1. Trang chủ
  2. » Công Nghệ Thông Tin

Tấn công ARP spoofing trong mạng LAN và cách phòng chống pptx

3 2,1K 9

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 3
Dung lượng 36 KB

Nội dung

Đó là cách tấn công từ một máy tính trong mạng LAN, thông qua giao thức ARP và địa chỉ MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến tình trạng các máy tính

Trang 1

Tấn công ARP spoofing trong mạng LAN và cách phòng chống

Kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing hay còn gọi là ARP flooding, ARP poisoning hay ARP Poison Routing (APR) Đó là cách tấn công từ một máy tính trong mạng LAN, thông qua giao thức ARP và địa chỉ MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến tình trạng các máy tính đó không thể truy cập Internet.

Máy tính nạn nhân mất kết nối Internet nhưng vẫn có kết nối mạng LAN nên khi bạn ping đến máy nạn nhân vẫn có kết quả

Sau đây tôi sẽ nói 2 cách để thực hiện cuộc tấn công này từ máy tính của bạn

{} Cách đơn giản nhất là sử dụng phần mềm NetCut v2.

Sau khi cài đặt và chạy chương trình, cách sử dụng cũng rất đơn giản, bạn chỉ cần chọn 1 hoặc nhiều máy tính và ấn Cut Off, sau một vài giây các máy tính đó sẽ bị mất mạng không truy cập Internet được, khi muốn khôi phục mạng lại bạn chọn máy tính và ấn Resume

Chú ý là nếu bạn tích chọn Protected My Computer thì máy tính của bạn sẽ không bị ảnh hưởng bởi cuộc tấn công này

>>> Cách thứ 2 là sử dụng bộ công cụ WinPcap4 và ArpSpoof

Bạn hãy cài phần mềm WinPcap4, sau đó copy 2 file arpspoof.exe và Libnet.dll trong thư mục arpspoof vào ổ C:\ trên máy tính bạn để có thể sử dụng ArpSpoof

Thực hiện như sau:

> Bạn mở CMD (Start/Run gõ cmd) rồi chuyển thư mục làm việc về ổ C:\ bằng cách gõ cd\

> Trước hết bạn cần biết được địa chỉ IP của Gateway, bạn hãy gõ vào ipconfig, Enter là bạn sẽ thấy IP của chính máy mình và của Gateway, thường sẽ là 192.168.1.1

> Tiếp theo là tấn công máy tính nạn nhân, bạn gõ tiếp lệnh arpspoof -t [ip Gateway] [ip máy nạn nhân]

ví dụ : arpspoof -t 192.168.1.1 192.168.1.12

rồi gõ tiếp 2 và Enter, vậy là cuộc tấn công sử dụng arpspoof bắt đầu rồi đó, bạn cứ để cửa sổ CMD để chương trình chạy như vậy, khi đó nạn nhân sẽ mất mạng Internet Để tăng tính hiệu quả bạn có thể mở nhiều cửa sổ CMD và chạy lệnh như vậy

Khi muốn ngừng cuộc tấn công, bạn có thể mở lại cửa sổ CMD đang chạy và ấn Ctrl + C hoặc đóng hẳn cửa sổ CMD

đó đi

Một vài phút sau khi ngừng tấn công, nạn nhân sẽ lại truy cập Internet được

Chú ý : với cả 2 cách này, có thể sau khi đã ngừng tấn công một lúc sau nạn nhân vẫn chưa vào

Internet được, khi đó nạn nhân cần vào My Network Places rồi Disable và lại Enable lại kết nối (thường

là Local Area Connection) thì mới có thể truy cập Internet lại.

* Trên đây là cách tấn công, vậy chúng ta có thể làm gì để phòng chống cuộc tấn công này và biết được máy tính nào đã thực hiện cuộc tấn công.

Trước tiên hãy chú ý là để phòng chống cuộc tấn công này thì bạn phải bắt đầu thực hiện từ trước khi bị tấn công hoặc từ ngay khi mới mở máy tính lên (có thể là bằng cách tạo file chạy khi khởi động máy tính)

Bước 1:

Bạn vào CMD và gõ lệnh sau để lấy về toàn bộ địa chỉ IP và MAC của mạng LAN để lưu trữ lại

for /l %x in (1,1,12) do ping 192.168.1.%x -n 1

Tiếp theo là lệnh

arp -a

Bạn sẽ thấy hiển thị kết quả tương tự như sau:

> Interface: 192.168.1.3 - 0x2

> Internet Address Physical Address Type

Trang 2

> 192.168.1.1 00-27-19-f9-1c-e2 dynamic

> 192.168.1.4 00-24-1d-5f-cc-2c dynamic

> 192.168.1.12 00-0b-6a-8c-2c-77 dynamic

Bạn hãy chú ý đến địa chỉ MAC (Physical Address) của Gateway, vì nó thường sẽ bị thay đổi khi bị tấn công, còn bình thường địa chỉ MAC của tất cả các máy đều cố định

Bước 2:

Bạn copy phần thông tin phía dưới dòng Internet Address rồi mở Notepad, paste vào, rồi Save as thành 1 file bat, ví

dụ Test.bat, bạn chú ý chọn All Files ở chỗ Save as Type

Nội dung file bat có dạng sau :

arp -d *

arp -s 192.168.1.1 00-27-19-f9-1c-e2

arp -s 192.168.1.4 00-24-1d-5f-cc-2c

arp -s 192.168.1.12 00-0b-6a-8c-2c-77

ping google.com -n 2

pause

Có thể những bạn chưa biết sẽ thắc mắc là làm thế nào để copy trong CMD, bạn làm như sau:

Phải chuột ở giữa cửa sổ CMD chọn Mark, bạn bôi đen những dòng cần copy, rồi ấn Enter, vậy là copy được rồi đó

Chú ý : bạn có thể tạo file bat như trên để lưu giữ chạy cho những lần sau, hoặc có thể ghi lại địa chỉ IP

và MAC của Gateway ra ngoài để sử dụng sau khi bị tấn công

{} Tất cả trên đây là công đoạn chuẩn bị trước phòng ngừa có thể bị tấn công.

Sau khi phát hiện thấy mình đang bị tấn công rồi, bạn làm như sau

Cách 1 : kích đúp chuột chạy luôn cái file bat mà bạn đã tạo ra ở trên

Cách 2 : mở CMD và gõ lệnh

Với win XP

arp -s [ip Gateway] [MAC Gateway], vi du : arp -s 192.168.1.1 00-27-19-f9-1c-e2

Với Win 7

netsh -c "interface ipv4" set neighbors "tên card mạng" "IP gateway" "MAC gateway"

vi du :

netsh -c "interface ipv4" set neighbors "Local Area Connection" "192.168.1.1" "00-27-19-f9-1c-e2"

Vậy là xong, bạn lại có thể truy cập Internet như bình thường

Nếu vẫn chưa được bạn hãy thử vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area Connection) nhé

Bước 3:

Giờ tôi sẽ nói cho các bạn biết làm thế nào để chúng ta biết đang bị tấn công ARP spoofing khi bị mất mạng và cách phát hiện ra máy tính thực hiện cuộc tấn công đó nhé

Cách 1: Sử dụng phần mềm XArp 2.0.

Bạn chạy chương trình XArp 2.0 và sẽ nhìn thấy một số dòng màu đỏ, trong đó có IP Gateway, máy tấn công và các máy nạn nhân

Bạn hãy loại ra IP Gateway và các IP máy nạn nhân bị mất mạng, còn lại chính là IP của máy tính tấn công đó (máy này không bị mất mạng)

Nếu chú ý hơn vào XArp 2.0, bạn kéo ra sau cùng sẽ thấy cột How Often seen, bạn sẽ thấy số dữ liệu trao đổi giữa Gateway và các máy nạn nhân tăng lên tương ứng nhau, còn máy tấn công thì khác hẳn

Cách 2: bạn ping đến từng máy trong mạng LAN xem máy nào kết nối chập chờn, lúc được lúc không thì đó chính là

Trang 3

máy tấn công ARP spoofing bằng NetCut hay ArpSpoof Tất nhiên cách này thủ công và mất nhiều thời gian hơn.

Ví dụ bạn phát hiện ra máy tấn công là 192.168.1.12

Bước 4: Hãy trừng phạt kẻ tấn công này

Sau khi đã lấy lại được kết nối Internet, bạn hãy sử dụng lại chính arpspoof để trừng phạt kẻ tấn công này, cách làm tương tự như cách tấn công thứ 2 đã nói ở trên Bạn vào CMD và gõ lệnh

arpspoof -t 192.168.1.1 192.168.1.12

rồi chọn 2, Enter

với 192.168.1.1 là IP Gateway và 192.168.1.12 là IP máy tấn công vừa phát hiện ra ở trên

* Ngoài cách phòng chống bị tấn công ở trên, còn một cách nữa là bạn sử dụng chính phần mềm NetCut và tích chọn Protected My Computer hoặc dùng phần mềm Anti Netcut v2

Trên switch Cisco, để set MAC tĩnh cho từng port, có thể dùng các lệnh:

switchport port-security mac-address mac-address: gán cố định một địa chỉ MAC được phép đi qua port đó.

switchport port-security mac-address sticky: địa chỉ MAC đầu tiên đi qua port đó sẽ là địa chỉ MAC được phép đi qua

switchport port-security violation {protect | restrict | shutdown**: Quy định cách hành xử của port trên Switch nếu địa chỉ MAC bị vi phạm

Với các hệ thống này thì nên trang bị các thiết bị có khả năng secure port Thông qua việc nhận DHCP, các thiết bị giữ lại các record của MAC add được kết nối trên mỗi port vì thế nó có thể phát hiện được các spoofed ARP Phương pháp này được gắn trên các thiết bị của các nhà sản xuất như Cisco,

ProCurve, Extreme Network, Dlink và Allied Telesis

Ngày đăng: 09/08/2014, 14:22

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w