KỸ THUẬT GIẢ MẠO ARP Giả mạo ARP kỹ thuật cơng, mà theo kẻ cơng gửi mạo danh (“lừa đảo) Address Resolution Protocol (ARP) Local Area Network Kỹ thuật giả mạo ARP cho phép kẻ cơng chặn liệu LAN, thay đổi đường đi, chặn hoàn toàn truy cập Thông thường công sử dụng để mở công khác là: công từ chối dịch vụ, cướp phiên, man-in-the-middle Các cơng sử dụng mạng sử dụng giao thức ARP, giới hạn phân đoạn mạng cục SƠ LƯỢC VỀ ĐỊA CHỈ MAC +Mỗi thiết bị mạng có địa vật lý – địa MAC (Medium Access Control address) + Địa +Các thiết bị mạng thường dùng địa MAC để liên lạc với tầng Data Link mơ hình OSI GIAO THỨC ARP Giao thức ARP (Address Resolution Protocol) giao thức phân giải địa động, thiết kế để phục vụ cho nhu cầu thông dịch địa lớp thứ hai (Data Link) thứ ba (Network) mơ hình OSI Lớp thứ hai (Data Link) sử dụng địa MAC để thiết bị phần cứng truyền thông với cách trực tiếp Lớp thứ ba (Network) sử dụng địa IP để tạo mạng có khả mở rộng tồn cầu Mỗi lớp có chế phân định địa riêng, chúng phải làm việc với để tạo nên mạng truyền thông  Xuất giao thức phân giải địa ARP (Address Resolution Protocol) CƠ CHẾ HOẠT ĐỘNG CỦA ARP ARP trình chiều Request/Response thiết bị mạng nội + Thiết bị nguồn yêu cầu (request) cách gửi tin broadcast toàn mạng +Thiết bị đích trả lời (response) tin unicast đến thiết bị nguồn Một thiết bị IP mạng gửi gói tin broadcast đến tồn mạng để yêu cầu thiết bị khác gửi trả lại địa phần cứng (địa MAC) nhằm thực truyền tin cho thiết bị phát thiết bị nhận Q TRÌNH TRUYỀN THƠNG ARP Tấn cơng Man-in-the-Middle Tấn cơng Man-in-the-Middle (MITM): hình thức công (attacker) nằm vùng đường kết nối mạng Lan với vai trò máy trung gian việc trao đổi thơng tin hai máy tính, hai thiết bị, hay máy tính server, nhằm nghe trộm, thông dịch liệu nhạy cảm, đánh cắp thông tin thay đổi luồng liệu trao đổi nạn nhân Các hình thức cơng MITM phổ biến: + Tấn công giả mạo ARP cache (ARP Cache Poisoning) + Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning) + Chiếm quyền điều khiển Session (Session Hijacking) + Chiếm quyền điều khiển SSL TẤN CÔNG GIẢ MẠO DNS - Hệ thống phân giải tên miền Phát minh năm 1984 - Dùng ánh xạ tên miền địa IP + Nguyên tắc làm việc - Mỗi nhà cung cấp dịch vụ Internet (ISP) có nhiệm vụ vận hành trì máy chủ tên miền - DNS có khả truy vấn máy chủ tên miền khác để tìm tên phân giải - Các máy chủ tên miền có khả ghi nhớ tên vừa phân giải để dùng cho yêu cầu phân giải lần sau TẤN CÔNG GIẢ MẠO DNS (DNS CACHE POISONING) Là kỹ thuật công MITM, theo liệu sai đưa vào hệ thống tên miền (DNS) cho máy chủ, để người dùng duyệt đến địa bị chuyển sang địa khác mà không hay biết VD: www.gmail.com có IP x.x.x.x www.gmailcom giả mạo có IP y.y.y.y Có chế hoạt động chính: + Giả mạo phản hồi DNS + Giả mạo địa DNS GIẢ MẠO ĐỊA CHỈ DNS CÁC BƯỚC THỰC HIỆN Bước 1: Tạo địa ip giả cho tên miền vd: www.mail.yahoo.com CÁC BƯỚC THỰC HIỆN Bước 2: Thiết lập website giả máy hacker để lừa nạn nhân Sử dụng công cụ Social Enerying Toolkit, tạo trang giả thông qua việc kết nối với trang thật để lấy liệu CÁC BƯỚC THỰC HIỆN Bước 3: Sử dụng ettercap để thiết lập Sniffer đến máy nạn nhân - Chọn card - Quét host - Plugin Manager: double click chọn dns-proof - Mitm –> ARP poisoning –> Sniff remote connections - Start –> Start Sniffing KẾT QUẢ DEMO ... IP x.x.x.x www.gmailcom giả mạo có IP y.y.y.y Có chế hoạt động chính: + Giả mạo phản hồi DNS + Giả mạo địa DNS GIẢ MẠO ĐỊA CHỈ DNS CÁC BƯỚC THỰC HIỆN Bước 1: Tạo địa ip giả cho tên miền vd: www.mail.yahoo.com... khác để tìm tên phân giải - Các máy chủ tên miền có khả ghi nhớ tên vừa phân giải để dùng cho yêu cầu phân giải lần sau TẤN CÔNG GIẢ MẠO DNS (DNS CACHE POISONING) Là kỹ thuật cơng MITM, theo... liệu trao đổi nạn nhân Các hình thức cơng MITM phổ biến: + Tấn công giả mạo ARP cache (ARP Cache Poisoning) + Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning) + Chiếm quyền điều khiển