HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN I -& - BÁO CÁO BÀI TẬP LỚN Học phần: AN TOÀN MẠNG Chủ đề: ARPWATCH Nhóm mơn học: Nhóm 02 Giảng viên hướng dẫn: TS.Đặng Minh Tuấn Sinh viên thực hiện: Nguyễn Huy Hiệp Mã sinh viên: B18DCAT077 Hà Nội, 2021 LỜI MỞ ĐẦU Các cơng ARP Poisoning hay cịn gọi ARP Spoofing, công Man in the Middle biết đến nhiều nguy hiểm mà tìm thấy mạng Wifi mạng Ethernet Nếu tội phạm mạng thực công cách xác, chúng chặn liên lạc nạn nhân kết nối Internet, ra, với kỹ thuật tiên tiến hơn, chúng chí sửa đổi lưu lượng truy cập lập tức, sửa đổi dịa IP/MAC Trong đồ án tìm hiểu giao thức ARP, cơng ARP Poisoning, thực với cá tool Kali phổ biến cách tự bảo vệ khỏi công mạng việc sử dung công cụ đặc biệt giúp ta giám sát, theo dõi phân giải địa chỉ( Address Resolution Protocol ARP) ARPWATCH MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ FORENSICS 1.1 ĐỊNH NGHĨA FORENCIS 1.2 MỤC TIÊU 1.3 ĐẶC ĐIỂM 1.4 ĐỐI TƯỢNG NHẮM ĐẾNCỦA FORENSICS CHƯƠNG 2: TỔNG QUAN VỀ GIAO THỨC ARP 2.1 MỘT SỐ KHÁI NIỆM CƠ BẢN 2.1.1 Địa IP 2.1.2 Địa MAC 2.1.3 Địa IP địa MAC hoạt động song song nào? 2.2 GIAO THỨC ARP LÀ GÌ? 2.2.1 CÁC LỖ HỔNG VÀ GIAO THỨC LIÊN QUAN TỚI ARP 11 CHƯƠNG 3: PHẦN MỀM ARPWATCH 15 3.1 GIỚI THIỆU PHẦN MỀM ARPWATCH 15 Arpwatch – Công cụ giám sát hoạt động Ethernet 15 3.2 LỊCH SỬ PHÁT TRIỂN 15 3.3 HƯỚNG DẪN CÀI ĐẶT ARPWATCH 15 3.4 SỬ DỤNG ARPWATCH 17 3.4.1 Các tập tin mặc định Arpwatch 17 3.4.2 Cách sử dụng arpwatch 18 3.4.3 Report Messages đươc tạo arpwatch 19 3.4.4 SysLog messages 19 CHƯƠNG 4: DEMO ỨNG DỤNG ARPWATCH 21 4.1 Phát Mac/ip bị thay đổi cấu hình email nhận thơng báo 21 4.2 Tấn công arp 24 CHƯƠNG 5: KẾT LUẬN 29 CHƯƠNG 6: TÀI LIỆU THAM KHẢO 30 DANH MỤC BẢNG Bảng Các tập tin arpwatch 18 Bảng Optiion 19 Bảng 3Report Massages 19 Bảng Syslog Messages 20 DANH MỤC HÌNH ẢNH Hình ảnh 1 Minh Họa Forensic Hình ảnh Địa IP Hình ảnh 2 ARP request, ARP reply 10 Hình ảnh Tấn công man in middle 12 Hình ảnh Tấn cơng DOS 12 Hình ảnh MAC Flooding 13 Hình ảnh Sudo apt update 16 Hình ảnh install arpwatch 16 Hình ảnh Khởi chạy arpwatch 21 Hình ảnh Cấu hình tệp arpwatch.conf 22 Hình ảnh Thơng báo mail 22 Hình ảnh 4 syslog 23 CHƯƠNG 1: TỔNG QUAN VỀ FORENSICS ĐỊNH NGHĨA FORENCIS Trong lĩnh vực an tồn thơng tin, Forensics hay cịn gọi điều tra số công việc phát hiện, bảo vệ phân tích thơng tin lưu trữ, truyền tải tạo máy tính mạng máy tính, nhằm đưa suy luận hợp lý để tìm ngun nhân, giải thích tượng trình điều tra Khái niệm Forensics (Forensic Science – khoa học pháp y) tên gọi xuất phát từ lĩnh vực y tế từ kỷ 18 liên quan đến điều tra pháp y Ngày Forensics mở rộng nhiều lĩnh vực khác Forensics đời vào năm 1980 phát triển máy tính cá nhân, xảy trộm cắp thiết