C, Kiểu tấn công Man-in-the-middle (MITM)
Chương III: CHƯƠNG TRÌNH MÔ PHỎNG VLAN 3.1 Chương trình giả mạo địa chỉ MAC
3.2. Tấn công đóng gói giả mạo VLAN 1 Tấn công đóng gói giả mạo VLAN:
3.2.1. Tấn công đóng gói giả mạo VLAN:
Sơ đồ thí nghiệm:
Hình 3.3: Mô hình thí nghiệm kiểu tấn công đóng gói giả mạo VLAN Yêu cầu thiết bị:
-2 switch Cisco 2924, IOS 11.2.
-2 PC : một cho kẻ tấn công và một cho nạn nhân; trên máy của kẻ tấn công có sử dụng phần mềm đóng gói VLAN: dot1q.
Các bước tiến hành:
• Bước 1: Bước chuẩn bị : chia VLAN trên hai switch; cấu hình trunk trên
cổng fa0/24. Đưa các cổng vào các VLAN tương ứng. Cấu hình trên switch 1 (switch 2 cấu hình tương tự):
Chia 3 VLAN:
Switch # vlan database Switch (vlan-data)# vlan 1 Switch (vlan-data)# vlan 2 Switch (vlan-data)# vlan 3 Switch (vlan-data)# exit
Đưa cổng 1; cổng 9 và cổng 16 vào các VLAN tương ứng 1 ; 2; 3. Ví dụ cho cổng 9 vào VLAN 2:
Switch (config-if)# switchport mode access Switch (config-if)# switchport access vlan 2
Cấu hình trunk trên cổng fa 0/24:
Switch (config-if)# switchport trunk encapsulation dot1q Switch (config-if)# switchport trunk native vlan 1
Switch (config-if)# switchport mode trunk
• Bước 2: Kẻ tấn công gửi đi bản tin đóng gói VLAN giả mạo tới máy nạn
nhân; ví dụ một gói tin giả mạo dùng dot1q:
C:>dot1q –d 2:2:2:2:2:2 –s 1:1:1:1:1:1
Hình 3.4: Gói tin giả mạo VLAN 2
Sau khi cho máy của kẻ tấn công và nạn nhân nằm trên các VLAN khác nhau đồng thời gói tin giả mạo cũng được gửi đi với VLAN ID khác nhau. Kết quả thu được:
Hình 3.5: Kết quả tấn công giả mạo VLAN trong trường hợp khác switch.
Nhận xét:
Từ bảng trên ta thấy từ VLAN 1 (native VLAN trên đường trunk) có thể đi sang bất kì một VLAN nào khác nhưng không có trường hợp hai VLAN khác native VLAN như VLAN 2 và 3 có thể sang được lẫn nhau.
Giải thích kết quả:
Từ VLAN 1 có thể đến được VLAN 2:
(trong sơ đồ trên thì Di : địa chỉ đích thuộc VLAN i; Si: địa chỉ nguồn thuộc VLAN I, Vi: tag đóng gói VLAN i).
Quá trình chuyển bản tin được giải thích như sau:
Bản tin được đóng gói trunk có tag là VLAN ID 2 sau khi được chuyển đến cổng của switch. Do cổng này hoạt động trong chế độ access nên nó sẽ không hiểu tag đã được đóng gói nên chỉ coi phần này như một phần của dữ liệu. Switch nhận thấy gói tin nhận được trên cổng 1 mà lại chưa được đóng gói nên sẽ đóng gói VLAN với VLAN ID =1.
Bản tin được chuyển sang quá trình forwarding. Switch tìm kiếm ánh xạ giữa D2 và V1 trong bảng FID (do đây là gói tin unicast). Tuy nhiên, do ánh xạ này không tồn tại nên switch sẽ gửi bản tin này ra mọi cổng của VLAN 1 trừ cổng nó nhận được bản tin dựa vào Egress List. Vì cổng trunk thuộc mọi VLAN nên bản tin trên cũng được gửi ra cổng này và được đánh dấu là untag vì VLAN 1 chính là native VLAN trên trunk.
Bản tin được gửi đi qua đường trunk đến switch 2. Switch 2 nhận thấy đây là bản tin đã được đóng gói nên sẽ kiểm tra trong bảng FID có tồn tại ánh xạ D2 và V2 hay không. Do tồn tại ánh xạ nên bản tin sẽ được chuyển đến máy của nạn nhân.
Từ VLAN 2 không thể đến được VLAN 3:
Gói tin sau khi ra khỏi switch 1 vẫn phải đóng gói tag VLAN 2. Sau khi switch 2 nhận được bản tin gửi qua đường trunk; do bản tin đã được đóng gói; switch 2 kiểm tra xem ánh xạ giữa D3 và V2 đã tồn tại trong bảng chưa. Do ánh xạ này chưa tồn tại nên bản tin sẽ được gửi ra mọi cổng của VLAN 2 (trừ cổng 24). Các cổng còn lại 9-16 đều là các đầu cuối và do không có máy nào có địa chỉ MAC trùng với D3 (máy có địa chỉ MAC D3 nằm trên cổng 17) nên khi nhận được gói tin gửi đến, các máy này đều huỷ gói tin đi. Kết quả là gói tin được đóng gói giả mạo VLAN 3 sẽ không bao giờ đến được đích.
• Bước 3: Thay vì cho máy tấn công và máy nạn nhân nằm trên hai switch
khác nhau, ta cho máy tấn công và máy nạn nhân nằm trên cùng một switch. Kết quả sau khi cho các máy này thuộc vào các VLAN khác nhau:
Hình 3.8: Kết quả tấn công giả mạo VLAN trong trường hợp cùng switch.
Nhận xét: So với trường hợp tấn công khác switch thì trong trường hợp cùng
switch ta thu được kết quả tương tự : Từ VLAN 1 có thể đến được các VLAN khác.