Attacker muốn mọi gói tin HostA truyền tới máy Victim đều có thể chụp lại được để xem trộm.. HostA sẽ gửi broadcast ARP Request tới tất cả các máy trong cùng mạng Lan để hỏi xem IP 10.0.
Trang 1Nếu mà HostA khởi động quá trình hỏi MAC trước, nó broadcast gói tin ARP request để hỏi MAC HostB, thì HostB coi như đã có MAC của HostA, và HostB chỉ trả lời cho A MAC của HostB thôi (gói tin trả lời từ HostB là ARP reply)
3 Làm thế nào để tấn công bằng ARP
Giả sử ta có mạng Lan như mô hình trên gồm các host
Attacker: là máy hacker dùng để tấn công ARP attack
IP: 10.0.0.11
Mac: 0000:0000:0111
HostA
IP: 10.0.0.09
MAC: 0000:0000:0109
HostB
IP: 10.0.0.08
MAC: 0000:0000:0108
Victim: là máy bị tấn công ARP attack
Trang 2IP: 10.0.0.10
MAC: 0000:0000:0110
Attacker muốn thực hiện ARP attack đối với máy Victim Attacker muốn mọi gói tin HostA truyền tới máy Victim đều có thể chụp lại được để xem trộm Làm thế nào để Attacker có thể hiện được điều đó?
Đầu tiên, HostA muốn gởi dữ liệu cho Victim HostA cần phải biết địa chỉ MAC của Victim để liên lạc HostA sẽ gửi broadcast ARP Request tới tất cả các máy trong cùng mạng Lan để hỏi xem IP 10.0.0.10 (IP của Victim) có địa chỉ MAC là bao nhiêu
HostB, Attacker, Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim là gửi lại gói tin ARP Reply lại cho HostA ARP Reply chứa thông tin
về IP của Victim, MAC Victim, MAC HostA
Sau khi nhận được gói tin ARP Reply từ Victim, HostA đã biết được địa chỉ MAC của Victim HostA bắt đầu thực hiện liên lạc, truyền dữ liệu tới Victim HostB, Attacker không thể xem nội dung dữ liệu được truyền giữa 2 máy
HostA và Victim
Attacker muốn xem dữ liệu truyền giữa HostA và Victim Attacker sử dụng kiểu tấn công ARP Spoof Attacker thực hiện gửi liên tục ARP Reply chứa thông tin về IP Victim, MAC Attacker, MAC HostA Ở đây, thay vì là MAC Victim, Attacker đã đổi thành địa chỉ MAC của mình
HostA nhận được ARP Reply và nghĩ là IP Victim 10.0.0.10 sẽ có địa chỉ MAC
là 0000:0000:0111 ( MAC của Attacker) HostA lưu thông tin này vào bảng ARP Cache
Bây giờ mọi thông tin, dữ liệu HostA gửi tới 10.0.0.10 (Victim), Attacker đều
có thể nhận được, Attacker có thể xem tòan bộ nội dung HostA gửi cho Victim
Trang 3Attacker còn có thể kiểm sóat tòan bộ quá trình liên lạc giữa HostA và Victim thông qua ARP Attack
Attacker thường xuyên gửi các gói tin ARP Reply chứa địa chỉ IP của HostA và Victim nhưng có địa chỉ MAC là của Attacker
HostA nhận được gói tin này thì cứ nghĩ Victim sẽ có địa chỉ MAC là
0000:0000:0111 (MAC của Attacker)
Victim nhận đươc gói tin này thì cứ nghĩ HostA sẽ có địa chỉ MAC là
0000:0000:0111 (MAC của Attacker)
Mọi thông tin trao đổi giữa HostA và Victim, Attacker đều có thể nhận được Như vậy là Attacker có thể biết được nội dung trao đổi giữa HostA và Victim
Sau khi bị tấn công ARP attack, sẽ rất nguy hiểm cho người dùng vì mọi thông tin trao đổi của họ đều bị lộ, nhất là những thông tin đó là quan trọng, cần phải giữ bí mật
4.Giới hạn và điểm yếu của kiểu tấn công ARP Spoof:
- Chỉ có những máy nằm trong cùng đường mạng với máy Attacker mới bị tấn công Các máy nằm khác mạng sẽ không thể bị tấn công bằng hình thức này vì
