Home
Công nghệ thông tin
An ninh, bảo mật
Tìm hiểu về tấn công Man-in-the-Middle – Giả mạo ARP Cache
Tìm hiểu về tấn công Man-in-the-Middle – Giả mạo ARP Cache
Tìm hiểu về tấn công Man-in-the-Middle – Giả mạo ARP Cache
Trong phần đầu tiên của loạt bài giới thiệu về một số hình thức tấn công
MITM hay được sử dụng nhất, chúng tôi sẽ giới thiệu cho các bạn về tấn
công giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển
(hijacking) HTTP session,..
Man in the Middle là gì?
Man in the Middle là một trong những kiểu tấn công mạng thường thấy nhất
được sử dụng để chống lại những cá nhân và các tổ chức lớn chính, nó
thường được viết tắt là MITM. Có thể hiểu nôm na rằng MITM giống như
một kẻ nghe trộm. MITM hoạt động bằng cách thiết lập các kết nối đến máy
tính nạn nhân và chuyển tiếp dữ liệu giữa chúng. Trong trường hợp bị tấn
công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với
nạn nhân kia, nhưng sự thực thì các luồng truyền thông lại bị thông qua host
của kẻ tấn công. Và kết quả là các host này không chỉ có thể thông dịch dữ
liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu
để kiểm soát sâu hơn những nạn nhân của nó.
Trong loạt bài này, chúng tôi sẽ giải thích một số hình thức tấn công MITM
hay được sử dụng nhất, chẳng hạn như tấn công giả mạo ARP Cache, DNS
Spoofing, chiếm quyền điều khiển (hijacking) HTTP session,.. Như những gì
bạn thấy trong thế giới thực, hầu hết các máy tính nạn nhân đều là các máy
tính Windows. Với lý do đó, loạt bài này chúng tôi sẽ tập trung toàn bộ vào
những khai thác MITM trên các máy tính đang chạy hệ điều hành Windows.
Khi có thể, các cuộc tấn công MITM sẽ được thực hiện từ máy chủ chạy trên
Windows. Tuy nhiên trong một số trường hợp, khi không có công cụ nào cho
các tấn công được đề cập, chúng tôi sẽ sử dụng Backtrack Linux 4, có thể
download dưới dạng một live-CD hoặc một máy ảo tại đây.
Giả mạo ARP Cache (ARP Cache Poisoning)
Trong phần đầu tiên của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về
việc giả mạo ARP cache. Đây là một hình thức tấn công MITM hiện đại có
xuất xứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison
Routing), tấn công này cho phép hacker (nằm trên cùng một subnet với các
nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các máy
tính nạn nhân. Chúng tôi đã chọn đây là tấn công đầu tiên cần giới thiệu vì nó
là một trong những hình thức tấn công đơn giản nhất nhưng lại là một hình
thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công.
Truyền thông ARP thông thường
Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ
giữa các lớp thứ hai và thứ ba trong mô hình OSI. Lớp thứ hai (lớp data-link)
sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau
một cách trực tiếp. Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các
mạng có khả năng mở rộng trên toàn cầu. Lớp data-link xử lý trực tiếp với
các thiết bị được kết nối với nhau, còn lớp mạng xử lý các thiết bị được kết
nối trực tiếp và không trực tiếp. Mỗi lớp có cơ chế phân định địa chỉ riêng, và
chúng phải làm việc với nhau để tạo nên một mạng truyền thông. Với lý do
đó, ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet -
Ethernet Address Resolution Protocol”.
Hình 1: Quá trình truyền thông ARP
Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một
gói ARP request và một gói ARP reply. Mục đích của request và reply là tìm
ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có
thể đến được đích của nó trong mạng. Gói request được gửi đến các thiết bị
trong đoạn mạng, trong khi gửi nó nói rằng (đây chỉ là nhân cách hóa để giải
thích theo hướng dễ hiểu nhất) “Hey, địa chỉ IP của tôi là XX.XX.XX.XX, địa
chỉ MAC của tôi là XX:XX:XX:XX:XX:XX. Tôi cần gửi một vài thứ đến một
người có địa chỉ XX.XX.XX.XX, nhưng tôi không biết địa chỉ phần cứng này
nằm ở đâu trong đoạn mạng của mình. Nếu ai đó có địa chỉ IP này, xin hãy
đáp trả lại kèm với địa chỉ MAC của mình!” Đáp trả sẽ được gửi đi trong gói
ARP reply và cung cấp câu trả lời, “Hey thiết bị phát. Tôi là người mà bạn
đang tìm kiếm với địa chỉ IP là XX.XX.XX.XX. Địa chỉ MAC của tôi là
XX:XX:XX:XX:XX:XX.” Khi quá trình này hoàn tất, thiết bị phát sẽ cập nhật
bảng ARP cache của nó và hai thiết bị này có thể truyền thông với nhau.
