Mỗi thiết bị trong mạng máy tính, router,… đều được nhận diện dưới 2 loại địa chỉ:o Địa chỉ logic IP: phụ thuộc vào cấu trúc của mạng và có thể thay đổi.. Media Access Control MAC đị
Trang 1Tấn Công Giả Mạo
Trang 2Nội Dung
1 Cơ sở lý thuyết
Tìm hiểu IP và MAC.
Giao Thức ARP.
2 Các hình thức tấn công giả mạo IP và MAC
Tấn công MAC Flooding.
Tấn công ARP Spoofing.
Giả mạo DNS.
Một số tấn công từ chối dịch vụ DoS.
3 Video Demo
Trang 3 Mỗi thiết bị trong mạng (máy tính, router,…) đều được nhận diện dưới 2 loại địa chỉ:
o Địa chỉ logic (IP): phụ thuộc vào cấu trúc của mạng và có thể
thay đổi
o Địa chỉ vật lý (MAC addres): địa chỉ được nhà sx ghi card
mạng nằm bên trong thiết bị, không thể thay đổi
Địa Chỉ IP và MAC
Trang 4Giao thức IP - Internet Protocol :
Gồm 2 phần: địa chỉ mạng (netID) và địa chỉ máy (hostID)
o Net ID: Dùng để nhận dạng những hệ thống trong cùng 1 khu
vực vật lý còn được gọi là Phân Đoạn (Segment) Mọi hệ
thống trong cùng 1 Phân Đoạn phải có cùng Địa Chỉ Mạng và Phần địa chỉ này phải là duy nhất trong số các mạng hiện có
o Host ID: Dùng để nhận dạng 1 trạm làm việc, 1 máy chủ, 1
Router hoặc 1 trạm TCP/IP (1 computer) trong 1 phân đoạn Phần địa chỉ trạm cũng phải là duy nhất trong 1 mạng
Địa Chỉ IP và MAC
1………32
Trang 5Địa chỉ MAC - Media Access Control:
o Một địa chỉ MAC bao gồm 6 byte và thường được viết dưới dạng hexa, mỗi thiết bị (card mạng, modem, router ) được nhà sản xuất (NSX) chỉ định và gán sẵn 1 địa chỉ nhất định
o Thường được viết theo 2 dạng: MM:MM:MM:SS:SS:SS hay MM-MM-SS-SS-SS
MM-o Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 số hexa (hệ số thập lục phân), trong đó:
o 24bit đầu (MM:MM:MM) là mã số của NSX (Linksys, 3COM )
o 24 bit sau (SS:SS:SS) là số seri của từng card mạng được NSX gán
Địa Chỉ IP và MAC
Trang 6Giao thức liên mạng IP cung cấp
khả năng kết nối của mạng con thành liên mạng để truyền dữ liệu, vai trò của IP nằm trong tầng mạng (Network layer) của
mô hình OSI.
Media Access Control (MAC) địa
chỉ này được dùng để nhận diện các thiết bị giúp cho các gói tin lớp 2 (Datalink layer) có thể đến đúng đích.
Trang 7Giao thức ARP (Address
Resolution Protocol)
o Giao thức ARP là giao thức phân giải địa chỉ động, được thiết kế
để phục vụ cho nhu cầu thông dịch các địa chỉ giữ lớp thứ hai (data link) và thứ ba (network) trong mô hình OSI.
• Lớp thứ hai (datalink): sử dụng địa chỉ MAC để các thiết bị phần
cứng có thể truyền thông với nhau một cách trực tiếp.
• Lớp thứ ba (Network): sử dụng địa chỉ IP để tạo các mạng có khả
năng mở rộng trên toàn cầu.
o Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để có thể tạo nên một mạng truyền thông.
=> Xuất hiện giao thức phân giải địa chỉ ARP.
Trang 8Cơ chế hoạt động của ARP
o ARP về cơ bản là một quá trình 2 chiều
Request/Response giữa các thiết bị trong cùng mạng nội bộ.
• Thiết bị nguồn yêu cầu (request) bằng các gửi một bản tin
broadcast (FF-FF-FF-FF-FF-FF) trên toàn mạng
• Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast
đến thiết bị nguồn
Trang 9Cơ chế hoạt động của ARP
Trang 10Tấn công MAC Flooding: Tấn công bảng CAM của Switch
Tấn công ARP Spoofing: Tấn công giả mạo vào ARP Cache của các máy trạm
Giả mạo DNS: Giả mạo địa chỉ phân giải tên miền của máy trạm yêu cầu
Một số tấn công từ chối dịch vụ DoS: Kiểu tấn công SYN Flood & Kiểu tấn công Smurf Attack
Trang 11Tấn Công MAC Flooding (CAM)
oKích thước của CAM là có giới hạn tùy thuộc vào các dòng Switch khác nhau Ví dụ Switch Catalysh 6000 có thể chứa tối
đa 128000 ánh xạ
oDữ liệu trong bảng CAM được Switch xây dựng qua quá trình học địa chỉ, duy trì trong quá trình hoạt động và sẽ bị xóa đi sau 1 khoảng thời gian timeout hoặc khi Switch khởi động lại
Trang 12Tấn Công MAC Flooding (CAM)
Chức năng chuyển mạch của Switch
Port MAC
Trang 13Tấn Công MAC Flooding (CAM)
Trang 14 Nguyên lí chung là không để các gói tin có địa chỉ MAC lạ
đi qua switch Phương pháp phòng chống hiệu quả nhất là cấu hình port security trên switch
Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm
tra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ
đã được cấu hình trước đó Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử
lí gói tin đến với các mức độ khác nhau.
Trang 15Các lệnh cấu hình port security:
Switch(config-if)# switchport port-security: cho phép cổng được hoạt động trong chế độ
port-security.
Switch(config-if)# switchport port-security maximum value (tuỳ chọn): câu lệnh cho phép
cấu hình số địa chỉ MAC tối đa mà cổng có thể học tự động và cho phép các thiết bị này truyền dữ liệu qua.
Switch(config-if)# switchport port-security mac-address mac_address (tuỳ chọn) : gán tĩnh
một số địa chỉ MAC có thể truy cập vào một port
Switch(config-if)# switchport port-security violation {protect | restrict | shutdown} (tuỳ chọn) : Đây là các biện pháp mà người quản trị có thể tiến hành khi một gói tin đến không
phù hợp với yêu cầu của port-security Các biện pháp xử lí có thể là :
shutdown: cổng sẽ bị ngừng hoạt động; không nhận và chuyển gói tin.
restrict: cổng chỉ cho phép các gói tin có địa chỉ MAC hợp lệ đi qua; các gói tin vi phạm sẽ bị huỷ
Đồng thời số lượng các bản tin vi phạm sẽ được thống kê và báo cho người quản trị biết.
protect: cũng giống như trong trường hợp restrict, tuy nhiên việc vi phạm sẽ không được ghi lại.
Trang 16Tấn Công MAN IN THE MIDDLE
• Sử dụng ARP cache tĩnh: Mỗi địa chỉ IP và địa chỉ MAC tương ứng
được thêm một cách thủ công vào bảng cache và được duy trì lâu dài.
• Sử dụng ARP cache động: Địa chỉ IP và phần cứng được lưu trong cache
bằng phần mềm.Các địa chỉ này được lưu giữ tạm thời và sau đó được gỡ bỏ.
Trang 17Tấn Công MAN IN THE MIDDLE
o Việc giả mạo bảng ARP chính là lợi dụng bản tính không
an toàn của giao thức ARP
o Việc gửi một gói ARP reply khi không có request nào
được tạo ra được gọi là việc gửi ARP “vu vơ” Các thiết
bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp
nhận cập nhật bất cứ lúc nào
Trang 18Tấn Công MAN IN THE MIDDLE (MITM)
Trang 19 Sử dụng dạng tĩnh của ARP cache: Đây là một tùy chọn
vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache
o Xem arp cache bằng lệnh trong cmd arp –a
o Thêm các entry bằng lênh arp –s <IP ADDRESS> <MAC
ADDRESS>.
Kiểm tra lưu lượng ARP cache với chương trình của
hãng thứ 3: Ta có thể thực hiện điều này với một vài hệ thống phát hiện xâm phạm (chẳng hạn như Snort) hoặc thông qua các tiện ích được thiết kế đặc biệt cho mục đích này (như xARP)
Trang 20Domain Name Server (DNS)
Port MAC
Trang 21Port MAC
Tấn Công Giả Mạo
Domain Name Server (DNS)
Sử dụng kỹ thuật giảo mạo DNS ID
• Mỗi truy vấn DNS được gửi qua mạng đều chứa một số nhận dạng duy nhất, mục đích để phân biệt các truy vấn và đáp trả
• Cần tạo một gói giả mạo có chứa số nhận dạng đó để gói dữ liệu được chấp nhận bỏi victim
• 2 bước để thực hiện giả mạo DNS:
• Giả mạo ARP cache
• Chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo.
• Mục đích của việc giả mạo là đánh lừa victim truy cập vào trang web giả mạo (chứa mã độc, đánh cắp thông tin,…)
Trang 2269.161.204.52 Fakefacebook.com
Tấn Công Giả Mạo Domain Name Server (DNS)
Trang 23Port MAC
Tấn Công Từ Chối Dịch Vụ DoS
•Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm
•Đa phần trong các cuộc tấn công DoS hay DDoS đều khiến máy mục tiêu phải khởi động lại do không thể xử lý hết yêu cầu hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân
•Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công Ví dụ băng thông của router giữa Internet và Lan có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng
Trang 27Port MAC
Phòng Chống
Tấn Công Từ Chối Dịch Vụ DoS
• Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức
• Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router.
• Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại SYN flood.
• Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng.
• Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và
Trang 28Các Phương Pháp
Tấn Công Giả Mạo IP và MAC
Trang 29Port MAC
Demo Tấn Công Giả Mạo DNS
Công cụ sử dụng để thực hiện là Ettercap
mạng và nhiều thủ thuật thú vị khác.
dụng plug-in để thực hiện các tấn công khác nhau.
Ngoài ra còn sử dụng Social Toolkit: Dùng để giả lập 1
website nhanh chóng và chỉ giả mạo trang đăng nhập.
Trang 30Port MAC
Demo Tấn Công Giả Mạo DNS
• Ở đây ta dung plug-in dns_spoof,
ta phải điều chỉnh file cấu hình
liên quan với plug-in đó tại
/usr/share/ettercap/etter.dns hoặc
C:\Program Files
(x86)\EttercapNG\share\etter.dns
(Window)
Trang 31Port MAC
Demo Tấn Công Giả Mạo DNS
• Thực hiện lệnh: Ettercap –T –q –P dns_spoof –M arp // //
• - T – Chỉ định sử dụng giao diện văn bản
• -q – Chạy các lệnh trong chế độ “yên lặng” để các gói dữ liệu
đã được capture không hiển thị trên màn hình.
• -P dns_spoof – Chỉ định sử dụng plug-in dns_spoof
• -M arp – Khởi tạo tấn công MITM giả mạo ARP để chặn các gói
dữ liệu giữa các host.
• // // - Chỉ định toàn bộ mạng là mục tiêu tấn công.