Truyền dữ liệu sau ngộ độc ARP

Một phần của tài liệu AN TOÀN MẠNG Bài báo cáo cuối kỳ: Tìm hiểu công cụ Websploit trên Kali Linux Cài đặt và thử nghiệm công cụ Websploit Kali Linux (Trang 28)

Sau khi ngộ độc ARP, kẻ tấn cơng có thể nhận được các gói tin trên mạng và thực hiện phân tích gói, chẳng hạn như đánh hơi hoặc giả mạo.

4.1.3 Attack with Websploit

Kali Linux là một bản phân phối Linux dựa trên Debian mã nguồn mở được phát triển và tài trợ bởi Offensive Security. Nó cung cấp các dịch vụ như đào tạo bảo mật thông tin và kiểm tra thâm nhập. Kali Linux bao gồm nhiều công cụ bảo mật thông tin như kiểm tra thâm nhập, lỗ hổng bảo mật nghiên cứu, tin học pháp y và kỹ thuật đảo ngược. Có rất nhiều công cụ cho cuộc tấn công MITM trong Kali Linux. Trong nghiên cứu này, cuộc tấn công MITM được thực hiện bằng cách sử dụng WebSploit. Ngoài ra, các gói trên mạng được phân tích bằng phần mềm Wireshark.

WebSploit là một phần mềm nguồn mở được phát triển trong ngơn ngữ lập trình python được sử dụng để quét và phân tích hệ thống để tìm các lỗ hổng khác nhau. Nó bao gồm nhiều công cụ để ngộ độc ARP, đánh hơi lưu lượng HTTP, quét mạng để phát hiện các thiết bị trên mạng, quét mạng không dây và tạo mạng không dây giả mạo.

Lệnh hiển thị hoặc hiển thị mơ-đun có thể được chạy trên bảng điều khiển để xem

28

Một số công cụ này được sử dụng để quét mạng và lấy thông tin, trong khi những công cụ khác được sử dụng để gian lận danh tính. Các cơng cụ tấn cơng trong WebSploit được hiển thị trong Hình 9.

Hình 9: Cơng cụ tấn công trong Websploit

Công cụ arp_spoof trong WebSploit được sử dụng để thực hiện một cuộc tấn công ngộ độc ARP trong một mạng cục bộ. Để bắt đầu ngộ độc ARP, việc sử dụng lệnh arp_spoof được chạy sau khi WebSploit được bắt đầu. Lệnh Tùy chọn có thể được chạy

để xem thơng tin đích đến và cổng kết nối của mạng. Quá trình này được thể hiện trong Hình 10.

Hình 10: cơng cụ arp_spoof trong WebSploit

Các địa chỉ IP mục tiêu và cổng được liệt kê trong Hình 7 là các giá trị mặc định cho WebSploit và nên được thiết lập theo mạng để bị tấn công bởi ngộ độc ARP. Đối với điều này, đặt cổng và đặt mục tiêu

Các lệnh được sử dụng. Theo kịch bản được đưa ra trong Hình 8, Kẻ tấn cơng có địa chỉ IP là 192.168.1.34 muốn nắm bắt lưu lượng truy cập của mạng và muốn lắng nghe lưu lượng truy cập của nạn nhân có địa chỉ IP là 192.168.1.100. Trong trường hợp này, kẻ tấn cơng phải tự giới thiệu mình vào mạng như một cổng có địa chỉ IP 192.168.1.1 và chỉ định máy tính có địa chỉ IP 192.168.1.100 là mục tiêu để thực hiện ngộ độc ARP. Kẻ

29

tấn công đặt thông tin của mạng để tấn công với các lệnh đặt mục tiêu 192.168.1.100 và

đặt cổng 192.168.1.1 trong công cụ arp_spoof trong WebSploit. Tình huống này được

đưa ra trong hình 11.

Hình 11: Điều chỉnh thơng tin trong WebSploit cho cuộc tấn công ngộ độc ARP

Sau khi thực hiện các điều chỉnh cần thiết, kẻ tấn công bắt đầu cuộc tấn công ngộ độc ARP với lệnh thực thi trong cơng cụ arp_spoof trong WebSploit như trong Hình 12. Khi cuộc tấn cơng bắt đầu, kẻ tấn công lấp đầy bảng bộ nhớ cache ARP của nạn nhân bằng cách gửi các gói ARP đến mục tiêu cho thấy kẻ tấn cơng là cổng và hồn thành q trình đầu độc. Sau đó, nạn nhân sẽ gửi và nhận các gói mạng qua thiết bị của kẻ tấn công trong tất cả các giao tiếp dữ liệu.

