Sau đĩ bên kali ta gửi lại MAC địa chỉ giả mạo lần nữa :
Hình 4.10 : Giải pháp với tấn cơng MAC Flooding
Sau đĩ kiểm tra thấy cổng E 0/1 cua SW4 đã shutdown sau khi nhận quá nhiều địa chỉ MAC giả mạo :
Hình 4.11 : Giải pháp với tấn cơng MAC Flooding
Kiểm tra lại địa chỉ MAC thấy khơng cĩ thay đổi bất thường.
Hình 4.12 : Giải pháp với tấn cơng MAC Flooding
Kiểu tấn cơng này cĩ 2 hậu quả :
Do quá nhiều traffic điền đầy bảng MAC tiêu tốn nhiều ơ nhớ RAM (treo switch), nếu trên hệ thống thật cũng cĩ thể xảy ra ( dấu hiệu là đèn trên con switch nhấp nháy liên tục và nĩ sẽ tự restart do cạn kiệt tài nguyên).
Do đầy bảng MAC nhiều PC hợp lệ kết nối với nhau và khi trao đổi data với nhau thì switch sẽ flooding.
4.3 DHCP Starvation and Rogue Server Attack4.3.1 DHCP là gì 4.3.1 DHCP là gì
DHCP được viết tắt từ cụm từ Dynamic Host Configuration Protocol (cĩ nghĩa là Giao thức cấu hình máy chủ). DHCP cĩ nhiệm vụ giúp
mạng. Ngồi ra DHCP cịn giúp đưa thơng tin đến các thiết bị hợp lý hơn cũng như việc cấu hình subnet mask hay cổng mặc định.
4.3.2 Cách thức hoạt động của DHCP
Được giải thích một cách ngắn gọn nhất về cách thức hoạt động của DHCP chính là khi một thiết bị yêu cầu địa chỉ IP từ một router thì ngay sau đĩ router sẽ gán một địa chỉ IP khả dụng cho phép thiết bị đĩ cĩ thể giao tiếp trên mạng.
Như ở các hộ gia đình hay các doanh nghiệp nhỏ thì router sẽ hoạt động như một máy chủ DHCP nhưng ở các mạng lớn hơn thì DHCP như một máy chỉ ở vai trị là máy tính.
Cách thức hoạt động của DHCP cịn được giải thích ở một cách khác thì khi một thiết bị muốn kết nối với mạng thì nĩ sẽ gửi một yêu cầu tới máy chủ, yêu cầu này gọi là DHCP DISCOVER. Sau khi yêu cầu này đến máy chủ DHCP thì ngay tại đĩ máy chủ sẽ tìm một địa chỉ IP cĩ thể sử dụng trên thiết bị đĩ tồi cung cấp cho thiết bị địa chỉ cùng với gĩi DHCPOFFER.
Khi nhận được IP thì thiết bị tiếp tục phản hồi lại máy chủ DHCP gĩi mang tên DHCPREQUEST. Lúc này là lúc chấp nhận yêu cầu thì máy chủ sẽ gửi tin báo nhận (ACK) để xác định thiết bị đĩ đã cĩ IP, đồng thời xác định rõ thời gian sử dụng IP vừa cấp đến khi cĩ địa chỉ IP mới.
4.3.3 Phương thức tấn cơng DHCP Starvation and Rogue
Phần này chúng ta sẽ sử dụng 1 phương thức tấn cơng. Tấn cơng này sẽ sử dụng đầy đủ quy trình cấp phát IP của DHCP:
Đầu tiên Attacker gửi liên tục nhiều gĩi tin DHCP Discover lên cho DHCP server
DHCP server cũng trả lời lại cho Attacker với gĩi DHCP Offer
Attacker tiếp tục gửi gĩi DHCP Request để chấp nhận IP mà DHCP cấp trong gĩi DHCP Offer.
DHCP Server gửi gĩi tin DHCP ACK để chấp nhận và kết thúc quá trình cấp IP cho Attacker.
