CEH v10

[CEH-Module 8] Phần 3: Sniffing – Tấn công ARP, Spoofing, DNS

Posted on by Thiên Phong

ARP Poisoning

Giao thức phân giải địa chỉ (ARP)

ARP là một giao thức sử dụng trong miền truyền tin để đảm bảo truyền thông bằng cách phân giải địa chỉ IP thành ánh xạ địa chỉ MAC. Nó hỗ trợ ánh xạ địa chỉ L2 và L3.

ARP bảo đảm kết nối giữa địa chỉ MAC và địa chỉ IP bằng cách truyền đi ARP yêu cầu, cùng với địa chỉ IP, switch sẽ biết được thông tin về địa chỉ MAC kết nối từ phản hồi của host. Trong trường hợp không có hoặc không tìm được ánh xạ, host sẽ gửi bản tin đến tất cả các nodes.

Chỉ có node với địa chỉ MAC kết hợp với IP đó phản hồi yêu cầu, chuyển tiếp gói tin chứa ánh xạ địa chỉ MAC. Switch sẽ ghi nhớ địa chỉ MAC và thông tin về port kết nối vào bảng CAM.

Host tạo một yêu cầu bằng cách gửi một gói tin ARP. Một node có địa chỉ MAC nhận được yêu cầu sẽ phản hồi lại gói tin. Frame sẽ tràn ra tất cả các port (trừ port nhận frame) nếu đầu vào bảng CAM quá tải. Điều này cũng xảy ra khi địa chỉ MAC đích trong frame là địa chỉ truyền tin.

Kĩ thuật MAC flooding được dùng để chuyển switch thành một hub, trong đó switch bắt đầu truyền gói tin. Trong trường hợp này, user có thể lấy gói tin không dành cho mình.

ARP Spoofing Attack

Trong tấn công này, kẻ tấn công gửi gói tin ARP giả qua mạng LAN. Swicth sẽ cập nhật địa chỉ MAC của kẻ tấn công với địa chỉ IP của user hoặc server chính thống. Sau đó, switch sẽ chuyển tiếp gói tin đến kẻ tấn công do nhận định đó là MAC của user. Tấn công ARP Spoofing giúp kẻ tấn công lấy thông tin trích rút từ gói tin. Bên cạnh đó, tấn công này còn được dùng để:

  • Session Hijacking
  • Tấn công từ chối dịch vụ
  • Tấn công man-in-the-middle
  • Nghe trộm gói tin
  • Chặn bắt thông tin
  • Connection Hijacking
  • VoIP tapping
  • Đặt lại kết nối
  • Đánh cắp mật khẩu

Chống lại tấn công ARP Poisoning

Thăm dò ARP động (DAI)

DAI được thực hiện với DHCP Snooping. Kết nối IP MAC là một rãnh ghi từ DHCP thao tác để đề phòng ARP Poisoning. Để xây dựng kết nối IP MAC cho xác thực DAI cần DHCP Snooping.

Thiết lập DHCP Snooping và thăm dò ARP động trên Cisco Switches

Switch> en 
Switch # config t
Enter configuration commands, one per line.  End with CNTL/Z. 
Switch(config) # ip dhcp snooping 
Switch(config) # ip dhcp snooping vlan 1

Switch(config) # int eth 0/0 
Switch(config-if) # ip dhcp snooping trust 
Switch(config-if) # ex 

Switch(config) # int eth 0/1 
Switch(config-if) # ip dhcp snooping information option  allow-untrusted

Switch(config) # int eth 0/2 
Switch(config-if) # ip dhcp snooping information option  allow-untrusted

Switch(config) # int eth 0/3 
Switch(config-if) # ip dhcp snooping information option  allow-untrusted

Xác thực

Switch # show ip dhcp snooping

Thiết lập thăm dò ARP động

Switch(config) # ip arp inspection vlan <vlan number>

Lệnh xác thực

Switch(config) # do show ip arp inspection

Tấn công Spoofing

MAC Spoofing/Duplicating (sao chép MAC)

MAC Spoofing là kĩ thuật điều chỉnh địa chỉ MAC để giả dạng người dùng chính thống hoặc tấn công từ chối dịch vụ. Như chúng ta đã biết, địa chỉ MAC được thiết lập cố định trên bộ kiểm soát giao diện người dùng, tuy nhiên một số driver cho phép thay đổi địa chỉ MAC.

Quy trình giả mạo địa chỉ MAC được gọi là MAC Spoofing. Kẻ tấn công nghe trộm địa chỉ MAC kích hoạt trên switch port của người dùng và sao chép địa chỉ MAC hướng giao thông mạng đến kẻ tấn công thay vì địa điểm ban đầu.

Công cụ MAC Spoofing

Có rất nhiều công cụ hỗ trợ MAC Spoofing dễ dàng. Một số công cụ phổ biến:

  • Technitium MAC address Changer
  • SMAC

Chống lại MAC Spoofing

DHCP Snooping và thăm dò ARP động là những kĩ thuật hiệu quả để giảm thiểu tấn công MAC Spoofing. Bên cạnh đó, tính năng bảo vệ nguồn được thiết lập trên client đối với Switch port.

Bảo vệ nguồn IP là một tính năng trên port giúp lọc địa chỉ IP nguồn ở Layer 2. Tính năng này quan sát và ngăn chặn host giả mạo. Host giả mạo bị giới hạn với địa chỉ IP đã định sẵn. Bảo vệ nguồn sử dụng DHCP Snooping động hay kết buộc nguồn IP tĩnh để gắn địa chỉ IP với host trên port truy cập không đáng tin ở Layer 2.

Ban đầu, tất cả các loại giao thông IP vào đều bị chặn trừ gói tin DHCP. Khi client nhận địa chỉ IP từ DHCP server, hay kết buộc nguồn IP tĩnh từ quản lí, giao thông với địa chỉ IP chỉ định được cho phép, tất cả các gói tin giả đều bị từ chối. Bảo vệ nguồn ngăn chặn tấn công trong trường hợp mạo danh địa chỉ IP host, tạo ra một danh sách kiểm soát truy cập port ngầm (PACL).

DNS Poisoning

Kĩ thuật DNS Poisoning

DNS được sử dụng trong hệ thống mạng để dịch tên miền thành địa chỉ IP. Khi một DNS server nhận được yêu cầu, nó sẽ tạo lệnh hỏi “bản dịch” cho một DNS server khác. DNS server có bản dịch sẽ phản hồi với DNS yêu cầu, sau đó lệnh hỏi được giải quyết.

Trong trường hợp nhận đầu vào sai, DNS server sẽ cập nhật dữ liệu của nó. Để hoạt động tốt hơn, DNS server tạo ra một bộ nhớ đệm để cập nhật đầu vào, từ đó giải quyết lệnh hỏi nhanh hơn. Đầu vào sai tạo ra sai sót trong bản dịch DNS cho đến khi bộ nhớ đệm hết hạn. DNS poisoning được thực hiện để hướng giao thông mạng đến thiết bị của kẻ tấn công.

Intranet DNS Spoofing

Intranet DNS Spoofing thường được thực hiện trong mạng LAN với Switced Network với sự hỗ trợ của kĩ thuật ARP Poisoning. Kẻ tấn công nghe trộm gói tin, trích rút ID của yêu cầu DNS và phản hồi bằng bản dịch IP sai để hướng giao thông đến mình. Kẻ tấn công phải hành động nhanh trước khi DNS server chính thống giải quyết lệnh hỏi.

Internet DNS Spoofing

Tấn công này thay thế thiết lập DNS trên máy mục tiêu. Tất cả lệnh hỏi DNS được hướng đến DNS server ác ý mà kẻ tấn công điều khiển. Internet DNS Spoofing thường được thực hiện nhờ triển khai Trojan hay sửa đổi thiết lập DNS để chuyển hướng giao thông mạng.

Proxy Server DNS Poisoning

Giống như Internet DNS SpoofingProxy Server DNS poisoning được triển khai bằng cách thay thế thiết lập DNS từ trình duyệt web của mục tiêu. Tất cả lệnh hỏi sẽ được hướng đến server ác ý để hướng giao thông mạng về kẻ tấn công.

DNS Cache Poisoning

Như đã biết, user sử dụng DNS của nhà cung cấp dịch vụ internet (ISP). Trong hệ thống, các tổ chức đều cải thiện hoạt động bằng cách ghi bộ nhớ đệm (cache) thường xuyên. DNS Cache poisoning được thực hiện nhờ khai thác sai sót trong phần mềm DNS.

Kẻ tấn công thêm hoặc chỉnh sửa đầu vào bộ nhớ đệm DNS, từ đó hướng giao thông mạng đến trang web độc hại. Khi Internal DNS server không thể xác nhận tính hợp lệ của phản hồi DNS từ DNS server có thẩm quyền, nó cập nhật đầu vào cục bộ để giải quyết yêu cầu của user.

Cách ngăn chặn DNS Poisoning

Thiên Phong

Người mà bạn trông đợi, chỉ có mình bản thân bạn mà thôi! There is a crack in everything, that's where the light gets in. Dám thử thách, bước ra khỏi vùng an toàn, may mắn sẽ tới.

Leave a Reply

This site uses cookies to offer you a better browsing experience. By browsing this website, you agree to our use of cookies.
More info Accept