Lỗ hổng của ARP Address Resolution Protocol là một giao thức truyền thông được sử dụng rộng rãi để tìm ra các địa chỉ tầng liên kết dữ liệu từ các địa chỉ tầng mạng.. Khi một gói tin da
Trang 1Sinh viên 1:
Nguyễn Hửu Nhân
Sinh viên 2: Bùi Tấn Đạt
Bài tiểu luận
TÌM HIỂU VỀ PHƯƠN
G THỨC TẤN
Trang 21 Giới thiệu và lý thuyết
a Sơ lược
Ngày nay Internet mang lại rất nhiều lợi ích hữu dụng cho chúng ta, một trong các tiện ích phổ thông của Internet là hệ thống thư điện tử (email), trò chuyện trực tuyến (chat), công cụ tìm kiếm (search engine), các dịch vụ thương mại và chuyển ngân và các dịch vụ về y tế giáo dục như là chữa bệnh từ xa hoặc tổ chức các lớp học ảo Chúng cung cấp một khối lượng thông tin và dịch vụ khổng lồ trên Internet
Một khối thông tin dịch vụ khổng lồ ấy có nhiều thông tin cực kỳ quan trọng và mật của nhiều tổ chưc cá nhân… và từ ấy intenet là nơi nhắm đến của nhiều thế lực xấu gọi là tội phạm công nghệ cao gọi tắt là hacker dùng nhiều phương thức xâm nhập nhằm đánh sập ăn cấp thông tin Nhiều hình thức như tấn công DDOS, ARP, Ransomware…Và bài sau đây ta sẽ nghiên cứu rõ về một trong các phương thức tấn công là ARP
b MAC, ARP là gì?
Mỗi thiết bị mạng đều có một địa chỉ MAC (Medium Access Control address) và địa chỉ đó là duy nhất Các thiết bị trong cùng một mạng thường dùng địa chỉ MAC để liên lạc với nhau tại tầng Data Link
Các thiết bị thường dùng cơ chế ARP (Address Resolution Protocol) và RARP (Reverse Address Resolution Protocol) để biết được các địa chỉ MAC, IP của các thiết bị khác
c Qua trình ARP
HostA và HostB truyền tin cho nhau, các packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host sẽ phải đóng gói MAC nguồn, MAC đích vào frame Như vậy trước khi quá trình truyền dữ liệu xảy
ra, 2 máy sẽ phải làm động tác hỏi MAC của nhau
Nếu mà HostA khởi động quá trình hỏi MAC trước, nó broadcast gói tin ARP request để hỏi MAC HostB, thì HostB coi như đã có MAC của HostA, và HostB chỉ trả lời cho A MAC của HostB thôi (gói tin trả lời từ HostB là ARP reply)
d Lỗ hổng của ARP
Address Resolution Protocol là một giao thức truyền thông được sử dụng rộng rãi để tìm ra các địa chỉ tầng liên kết dữ liệu từ các địa chỉ tầng mạng
Khi một gói tin (datagram) Giao thức Internet (IP) được gửi từ một máy đến máy khác trong mạng cục bộ, địa chỉ IP đích phải được giải quyết thành địa chỉ MAC để truyền qua tầng liên kết dữ liệu Khi biết được địa chỉ IP của máy đích, và địa chỉ MAC của nó cần truy cập, một gói tin broadcast được gửi đi trên mạng nội bộ Gói này được gọi là ARP request Máy đích với IP trong ARP request sẽ trả lời với ARP reply,
nó chứa địa chỉ MAC cho IP đó
ARP là một giao thức phi trạng thái Máy chủ mạng sẽ tự động lưu trữ bất kỳ ARP reply nào mà chúng nhận được, bất kể máy khác có yêu cầu hay không Ngay cả các mục ARP chưa hết hạn sẽ bị ghi đè khi nhận được gói tin ARP reply mới Không có phương pháp nào trong giao thức ARP mà giúp một máy
có thể xác nhận máy mà từ đó gói tin bắt nguồn Hành vi này là lỗ hổng cho phép ARP spoofing xảy ra
e Làm thế nào để tấn công bằng ARP
ARP ATTAK
Giả sử ta có mạng Lan như mô hình trên gồm các host
Attacker: là máy hacker dùng để tấn công ARP attack
IP: 10.0.0.11
Mac: 0000:0000:0111
HostA
IP: 10.0.0.09
MAC: 0000:0000:0109
HostB
IP: 10.0.0.08
MAC: 0000:0000:0108
Victim: là máy bị tấn công ARP attack
IP: 10.0.0.10
MAC: 0000:0000:0110
Attacker muốn thực hiện ARP attack đối với máy Victim Attacker muốn mọi gói tin HostA truyền tới máy Victim đều có thể chụp lại được để xem trộm Làm thế nào để Attacker có thể hiện được điều đó?