Attacker tiếp tục gửi gĩi tin DHCP Offer với 1 địa chỉ MAC đến cho DHCP server và tiếp tục quá tình như ở trên cho đến khi DHCP server khơng cịn IP để cung cấp cho Attacker.
Cuối cùng sau khi máy chủ khơng cịn IP để cung cấp, Attacker giả mạo thành máy chủ DHCP và cấp phát IP cho các thiết bị mới.
Sơ đồ bài lab Rogue DHCP Server with DHCP Starvation and Rogue
Đầu tiên cấu hình IP cho cổng e0/0 và dịch vụ DHCP cho R1:
Hình 4.14 Demo tấn cơng DHCP
Sau đĩ từ cổng e0/0 của R2 ta gửi yêu cầu cấp phát IP đến máy chủ:
Tương tự với máy Kali ta cũng sẽ nhận được IP từ máy chủ:
Hình 4.16 Demo tấn cơng DHCP
Sau khi cĩ được địa chỉ IP từ máy chủ Kali bắt đầu thực hiện tấn cơng sử dụng Yersinia bằng cách gửi liên tục gĩi tin DHCP Discover lên cho DHCP server:
Hình 4.17 Demo tấn cơng DHCP
Hình 4.18 Demo tấn cơng DHCP
Hình 4.19 Demo tấn cơng DHCP
Sau đĩ nhập lệnh show ip dhcp pool để xem các thơng số về IP đã cấp phát và cịn lại:
Hình 4.20 Demo tấn cơng DHCP
Ta thấy được rằng server đã cấp phát hết địa chỉ IP. Bây giờ máy Kali sẽ tiếp tục tấn cơng giả mạo máy chủ DHCP để nhắm vào các thiết bị mới khi tham gia vào mạng cần cấp phát IP:
Hình 4.21 Demo tấn cơng DHCP
Sau khi thực hiện giả mạo ta thử lắp một thiết bị mới là R3 và xin cấp phát IP động đến Server và xem kết quả :
Hình 4.22 Demo tấn cơng DHCP
Như vậy ta thấy được R3 đã nhận được IP động do máy Kali cấp phát, điều đĩ cĩ thể khiến cho thiết bị này hồn tồn nằm trong quyền kiểm sốt của kẻ tấn cơng, hậu quả rất nghiêm trọng.
4.3.4 Giải pháp phịng vệ
Bằng cách sử dụng port-security ở switch a cĩ thể ngăn chặn được việc kẻ tấn cơng gửi liên tục gĩi DHCP Discover từ đĩ máy chủ DHCP sẽ khơng bị hết IP để cấp phát cho các thiết bị. Sử dụng các câu lệnh sau trên switch :
Sau khi cấu hình port-security ta thử tiến hành lại cuộc tấn cơng từ máy kali gửi DHCP Discover:
Hình 4.24 Giải pháp phịng vệ
Từ bên Switch ta thấy dịng thơng báo ngắt cổng e0/3 cho thấy cĩ cuộc tấn cơng từ cổng này:
Kiểm tra thơng tin về DHCP bên R1 ta thấy chỉ cĩ 5 địa chỉ ip được cấp phát và khơng cịn bị tràn bảng, hết IP:
Hình 4.26 Giải pháp phịng vệ
4.4 VLAN Hopping4.4.1 VLAN là gì 4.4.1 VLAN là gì
LAN là thuật ngữ viết tắt của cụm từ Local Area Network. Đây là thuật ngữ được dùng để chỉ một mạng cục bộ. Thuật ngữ trên cịn được định nghĩa là tất cả các máy tính cùng hoạt động trong một miền quảng bá. Khi này bạn cần nhớ rằng, trong khi các Router hay bộ định tuyến cĩ tác dụng chặn tin quảng bá, thì Switch - Bộ chuyển mạch lại chuyển tiếp dữ liệu.
