HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Bài báo cáo: ARP-SCAN LỜI MỞ ĐẦU DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ DANH MỤC BẢNG BIỂU Chương 1: Giới thiệu Giới thiệu arp-scan Giới thiệu giao thức ARP 2.1 ARP Packet Diagram 2.2 Các trường tiêu đề MAC 2.3 Các trường liệu giao thức ARP 10 Chương 2: Hướng dẫn cài đặt hướng dẫn sử dụng 11 Hướng dẫn cài đặt arp-scan 11 Hướng dẫn sử dụng arp-scan 12 2.1 Sử dụng arp-scan cho system discovery 12 2.1.1 Khám phá tất máy chủ mạng cục 12 2.1.2 Chỉ định danh sách địa IP 14 2.1.3 Sử dụng giao diện khơng có địa IP 15 2.1.4 Sử dụng nhớ 15 2.1.5 Thời gian sử dụng băng thông 15 2.2 Sử dụng arp-scan cho system fingerprinting 16 2.2.1 Giải mã nhà cung cấp MAC 16 2.2.2 Sự khác biệt phản hồi gói ARP khơng chuẩn 17 2.2.3 Thay đổi địa đích MAC 19 2.2.4 Đệm ARP Ethernet Frame 20 2.3 802.2 LLC/SNAP Framing 21 2.4 Một số chức khác 23 2.4.1 Xác định địa IP phụ 23 2.4.2 Xác định giao diện hệ thống 24 2.4.3 Nhận dạng Proxy ARP 24 2.4.4 Giao thức cân địa MAC 25 2.4.5 Định tuyến IP Linux 26 2.4.6 820.11 wireless 27 2.4.7 Xác định mặt nạ mạng giao diện 28 2.4.8 Khám phá địa giao diện khác 30 Chương 3: Demo 34 System Discovery 34 System Fingerprinting 34 KẾT LUẬN 36 TÀI LIỆU THAM KHẢO 37 LỜI MỞ ĐẦU Information Gathering q trình thu thập loại thơng tin khác điều mà quan tâm Một ví dụ thực tế: thơng tin thu thập ngày nhiều cách khác (nghe, đọc,…) Tương tự vậy, giới kỹ thuật số, thơng tin thu thập theo nhiều cách khác nhau, giác quan bạn mà số phương pháp, công cụ kỹ thuật Đối với người ngành an ninh mạng, bước giai đoạn bắt đầu Ethical Hacking, người kiểm thử thâm nhập tin tặc (mũ đen mũ trắng) cần thu thập nhiều thông tin mục tiêu tốt để tăng xác xuất công thành công Information Garthering kỹ mà người kiểm tra thâm nhập (pen-tester) hacker nên thành thạo Information Gathering chia thành loại sau: Footprinting, Scanning, Enumeration, Reconnaissance Một công cụ phục vụ Information Gathering arp-scan Trong báo cáo này, tìm hiểu arp-scan DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT Từ viết tắt Thuật ngữ tiếng Anh/Giải thích Thuật ngữ tiếng Việt/Giải thích ARP Address Resolution Protocol Giao thức phân giải địa IP Internet Protocol Giao thức Internet MAC Media Access Control NDP Neighbor Discovery Protocol BSD Berkeley Software Distribution tên hệ điều hành nguồn mở tương tự Unix FDDI Fiber Distributed Data Interface Giao diện liệu phân tán sợi quang PPP Point-to-Point Protocol SUID Set owner User ID up on execution DNS Domain Name Servers Hệ thống phân giải tên miền IEEE Institute of Electrical and Electronics Engineers Hội Kỹ sư Điện Điện tử HSRP Hot Standby Router Protocol VRRP Virtual Router Redundancy Protocol Giao thức Dự phòng Bộ định tuyến Ảo DANH MỤC CÁC HÌNH VẼ Hình Gói ARP Ethernet Frame Hình Gói ARP hiển thị tcpdump Hình A raw hex dump of the packet Hình Cài đặt arp-scan Kali Linux 11 Hình Scan mạng cục 12 Hình Ví dụ arp-scan chạy mạng cục 13 Hình Mơ tả cấu trúc máy chủ lưu nhớ 15 Hình Giải mã nhà cung cấp MAC 16 Hình Ví dụ hệ thống khớp với dấu vân tay nhị phân 18 Hình 10 Sử dụng arp-scan với đích quảng bá 19 Hình 11 Sử