liệu phải thông qua thiết bị định tuyến, router HostA đóng gói liệu cần truyền với MAC nguồn HostA, MAC đích router Gói tin truyền đến router, router dựa vào địa IP đích (IP HostB) dò tìm bảng định tuyến nhằm xác định đường đến HostB Router có khả ngăn chặn gói tin broadcast - Hình thức công thực mạng WAN, Internet mà thực mạng LAN g Mơ tả q trình arp request arp reply - Trong mạng LAN có host: host A, host B, host C, host D - Host A muốn giao tiếp với host C, broadcast gói tin ARP Requset - Host C nhận thấy IP liền trả lời MAC thơng qua gói tin ARP Reply, host lại drop gói ARP Request - Host A nhận địa MAC host C ghi nhớ vào ARP table Ngun lý cơng cách phòng thủ Giao thức ARP cần thiết quan trọng hệ thống mạng chúng ta, nhiên lại khơng đề cập đến vấn đề xác thực Khi host nhận gói tin ARP Reply, hồn tồn tin tưởng sử dụng thơng tin để sử dụng sau mà khơng cần biết thơng tin có phải trả lời từ host mà mong muốn hay khơng ARP khơng có chế để kiểm tra việc thực tế host chấp nhận gói ARP Reply mà trước khơng cần phải gửi gói tin ARP Request Lợi dụng điều này, hacker triển khai phương thức cơng như: Man In The Middle, Denial of Service, MAC Flooding a Man in the middle(Gỉa mạo DNS) - Giả sử hacker muốn theo dõi host A gởi thơng tin cho host B Đầu tiên, hacker gởi gói ARP Reply đến host A với nội dung địa MAC hacker địa IP hostB - Tiếp theo, hacker gửi gói ARP Reply tới host B với nội dung MAC máy hacker IP host A Như vậy, hai host A host B tiếp nhận gói ARP Reply lưu vào ARP table Đến lúc này, host A muốn gửi thông tin đến host B, liền tra vào ARP table thấy đã có sẵn thông tin địa MAC host B nênsẽ lấy thơng tin sử dụng, thực chất địa MAC hacker Đồng thời máy tính hacker mở chức gọi IP Forwading giúp chuyển tải nội dung mà host A gửi qua host B Host A host B giao tiếp bình thường khơng có cảm giác bị qua máy trung gian máy hacker - Trong trường hợp khác, hacker nghe thông tin từ máy bạn đến Gateway Như hành động Internet bạn bị hacker ghi lại hết, dẫn đến việc mát thông tin nhạy cảm b Denial of service(Từ chối dịch vụ) - Cũng vận dụng kỹ thuật trên, hacker tiến hành cơng cách gởi gói ARP Reply đến toàn host mạng với nội dung mang theo địa IP Gateway địa MAC không tồn Như host mạng tin tưởng đã biết MAC Gateway gửi thông tin đến Gateway, kết gửi đến nơi hoàn toàn khơng tồn Đó điều hacker mong muốn, tồn host mạng Internet c Mac flooding - Cách công dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến Switch Hacker gửi gói ARP Reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp trở nên tải Khi đó, Switch khơng đủ sức thể chất Layer2 mà broadcast gói tin tồn port Hacker dễ dàng bắt tồn thơng tin mạng bạn d Một số Tool công - SwitchSniffer - Cain &abel - Netcut e Cách phát bị công - Cách 1: Sử dụng phần mềm XArp 2.0 Bạn chạy chương trình XArp 2.0 nhìn thấy số dòng màu đỏ, có IP Gateway, máy cơng máy nạn nhân Bạn hãy loại IP Gateway IP máy nạn nhân bị mạng, lại IP máy tính cơng (máy khơng bị mạng) Nếu ý vào XArp 2.0, bạn kéo sau thấy cột How Often seen, bạn thấy số liệu trao đổi Gateway máy nạn nhân tăng lên tương ứng nhau, máy cơng khác hẳn - Cách 2: bạn ping đến máy mạng LAN xem máy kết nối chập chờn, lúc lúc khơng máy công ARP spoofing NetCut hay ArpSpoof Tất nhiên cách thủ công nhiều thời gian f Cách phòng thủ - ARP Poisoning kiểu công dạng local, nghĩa hacker thực công từ bên mạng bạn Hậu cách công lớn, người quản trị mạng cần nắm bắt rõ kỹ thuật công Sau số kỹ thuật giúp phòng chống công kiểu ARP Poisoning Đối với mạng nhỏ: a Ta sử dụng địa IP tĩnh ARP table tĩnh, đó, bạn liệt kê tay IP với MAC Trong Windows sử dụng câu lệnh ipconfig /all để xem IP MAC, dùng câu lệnh arp -s để thêm vào ARP table Khi mà ép tĩnh ngăn chặn hacker gởi gói ARP Reply giả tạo đến máy sử dụng ARP table tĩnh ln ln khơng thay đổi Chú ý cách thức áp dụng môi trường mạng với quy mô nhỏ, mạng lớn khơng thể phải thêm vào ARP table tay với số lượng nhiều Đối với mạng lớn: a Khi quản trị mạng quy mơ lớn, ta sử dụng chức Port security Khi mở chức Port security lên port Switch, ta quy định port chấp nhận địa MAC Như ngăn chặn việc thay đổi địa MAC máy hacker b Ngồi sử dụng cơng cụ, ví dụ ArpWatch Nó phát báo cáo cho bạn thông tin liên quan đến ARP diễn mạng Nhờ đó, có tượng cơng ARP Poisoning bạn giải kịp thời  ... ARP chưa hết hạn bị ghi đè nhận gói tin ARP reply Khơng có phương pháp giao thức ARP mà giúp máy xác nhận máy mà từ gói tin bắt nguồn Hành vi lỗ hổng cho phép ARP spoofing xảy e Làm để công ARP. .. phạm công nghệ cao gọi tắt hacker dùng nhiều phương thức xâm nhập nhằm đánh sập ăn cấp thơng tin Nhiều hình thức công DDOS, ARP, Ransomware…Và sau ta nghiên cứu rõ phương thức cơng ARP b MAC, ARP. .. máy cơng ARP spoofing NetCut hay ArpSpoof Tất nhiên cách thủ công nhiều thời gian f Cách phòng thủ - ARP Poisoning kiểu công dạng local, nghĩa hacker thực công từ bên mạng bạn Hậu cách công lớn,