bị phần cứng, mát liệu, vi phạm quyền, virus máy tính phá hoại… Các doanh nghiệp phủ nước ý thức vấn đề bảo mật 1.1 Hình ảnh 1 Minh Họa Forensic 1.2 MỤC TIÊU Mục tiêu cốt lõi Computer Forensic phát hiện, bảo quản, khai thác, tài liệu hóa đưa kết luận liệu thu thập Cần lưu ý liệu phải đảm bảo tính xác thực lấy mà không bị hư hại, không liệu khơng cịn ý nghĩa • Khi hệ thống bị công, chưa xác định nguyên nhân • Khi cần khôi phục liệu thiết bị, hệ thống • Hiểu rõ cách làm việc hệ thống • Điều tra tội phạm liên quan đến công nghệ cao • Điều tra hoạt động gián điệp công nghệ Việc tiến hành điều tra số nhằm xác định xác hoạt động mà tội phạm mạng tác động vào hệ thống ngăn ngừa rủi ro khác xảy Khơi phục thiệt hại mà công vào hệ thống mạng máy tính gây ra: phục hồi liệu, thơng tin lưu trữ hệ thống bị phá hoại có chủ đích 1.3 ĐẶC ĐIỂM • Dữ liệu cần phân tích lớn, liệu text thơi với dung lượng vài mb có lượng thông tin lớn Trong thực tế cịn khổng lồ • Dữ liệu thường khơng cịn ngun vẹn, bị thay đổi, phân mảnh, bị lỗi • Bảo quản liệu khó khăn, liệu thu có tính tồn vẹn cao, thay đổi nhỏ làm ảnh hưởng đến tất • Dữ liệu forensic gồm nhiều loại khác nhau: file hệ thống, ứng dụng, • Vấn đề cần forensics trừu tượng: mã máy, dump file, network packet • Dữ liệu dễ dàng bị giả mạo • Xác định tội pham khó khăn, bạn tìm liệu hacker(IP, email, profile ) để xác định được đối tượng thật ngồi đời khơng đơn giản 1.4 ĐỐI TƯỢNG NHẮM ĐẾNCỦA FORENSICS Forensic thường làm việc với đối tượng sau: • Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi liệu bị xóa • File System: Phân tích file hệ thống, hệ điều hành windows, linux, android • Application: Phân tích liệu từ ứng dụng file Log, file cấu hình, reverse ứng dụng • Network: Phân tích gói tin mạng, bất thường mạng • Memory: Phân tích liệu nhớ, thường liệu lưu RAM dump CHƯƠNG 2: TỔNG QUAN VỀ GIAO THỨC ARP 2.1 MỘT SỐ KHÁI NIỆM CƠ BẢN 2.1.1 Địa IP IP hay Internet Protocol địa số có thiết bị kết nối mạng để chia sẻ liệu với giao thức kết nối Internet IP có cơng dụng điều hướng liệu Được dùng sử dụng máy chủ nguồn đích để truyền liệu mạng máy tính Hãy hình dung địa IP tương tự địa nhà riêng, địa mà doanh nghiệp cung cấp để người khác nhận diện Vì vậy, bạn truy cập email hay website, dù IP cung cấp không gắn trực tiếp với thiết bị số tiết lộ vài thơng tin bạn Hình ảnh Địa IP IP dùng để làm gì? IP giúp thiết bị mạng Internet phân biệt, chia sẻ giao tiếp với Nó cung cấp danh tính cho thiết bị chúng kết nối mạng tương tự địa doanh nghiệp có vị trí cụ thể Ví dụ, tơi muốn gửi thư tay đến cho người bạn nước ngồi Lúc này, tơi cần địa xác họ số điện thoại để tra cứu, truy xuất Đây quy trình chung gửi liệu qua Internet, nhiên hồn tồn tự động