Báo cáo an toàn thông tin:

là một trong những kiểu tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhân và Man-in-the-Middle xuất hiên từ nhiều năm trước và gấy hại cho rất nhiều người dùng máy t

04 03

0 2 01

Đề tài:

Tấn công Man-in-the-Middle

Mục đích của tấn

công Man-in-the- Middle

là một trong những kiểu tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhân và

Man-in-the-Middle

xuất hiên từ nhiều năm trước và gấy hại cho rất nhiều người dùng máy tính

1 Giới thiệu tổng quan về kỹ thuật tấn công Man-in-the-Middle

Man-in-the-Middle Attack

Khi chúng ta kết nối vào một địa chỉ wifi công cộng (không bảo mật), kẻ tấn công sẽ quét tất cả các kết nối và sau đó khai thác lỗ hổng bảo mật để thực hiện tấn công.

2 Mục đích của tấn công :

Nghe trộm về giao tiếp giữa hai mục tiêu

Thu thập thông tin quan trọng của các nạn nhân

Điều tra tội phạm qua các cuộc giao tiếp

Can thiệp bằng thông tin giả mạo

1

2

3

4

Các hình thức tấn công MITM phổ biến:

• Tấn công giả mạo ARP cache(ARP Cache Poisoning)

• Tấn công giả mạo DNS

• Chiếm quyền điều khiển Session

• Chiếm quyền điều khiển SSL……

3 Giả mạo ARP

Giả mạo ARP Cache

(ARP Cache Poisoning)

Là m t trong nh ng hình th c t n công lâu đ i ột trong những hình thức tấn công lâu đời ững hình thức tấn công lâu đời ức tấn công lâu đời ấn công lâu đời ời

nh t, đ n gi n nh t nh ng l i là m t hình th c ấn công lâu đời ơn giản nhất nhưng lại là một hình thức ản nhất nhưng lại là một hình thức ấn công lâu đời ưng lại là một hình thức ại là một hình thức ột trong những hình thức tấn công lâu đời ức tấn công lâu đời

hi u qu nh t khi đ ệu quả nhất khi được thực hiện bởi kẻ tấn ản nhất nhưng lại là một hình thức ấn công lâu đời ưng lại là một hình thức ợc thực hiện bởi kẻ tấn c th c hi n b i k t n ực hiện bởi kẻ tấn ệu quả nhất khi được thực hiện bởi kẻ tấn ởi kẻ tấn ẻ tấn ấn công lâu đời

công.

Truyền thông ARP

thông thường

Tìm ra đ a ch MAC ph n c ng có liên quan ịa chỉ MAC phần cứng có liên quan ỉ MAC phần cứng có liên quan ần cứng có liên quan ức tấn công lâu đời

t i đ a ch IP đã cho đ l u l ới địa chỉ IP đã cho để lưu lượng có thể ịa chỉ MAC phần cứng có liên quan ỉ MAC phần cứng có liên quan ể lưu lượng có thể ưng lại là một hình thức ưng lại là một hình thức ợc thực hiện bởi kẻ tấn ng có th ể lưu lượng có thể

đ n đ ến được đích của nó trong mạng ưng lại là một hình thức ợc thực hiện bởi kẻ tấn c đích c a nó trong m ng ủa nó trong mạng ại là một hình thức

Giả mạo Cache

Vi c gi m o này chính là l i d ng b n ệu quả nhất khi được thực hiện bởi kẻ tấn ản nhất nhưng lại là một hình thức ại là một hình thức ợc thực hiện bởi kẻ tấn ụng bản ản nhất nhưng lại là một hình thức tính không an toàn c a giao th c ARP ủa nó trong mạng ức tấn công lâu đời

Sử dụng Cain & Abel

Là công c giúp t p ra APR gi m o , t đó ụng bản ại là một hình thức ản nhất nhưng lại là một hình thức ại là một hình thức ừ đó

có th d dàng nghe lén đ ể lưu lượng có thể ễ dàng nghe lén được các nạn ưng lại là một hình thức ợc thực hiện bởi kẻ tấn c các n n ại là một hình thức

nh n trong m ng ận trong mạng ại là một hình thức

Giao thức ARP và cơ chế hoạt động

Lớp thứ hai (data link)

Sử dụng địa chỉ MAC

để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp.

Giao thức ARP

Lớp thứ ba (Network)

Sử dụng địa chỉ IP để tạo mạng có khả năng

mở rộng trên toàn cầu

Giao thức ARP (Address Resolution Protocol) được thiết kế để phục vụ cho nhu cầu thông

dịch các địa chỉ giữa lớp thứ hai (Data link) và thứ ba (Network) trong mô hình OSI

Cơ chế hoạt động của ARP

Quá trình ARP (Address

để yêu cầu các thiết bị

khác gửi trả lại địa chỉ

phần cứng (địa chỉ MAC)

của mình nhằm

thực hiện truyền tin cho

nhau giữa thiết bị phát và

nguồn yêu cầu(request)

bằng cách gửi một bản tin

broadcast trên toàn

mạng Thiết bị đích sẽ trả lời (response) bằng một

bản tin unicast đến thiết

bị nguồn.