30

Trong mạng bị nhiễm độc ARP, bảng bộ nhớ cache ARP của máy tính mục tiêu có thể được truy cập bằng arp - một lệnh trong bảng điều khiển Theo đó, khi kiểm tra con số, có thể thấy địa chỉ MAC của kẻ tấn cơng có địa chỉ IP 192.168.1.34 và cổng có địa chỉ IP 192.168.1.1 là như nhau. Nói cách khác, kẻ tấn cơng đã thu hồi tất cả các quy tắc giao thức của mạng cục bộ và buộc mình vào máy tính mục tiêu như một cổng.

Trong Hình 13, một số gói ARP trong cuộc tấn cơng ngộ độc ARP của mạng cục bộ được phân tích và liệt kê bởi phần mềm Wireshark. Trước hết,trong số gói 846, kẻ tấn công truy vấn địa chỉ MAC của mục tiêu có địa chỉ IP 192.168.1.100 với gói yêu cầu ARP. Do các quy tắc TCP / IP, nạn nhân đã trả lời yêu cầu này bằng một gói trả lời ARP và gửi gói 887 . Trong bước tiếp theo, với gói 892, kẻ tấn công liên lạc với nạn nhân rằng cổng có địa chỉ IP 192.168.1.1 khớp với địa chỉ MAC của chính nó. Ngồi ra, kẻ tấn cơng đã truyền đến tồn bộ mạng với gói u cầu ARP mà anh ta muốn tìm hiểu địa chỉ MAC của cổng mạng cục bộ với gói được đánh số 909 và cổng đã trả lời yêu cầu này bằng gói 962 để gửi địa chỉ MAC cho kẻ tấn cơng. Với gói 1024, kẻ tấn cơng đã chuyển đến cổng rằng địa chỉ IP 192.168.1.100 thuộc về anh ta để nhận các gói sẽ được gửi cho nạn nhân. Trong khi đó, mặc dù cổng thơng báo rằng địa chỉ IP 192.168.1.1 là mâu thuẫn, giao tiếp dựa trên địa chỉ MAC hoạt động tại lớp liên kết dữ liệu không bị phá vỡ. Với cách này, cuộc tấn công ngộ độc ARP tiếp tục cho đến khi bộ nhớ cache ARP của thiết bị mục tiêu đầy. Kết quả là, lưu lượng mạng là không thể tránh khỏi được cung cấp bằng cách chảy qua kẻ tấn công và cuộc tấn công MITM thành công.

31

Hình 13: Gói ARP trong một cuộc tấn cơng ngộ độc ARP

4.2 Jamming attack with Websploit

4.2.1 Giới thiệu

Tấn cơng gây nhiễu là có thể ở đó, nơi tần số được sử dụng. Trong WSN, toàn bộ giao tiếp dựa trên tần số vì khơng có liên kết giữa các nút như trong giao tiếp phương tiện vật lý. IoT chuyên về cảm biến, kết nối mạng, software và thiết bị điện tử .Một đặc điểm chính của WSN là hành vi phát sóng. Điều này làm cho họ dễ bị tấn công hơn nữa dẫn đến hiệu suất mạng bị suy giảm và các xâm nhập khác nhau. Một trong những cuộc tấn công như vậy là Gây nhiễu, điều này được coi là anhta nghiêm ngặt Từchối dịch vụ nơi phương tiện kênh bị sập thông qua việc gửi nhiều yêu cầu đến máy chủ, hoặc làm gián đoạn trong giao tiếp để giảm thêm hoặc không cho phép các phản hồi tiếp cận mục tiêu.

Do đó, khách hàng cân nhắc rằng server khơng đáp ứng yêu cầu và sau đó anh ta liên tục gửi các yêu cầu để nhận phản hồi từ máy chủ . Không giống như các cuộc tấn công thông thường, cuộc tấn công này được thực hiện sau khi trinh sát. Kẻ tấn công yêu cầu kiến thức chi tiết vềmơ hìnhmunication com. Anh ta lắng nghe giao thơng và gửi các tín hiệu bị kẹt liên tục để cản trở đường dẫn và làm gián đoạn phương tiện truyền tải để chống lại dữ liệu dự định đạt được tại mục tiêu. Sự gián đoạn liên lạc này dẫn đến tấn công gây nhiễu. Trong một bài khảo sát về cuộc tấn công gây nhiễu lớp MAC, các tác giả đã thảo luận về các thiết bị gây