Thay dùng số điện thoại máy tính dùng DNS Server để tra cứu đích đến IP Khi tơi tìm Keyword “cách kiểm tra IP” Google yêu cầu chuyển đến DNS Server Sau đó, tìm kiếm Website có chứa kết địa IP tương ứng Vì vậy, khơng có IP máy tính khơng biết tơi muốn tìm kiếm 2.1.2 Địa MAC Địa MAC (media access control: kiểm sốt truy cập phương tiện truyền thơng) máy tính định danh gán cho điều khiển giao diện mạng cho truyền thông tầng liên kết liệu phân đoạn mạng Địa MAC sử dụng làm địa mạng cho hầu hết công nghệ mạng IEEE 802, bao gồm Ethernet Wi-Fi, Router/modem Về mặt logic, địa MAC sử dụng tầng media access control mơ hình tham chiếu OSI Địa MAC thường định nhà sản xuất điều khiển giao diện mạng lưu trữ phần cứng, chẳng hạn nhớ đọc card mạng số chế phần mềm khác Nếu định nhà sản xuất, địa MAC thường mã hoá số nhận dạng nhà sản xuất đăng ký Nó biết đến địa phần cứng Ethernet (EHA), địa phần cứng địa vật lý (không nên nhầm lẫn với địa vật lý nhớ) Điều tương phản với địa lập trình, nơi thiết bị ban lệnh đến NIC sử dụng địa Để hiểu Mac bạn hình dung sau MAC ID card mạng máy tính bạn để phân biệt với máy có card mạng khác máy tính Một máy tính có nhiều card mạng Mỗi card mạng lại tương ứng với địa MAC 2.1.3 Địa IP địa MAC hoạt động song song nào? Địa IP sử dụng để truyền liệu từ mạng sang mạng khác giao thức TCP/IP Địa MAC sử dụng để phân phối liệu đến thiết bị mạng Giả sử tên bạn “John Smith” Chưa đủ để nhận dạng xác có nhiều người có tên Nhưng ta kết hợp tổ tiên bạn (tức “nhà sản xuất”) sao? Bạn "John Smith, trai Edward, Edward trai George, George trai " Tất thông tin đủ để biến tên “John Smith” trở thành Đó địa MAC bạn Nếu muốn gửi gói bưu phẩm cho bạn, người khơng thể nói với bưu điện gửi đến cho "John Smith, trai Edward, Edward trai George, George trai " Mặc dù xác định xác người nhận bạn, khiến bưu điện phát điên phải tìm bạn Đó lý cần có địa nhà Nhưng thân địa nhà không đủ Cần địa nhà tên bạn, khơng bạn nhận gói hàng khơng biết gửi cho bạn, vợ hay bạn, v.v Địa IP nơi bạn ở, địa MAC cho biết bạn Điều thực tế? Router/modem bạn có địa IP (địa nhà) định ISP bạn (dịch vụ bưu chính) Các thiết bị kết nối với router/modem (người sống ngơi nhà) có địa MAC (tên cá nhân) Địa IP nhận liệu đến router/modem (hộp thư), sau router/modem chuyển tiếp đến thiết bị phù hợp (người nhận) 2.2 GIAO THỨC ARP LÀ GÌ? ARP phương thức phân giải địa động địa lớp network địa lớp datalink Quá trình thực cách: thiết bị IP mạng gửi gói tin local broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa phần cứng ( địa lớp datalink ) hay gọi Mac Address Ban đầu giao thức ARP sử dụng mạng Ethernet để phân giải địa IP địa MAC Nhưng ngày ARP ứng dụng rộng rãi dùng công nghệ khác dựa lớp hai Hình ảnh 2 