Thơng thường việc cấu hình VLAN sẽ được thực hiện khi mạng máy tính của người dùng quá lớn và lưu lượng truy cập quá nhiều. Đơi khi mọi người sử dụng VLAN với một lý do đơn
giản là mạng máy tính mà họ đang thao tác đã và đang sử dụng VLAN.
Mạng VLAN sẽ được ứng dụng trong những trường hợp dưới đây:
Hệ thống máy tính trong mạng LAN đạt hơn 200 máy. Bên trong mạng LAN lưu lượng quảng bá của người
dùng đã đạt mức quá lớn.
Người dùng cĩ nhu cầu gia tăng bảo mật các dữ liệu trong quá trình làm việc nhĩm.
Hệ thống máy tính kết nối chậm vì cĩ quá nhiều bảng tin quảng bá.
Nhĩm làm việc sử dụng chung các ứng dụng cần phải thuộc cùng một miền quảng bá.
Người dùng cĩ nhu cầu chuyển đổi Switch đơn thành nhiều Switch ảo.
3.3.4.2 Phân loại VLAN Static VLAN:
Static VLAN là loại VLAN được tạo ra bằng cách gắn các cổng Switch vào một VLAN. Cách làm này tương tự như việc một thiết bị được kết nối vào mạng và nĩ tự mình cơng nhận bản thân là VLAN của cổng đĩ. rong trường hợp người dùng cần thay đổi các cổng và
cĩ nhu cầu truy cập vào một VLAN chung, quản trị viên phải khai báo cổng cho VLAN trong lần kết nối tiếp theo.
Dynamic VLAN:
Được biết Dynamic VLAN là loại VLAN được tạo ra bằng cách sử dụng những phần mềm điển hình như Ciscowork 2000. Khi này người dùng sẽ sử dụng VLAN Management Policy Server (VMPS) để đăng ký các cổng Switch kết nối tới VLAN tự động. Quá trình kết nối được thực hiện dựa trên địa chỉ MAC nguồn của loại thiết bị được kết nối tới cổng.
Tương tự như mơ hình thiết bị mạng, Dynamic VLAN hoạt động truy vấn một cơ sở dữ liệu dựa trên VMPS của các VLAN thành viên cịn lại.
4.4.2 Phương thức tấn cơng VLAN Hopping
Tấn cơng VLAN hopping cho phép lưu lượng từ một VLAN truy cập tới những vlan khác mà khơng cần định tuyến. Một attacker cĩ thể sử dụng vlan hopping attack để nghe trộm traffic trên các vlan khác. Cĩ 2 kiểu tấn cơng VLAN hopping là: Switch spoofing và double tagging.
Đầu tiên ta cấu hình SW14 :
Hình 4.28 Demo tấn cơng VLAN Hopping
Sau đĩ cấu hình hiển thị vlan:
Hình 4.29 Demo tấn cơng VLAN Hopping
Cấu hình cổng e0/2 SW15 access vlan 192:
Hình 4.31 Demo tấn cơng VLAN Hopping
Từ máy Local-Server-3 hiển thị debug ip icmp để xem đã liên thơng với PC-2 hay chưa:
Hình 4.32 Demo tấn cơng VLAN Hopping
Máy kali thực hiện tấn cơng bằng DTP để tạo đường trunk cổng e0/1 của SW14:
Hình 4.33 Demo tấn cơng VLAN Hopping
Sau khi thực hiện enabling trunking máy kali ta sang kiểm tra SW14 thấy cổng e0/1 đã trở thành trunk:
Hình 4.34 Demo tấn cơng VLAN Hopping
Tiếp theo máy kali thực hiện thêm cuộc tấn cơng sử dụng 802.1q gửi 2 gĩi enc:
Sau đĩ sử dụng Wireshark để nghe lén thơng tin về icmp của vlan 192:
Hình 4.36 Demo tấn cơng VLAN Hopping
Sau khi biết được thơng tin ID của vlan là 192 máy kali tiến hành thay đổi địa chỉ ip theo vlan để xâm nhập :
Hình 4.37 Demo tấn cơng VLAN Hopping
Sau đĩ tạo địa chỉ ip tĩnh theo ip của các thiết bị đã nghe lén được là 192.168.200:
Hình 4.38 Demo tấn cơng VLAN Hopping
Sau khi thiết lập ip tĩnh thành cơng:
Hình 4.39 Demo tấn cơng VLAN Hopping
Tiếp theo ping thử đến máy Local-Server-3 đẻ xem kết quả:
Hình 4.40 Demo tấn cơng VLAN Hopping
Như vậy máy Kali đã thành cơng việc truy cập vào Vlan khác mặc dù khơng hề định tuyến trên thiết bị Switch.