+ Trong cùng một đường mạng LAN, các máy sẽ thực hiện trao đổi dữ liệu với nhau dựa vào địa chỉ MAC HostA muốn trao đổi dữ liệu với HostB HostA sẽ
dò tìm trong bảng ARP cache xem IP của HostB sẽ có địa chỉ MAC tương ứng
là gì HostA đóng gói dữ liệu cần truyền với MAC nguồn là MAC HostA, MAC đích là MAC HostB Sau đó HostA sẽ truyền dữ liệu tới HostB dựa vào MAC đích của gói tin
+ Trong trường hợp HostA, HostB khác đường mạng muốn liên lạc với nhau, ta phải dựa vào địa chỉ IP để truyền dữ liệu và phải thông qua một thiết bị định tuyến, đó là router HostA sẽ đóng gói dữ liệu cần truyền với MAC nguồn là
Trang 4HostA, MAC đích là router Gói tin đó sẽ được truyền đến router, router sẽ dựa vào địa chỉ IP đích (IP HostB)và dò tìm trong bảng định tuyến nhằm xác định con đường đi đến HostB Router có khả năng ngăn chặn các gói tin broadcast
- Hình thức tấn công này không thể thực hiện được trong mạng WAN, trên Internet mà chỉ thực hiện được trên cùng mạng LAN
5 Một số chương trình tấn công bằng ARP
ARP0c
http://www.l0t3k.org/security/tools/arp/
WinArpSpoofer
http://www.nextsecurity.net/
Ettercap
http://ettercap.sourceforge.net/
Sorry, nguồn mình ko nhớ ở đâu
Hung1910(HVA)
Cài Private Sock kiểu mới - Ko sợ del host
Với tool này thì Mocks chỉ là đồ bỏi thôi các bạn à Vì thứ nhất nó làm tốn rất nhiều BW, thằng bán host mà phát hiện ra thì del host bạn ngay lập tức Còn tool này thì dek thằng nào biết được
Hôm nay, rãnh rảnh ngồi viết tuts kèm theo tool cho bà con
Đầu tiên, các bạn phải có host hỗ trợ SSH thường là host sử dụng Cpanel 9 hoặc
Trang 510 Hoặc những host không có những cpanel mà vẫn chạy được SSH vì nền cũa host là Unix thì càng tuyệt vời
Đầu tiên các bạn download phần mềm Bitvise Tunnelier
Giải nén nó ra, chạy file Tunnelier.exe
Ở Tab login,
Host : host của bạn
Username: user ftp account ( không cần phải FTP root của admin
Intial method: chọn password
Password: pass của FTP account
Tiếp theo chọn Tab Services
Click Enable cho phần Socks/HTTP Proxy Forwarding
Listen Interface: 127.0.0.1
Listen port : Để nguyên cũng được hoặc điền 10080 ( ở đây tớ để nguyên)
Sau đó bấm Login
Nó sẽ hiện lên 1 newboard
Bạn chọn accept and save
Sau đó nó sẽ tự động open cmd ssh và ftp manager
Các bạn tắt hết chương trình đó
Còn Tunnerlier các bạn tắt đi
Tắt là bấm dấu X chứ đừng click exit hay là Logout nhé
Bây giờ các bạn đả có 1 private socks rùi đóa
Nó là 127.0.0.1 và port là: 1080 ( vì tớ chọn port này)
Các bạn có thể vào http://www.ip2location.com để check thì biết liền
Bonus
Ví dụ như các bạn cần Fake IP cho các soft chạy nét như Yahoo, Paltalk thì nói thật đừng dùng Sockscap <=== bad lắm
Các bạn hãy dùng phần mềm Proxifilter mà tớ đưa link download sau đây
Các bạn setup chương trình, chạy nó
rùi Vào Options -> Proxy Setting
Bấm Add
IP: 127.0.0.1
Port: 1080
Click Ok
rùi chạy các chương trình trình duyệt web như internet explorer, Firefox hoặc các phần mềm khác như Paltalk, các bạn sẽ thấy hiệu quả như thế nào
Trang 6Bạn không cần phải điền socks cho phần mềm nào cả Proxifilter sẽ tự động fake cho các bạn
Dưới đây là 2 soft:
http://www.bitvise.com/downloads/Tunnelier-Inst.exe http://www.proxifier.com/distr/ProxifierSetup.exe