TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO ARP CACHE POISONING DNS CACHE POISONING VÀ CÁCH PHÒNG CHỐNG

CHƯƠNG 2 - TẤN CÔNG GIẢ MẠO ARP CACHEARP CACHE POISONING Đây là một hình thức tấn công MITM hiện đại có xuất sứ lâu đời nhất đôi khi còn được biết đến với cái tên ARP Poison Routing hay

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT KHOA TIN HỌC QUẢN LÝ



BÁO CÁO MÔN HỌC

AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN

Đề tài

TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO

ARP CACHE POISONING, DNS CACHE POISONING VÀ CÁCH PHÒNG CHỐNG

MỤC LỤC

Trang

CHƯƠNG 1 - TỔNG QUAN VỀ TẤN CÔNG MAN-IN-THE-MIDDLE 4

I TẤN CÔNG MAN-IN-THE-MIDDLE LÀ GÌ? 4

II CÁC KIỂU TẤN CÔNG MITM 4

CHƯƠNG 2 - TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING) 6 I GIAO THỨC ARP VÀ CƠ CHẾ HOẠT ĐỘNG CỦA NÓ 6

1 Giao thức ARP 6

2 Cơ chế hoạt động củaARP 8

3 ARP Cache 11

II TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING) 13

1 Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning) 13

2 Thực hiện tấn công giả mạo ARP Cache 18

III CÁC BIỆN PHÁP PHÒNG CHỐNG 26

1 Bảo mật mạng LAN 26

2 Cấu hình lại bảng ARP Cache 26

3 Sử dụng phần mềm 27

CHƯƠNG 3 - TẤN CÔNG GIẢ MẠO DNS (DNS CACHE POISONING) 30

I SƠ LƯỢC VỀ DNS (DOMAINNAMESYSTEM) 30

1 DNS là gì? 30

2 Chức năng của DNS 30

3 Nguyên tắc làm việc của DNS 31

4 Cơ chế làm việc của DNS 32

II TẤN CÔNG GIẢ MẠO DNS (DNS CACHE POISONING) 33

1 DNS Cache Poisoning là gì 35

2 Tấn công giả mạo DNS (DNS Cache Poisoning) 35

III CÁC BIỆN PHÁP PHÒNG CHỐNG TẤN CÔNG GIẢ MẠO DNS 38

1 Bảo vệ mạng máy tính cá nhân 39

2 Thận trọng khi duyệt Internet 39

3 Sử dụng DNSSEC 39

4 Kiểm tra lỗ hổng DNS Cache Poisoning 40

TÀI LIỆU THAM KHẢO 42

CHƯƠNG 1 - TỔNG QUAN VỀ TẤN CÔNG

MAN-IN-THE-MIDDLE

I TẤN CÔNG MAN-IN-THE-MIDDLE LÀ GÌ?

Man-in-the-Middle (MITM) là hình thức tấn công màkẻ tấn công (attacker) nằm

vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổithông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghetrộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu traođổi giữa các nạn nhân

Hình 1 – Mô hình minh họa cho Man-in-the-Middle

II CÁC KIỂU TẤN CÔNG MITM

Hiện nay có các hình thức tấn công MITM phổ biến như:

 Tấn công giả mạo ARP cache (ARP Cache Poisoning)

 Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning)

 Chiếm quyền điều khiển Session (Session Hijacking).

 Chiếm quyền điều khiển SSL

 …

Trong các phần sau, nhóm sẽ tìm hiểu và trình bày về haikiểu tấn công giả mạo ARPCache Poisoing và tấn công giả mạo DNS Cache Poisoning

CHƯƠNG 2 - TẤN CÔNG GIẢ MẠO ARP CACHE

(ARP CACHE POISONING)

Đây là một hình thức tấn công MITM hiện đại có xuất sứ lâu đời nhất (đôi khi còn được

biết đến với cái tên ARP Poison Routing hay ARP Spoofing).Hình thức tấn công này

cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghetrộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân.Đây là một trong những hìnhthức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiệnbởi kẻ tấn công

I GIAO THỨC ARP VÀ CƠ CHẾ HOẠT ĐỘNG CỦA NÓ

1 Giao thức ARP

 Sơ lược về địa chỉ MAC

Mỗi thiết bị mạng đều có một địa chỉ vật lý – địa chỉ MAC (Medium Access Control

address) và địa chỉ đó là duy nhất.Các thiết bị trong cùng một mạng thường dùng địa chỉ

MAC để liên lạc với nhau tại tầng Data Linkcủa mô hình OSI.