ARP request, ARP reply Giả sử: • • • Host A có địa IP 192.168.1.10 có địa MAC 74-2F-6K-B6-4410 Host B có địa IP 192.168.1.120 có địa MAC 02-FE-05-A7-0001 Host A muốn tìm địa MAC host có địa IP 192.168.1.120 Cơ chế: • • • • Host A phát gói tin ARP request (dạng broadcast) mạng yêu cầu tìm MAC host có IP 192.168.1.120 Gói tín có dạng broadcast nên gửi đến tất host mạng Tất host kiểm tra xem có địa IP khơng Nếu khơng bỏ qua Nếu lấy địa MAC gửi gói tin ARP reply (dạng unicast) cho host A Lúc Host A có địa MAC Host B Nó lưu ARP cache Hình ảnh Sudo apt update Sau cập nhật sở liệu apt, cài đặt arpwatch cách chạy lệnh sau: sudo apt -y install arpwatch Hình ảnh install arpwatch Cách 2: Cài đặt arpwatch apt-get Cập nhật sở liệu apt-get lệnh sau sudo apt-get update Sau cập nhật sở liệu apt, cài đặt arpwatch apt-get cách chạy lệnh sau: sudo apt-get -y install arpwatch Cách 3: Cài đặt arpwatch aptitude Nếu bạn muốn làm theo phương pháp này, bạn cần phải cài đặt aptitude trước aptitude thường khơng cài đặt theo mặc định Kali Linux Cập nhật sở liệu apt aptitude lệnh sau sudo aptitude update Sau cập nhật sở liệu apt, cài đặt arpwatch cách chạy lệnh sau: sudo aptitude -y install arpwatch 3.4 SỬ DỤNG ARPWATCH 3.4.1 Các tập tin mặc định Arpwatch / var / arpwatch thư mục mặc định /var/arpwatch/arp.dat Cơ sở liệu ghi địa ethernet / ip mặc định /var/arpwatch/ethercodes.dat - danh sách khối ethernet nhà cung cấp / etc / sysconfig / arpwatch Dịch vụ Arpwatch để khởi động dừng daemon Đây tệp cấu hình / usr / sbin / arpwatch Lệnh nhị phân để khởi động dừng công cụ /etc/rc.d/init.d/arpwatch thiết bị đầu cuối / var / log / messages Đây tệp nhật ký hệ thống nơi arpwatch ghi thay đổi hoạt động bất thường lên IP / MAC Bảng Các tập tin arpwatch 3.4.2 Cách sử dụng arpwatch Cách sử dụng: sử dụng câu lệnh theo cú pháp arpwatch [-CdFNpqsvzZ] [-D arpdir] [-f datafile] [-i interface] [-P pidfile] [-w watcher@email] [-W watchee@email] [-n net[/width]] [-x net[/width]] [-r file] với tùy chọn sau: Cờ -C(cờ mặc định) Cờ -d Cờ -D Cờ -f Cờ -F Cờ -i Cờ -n Cờ -N Cờ -p Cờ -P Cờ -q Cờ -r sử dụng địa Ethernet đệm nhỏ arp.dat, ví dụ 0: 8: e1: 1: 2: d6 sử dụng cho phép gỡ lỗi Điều hạn chế việc ẩn gửi báo cáo qua email Thay vào đó, chúng gửi đến stderr sử dụng để định thư mục làm việc arpwatch, mặc định / usr / local / arpwatch cờ sử dụng để đặt tên tệp sở liệu địa ethernet / ip Mặc định arp.dat cờ ngăn không cho arpwatch phân nhánh khiến chạy foreground sử dụng để ghi đè lên giao diện mặc định định mạng cục bổ sung Điều hữu ích để tránh cảnh báo "bogon" có nhiều mạng chạy dây Nếu độ rộng tùy chọn không định, mặt nạ mạng mặc định cho lớp mạng sử dụng Vơ hiệu hóa báo cáo bogons vơ hiệu hóa chế độ promiscuous