Trang 3Đầu tiên, HostA muốn gởi dữ liệu cho Victim HostA cần phải biết địa chỉ MAC của Victim để liên lạc HostA sẽ gửi broadcast ARP Request tới tất cả các máy trong cùng mạng Lan để hỏi xem IP 10.0.0.10 (IP của Victim) có địa chỉ MAC là bao nhiêu
HostB, Attacker, Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim là gửi lại gói tin ARP Reply lại cho HostA ARP Reply chứa thông tin về IP của Victim, MAC Victim, MAC HostA
Sau khi nhận được gói tin ARP Reply từ Victim, HostA đã biết được địa chỉ MAC của Victim HostA bắt đầu thực hiện liên lạc, truyền dữ liệu tới Victim HostB, Attacker không thể xem nội dung dữ liệu được truyền giữa 2 máy HostA và Victim
Attacker muốn xem dữ liệu truyền giữa HostA và Victim Attacker sử dụng kiểu tấn công ARP Spoof Attacker thực hiện gửi liên tục ARP Reply chứa thông tin về IP Victim, MAC Attacker, MAC HostA Ở đây, thay vì là MAC Victim, Attacker đã đổi thành địa chỉ MAC của mình
HostA nhận được ARP Reply và nghĩ là IP Victim 10.0.0.10 sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker) HostA lưu thông tin này vào bảng ARP Cache
Bây giờ mọi thông tin, dữ liệu HostA gửi tới 10.0.0.10 (Victim), Attacker đều có thể nhận được, Attacker có thể xem tòan bộ nội dung HostA gửi cho Victim
Attacker còn có thể kiểm sóat tòan bộ quá trình liên lạc giữa HostA và Victim thông qua ARP Attack
Attacker thường xuyên gửi các gói tin ARP Reply chứa địa chỉ IP của HostA và Victim nhưng có địa chỉ MAC là của Attacker
HostA nhận được gói tin này thì cứ nghĩ Victim sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)
Victim nhận đươc gói tin này thì cứ nghĩ HostA sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)
Mọi thông tin trao đổi giữa HostA và Victim, Attacker đều có thể nhận được Như vậy là Attacker
có thể biết được nội dung trao đổi giữa HostA và Victim
Sau khi bị tấn công ARP attack, sẽ rất nguy hiểm cho người dùng vì mọi thông tin trao đổi của họ đều bị lộ, nhất là những thông tin đó là quan trọng, cần phải giữ bí mật
f Giới hạn và điểm yếu của kiểu tấn công ARP Spoof:
- Chỉ có những máy nằm trong cùng đường mạng với máy Attacker mới bị tấn công Các máy nằm khác mạng sẽ không thể bị tấn công bằng hình thức này vì
- Trong cùng một đường mạng LAN, các máy sẽ thực hiện trao đổi dữ liệu với nhau dựa vào địa chỉ MAC HostA muốn trao đổi dữ liệu với HostB HostA sẽ dò tìm trong bảng ARP cache xem
IP của HostB sẽ có địa chỉ MAC tương ứng là gì HostA đóng gói dữ liệu cần truyền với MAC nguồn là MAC HostA, MAC đích là MAC HostB Sau đó HostA sẽ truyền dữ liệu tới HostB dựa vào MAC đích của gói tin
- Trong trường hợp HostA, HostB khác đường mạng muốn liên lạc với nhau, ta phải dựa vào địa chỉ IP để truyền dữ liệu và phải thông qua một thiết bị định tuyến, đó là router HostA sẽ đóng gói dữ liệu cần truyền với MAC nguồn là HostA, MAC đích là router Gói tin đó sẽ được truyền đến router, router sẽ dựa vào địa chỉ IP đích (IP HostB) và dò tìm trong bảng định tuyến nhằm xác định con đường đi đến HostB Router có khả năng ngăn chặn các gói tin broadcast
- Hình thức tấn công này không thể thực hiện được trong mạng WAN, trên Internet mà chỉ thực hiện được trên cùng mạng LAN
g Mô tả quá trình arp request và arp reply.