dụng arp-scan với đích địa MAC máy chủ 19 Hình 12 Đệm ARP Ethernet Frame 20 Hình 13 Ví dụ byte đệm khác 21 Hình 14 Các hệ thống tương ứng hình 13 21 Hình 15 Gói ARP với 802.2 LLC / SNAP Framing 22 Hình 16 Ví dụ từ Windows Vista SP1 22 Hình 17 Ví dụ từ định tuyến Cisco chạy IOS 12.2 23 Hình 18 Ví dụ từ hệ thống Linux 23 Hình 19 Cấu hình hệ thống Linux 24 Hình 20 Ví dụ từ đầu arp-scan phân đoạn Ethernet khác 24 Hình 21 Ví dụ ARP proxy phản hồi từ định tuyến Cisco 25 Hình 22 Các mục nhập cho giao thức từ mac-vendor 26 Hình 23 Ví dụ đầu arp-scan cho địa IP VRRP 26 Hình 24 Ví dụ arp-scan quét mạng không dây 820.11g 28 Hình 25 Ví dụ sử dụng đình tuyến Cisco làm mục tiêu 29 Hình 26 Ví dụ định tuyến phản hồi địa trường ar$spa nằm mạng IP 30 Hình 27 Ví dụ cho thấy phản hồi từ hệ thơng Linux có giao diện Ehternet 31 Hình 28 Ví dụ từ định tuyến Cisco sử dụng giao diện VLAN 802.1Q 32 Hình 29 ví dụ từ chối hệ thống Solaris 33 Hình 30 Demo system discovery 34 Hình 31 Demo system fingerprinting 35 DANH MỤC BẢNG BIỂU Bảng Các trường tiêu đề MAC 10 Bảng Các trường liệu giao thức ARP 10 Bảng Các test mà arp-fingerprint thực 17 Bảng Một số Ethernet multicast address phổ biến 20 Chương 1: Giới thiệu Giới thiệu arp-scan Arp-scan cơng cụ dịng lệnh dùng cho system discovery fingerprinting Nó khởi tạo gửi ARP request đến địa IP định hiển thị phản hồi nhận Arp-scan cho phép bạn: + Gửi gói ARP đến số lượng máy chủ đích nào, sử dụng băng thơng đầu định cấu hình tốc độ gói: Điều hữu ích cho việc khám phá hệ thống, bạn cần phải quét lượng lớn địa + Xây dựng gói ARP gửi cách linh hoạt: Arp-scan cho phép kiểm soát tất trường gói ARP trường tiêu đề khung Ethernet + Giải mã hiển thị gói trả về: Arp-scan giải mã hiển thị gói ARP nhận tra cứu nhà cung cấp địa MAC + Máy chủ IP fingerprinting sử dụng công cụ arp-fingerprint Arp-scan tạo Roy Hills Roy.Hills@nta-monitor.com Giới thiệu giao thức ARP ARP (Address Resolution Protocol) giao thức xác định địa lớp liên kết (lớp 2) cho địa lớp mạng (lớp 3) định ARP định nghĩa RFC 826 An Ethernet Address Resolution Protocol Giao thức ARP thiết kế phép sử dụng cho giao thức lớp liên kết lớp mạng Tuy nhiên thực tế, sử dụng cho Ethernet (bao gồm 802.11 wireless) IPv4 Còn IPv6 sử dụng NDP (Neighbour Discovery Protocol), giao thức khác ARP giao thức định tuyến sử dụng hệ thống mạng Ethernet 2.1 ARP Packet Diagram Sơ đồ sau ví dụ gói ARP Ethernet Frame: Hình Gói ARP Ethernet Frame Ethernet Frame chứa tiêu đề MAC, theo sau liệu gói ARP Cả tiêu đề MAC liệu gói ARP bao gồm số trường, trường chứa liệu mẫu dạng thập lục phân tên trường Tên trường liệu gói ARP từ RFC 826 Các số trường multi-byte theo thứ tự byte mạng, giá trị cuối lớn, với byte có giá trị cao Trong sơ đồ, gói ARP request (ar$op = 0001) cho địa IP 10.0.0.2 (ar$tpa) Nó gửi từ hệ thống với địa MAC 00: C0: 9F: 09: B8: DB (cả địa nguồn MAC ar$sha) địa IP 10.0.0.1 (ar$spa) Gói tin gửi đến tất trạm có địa quảng bá FF: FF: FF: FF: FF: FF (địa đích MAC) Gói tin hiển thị tcpdump sau: Hình Gói ARP hiển thị tcpdump Và a raw hex dump of the packet, bao gồm tiêu đề Ethernet MAC là: Hình A raw hex dump of the packet 2.2 Các trường tiêu đề