Mục đích của Request và Response là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã gửi

để lưu lượng

có thể đến được đích của

nó trong mạng.

Hai máy A và B sẽ thực hiện truyền thông bình thường với giao thức ARP như cơ chế đã trình bày ở trên.

Dựa theo đó, kẻ tấn công thực hiện gửi liên tục các gói ARP Response nhắm đầu độc bộ đệm ARP Cache của máy

Cụ thể như sau:

- Chúng ta có hai máy victim là A và C, máy của attacker là B

- Khi B đã xâm nhập được vào mạng, B sẽ thực hiện quá trình Man-in-the-Middle như

sau:

+ Khi A và C thực hiện quá trình trao đổi thông tin, C sẽ làm thay đổi địa chỉ MAC, IP

của A và C bằng cách gán cho A, C hai địa chỉ MAC, IP khác lần lượt là MAC_A, IP_A,

MAC_C, IP_C

+ Đồng thời B cũng thực hiện gán cho nó một địa chỉ MAC, IP tương ứng là MAC_H, IP_H

- Trong quá trình trao dổi thông tin, B sẽ làm cho A và hiểu lầm là:

+ A hiểu địa chỉ MAC, IP của C là MAC_H, IP_H

+ Tương tự như vậy, C cũng hiểu địa chỉ MAC, IP của A là MAC_H, IP_H

- Như vậy, khi trap đổi dữ liệu, A và C cũng gửi dữ liệu đến B, nhưng vẫn nghĩ là gửi

đến máy đối phương như bình thường

- Trong quá trình đó, B sẽ có được toàn bộ thông tin giao tiếp của A và C, đồng thời

đóng vai trò như trạm trung chuyển âm thầm giữa A và C mà hoàn toàn không bị

phát hiện.

Công cụ cần thiết

Bây giờ, điều mà chúng ta cần làm là quét tất cả các máy chủ trong mạng con của mình

Bây giờ sẽ quét tất và xuất ra các kết quả và sẽ được xuất hiên trên màn hình Nó sẽ hiển thị tổng số hosts đã được tìm thấy trong quá trình quét

Trong suốt quá trình quét, Ettercap gửi một số yêu cầu phát sóng ARP tới máy chủ (hoặc các máy chủ có khả năng hoạt động). Tất

cả các câu trả lời được ghi lại là địa chỉ MAC của chúng Sau khi quét xong chúng ta sẽ thực hiện các bước tiếp theo

Bấm vào tùy chọn sniff trong thanh bar và chọn unified sniffing và chọn

Interface (thường là eth0)

Click vào ‘Hosts’ trên thanh bar and chọn ‘scan hosts’

Đối với Ettercap G

Các biện pháp phòng chống

Bảo mật mạng LAN Sử dụng phần mềm Cấu hình lại bảng ARP

Cache

Các biện pháp phòng chống

1 Bảo mật vật lý (Physical security) (Physical

security) là phương pháp tốt nhất để chống lại kiểu tấn công này

2 Ngoài ra, ta có thể ngăn chặn hình thức tấn công

này bằng kỹ thuật mã hoá: mã hoá traffic trong

một đường hầm IPSec, hacker IPSec, hacker sẽ chỉ nhìn thấy những thông tin không có giá trị.

3 Dùng mật mã xác thực Nếu cả hai đầu của cuộc

nói chuyện đã được xác thực, khả năng tấn công

theo kiểu khả năng tấn công theo kiểu middle có thể middle có thể được ngăn cản.

Man-in-the-4 3 2

1 Đóng cổng truy

cập

Đặt mật khẩu cho

BIOS Thiết lập những quy định cho

GPO

Sử dụng phần mềm để lọc nội dung cho HTTP, FTP và SMTP

b

m

h

Bảo mật mạng LAN

Đóng tất cả cổng truy cập

Nếu như bạn có một mạng LAN với một vài chiếc máy tính, tất cả mọi người có thể truy nhập vào tất cả máy tính ở trong mạng.

Bất kể ai cũng có thể lấy cắp những dữ liệu quan trọng chỉ với 1 chiếc USB nhỏ bé.

Như vậy, cần phải quản lý chặt chẽ và cấp quyền

truy nhập của những cổng đó

Hãy sử dụng những phầm mềm như DeviceLock

Đặt mật khẩu cho BIOS

Các nhân viên dùng máy tính không nên được phép cài hay chạy phần mềm, vì họ có thể tải các chương trình tiềm ẩn hiểm hoạ Các hệ điều hành máy chủ Windows có một công

cụ mạnh để quản lý quyền người dùng là GPO (Group

Policy Objects) Với công cụ này, bạn có thể lập chính sách quản lý và bảo mật cho mạng, xác lập các quy chế: độ phức tạp của mật khẩu, bảo vệ màn hình (screensaver), các ứng dụng được quyền chạy Các chính sách nhóm (Group

Policy) trong GPO có tác động lớn với người dùng, nên kiểm tra cẩn thận trước khi thực hiện.

Thiết lập những quy định cho GPO

Sử dụng phần mềm để lọc nội dung cho HTTP, FTP

Sử dụng phần

mềm

Cấu hình lại bảng ARP