xác định pidfile ngăn chặn báo cáo ghi lại in stderr sử dụng để định tệp lưu (có thể tạo tcpdump pcapture) để đọc từ thay đọc từ mạng Trong Cờ -s Cờ -v Cờ -z Cờ -Z Cờ -w Cờ -W trường hợp này, arpwatch không phân nhánh Lưu ý tệp arp.dat trống phải tạo trước lần đầu bạn chạy arpwatch ngăn chặn báo cáo gửi qua email vơ hiệu hóa báo cáo tiền tố ethernet VRRP / CARP vô hiệu hóa báo cáo thay đổi 0.0.0.0, hữu ích mạng bận rộn DHCP phân phối sử dụng địa ethernet khơng đệm arp.dat, ví dụ: 00: 08: e1: 01: 02: d6 sử dụng để định địa đích cho báo cáo email Mặc định root sử dụng để định địa từ cho báo cáo email Mặc định root Bảng Optiion 3.4.3 Report Messages đươc tạo arpwatch new activity new station flip flop changed ethernet address Cặp địa ethernet / ip sử dụng lần từ sáu tháng trở lên Địa ethernet chưa nhìn thấy trước Địa ethernet thay đổi từ địa thấy gần thành địa thứ Máy chủ lưu trữ chuyển sang địa ethernet Bảng 3Report Massages 3.4.4 SysLog messages Đưới số thông báo nhật ký hệ thống phổ biến ứng dựng arpwatch: ethernet broadcast Địa mac ethernet máy chủ lưu trữ địa quảng bá(được sử dụng để truyền đến tất thiết bị kết nối với mạng truyền thông đa truy nhập Tất ip broadcast Bogon ethernet broadcast ethernet mismatch reused old ethernet address suppressed DECnet flip flop máy chủ kết nối mạng nhận thơng báo gửi đến địa quảng bá.) Địa ip máy chủ lưu trữ địa quảng bá Địa ip nguồn địa cục mạng cục Ethernet broadcast Địa ethernet mac arp nguồn tất số tất số Địa ethernet mac nguồn không khớp với địa bên gói arp Địa ethernet thay đổi từ địa nhìn thấy gần thành địa thứ ba (hoặc lớn hơn) nhìn thấy gần (Điều tương tự flip flop.) Báo cáo "flip flop" bị chặn hai địa địa DECnet Bảng Syslog Messages CHƯƠNG 4: DEMO ỨNG DỤNG ARPWATCH 4.1 Phát Mac/ip bị thay đổi cấu hình email nhận thơng báo - Bắt đầu sử dụng dịch vụ lệnh: sudo systemctl start arpwatch lệnh: /etc/init.d/arpwatch Hình ảnh Khởi chạy arpwatch Tạo tệp arp.dat để chương trình lưu liệu vào sudo touch /var/lib/arpwatch/arp.dat Chỉnh sửa cấu hình tệp arpwatch.conf lệnh sudo nano /etc/arpwatch.conf Chèn vào email mà muốn arpWatch thơng báo đến theo định dạng: eth0 -a -n 192.168.1.0/24 -m youremail@mydomain.com Hình ảnh Cấu hình tệp arpwatch.conf Sử dụng lệnh sudo /usr/sbin/arpwatch -d -i eth0 -f /tmp/arp.dat Hình ảnh Thông báo mail Arpwatch hiển thị report email, có đia MAC đươc kết nối vào Thơng báo new station có nghĩa địa mạng chưa đươc nhìn thấy trước Xem nhật ký hệ thống sau cặp MAC/IP bị thay đổi dịng lệnh: tail –f/var/log/messages Hình ảnh 4 syslog 4.2 Tấn công arp - Khởi động Kali Linux - Mở ứng dụng ettercap kali - Bước chọn thông số Ettercap bản, để thơng số mặc định, tức bắt đầu ngửi lúc đầu chọn card mạng