32

nhiễu thông minh. Các giao thức MAC được tiếp xúc với các loại thiết bị gây nhiễu này. Trên cơ sở mơ hình liên lạc, một thiết bị gây nhiễu có thể chọn đúng khu vực cho cuộc tấn cơng purpose. Ban đầu, nó chọn khu vực có luồng liên lạc cao nhất và sau đó nó bắt đầu một cuộc tấn cơng. Do đó, điều này làm cho các nút lân cận bị ảnh hưởng nhiều nhất. Điều này dẫn đến chi phí hành động cao với tỷ lệ gửi tin nhắn thấp. Vì thiết bị gây nhiễu thơng minhr có thể có quyền truy cập để kiểm sốtkênh. Nó bắt đầu gửi các tín hiệu bị kẹt liên tục để chặn đàm phán kênh. Hơn nữa, nó có thể tống tiền chuỗi các kênh điều khiển tiếp theo từ các nút hợp pháp, điều này sẽ đập vỡ tồn bộ network. Theo đó, có sự trùng hợp giữa các tín hiệu bị kẹt và các gói được gửi từ các nút mạng hợp lệ. Trong hầu hết các mạng không dây, va chạm là do hai nút gửi dữ liệu ở cùng một phiên bản trên cùng một phương tiện dẫn truyền.

4.2.2 Thiết bị gây nhiễu

Thiết bị gây nhiễu cơ bản

Thiết bị gây nhiễu cơ bản chủ yếu bao gồm bốn loại thiết bị gây nhiễu: liên tục, ngẫu nhiên, lừa đảo và phản ứng. Thiết bị gây nhiễu liên tục dựa trên lớp vật lý trong khi những cái còn lại dựa trên lớp MAC. Thiết bị gây nhiễu liên tục liên tục phát ra tín hiệu vơ tuyến vì khơng có phương tiện để làm việc chỉ sau đó khi khơngở đây có liên lạc haykhơng. Nó gửi các bit ngẫu nhiên liên tục độc quyền của bất kỳ nhãn MAC nào. Các thiết bị gây nhiễu lừa đảo liên tục tiêm các gói thơng thường vào ống dẫn mà khơng có khơng gian trong q trình truyền gói liên tiếp. Do đó, một nốt sần sẽ bị lừa để tin rằng các gói mà nó đang nhận được, là một gói chính hãng và sẽ ở trạng thái nhận. Điều đó có nghĩa là một người đàm thoại thông thường sẽ bị lừa dối vào trạng thái người nhận. Thiết bị gây nhiễu ngẫu nhiên chuyển đổi giữa chế độ ngủ và chế độ mứt. Thời gian tấn cơng và ngủ có thể khác nhau, cho phép một nút độc ác đạt được mức độ thỏa hiệp đa dạng giữa hiệu quả năng lượng và hiệu quả gây nhiễu, trong khi tùy thuộc vào ứng dụng. Thiết bị gây nhiễu phản ứng lắng xuống khi có kênh nhàn rỗi. Họ chủ yếu bắt đầu làm việc khi họ cảm thấy rằng mạng đã bắt đầu hoạt động của nó.

Thiết bị gây nhiễu thông minh

Các thiết bị gây nhiễu nhắm mục tiêu vào lớp vật lý về cơ bản được thiết kế để phá hủy tín hiệu, làm cong mạng và yêu cầu các nút tiêu thụ nhiều năng lượng hơn. Trong khi các

33

thiết bị gây nhiễu khác nhắm vào lớp MAC được cho là tấn công quyền riêng tư của mạng. Mục tiêu của họ là xác định giao thức MAC được sử dụng bởi các nút nạn nhân để khởi động một cuộc tấn công tiết kiệm năng lượng. Nhiều làm rõ đã được dự kiến để chống lại các thiết bị gây nhiễu liên quan đếnmức MAC layer như nhảy tần số, chuỗi tần số, phân mảnh gói, mặt nạ khung và mã hóa dư thừa để giảm gánh nặng thiệt hại do thiết bị gây nhiễu gây ra.

4.2.3 Attack with Websploit

35

Kết luận

Man in the middle attack là một phương pháp tấn công bao gồm lắng nghe thông tin liên lạc giữa hai kết nối và thu thập dữ liệu khác nhau hoặc lắng nghe thông tin liên lạc, nhưng cũng thực hiện bất kỳ thay đổi nào. Với cuộc tấn cơng này, có thể bắt và thao tác các gói trên mạng. Trong nghiên cứu này, nó đã được chứng minh rằng cuộc tấn công nguy hiểm này làm thế nào có thể được thực hiện dễ dàng với một vài cơng cụ đơn giản.