4.4.3 Giải pháp phịng vệ
Giải pháp cho cuộc tấn cơng này là ta cấu hình trên SW14 và SW15 sử dụng native vlan như sau :
Hình 4.41 Giải pháp phịng vệ VLAN Hopping
4.5 STP Attack
4.5.1 Giao thức Spanning Tree
Spanning Tree Protocol (STP) là một giao thức chặn lại sự lặp vịng, được phép những bridge tiếp thị quảng cáo cùng với nhau để bắt gặp vịng lặp vật lý trong mạng. Sau đĩ giao thức này sẽ định rõ một thuật tốn mà bridge cĩ thể tạo nên một topology luận lý chứa loop-free. Nĩi cách thức khác STP sẽ tạo một cấu tạo cây của free-loop gồm những lá and những nhánh nối tất cả mạng lớp 2.
Khi nhận được 1 frame sẽ học source MAC vào bảng MAC-Address tra DES MAC trong bảng MAC address, ban đầu bảng MAC trắng nĩ sẽ flood frame ra tất cả các cổng.
Theo mơ hình trên thì nĩ sẽ xảy ra hiện tượng: Broadcast storm instability MAC address table Multiple Frame copies: Hiện tượng Loop trong mạng khi các switch đấu nối theo 1 vịng trịn khép kín. Ví dụ: 1switch nối 1 port khác trên cùng 1 switch, 2 switch nối với nhau bằng 2 dây qua 4 port…-IEEE đưa ra
chuẩn 802.1D(spanning tree protocol) để chống loop. Về mặt luận lý thì nĩ sẽ khĩa 1 port để tìm ra block port nĩ trải qua các bước :
Bầu chọn Root Switch:
Khi các Switch được đấu nối khởi động nĩ sẽ gửi gĩi tin BPDU(bridge protocol data unit) trên các port của Switch. Thơng số quyết định Sw nào được làm Root Sw là Bridge-ID(8 byte) gồm cĩ các thơng số :
Priority(của switch):
o Dài 2 byte, default = 32768.
o Switch nào cĩ chỉ số priority cĩ chỉ số nhỏ nhất sẽ
được chọn làm Root-switch
MAC Address Switch: o Dài 6 byte.
o Xét từ trái sang phải từng giá trị hexa thì switch nào cĩ MAC nhỏ nhất làm Root-switch
Khi bầu xong Root-switch thì chỉ cĩ Root-switch được gửi
BPDU(2s/1 lần).
Theo nguyên tắc đánh số MAC của nhà sản xuất thì khi bầu chọn root-switch nĩ sẽ chọn switch đời đầu làm root-switch. Nên trong thực tế ta khơng bao giờ cho bầu chọn bằng MAC mà ta chỉnh priority.
Bầu chọn Root port
- Là port cung cấp đường về Root-switch mà cĩ tổng path-cost là nhỏ nhất
- Khi bầu chọn Root-port thì Root-Switch khơng tham gia quá trình bầu chọn này
- Mỗi non-Rootswitch chỉ cĩ 1 Root-port
- Path-cost là giá trị cost trên từng cổng của Switch.