mà muốn, mặc định eth0, giữ nguyên phần lại tùy chọn nhấp vào nút phần bên phải để chấp nhận thay đổi Khi bắt đầu chương trình, phải nhấp vào "kính lúp" mà bạn nhìn thấy phía bên trái, Ettercap làm quét toàn mạng cục mà kết nối để tìm kiếm thiết bị khác kết nối , đó, số nạn nhân để công - thiết lập hai mục tiêu • • Mục tiêu - Chúng ta chọn IP thiết bị cần giám sát, trường hợp thiết bị nạn nhân, bấm vào nút Mục tiêu - Chúng nhấn IP mà muốn mạo danh, trường hợp cổng vào Tất sẵn sàng Bây cần chọn ” MITM "Ở đó, chọn" ARP poisoning " Giờ đây, ta kiểm soát máy chủ mà ta đặt ” Mục tiêu " Tiếp theo, chạy Wireshark để nắm bắt tất gói mạng phân tích chúng để tìm kiếm thơng tin thú vị sử dụng plugin khác mà Ettercap cung cấp cho chúng ta, chẳng hạn trình duyệt web từ xa, nơi tải cho tất trang web mà mục tiêu truy cập Ví dụ, chúng tơi thực ping điển hình với Google, đội cơng nắm bắt thứ cách xác Như ta thây công ARP poisoning diễn đơn giản Để phát sớm khắc phục hậu ta dung ARPWATCH để phát đại IP/MAC bị thày đổi trình bày mục 4.1 CHƯƠNG 5: KẾT LUẬN Arpwatch phần mềm thiết kế cho việc giám sát việc phân giải địa IP địa MAC hệ thống Linux Nó thực việc theo dõi traffic Ethernet ghi lại thay đổi cặp địa IP tương ứng với địa MAC theo chu kỳ thời gian mạng Phần mềm có khả gởi email cảnh báo cho administrator có thay đổi cặp địa IP địa MAC Mục đích cơng cụ phát công ARP poisoning mơi trường mạng LAN Ưu điểm: • Arpwatch đẽ cài đặt, an toàn dễ sử dụng Arpwatch giúp người theo dõi ARP cách nhanh chóng • Arpwatch tương thích với hầu hết thiết bị thị trường Nhược điểm • Khơng phổ biến • CHƯƠNG 6: TÀI LIỆU THAM KHẢO • • • • • • • • https://whitehat.vn/threads/forensic-1-tong-quan-ve-computerforensics.1082/ https://vi.wikipedia.org/wiki/%C4%90%E1%BB%8Ba_ch%E1%BB%89_M AC https://quantrimang.com/dia-chi-ip-va-dia-chi-mac-hoat-dong-song-songnhu-the-nao-158460#mcetoc_1cnoh1ofk0 https://en.wikipedia.org/wiki/Arpwatch https://securitybox.vn/3150/an-toan-giao-thuc-arp/ https://installati.one/kalilinux/arpwatch/ https://en.kali.tools/?p=1411 https://itigic.com/vi/arp-poisoning-attack-how-to-do-it-on-kali-linux/ ... ý cách thức áp dụng môi trường mạng với quy mơ nhỏ, mạng lớn khơng thể phải thêm vào ARP table tay với số lượng nhiều Đối với mạng lớn: Khi quản trị mạng quy mơ lớn, ta sử dụng chức Port security... gian mạng Phần mềm có khả gởi email cảnh báo cho administrator có thay đổi cặp địa IP địa MAC Mục đích công cụ phát công ARP poisoning môi trường mạng LAN Ưu điểm: • Arpwatch đẽ cài đặt, an toàn. .. thiết bị IP mạng gửi gói tin local broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa phần cứng ( địa lớp datalink ) hay gọi Mac Address Ban đầu giao thức ARP sử dụng mạng Ethernet