MAC Tên trường Kích thước (Bits) Chức Ghi Địa đích 48 Khung địa đích Theo mặc định, ARP request gửi đến địa quảng bá ff: ff: ff: ff: ff: ff Địa nguồn 48 Khung địa nguồn Mặc định địa goingout interface Loại giao thức 16 Loại giao thức Ethernet Loại giao thức ARP 0806 Bảng Các trường tiêu đề MAC 2.3 Các trường liệu giao thức ARP Tên trường Kích thước (Bits) Chức Ghi ar$hrd 16 ARP Hardware Type Mặc định 0001 (Ethernet) ar$pro 16 ARP Protocol Type Mặc định 0800 (IPv4) ar$hln Link Layer Hardware Address Length Mặc định byte (48 bit) ar$pln Network Protocol Address Length Mặc định byte (32 bit) ar$op 16 ARP Opcode 0001 cho ARP Request 0002 cho ARP Reply ar$sha 48 Sender Hardware Address Mặc định địa goingout interface ar$spa 32 Sender Network Protocol Address Mặc định địa IP goingout interface ar$tha 48 Sender Network Protocol Address Mặc định cho ARP request Target Network Protocol Address Đối với ARP request, địa IP mà chúng tơi muốn tìm ar$tpa 32 Bảng Các trường liệu giao thức ARP Hình 17 Ví dụ từ định tuyến Cisco chạy IOS 12.2 2.4 Một số chức khác 2.4.1 Xác định địa IP phụ Nếu hai nhiều địa IP phản hồi với địa MAC, giả sử khơng phải ARP proxy giao diện phân đoạn mạng khác, điều cho thấy địa IP nằm giao diện mạng Đây ví dụ từ hệ thống Linux: Hình 18 Ví dụ từ hệ thống Linux Và cấu hình giao diện từ hệ thống tạo đầu này: Hình 19 Cấu hình hệ thống Linux 2.4.2 Xác định giao diện hệ thống Các hệ thống có nhiều giao diện thường (nhưng khơng phải ln ln) có địa MAC gần Điều thẻ giao diện lơ thường có địa Khi hệ thống xây dựng, thẻ giao diện thường lấy từ lơ Ngồi ra, card mạng nhiều cổng ln có địa MAC cho cổng riêng lẻ Dưới ví dụ lấy từ đầu arp-scan từ sáu lần quét khác phân đoạn mạng Ethernet khác nhau: Hình 20 Ví dụ từ đầu arp-scan phân đoạn Ethernet khác Chúng ta thấy sáu địa MAC gần Tất chúng thuộc Nokia firewall nhất, kết nối sáu mạng 2.4.3 Nhận dạng Proxy ARP Nhiều định tuyến đưa phản hồi arp proxy cho địa thuộc giao diện khác Các định tuyến Cisco thực điều theo mặc định Đây ví dụ ARP proxy phản hồi từ định tuyến Cisco Trong ví dụ này, mạng 172.18.0.0/28 nằm giao diện Ethernet khác với hệ thống thử nghiệm Hình 21 Ví dụ ARP proxy phản hồi từ định tuyến Cisco Thông thường, dễ dàng để phát phản hồi ARP proxy vì: - Bạn nhận phản hồi cho tất địa mạng IP - Tất phản hồi sử dụng địa MAC Ethernet - Địa MAC thuộc thiết bị định tuyến Vì proxy ARP bật theo mặc định số định tuyến, bạn sử dụng arp-scan để xác định mạng IP đằng sau định tuyến Đây kỹ thuật lập đồ mạng hữu ích, đặc biệt định tuyến chặn lưu lượng truy cập ping theo dõi 2.4.4 Giao thức cân địa MAC Các giao thức cân tải chuyển đổi dự phòng bao gồm VRRP (Giao thức dự phòng định tuyến ảo), HSRP (Giao thức định tuyến dự phịng nóng) WLBS (Dịch vụ cân tải Windows NT) mã hóa liệu bổ sung địa MAC Có thể có giao thức khác làm điều tương tự Dưới mục nhập cho giao thức từ mac-vendor.txt : Hình 22 Các mục nhập cho giao thức từ mac-vendor Khi arp-scan hiển thị địa MAC liên kết với giao thức này, bạn xác định thông tin bổ sung từ địa MAC Đối với VRRP, bạn xác định VRID (Bộ định danh định tuyến ảo) từ octet cuối WLBS, bạn xác định địa IP từ bốn octet