Hình 2 - Mô hình OSI

 Để biết được địa chỉ MAC của một máy tính cá nhân, ta có thể thực hiện như sau: Cách 1: Vào Start > Run > Gõ cmd > Gõ ipconfig /all > Nhấn Enter Sau đó, ta có

thể xem thông tin về MAC tại dòng Physical Address, như hình sau:

Hình 3 – Giao diện xem thông tin địa chỉ MAC theo cách dùng ipconfig /all

Cách 2: Vào Start > Run > Gõ cmd > Gõ getmac > Nhấn Enter Khi đó, ta có thể xem

thông tin về MAC như hình sau:

Hình 4 – Giao diện xem thông tin địa chỉ MAC theo cách dùng getmac

Trên thực tế, các card mạng (NIC - Network Interface Card) chỉ có thể kết nối vớinhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng Do vậy cần phải cómột cơ chế để chuyển đổi các dạng địa chỉ này qua lại với nhau Với lý do đó đã xuất

hiện giao thức phân giải địa chỉ ARP (Address Resolution Protocol).

 Giao thức ARP

Giao thức ARP (Address Resolution Protocol) được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa lớp thứ hai (Data Link) và thứ ba (Network) trong mô hình OSI.

 Lớp thứ hai (Data Link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể

truyền thông với nhau một cách trực tiếp

 Lớp thứ ba (Network) sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên

toàn cầu

Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để

có thể tạo nên một mạng truyền thông.Và, giao thức ARP đã đáp ứng được điều đó

2 Cơ chế hoạt động củaARP

Quá trình ARP (Address Resolution Protocol) được thực hiện theo cơ chế: Một thiết

bị IP trong mạng gửi một gói tin broadcast đến toàn mạng để yêu cầu các thiết bị khácgửi trả lại địa chỉ phần cứng (địa chỉ MAC) của mình nhằm thực hiện truyền tin cho nhaugiữa thiết bị phát và thiết bị nhận

ARP về cơ bản là một quá trình 2 chiều Request/Response giữa các thiết bị trong cùng mạng nội bộ Thiết bị nguồn yêu cầu(request) bằng cách gửi một bản tin broadcast trên toàn mạng Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast đến thiết bị

nguồn

Mục đích của Request và Response là tìm ra địa chỉ MAC phần cứng có liên quantới địa chỉ IP đã gửi để lưu lượng có thể đến được đích của nó trong mạng.

Khi thực hiện một quá trình ARP, trước hết thiết bị phát phải xác định xem địa chỉ

IP đích của gói tin có phải nằm cùng trong mạng nội bộ của mình hay không.Nếu đúngvậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích Nếu địa chỉ IP đích nằm trênmạng khác, thì thiết bị sẽ gửi gói tin đến một trong các router nằm cùng trên mạng nội bộ

để router này làm nhiệm vụ forward (chuyển tiếp) gói tin

 Cơ chế hoạt động của ARP trong mạng LAN

Nhằm giúp dễ hiểu hơn cho cơ chế hoạt động của ARP trong mạng LAN, nhóm đưa ramột ví dụ sau:

 Thiết bị A khi muốn truyền tin sẽ thực hiện chuyển các gói tin dạng Packets (tạitầng Network) xuống tầng Datalink để đóng gói gói tin vào Frames (trong đó có địachỉ MAC)

 Khi A muốn gửi gói tin này đến một thiết bị khác (ví dụ như X) Nhưng hiện tại,thiết bị A chỉ biết địa chỉ IP của X, mà không biết địa chỉ MAC của X là gì, khi đóthiết bị A phải thực hiện dò tìm (Ghi chú: Trước khi dò tìm, A chưa biết X là thiết

bị nào)

 Để thực hiện dò tìm, A sẽ gửi một ARP Request (bao gồm địa chỉ MAC của A và

địa chỉ IP của X)lên toàn bộ một miền broadcast, tức là gửi cho nhiều thiết bị kháctrong cùng mạng LAN để hỏi rằng: "Địa chỉ MAC của thiết bị có địa chỉ IP này là gì

?"

