TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO ARP CACHE POISONING, DNS CACHE POISONING VÀ CÁCH PHÒNG CHỐNG GV: TRƯƠNG HOÀI PHAN Thực hiện: NHÓM 21... Địa chỉ ARP Address Resolution Protocol.Giao thức ARP
Trang 1TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO ARP CACHE POISONING, DNS CACHE POISONING VÀ CÁCH PHÒNG
CHỐNG
GV: TRƯƠNG HOÀI PHAN
Thực hiện: NHÓM 21
Trang 3Tổng Quan Về Tấn Công IN-THE-MIDDLE
MAN-1
GV: TRƯƠNG HOÀI PHAN
Thực hiện: NHÓM 21
Trang 41 Tấn Công MAN-IN-THE-MIDDLE là gì?
Trang 52 Các Kiểu Tấn Công MITM
+ Tấn công giả mạo ARP cache (ARP Cache Poisoning).
Các Hình Thức Tấn Công MITM Phổ Biến
+ Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning) + Chiếm quyền điều khiển Session (Session Hijacking).
+ Chiếm quyền điều khiển SSL…
Trang 6Tấn công giả mạo ARP CACHE (ARP CACHE POISONING) 2
GV: TRƯƠNG HOÀI PHAN
Thực hiện: NHÓM 21
Trang 7Sơ lược về địa chỉ MAC
+Mỗi thiết bị mạng đều có một địa chỉ vật lý
– địa chỉ MAC (Medium Access Control
Trang 8Địa chỉ ARP (Address Resolution Protocol).
Giao thức ARP (Address Resolution Protocol) là giao thức phân giải địa chỉ động, được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa lớp thứ hai (Data Link) và thứ ba (Network) trong mô hình OSI.
Lớp thứ hai (Data Link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền
thông với nhau một cách trực tiếp
Lớp thứ ba (Network) sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn
Trang 9Cơ chế hoạt động của ARP
Một thiết bị IP trong mạng gửi một gói tin broadcast đến toàn mạng để yêu cầu các thiết bị khác gửi trả lại địa chỉ phần cứng (địa chỉ MAC) của mình nhằm thực hiện truyền tin cho nhau giữa thiết bị phát và thiết bị nhận
ARP về cơ bản là một quá trình 2 chiều Request/Response giữa các thiết bị trong
Trang 10Cơ chế hoạt động của quá trình truyền thông ARP
Trang 11ARP Cache
ARP là một giao thức phân giải địa chỉ động Quá trình gửi gói tin Request và Responce sẽ tiêu tốn băng thông mạng Chính vì vậy, càng hạn chế tối đa việc gửi gói tin Request và Response sẽ càng góp phần làm tăng khả năng hoạt động của mạng.Từ đó
sinh ra nhu cầu của ARP Caching, nghĩa là lưu lại thông tin của các gói tin vào bộ nhớ đệm ARP Cache.
Trang 12ARP Cache
ARP cache có thể coi như một bảng có chứa một tập tương ứng giữa các phần
cứng và địa chỉ IP Mỗi một thiết bị trên một mạng đều có ARP cache của riêng mình Có hai cách lưu giữ các entry trong Cache để phân giải địa chỉ diễn ra nhanh
Đó là:
+ ARP Cache tĩnh (Static ARP Cache Entries):
Trang 13Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Giả sử trong một mạng LAN có 3 thiết bị (máy tính) như sau:
Victim A: là máy phát ARP Request, và cũng là một trong hai nạn nhân trong cuộc tấn công ARP Cache.
ARP Cache của Victim A
Trang 14Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Attacker: là máy tính thực hiện tấn công ARP Cache, có:
ARP Cache của Attacker
MAC ff-ff-ff-ff-00-11
Trang 15Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Nội dung gói ARP Request của A
Victim A sẽ gửi ARP Request dạng broadcast Chỉ có Victim B gửi ARP Response dạng unicast cho A
Attacker tiến hành gửi liên tục các gói ARP Response chứa mã độc cho Victim A
Trang 16Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
Trước khi thực hiện cuộc tấn công ARP poisoning
Khi cuộc tấn công ARP poisoning được thực thi
Lúc này kẻ tấn công sẽ xem được mọi thông tin cơ mật của cuộc trao đổi
Địa chỉ MAC thật của Gateway đã
bị máy tấn công thay thế bằng MAC của máy tấn công
Trang 17Thực hiện tấn công ARP Cache (ARP Poisoning)
Demo phần mềm Cain & Abel
Trang 19Tấn công giả mạo DNS (DNS CACHE POISONING)
3
GV: TRƯƠNG HOÀI PHAN
Thực hiện: NHÓM 21
Trang 201 DNS là gì….?
- DNS ( Domain Name System)
- Hệ thống phân giải tên miền Phát
minh năm 1984
- Dùng ánh xạ giữa các tên miền và
các địa chỉ IP
Trang 213 Nguyên tắc làm việc của DNS
- Mỗi nhà cung cấp dịch vụ Internet (ISP) có nhiệm vụ
vận hành và duy trì các máy chủ tên miền của mình
- DNS có khả năng truy vấn các máy chủ tên miền khác để tìm ra một cái tên đã được phân giải.
- Các máy chủ tên miền có khả năng ghi nhớ những tên vừa phân giải để dùng cho những yêu cầu phân giải lần sau.
Trang 224 Cơ chế làm việc của DNS
Trang 231 Giả mạo DNS (DNS Cache Poisoning) là gì
- Dữ liệu sai sẽ được đưa vào
hệ thống tên miền (DNS) cho một máy chủ, để khi người dùng duyệt đến một địa chỉ nào đó sẽ bị
chuyển sang một địa chỉ khác mà không hề hay biết.
VD: www.abc.com có IP x.x.x.x
www.abc.comgiả mạo có IP y.y.y.y
Trang 242 Tấn công giả mạo DNS (DNS CACHE POISONING)
+ Giả mạo địa chỉ DNS
Có 2 cơ chế hoạt động chính:
+ Giả mạo các phản hồi DNS
Trang 25Giả mạo các phản hồi DNS
Trang 26Giả mạo địa chỉ DNS
Trang 27 Ngay khi phát hiện ra lỗ hổng này:
- Các chuyên gia trên thế giới đã làm việc với nhau để tìm ra các phương pháp sửa lỗi
- Các hãng phần mềm đều đã có cung cấp bảng vá lỗi cho phần mềm máy chủ DNS của
Trang 28GiẢI PHÁP PHÒNG CHỐNG
- Thận trọng khi duyệt Internet
- Sử dụng DNSSEC
- Kiểm tra lỗ hổng DNS Cache Poisoning, ví dụ BkavDNSCheck
- Và 1 số phần mềm phòng chống lại DNS Poisoning như
Kaspersky Labs TDSSKiller
McAfee Stinger
Microsoft Safety Scanner
Avira’s DNS Repair-Tool,…
Trang 29K094061176 - Lâm Ngọc Phượng