cuối Dưới số ví dụ đầu arp-scan cho địa IP VRRP: Hình 23 Ví dụ đầu arp-scan cho địa IP VRRP Trong ví dụ này, địa IP thuộc VRID 101 (0x65), địa thứ hai thuộc VRID 114 (0x72) địa cuối thuộc VRID 64 (0x40) Nếu biết giao thức khác lưu trữ thông tin bổ sung địa MAC, vui lịng cho tơi biết để tơi đưa chúng vào mac-vendor.txt 2.4.5 Định tuyến IP Linux Linux, giống nhiều hệ điều hành khác, phản hồi yêu cầu ARP địa IP ar$spa nằm mạng IP giao diện mà ARP nhận Tuy nhiên, Linux trả lời địa IP ar$spa định tuyến qua giao diện nhận yêu cầu ARP Điều cho phép bạn xác định mạng IP định tuyến qua giao diện định Linux hệ điều hành khác hoạt động theo cách tương tự 2.4.6 820.11 wireless Arp-scan hoạt động mạng không dây (wifi) 802.11 theo cách giống hệt mạng Ethernet thông thường, mạng khơng dây sử dụng giao thức liên kết liệu Ethernet Ethernet bình thường Lý khơng dây đề cập cụ thể nhận arpscan hoạt động mạng khơng dây Sự khác biệt chạy arp-scan mạng không dây là: - Bạn cần liên kết với mạng trước bắt đầu quét - Mạng khơng dây sử dụng tính lọc địa MAC nhiều so với mạng có dây, bạn thấy địa MAC bị chặn arp-scan cho phép bạn thay đổi địa MAC nguồn tiêu đề Ethernet với tùy chọn srcaddr điều đơi hữu ích trường hợp - Các máy chủ mạng khơng dây có tính chất tạm thời so với máy chủ mạng có dây, đó, thường đáng để quét vài lần với khoảng cách thời gian lần quét Dưới ví dụ việc quét arp sử dụng mạng khơng dây 802.11g Trong ví dụ này, chúng tơi qt từ máy tính xách tay Linux có thẻ Proxim 802.11g liên kết với điểm truy cập Linksys WRT54G Hình 24 Ví dụ arp-scan qt mạng khơng dây 820.11g Chúng ta thấy có hai máy chủ mạng không dây: điểm truy cập địa IP 192.168.1.1 máy tính xách tay khác địa 192.168.1.102 Lưu ý địa MAC phát cho điểm truy cập không giống với địa MAC điểm truy cập iwconfig báo cáo, chúng gần nên rõ ràng thuộc thiết bị Tôi nghi ngờ giao diện ethernet không dây AP thực khơng có địa IP, kết nối với giao diện LAN 2.4.7 Xác định mặt nạ mạng giao diện Một số hệ thống trả lời yêu cầu ARP địa ar$spa nằm mạng IP giao diện nhận yêu cầu Bạn sử dụng hành vi để xác định mặt nạ mạng giao diện hệ thống sau: - Đầu tiên khám phá địa IP hệ thống - điều cung cấp cho bạn địa nằm mạng giao diện hệ thống; - Tiếp theo sử dụng thuật tốn tìm kiếm nhị phân để xác định vị trí địa thấp mạng giao diện Đối với tìm kiếm này, sử dụng làm giới hạn IP giao diện làm giới hạn trên; - Cuối sử dụng thuật tốn tìm kiếm nhị phân để định vị địa cao nhất, sử dụng IP giao diện làm giới hạn 255.255.255.255 (0xFFFFFFFF 4,294,967,295) làm giới hạn Một phương pháp thay kiểm tra giới hạn địa mạng dựa mặt nạ mạng có khả xảy sử dụng kỹ thuật tìm kiếm nhị phân chung Dưới ví dụ sử dụng định tuyến Cisco làm mục tiêu Trong ví dụ này, cấu hình giao diện Ethernet định tuyến là: Hình 25 Ví dụ sử dụng đình tuyến Cisco làm mục tiêu Quá trình chạy arp-scan bên cho thấy định tuyến phản hồi địa trường ar$spa nằm mạng IP kết nối giao diện, bao gồm địa mạng địa quảng bá Trong ví dụ này, mạng IP 192.168.1.240/28, địa IP mạng 192.168.1.240 - 192.168.1.255 Hình 26 Ví dụ định tuyến phản hồi địa trường ar$spa nằm mạng IP 2.4.8 Khám phá địa giao diện khác Một số hệ thống