 Sau khi nhận được ARP Request, mỗi một thiết bị trong miền broadcastsẽ tiến hàng

so sánh địa chỉ IP nhận được với địa chỉ IP của mình

o Nếu không trùng khớp, các thiết bị này sẽ loại bỏ thông tin của ARP

Request này.

o Nếu trùng khớp và đúng là IP của nó (thiết bị X), thì X sẽ gửi trả lại cho A

một ARP Response (có chứa thông tin địa chỉ MAC của mình) (Ghi chú:

ARP Response này thuộc dạng unicast, tức chỉ gửi cho một thiết bị cụ thể là

thiết bị phát)

 Sau khi nhận được địa chỉ MAC của X, thiết bị phát(tức là A)sẽ cập nhật bảng

ARP cache của nó và khi đó, hai thiết bị này đã có thể truyền thông được với

nhau, A đã có thể gửi gói tin của mình cho X

 Cơ chế hoạt động của ARP trong môi trường hệ thống mạng

 Đối với hoạt động của ARP trong một môi trường phức tạp hơn đó là hai hệ thốngmạng gắn với nhau thông qua một Router C, Victim A thuộc mạng A muốn gửigói tin đến máy B thuộc mạng B, thì do các broadcast không thể truyền qua Routernên khi đó Victim A sẽ xem Router C như một cầu nối hay một trung gian (Agent)

để truyền dữ liệu Trước đó, Victim A sẽ biết được địa chỉ IP của Router C (địa chỉGateway) và biết được rằng để truyền gói tin tới B phải đi qua C Tất cả các thôngtin như vậy sẽ được chứa trong một bảng gọi là bảng định tuyến (Routing Table).Bảng định tuyến theo cơ chế này được lưu giữ trong mỗi máy Bảng định tuyếnchứa thông tin về các Gateway để truy cập vào một hệ thống mạng nào đó Ví dụtrong trường hợp trên trong bảng sẽ chỉ ra rằng để đi tới LAN B phải qua port Xcủa Router C Bảng định tuyến sẽ có chứa địa chỉ IP của port X Quá trình truyền

dữ liệu theo từng bước sau :

o Victim A gửi một ARP Request (broadcast) để tìm địa chỉ MAC của port X

o Router C trả lời (ARP Responce), cung cấp cho Victim A địa chỉ MAC củaport X

o Sau khi biết được địa chỉ MAC của port X, Victim A truyền gói tin đến port Xcủa Router

o Router nhận được gói tin từVictim A và chuyển gói tin ra port Y của Router.Trong gói tin có chứa địa chỉ IP của máy B Router sẽ gửi ARP Request đểtìm địa chỉ MAC của máy B

o Nhận thấy địa chỉ IP được gửi là của mình, máy B sẽ trả lời (ARP Responce)cho Router biết địa chỉ MAC của mình Sau khi nhận được địa chỉ MAC củamáy B, Router C gửi gói tin của A đến cho B.

 Trong cả hai trường hợp trên (cùng mạng LAN hay liên mạng), các thiết bị đều phảigửi gói tin IP đến một thiết bị có IP khác trên cùng mạng nội bộ để tìm địa chỉ MAC.Việc gửi gói tin trong cùng mạng thông qua Switch là dựa vào địa chỉ MAC hay địachỉ phần cứng của thiết bị Sau khi gói tin được đóng gói thì mới bắt đầu đượcchuyển qua quá trình phân giải địa chỉ ARP và được chuyển đi

Hình 5 – Cơ chế hoạt động của quá trình truyền thông ARP

3 ARP Cache

ARP là một giao thức phân giải địa chỉ động Quá trình gửi gói tin Request và Responce

sẽ tiêu tốn băng thông mạng Chính vì vậy, càng hạn chế tối đa việc gửi gói tin Request

và Response sẽ càng góp phần làm tăng khả năng hoạt động của mạng.Từ đó sinh ra nhu

cầu của ARP Caching, nghĩa là lưu lại thông tin của các gói tin vào bộ nhớ đệm ARP

Cache.

