Slide Tấn công giả mạo địa chỉ IP và MAC

 Mỗi thiết bị trong mạng máy tính, router,… đều được nhận diện dưới 2 loại địa chỉ:o Địa chỉ logic IP: phụ thuộc vào cấu trúc của mạng và có thể thay đổi.. Media Access Control MAC đị

Tấn Công Giả Mạo

Nội Dung

1 Cơ sở lý thuyết

 Tìm hiểu IP và MAC.

 Giao Thức ARP.

2 Các hình thức tấn công giả mạo IP và MAC

 Tấn công MAC Flooding.

 Tấn công ARP Spoofing.

 Giả mạo DNS.

 Một số tấn công từ chối dịch vụ DoS.

3 Video Demo

 Mỗi thiết bị trong mạng (máy tính, router,…) đều được nhận diện dưới 2 loại địa chỉ:

o Địa chỉ logic (IP): phụ thuộc vào cấu trúc của mạng và có thể

thay đổi

o Địa chỉ vật lý (MAC addres): địa chỉ được nhà sx ghi card

mạng nằm bên trong thiết bị, không thể thay đổi

Địa Chỉ IP và MAC

Giao thức IP - Internet Protocol :

Gồm 2 phần: địa chỉ mạng (netID) và địa chỉ máy (hostID)

o Net ID: Dùng để nhận dạng những hệ thống trong cùng 1 khu

vực vật lý còn được gọi là Phân Đoạn (Segment) Mọi hệ

thống trong cùng 1 Phân Đoạn phải có cùng Địa Chỉ Mạng và Phần địa chỉ này phải là duy nhất trong số các mạng hiện có

o Host ID: Dùng để nhận dạng 1 trạm làm việc, 1 máy chủ, 1

Router hoặc 1 trạm TCP/IP (1 computer) trong 1 phân đoạn Phần địa chỉ trạm cũng phải là duy nhất trong 1 mạng

Địa Chỉ IP và MAC

1………32

Địa chỉ MAC - Media Access Control:

o Một địa chỉ MAC bao gồm 6 byte và thường được viết dưới dạng hexa, mỗi thiết bị (card mạng, modem, router ) được nhà sản xuất (NSX) chỉ định và gán sẵn 1 địa chỉ nhất định

o Thường được viết theo 2 dạng: MM:MM:MM:SS:SS:SS hay MM-MM-SS-SS-SS

MM-o Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 số hexa (hệ số thập lục phân), trong đó:

o 24bit đầu (MM:MM:MM) là mã số của NSX (Linksys, 3COM )

o 24 bit sau (SS:SS:SS) là số seri của từng card mạng được NSX gán

Địa Chỉ IP và MAC

Giao thức liên mạng IP cung cấp

khả năng kết nối của mạng con thành liên mạng để truyền dữ liệu, vai trò của IP nằm trong tầng mạng (Network layer) của

mô hình OSI.

Media Access Control (MAC) địa

chỉ này được dùng để nhận diện các thiết bị giúp cho các gói tin lớp 2 (Datalink layer) có thể đến đúng đích.

Giao thức ARP (Address

Resolution Protocol)

o Giao thức ARP là giao thức phân giải địa chỉ động, được thiết kế

để phục vụ cho nhu cầu thông dịch các địa chỉ giữ lớp thứ hai (data link) và thứ ba (network) trong mô hình OSI.

• Lớp thứ hai (datalink): sử dụng địa chỉ MAC để các thiết bị phần

cứng có thể truyền thông với nhau một cách trực tiếp.

• Lớp thứ ba (Network): sử dụng địa chỉ IP để tạo các mạng có khả

năng mở rộng trên toàn cầu.

o Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để có thể tạo nên một mạng truyền thông.

=> Xuất hiện giao thức phân giải địa chỉ ARP.

Cơ chế hoạt động của ARP

o ARP về cơ bản là một quá trình 2 chiều

Request/Response giữa các thiết bị trong cùng mạng nội bộ.

• Thiết bị nguồn yêu cầu (request) bằng các gửi một bản tin

broadcast (FF-FF-FF-FF-FF-FF) trên toàn mạng

• Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast

đến thiết bị nguồn

Cơ chế hoạt động của ARP

Tấn công MAC Flooding: Tấn công bảng CAM của Switch

Tấn công ARP Spoofing: Tấn công giả mạo vào ARP Cache của các máy trạm

Giả mạo DNS: Giả mạo địa chỉ phân giải tên miền của máy trạm yêu cầu

Một số tấn công từ chối dịch vụ DoS: Kiểu tấn công SYN Flood & Kiểu tấn công Smurf Attack

Tấn Công MAC Flooding (CAM)

oKích thước của CAM là có giới hạn tùy thuộc vào các dòng Switch khác nhau Ví dụ Switch Catalysh 6000 có thể chứa tối

đa 128000 ánh xạ

oDữ liệu trong bảng CAM được Switch xây dựng qua quá trình học địa chỉ, duy trì trong quá trình hoạt động và sẽ bị xóa đi sau 1 khoảng thời gian timeout hoặc khi Switch khởi động lại

Tấn Công MAC Flooding (CAM)

Chức năng chuyển mạch của Switch

Port MAC

Tấn Công MAC Flooding (CAM)

 Nguyên lí chung là không để các gói tin có địa chỉ MAC lạ

đi qua switch Phương pháp phòng chống hiệu quả nhất là cấu hình port security trên switch

 Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm

tra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ

đã được cấu hình trước đó Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử

lí gói tin đến với các mức độ khác nhau.