phản hồi yêu cầu ARP cho giao diện nào, không giao diện mà yêu cầu nhận Đối với hệ thống này, sử dụng arp-scan để khám phá địa IP giao diện khác mà chúng có Phản hồi ARP từ hệ thống sử dụng địa MAC giao diện cục bộ, địa từ xa Đây loại proxy arp cho phép máy chủ truy cập địa giao diện hệ thống kết nối với mạng mà khơng u cầu mục nhập tuyến IP Ví dụ cho thấy phản hồi từ hệ thống Linux có hai giao diện ethernet: Hình 27 Ví dụ cho thấy phản hồi từ hệ thơng Linux có giao diện Ehternet Đây ví dụ khác, lần từ định tuyến Cisco sử dụng giao diện VLAN 802.1Q: Hình 28 Ví dụ từ định tuyến Cisco sử dụng giao diện VLAN 802.1Q Đây ví dụ từ chối hệ thống Solaris Trong trường hợp này, hệ thống phản hồi yêu cầu IP giao diện cục bộ: Hình 29 ví dụ từ chối hệ thống Solaris Cho đến nay, hệ điều hành sau đáp ứng yêu cầu ARP cho địa giao diện từ xa: Linux, Cisco IOS Các hệ điều hành sau biết không phản hồi yêu cầu ARP cho địa giao diện từ xa: Solaris, Windows NT Chương 3: Demo System Discovery - Sử dụng arp-scan để quét máy có mạng cục - Ta sử dụng lệnh: sudo arp-scan -l sudo arp-scan –localnet Hình 30 Demo system discovery - Máy Kali sử dụng arp-scan có địa chỉ: 192.168.1.167, sau quét mạng cục ta thấy có host hoạt động trả dạng: - Trong đó, 192.168.1.1 địa router, 192.168.1.37 địa máy Windows7, 192.168.1.61 địa máy Windows10 System Fingerprinting - Sử dụng arp-fingerprint để quét dấu vân tay hệ thống: Hình 31 Demo system fingerprinting - Ta thấy địa IP 192.168.1.37 192.168.1.61 có dấu vân tay 01010100000 máy có hệ điều hành Linux 2.2, 2.4, 2.6, 3.2, 3.8, 4.0, 4.6, Vista, 2008, Windows7, Windows8, Windows10 có chung dấu vân tay KẾT LUẬN Arp-scan công cụ dễ sử dụng vô hữu ích để thu thập thông tin host hoạt động mạng, nhờ arp-fingerprint ta biết host chạy hệ điều hành với vân tay tương ứng Một nhược điểm arp-scan khơng thể định tuyến quét máy mạng cục TÀI LIỆU THAM KHẢO [1] manav014, "Kali Linux – Information Gathering Tools," 2021 [Online] Available: https://www.geeksforgeeks.org/kali-linux-information-gathering-tools/ [2] W3schools, "Information Gathering Techniques," [Online] Available: https://www.w3schools.in/ethical-hacking/information-gathering-techniques/ [3] E Borges, "Information Gathering," [Online] Available: https://securitytrails.com/blog/information-gathering [4] R Hills, "Arp-scan Documentation," 2011 [Online] Available: http://www.royhills.co.uk/wiki/index.php/Arp-scan_Documentation [5] D C Plummer, "IETF DataTracker," 11 1982 [Online] Available: https://datatracker.ietf.org/doc/html/rfc826 ... thống phản hồi cuối hiển thị số liệu thống kê Arp- scan không báo cáo địa IP máy chủ qt hệ thống kiểm tra khơng phản hồi u cầu ARP Mặc dù arp- scan báo cáo loại liên kết liệu EN10MB , điều khơng thiết... Kali Linux Với BlackArch ta sử dụng lệnh: sudo pacman -S arp- scan Hướng dẫn sử dụng arp- scan 2.1 Sử dụng arp- scan cho system discovery Arp- scan sử dụng để khám phá máy chủ IP mạng cục Nó khám phá... thảo luận Tất tùy chọn arp- scan có dạng dài interface = eth0 dạng ngắn tương ứng -I eth0 Đây ví dụ arp- scan chạy mạng cục bộ: Hình Ví dụ arp- scan chạy mạng cục Ở arp- scan quét mạng 192.168.1.0/24