ARP Cache tĩnh và động (Static and Dynamic ARP Cache Entries)

ARP cache có thể coi như một bảng có chứa một tập tương ứng giữa các phần cứng và

địa chỉ IP Mỗi một thiết bị trên một mạng đều có ARP cache của riêng mình Có haicách lưu giữ các entry trong Cache để phân giải địa chỉ diễn ra nhanh Đó là:

 ARP Cache tĩnh (Static ARP Cache Entries):Ở đây, sự phân giải địa chỉ phải được

cập nhật một cách thủ công vào bảng cache và được duy trì lâu dài bởi người quản trị

Để thực hiện cấu hình ARP tĩnh cho máy tính hệ điều hành Windows, ta vào:

Start > Run > cmd >Gõ arp –a.Và Enter Khi đó, bảng danh sách ARP sẽ được

liệt kê Để cấu hình lại ARP tĩnh ta thực hiện gõ tiếp lệnh: arp-s

[ip_cua_computer] [dia_chi_mac] Như hình sau:

Hình 6 – Cập nhật bảng ARP Cache

 ARP Cache động(Dynamic ARP Cache Entries): Ở đây, các địa chỉ IP và địa chỉ

phần cứng được giữ trong cache bởi phần mềm sau khi nhận được kết quả của việchoàn thành quá trình phân giải trước đó Các địa chỉ được giữ tạm thời và sau đó được

gỡ bỏ

Dynamic Cache được sử dụng rộng rãi hơn vì tất cả các quá trình diễn ra tự động vàkhông cần đến sự tương tác của người quản trị Ngoài hạn chế của việc phải nhậpbằng tay, Static Cache còn thêm hạn chế nữa là khi địa chỉ IP của các thiết bị trongmạng thay đổi thì sẽ dẫn đến việc phải thay đổi ARP cache

II TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING)

1 Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)

Tấn công giả mạo ARP Cache chỉ thực hiện được trong môi trường mạng LAN,

mà không thực hiện được trên WAN

Việc giả mạo bảng ARP Cache chính là lợi dụng bản tính không an toàn của giaothức ARP Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu

hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào

Điều này có nghĩa là bất cứ thiết bị nào cũng có thể gửi gói ARP Responce đến

một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP Cache của nó ngay giá trị

mới này Việc gửi một gói ARP Response khi không có bất cứ một Request nào được tạo

ra có thể được gọi nôm na là việc gửi ARP " vu vơ" Khi các ARP Responce vu vơ này đến

được các máy tính đã gửi Request, máy tính Request này sẽ nghĩ rằng đó chính là đốitượng mình đang tìm kiếm để truyền thông, và nó sẽ thực hiện update bảng ARP Cache

của mình mà không hề biết là nó đang truyền thông với một kẻ tấn công.

 Cơ chế tấn công giả mạo ARP Cache

Cơ chế tấn công giả mạo ARP Cache cụ thể sẽ như sau:

Giả sử trong một mạng LAN có 4 thiết bị (máy tính) như sau:

 Victim A: là máy phát ARP Request, và cũng là một trong hai nạn nhân trong

cuộc tấn công ARP Cache

ARP Cache của Victim A

IP 10.0.0.09

MAC ff-ff-ff-ff-00-09

 Victim B: là máy nhận thông tin từ VictimA, và cũng là một trong hai nạn nhân

trong cuộc tấn công ARP Cache Máy Victim B có:

ARP Cache của Victim B

IP 10.0.0.10

MAC ff-ff-ff-ff-00-10

 Attacker: là máy tính thực hiện tấn công ARP Cache, có:

ARP Cache của Attacker

IP 10.0.0.11

MAC ff-ff-ff-ff-00-11

Attacker(kẻ tấn công) muốn thực hiện tấn công ARP đối với máy VictimA và B.

Attacker muốn rằng mọi gói tin mà Victim Avà Victim Btrao đổi đều bị chụp lại để xem

trộm Khi đó, cuộc tấn công sẽ xảy ra như sau:

 Đầu tiên, Victim A muốn gửi dữ liệu cho Victim B, Victim A cần phải biết địa chỉ

MAC của Victim B để liên lạc Khi đó, Victim A sẽ gửi broadcast ARP Request tới tất cả các máy trong cùng mạng LAN để hỏi xem địa chỉ IP 10.0.0.10 (IP của Victim B) có địa chỉ MAC là bao nhiêu.Thông tin có chứa trong ARP Request

do A gửi sẽ là:

Nội dung gói ARP Request của A

 Lúc này mọi việc vẫn đang xảy ra bình thường thì Attacker tiến hành tấn công

ARP bằng cách thực hiện gửi liên tục các ARP Response chứa thông tin về IP

Victim B, MAC của Attacker và MAC Victim A, nghĩa là trong gói ARP

Response, Attacker đã thực hiện thay đổi MAC Victim B thành MAC của chính

Attacker, có thể nói gói ARP Response lúc này đã chứa mã độc do Attacker tạo

11 (MAC của Attacker) Victim A sẽ tiến hành lưu thông tin chứa mã độc này vào

bảng ARP Cache của mình và thực hiện trao đổi, truyền tin với địa chỉ MAC nhận

được Victim B qua đó cũng trao đổi thông tin với Victim A (thông qua Attacker)

và cũng cập nhật thông tin chứa mã độc này vào bảng ARP Cache của mình

 Khi đó, mọi thông tin, dữ liệu mà Victim A và B trao đổi với nhau, Attacker đều

có thể nhận thấy và xem toàn bộ nội dung của nó thông qua cuộc tấn công ARPnày Sau khi bị tấn công ARP attack, sẽ rất nguy hiểm cho người dùng vì mọithông tin trao đổi của họ đều bị lộ, nhất là những thông tin đó là quan trọng, cầnphải giữ bí mật

 Nếu sau một khoảng thời gian không có liên lạc nào giữa Victim A và B, cácthông tin mã độc (có chứa Mac của Attacker) trong ARP Cache của hai Victim sẽ

bị xóa, vì thế, Attacker phải thường xuyên gửi các gói tin ARP Response chứa mãđộc của mình cho các nạn nhân (Victim) để duy trì cuộc tấn công ARP

Hình 7 – Mô hình tấn công giả mạo ARP Cache

 Ví dụ trong trường hợp thiết bị đích (thiết bị nhận tin) là một Gateway

 Trước khi thực hiện cuộc tấn công ARP poisoning, thông tin về địa chỉ IP thật và địachỉ MAC thật của Gateway lưu trong ARP Cache của thiết bị phát ARP Request nhưsau:

Hình 8 – Địa chỉ IP và MAC thật của Gateway trên ARP Cache của thiết bị phát

ARP Request

 Khi cuộc tấn công ARP poisoning được thực thi, kẻ tấn công sẽ thay đổi địa chỉMAC thật của Gateway thành địa chỉ MAC của máy chứa mã độc, đồng thời chènthêm một entry mới chứa địa chỉ IP và MAC của máy chứa mã độc vào ARP Cachecủa thiết bị phát (tức là thiết bị truyền tin),như hình sau:

Hình 9 – Địa chỉ MAC thật của Gateway đã bị máy tấn công thay thế bằng MAC

của máy tấn công

***Ta nhận thấy rằng: Sau khi thực hiện tấn công, trong bảng ARP Cache của máy phát

ARP Request (tức là nạn nhân), 2 địa chỉ IP (một IP thật của Gateway và một IP của máytấn công) đều sẽ có địa chỉ MAC giống nhau, và 2 địa chỉ MAC này đều là của máy tấncông

Khi máy phát tiến hành trao đổi, truyền tin cho Gateway (để Gateway chuyển tiếp gói tincho mấy nhận), mọi thông tin đều sẽ đi theo địa chỉ MAC đã bị đầu độc để đến được máytấn công Lúc này kẻ tấn công sẽ xem được mọi thông tin cơ mật của cuộc trao đổi

2 Thực hiện tấn công giả mạo ARP Cache

Hiện nay để thực hiện tấn công giả mạo ARP Cache, ta có thể nhờ sự hỗ trợ của

nhiều công cụ…Ở đây, nhóm sẽ sử dụng công cụ là Cain & Abel (gọi tắt là Cain) để áp

dụng và demo thử nghiệm

 Ta sẽ đóng vai trò là kẻ tấn công.

 Trước khi thực hiện tấn công

Ta khởi động công cụ Cain và tiến hành cấu hình lại công cụ này như sau:

(1) Mở công cụ Cain, chọn địa chỉ IP (của máy ta) mà ta dùng để thực hiện tấn công:

(2) Chọn tab Sniffer và tiến hành Start chức năng Sniffer:

(3) Thực hiện quét (Scan) các địa chỉ MAC của tất cả các máy trên cùng vùng mạng của mình:

Nếu muốn biết được tên của các máy (Host name), ta click phải chuột chọn Resolve Host name:

 Thực hiện tấn công

(1) Thực hiện chọn mục tiêu (nạn nhân) tấn công: