MỞ ĐẦU
.4 Giả mạo ARP(Arp Spoofing):
thông mạng từ một hoặc nhiều máy tới máy của kẻ tấn công. Điều này xảy ra trên mạng vật lý của máy tính bị tấn công. Sau đây chúng ta sẽ xem xét chi tiết hơn về giao thức ARP và cách hoạt động của nó.
Như chúng ta đã đề cập bên trên, giao thức ARP(Address Resolution
Protocol) được cài đặt để giải quyết quan hệ giữa địa chỉ MAC và địa chỉ
IP. Mạng máy tính yêu cầu truyền thông giữa hai card mạng bằng các gói tin Ethernet ở tầng data-link, do vậy mỗi card mạng có một địa chỉ duy nhất được gọi là địa chỉ MAC(Media Access Control).
Khi một gói tin IP được gửi đi, máy tính gửi cần biết địa chỉ MAC của máy tính nhận, để có được địa chỉ này, nó gửi một thông điệp quảng bá tới tất cả các máy tính trong mạng local. Thông điệp này có nội dung là: “Địa chỉ MAC nào có quan hệ với địa chỉ IP này … thì gửi lại cho tôi !” Máy tính có địa chỉ IP đó sẽ trả lời lại bằng một gói tin ARP, cung cấp cho máy gửi địa chỉ MAC của mình.
Những cặp địa chỉ MAC-IP này được máy tính lưu trong bộ đệm của máy tính và được gọi là bảng ARP.
Kiểu tấn công ARP Spoofing sẽ làm thay đổi nội dung của bảng ARP. Kẻ tấn công sẽ gửi tới máy tính của nạn nhân các gói tin ARP reply, để thông báo cho máy tính này biết địa chỉ MAC mới tương ứng với địa chỉ IP của gateway của kẻ tấn công. Kẻ tấn công sau đó sẽ nhận được toàn bộ các gói tin lưu thông trên mạng, sau đó có thể thay đổi, bổ sung rồi chuyển chúng tới đích thực của nó.
Kiểu tấn công ARP Spoofing hữu ích khi mạng Local ở dạng chuyển mạch. Ở dạng này thì gói tin sẽ được chuyền tới toàn bộ các cổng(hay các cáp) trong mạng. (do đó gói tin Reply này sẽ được chuyển tới tất cả các máy trong mạng nên sẽ nhận được toàn bộ các gói tin trong mạng)
.5 Giả mạo DNS(DNS Spoofing):