Việc giả mạo Cache
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao
thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể
được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị
sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc
nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến
một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó
ngay giá trị mới này. Việc gửi một gói ARP reply khi không có request nào
được tạo ra được gọi là việc gửi ARP “vu vơ”. Khi các ARP reply vu vơ này
đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó
chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất
họ lại đang truyền thông với một kẻ tấn công.
Hình 2: Chặn truyền thông bằng các giả mạo ARP Cache
Sử dụng Cain & Abel
Hãy để chúng tôi đưa ra một kịch bản và xem xét nó từ góc độ lý thuyết đến
thực tế. Có một vài công cụ có thể thực hiện các bước cần thiết để giả mạo
ARP cache của các máy tính nạn nhân. Chúng tôi sẽ sử dụng công cụ bảo mật
khá phổ biến mang tên Cain & Abel của Oxid.it. Cain & Abel thực hiện khá
nhiều thứ ngoài vấn đề giả mạo ARP cache, nó là một công cụ rất hữu dụng
cần có trong kho vũ khí của bạn. Việc cài đặt công cụ này khá đơn giản.
Trước khi bắt đầu, bạn cần lựa chọn một số thông tin bổ sung. Cụ thể như
giao diện mạng muốn sử dụng cho tấn công, hai địa chỉ IP của máy tính nạn
nhân.
Khi lần đầu mở Cain & Abel, bạn sẽ thấy một loạt các tab ở phía trên cửa sổ.
Với mục đích của bài, chúng tôi sẽ làm việc trong tab Sniffer. Khi kích vào
tab này, bạn sẽ thấy một bảng trống. Để điền vào bảng này bạn cần kích hoạt
bộ sniffer đi kèm của chương trình và quét các máy tính trong mạng của bạn.
Hình 3: Tab Sniffer của Cain & Abel
Kích vào biểu tượng thứ hai trên thanh công cụ, giống như một card mạng.
Thời gian đầu thực hiện, bạn sẽ bị yêu cầu chọn giao diện mà mình muốn
sniff (đánh hơi). Giao diện cần phải được kết nối với mạng mà bạn sẽ thực
hiện giả mạo ARP cache của mình trên đó. Khi đã chọn xong giao diện,
kích OK để kích hoạt bộ sniffer đi kèm của Cain & Abel. Tại đây, biểu tượng
thanh công cụ giống như card mạng sẽ bị nhấn xuống. Nếu không, bạn hãy
thực hiện điều đó. Để xây dựng một danh sách các máy tính hiện có trong
mạng của bạn, hãy kích biểu tượng giống như ký hiệu (+) trên thanh công cụ
chính và kích OK.
có thể bạn quan tâm
Tìm hiểu về bộ nhớ Cache
7
827
287
Tài liệu CNTT khác
7
(New)
Tìm hiểu bộ nhớ cache
0
523
313
Cơ sở dữ liệu
(New)
Xóa cookie, cache Internet an toàn bằng Privazer
8
838
254
Tài liệu CNTT khác
8
(New)
Đánh giá hiệu quả hoạt động tín dụng Công Thương nghiệp tại Ngân hàng...
75
700
273
Kinh tế quản lý
75
(New)
Tìm hiểu công tác trả lương tại Công ty TNHH Du lịch Quốc tế Fansipan...
74
643
284
Kinh tế quản lý
74
(New)
Tìm hiểu công tác trả lương tại Công ty TNHH Du lịch Quốc tế Fansipan...
74
680
243
Kinh tế quản lý
74
(New)
Công nghệ bùn hạt hiếu khí khi ứng dụng ở Việt Nam và nghiên cứu để cô...
68
672
291
Kinh tế quản lý
68
(New)
Nghiên cứu xác định được mức sẵn lòng chi trả trong một năm của cộng đ...
74
695
532
Kinh tế - Thương mại
74
(New)
thông tin tài liệu
Trong phần đầu tiên của loạt bài giới thiệu về một số hình thức tấn công MITM hay được sử dụng nhất, chúng tôi sẽ giới thiệu cho các bạn về tấn công giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển (hijacking) HTTP session,..
Mở rộng để xem thêm
từ khóa liên quan
tài liệu mới trong mục này
tài liệu hot trong mục này
tài liệu giúp tôi
Nếu bạn không tìm thấy tài liệu mình cần có thể gửi yêu cầu ở đây để chúng tôi tìm giúp bạn!
×