Các lệnh cấu hình port security:

Switch(config-if)# switchport port-security: cho phép cổng được hoạt động trong chế độ

port-security.

Switch(config-if)# switchport port-security maximum value (tuỳ chọn): câu lệnh cho phép

cấu hình số địa chỉ MAC tối đa mà cổng có thể học tự động và cho phép các thiết bị này truyền dữ liệu qua.

Switch(config-if)# switchport port-security mac-address mac_address (tuỳ chọn) : gán tĩnh

một số địa chỉ MAC có thể truy cập vào một port

Switch(config-if)# switchport port-security violation {protect | restrict | shutdown} (tuỳ chọn) : Đây là các biện pháp mà người quản trị có thể tiến hành khi một gói tin đến không

phù hợp với yêu cầu của port-security Các biện pháp xử lí có thể là :

 shutdown: cổng sẽ bị ngừng hoạt động; không nhận và chuyển gói tin.

 restrict: cổng chỉ cho phép các gói tin có địa chỉ MAC hợp lệ đi qua; các gói tin vi phạm sẽ bị huỷ

Đồng thời số lượng các bản tin vi phạm sẽ được thống kê và báo cho người quản trị biết.

 protect: cũng giống như trong trường hợp restrict, tuy nhiên việc vi phạm sẽ không được ghi lại.

Tấn Công MAN IN THE MIDDLE

• Sử dụng ARP cache tĩnh: Mỗi địa chỉ IP và địa chỉ MAC tương ứng

được thêm một cách thủ công vào bảng cache và được duy trì lâu dài.

• Sử dụng ARP cache động: Địa chỉ IP và phần cứng được lưu trong cache

bằng phần mềm.Các địa chỉ này được lưu giữ tạm thời và sau đó được gỡ bỏ.

Tấn Công MAN IN THE MIDDLE

o Việc giả mạo bảng ARP chính là lợi dụng bản tính không

an toàn của giao thức ARP

o Việc gửi một gói ARP reply khi không có request nào

được tạo ra được gọi là việc gửi ARP “vu vơ” Các thiết

bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp

nhận cập nhật bất cứ lúc nào

Tấn Công MAN IN THE MIDDLE (MITM)

 Sử dụng dạng tĩnh của ARP cache: Đây là một tùy chọn

vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache

o Xem arp cache bằng lệnh trong cmd arp –a

o Thêm các entry bằng lênh arp –s <IP ADDRESS> <MAC

ADDRESS>.

 Kiểm tra lưu lượng ARP cache với chương trình của

hãng thứ 3: Ta có thể thực hiện điều này với một vài hệ thống phát hiện xâm phạm (chẳng hạn như Snort) hoặc thông qua các tiện ích được thiết kế đặc biệt cho mục đích này (như xARP)

Domain Name Server (DNS)

Port MAC

Port MAC

Tấn Công Giả Mạo

Domain Name Server (DNS)

Sử dụng kỹ thuật giảo mạo DNS ID

• Mỗi truy vấn DNS được gửi qua mạng đều chứa một số nhận dạng duy nhất, mục đích để phân biệt các truy vấn và đáp trả

• Cần tạo một gói giả mạo có chứa số nhận dạng đó để gói dữ liệu được chấp nhận bỏi victim

• 2 bước để thực hiện giả mạo DNS:

• Giả mạo ARP cache

• Chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo.

• Mục đích của việc giả mạo là đánh lừa victim truy cập vào trang web giả mạo (chứa mã độc, đánh cắp thông tin,…)

69.161.204.52 Fakefacebook.com

Tấn Công Giả Mạo Domain Name Server (DNS)

Port MAC

Tấn Công Từ Chối Dịch Vụ DoS

•Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm

•Đa phần trong các cuộc tấn công DoS hay DDoS đều khiến máy mục tiêu phải khởi động lại do không thể xử lý hết yêu cầu hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân

•Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang bị tấn công Ví dụ băng thông của router giữa Internet và Lan có thể bị tiêu thụ bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể mạng

Port MAC

Phòng Chống

Tấn Công Từ Chối Dịch Vụ DoS

• Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức

• Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router.

• Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại SYN flood.

• Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng.

• Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và

Các Phương Pháp

Tấn Công Giả Mạo IP và MAC

Port MAC

Demo Tấn Công Giả Mạo DNS

Công cụ sử dụng để thực hiện là Ettercap

mạng và nhiều thủ thuật thú vị khác.

dụng plug-in để thực hiện các tấn công khác nhau.

Ngoài ra còn sử dụng Social Toolkit: Dùng để giả lập 1

website nhanh chóng và chỉ giả mạo trang đăng nhập.

Port MAC

Demo Tấn Công Giả Mạo DNS

• Ở đây ta dung plug-in dns_spoof,

ta phải điều chỉnh file cấu hình

liên quan với plug-in đó tại

/usr/share/ettercap/etter.dns hoặc

C:\Program Files

(x86)\EttercapNG\share\etter.dns

(Window)

Port MAC

Demo Tấn Công Giả Mạo DNS

• Thực hiện lệnh: Ettercap –T –q –P dns_spoof –M arp // //

• - T – Chỉ định sử dụng giao diện văn bản

• -q – Chạy các lệnh trong chế độ “yên lặng” để các gói dữ liệu

đã được capture không hiển thị trên màn hình.

• -P dns_spoof – Chỉ định sử dụng plug-in dns_spoof

• -M arp – Khởi tạo tấn công MITM giả mạo ARP để chặn các gói

dữ liệu giữa các host.

• // // - Chỉ định toàn bộ mạng là mục tiêu tấn công.