- Nguyên tắc tính tổng path-cost: tính từ Root-switch --> switch đang muốn tính
Đi ra: khơng cộng Đi vào: cộng cost Luật Tie-Break:
Sender Bridge ID:
Cổng nào kết nối switch mà switch đĩ cĩ bridge ID nhỏ nhất -> port đĩ sẽ được chọn làm Root-port.
Sender Port ID:
Port ID của Switch bên kia thì port nào của switch bên kia cĩ giá trị port-ID nhỏ hơn thì chọn port bên switch mình kết nối với port ID nhỏ hơn đĩ.
o Priority của port: cĩ giá trị từ 0 -> 255, default=128. Port nào cĩ priority nhỏ hơn thì port đĩ cĩ Port ID nhỏ hơn.
o Vị trí của port: Xét theo hạng của số thứ tự của
port. Port số 1 < port 2 -> port số 1 làm root-port Khi các luật trên khơng giải quyết được thì nĩ sẽ xét đến Port ID
o Priority và vị trí của port
Bầu chọn Designated port
- Tất cả các port của Root-sw đều là Designated port
- Trên 1 phân đoạn nếu port đối diện là Root-port thì mình là Designated port(khơng cĩ ý nghĩa ngược lại).
- Là port cung cấp đường về Root-sw trên phân đoạn mạng đang xét mà cĩ tổng path-cost là nhỏ nhất.
Port cịn lại là Alternated Port
- Khi 1 trong các phân đoạn khác bị đứt thì phân đoạn port block sẽ được mở ra để chạy.
- Khi phân đoạn trên cĩ lại thì phân đoạn block sẽ tiếp tục bị block lại
Tuy port block khơng nhận được dữ liệu nhưng nĩ vẫn nhận gĩi tin BPDU từ Root-switch để duy trì cây spanning-tree.
4.5.2 Phương thức tấn cơng STP
Tấn cơng STP cho phép kẻ tấn cơng thay đổi quá trình bầu chọn cổng root trong giao thức STP, bằng cách này switch cịn lại sẽ nghĩ rằng cĩ một đường dẫn tốt hơn đến root switch thơng qua máy của kẻ tấn cơng chứu khơng phải là cổng root thực. Sau đĩ kẻ tấn cơng cĩ thể tạo một cuộc tấn cơng từ chối dịch vụ bằng cách gửi nhiều gĩi BPDUs.
Đầu tiên trên SW16 ta hiển thị show spanning-tree để xem cổng root thực:
Hình 4.44 Demo tấn cơng STP
Ta cĩ thể thấy cổng e0/1 là cơng root và SW14 tương ứng là root switch, tiếp theo thực hiện ping từ PC4(192.168.200.4) đến PC-2(192.168.200.4):
Hình 4.45 Demo tấn cơng STP
Tiếp theo từ máy ảo Kali-linux ta thực hiện cuộc tấn cơng chọn kiểu tấn cơng Claiming root role:
Hình 4.46 Demo tấn cơng STP
Kiểm tra root port trên SW16 sau khi thực hiện tấn cơng:
Như vậy ta cĩ thể thấy root port đã chuyển sang cổng E1/0 tương ứng với máy của kẻ tấn cơng. Sau đĩ máy ảo kali tiếp tục gửi liên tục các gĩi BPDUs để thực hiện cuộc tấn cơng từ chối dịch vụ:
Hình 4.48 Demo tấn cơng STP
Sau khi gửi hàng triệu gĩi BPDUs từ máy PC-4 khơng thể ping được đến má PC-2 như trước:
Hình 4.49 Demo tấn cơng STP
4.5.3 Giải pháp phịng vệ
Thực hiện cấu hình trên Switch với các lệnh sau:
Hình 4.50 Giải pháp phịng vệ
4.6 Access-Cracking
4.6.1 Phương thức tấn cơng Access-Cracking
Kiểu tấn cơng này mục đích là do thám các thiết bị bên trong hệ thống mạng sử dụng kỹ thuật Nmap và dị tài khoản mật khẩu sử dụng Hydra.