Có một số phương pháp để ngăn ngừa ngộ độc ARP hoặc để đảm bảo an tồn. Một số phương pháp này có thể được liệt kê như sau:

 Sử dụng địa chỉ MAC tĩnh,  Sử dụng VPN,

 Sử dụng phân tích gói có kiểm sốt,  Sử dụng mã hóa.

Một số phương pháp này đặt khối lượng công việc nghiêm trọng lên quản trị viên hệ thống. Ví dụ, các thiết bị lập bản đồ có địa chỉ IP và MAC tĩnh có thể ngăn chặn một phần các cuộc tấn cơng như vậy nhưng gây khó khăn cho việc quản lý, đặc biệt là trong các mạng lớn. Mặt khác, các cuộc tấn cơng có thể được ngăn chặn bằng cách phát hiện sự bất thường trong lưu lượng mạng với một số phần mềm phân tích và lọc gói. Tuy nhiên, điều này có thể gây ra sự chậm lại đáng chú ý trong lưu lượng truy cập mạng. Sử dụng VPN có thể được cung cấp như một giải pháp khác, nhưng điều này làm tăng thêm chi phí và phức tạp. Là một giải pháp khác, có thể sử dụng các giao thức an toàn như HTTPS và SSL trong mạng. Tất nhiên, giải pháp này sẽ làm tăng chi phí, đặc biệt là trong các mạng lớn. Một trong những giải pháp tốt nhất và hiệu quả về chi phí có thể loại bỏ vấn đề bảo mật này trong mơi trường mạng có thể được coi là mã hóa các gói để đảm bảo truyền dữ liệu an tồn mà khơng làm thay đổi hoạt động của mạng.

36

Tài liệu tham khảo

Implementasi Modul Network MITM Pada Websploit sebagai Monitoring Aktifitas Pengguna dalam Mengakses Internet | Seminar Nasional Komputer dan Informatika . (2021). Retrieved 22 December 2021, from https://ojs.unikom.ac.id/index.php/senaski/article/view/934

Conti, M., Dragoni, N., và Lesyk, V. (2016). Một cuộc khảo sát về người đàn ông trong các cuộc tấn công giữa. Khảo sát và Hướng dẫn truyền thông IEEE, 18(3), 2027-2051.

Forouzan, B. A. (2009). Bộ giao thức TCP/IP 4 phiên bản: McGraw-Hill, Inc.

Najera-Gutierrez, G., và Ansari, J. A. (2018). Kiểm tra thâm nhập web với Kali Linux: Khám phá các phương pháp và công cụ hack đạo đức với Kali Linux. Packt Publishing Ltd.

https://github.com/websploit/websploit https://www.wireshark.org/

Những người đóng góp Wikipedia. "Internet of Things." Wikipedia, Bách khoa tồn thư miễn phí. Wikipedia, Bách khoa tồn thư miễn phí, ngày 10 tháng 11 năm 2017. Web. Ngày 12 tháng 11 năm 2017.

Grover, Kanika, Alvin Lim, và ThanhYang. "Các kỹ thuật gây nhiễu và chống nhiễu trong mạng không dây: một cuộc khảo sát." Tạp chí Quốc tế của

Ad Hoc and Ubiquitous Computing 17.4 (2014): 197-215.

Hamza, Taieb, et al. "Một cuộc khảo sát về các cuộc tấn công gây nhiễu lớp MAC thông minh và các biện pháp đối phó trong WSNs." Hội nghị Cơng nghệ Xe cộ (VTC-Fall), 2016 IEEE 84th. IEEE,2016.

Thakur, Neha và Aruna Sankaralingam." Giới thiệu về các cuộc tấn cơng gây nhiễu và kỹ thuật phịng ngừa bằng cách sử dụng honeypots trong mạng không dây." Bộ Trưởng Kỹ thuật Phần mềm, Đại học SRM, Chennai, Ấn Độ (2013).

Anitha, K., và S. Usha. "Một giao thức MAC dựa trên lịch trình cho mạng cảm biến khơng dây: Một cuộc khảo sát."

Mpitziopoulos, Aristides, et al. "Bảo vệ mạng cảm biến không dây khỏi các cuộc tấn công gây nhiễu." Truyền thông vô tuyến cá nhân, trong nhà và di động, 2007. PIMRC 2007. Hội nghị chuyên đề quốc tế ieee lần thứ 18. IEEE, 2007.

Một phần của tài liệu AN TOÀN MẠNG Bài báo cáo cuối kỳ: Tìm hiểu công cụ Websploit trên Kali Linux Cài đặt và thử nghiệm công cụ Websploit Kali Linux (Trang 28)

Tải bản đầy đủ (PDF)

(37 trang)