- Trong mạng LAN hiện nay có 4 host: host A, host B, host C, host D
- Host A muốn giao tiếp với host C, đầu tiên sẽ broadcast gói tin ARP Requset
- Host C nhận thấy đúng IP của mình liền trả lời MAC của mình thông qua gói tin ARP Reply, các host còn lại sẽ drop gói ARP Request
- Host A nhận được địa chỉ MAC của host C và ghi nhớ vào ARP table
2 Nguyên lý tấn công và cách phòng thủ
Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng của chúng ta, tuy nhiên nó lại không đề cập đến vấn đề xác thực nào cả Khi một host nhận được gói tin ARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host
mà mình mong muốn hay không ARP không có cơ chế nào để kiểm tra việc đó cả và trên thực tế một host
Trang 4có thể chấp nhận gói ARP Reply mà trước đó không cần phải gửi gói tin ARP Request Lợi dụng điều này, hacker có thể triển khai các phương thức tấn công như: Man In The Middle, Denial of Service, MAC Flooding
a Man in the middle(Gỉa mạo DNS)
- Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B Đầu tiên, hacker sẽ gởi gói ARP Reply đến host A với nội dung là địa chỉ MAC của hacker và địa chỉ IP của hostB
- Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội dung là MAC của máy hacker và IP của host A Như vậy, cả hai host A và host B đều tiếp nhận gói ARP Reply
đó và lưu vào trong ARP table của mình Đến lúc này, khi host A muốn gửi thông tin đến host B, nó liền tra vào ARP table thấy đã có sẵn thông tin về địa chỉ MAC của host
B nênsẽ lấy thông tin đó ra sử dụng, nhưng thực chất địa chỉ MAC đó là của hacker Đồng thời máy tính của hacker sẽ mở chức năng gọi là IP Forwading giúp chuyển tải nội dung mà host A gửi qua host B Host A và host B giao tiếp bình thường và không
có cảm giác bị qua máy trung gian là máy của hacker
- Trong trường hợp khác, hacker sẽ nghe lén thông tin từ máy bạn đến Gateway Như vậy mọi hành động ra Internet của bạn đều bị hacker ghi lại hết, dẫn đến việc mất mát các thông tin nhạy cảm
b Denial of service(Từ chối dịch vụ)
- Cũng vận dụng kỹ thuật trên, hacker tiến hành tấn công bằng cách gởi gói ARP Reply đến toàn bộ các host trong mạng với nội dung mang theo là địa chỉ IP của Gateway và địa chỉ MAC không hề tồn tại Như vậy các host trong mạng tin tưởng rằng mình đã biết được MAC của Gateway và khi gửi thông tin đến Gateway, kết quả là gửi đến một nơi hoàn toàn không tồn tại Đó là điều hacker mong muốn, toàn bộ các host trong mạng đều không thể đi ra Internet được
c Mac flooding
- Cách tấn công này cũng dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến là Switch Hacker sẽ gửi những gói ARP Reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp và trở nên quá tải Khi đó, Switch sẽ không đủ sức thể hiện bản chất Layer2 của mình nữa mà broadcast gói tin ra toàn bộ các port của mình Hacker dễ dàng bắt được toàn bộ thông tin trong mạng của bạn
d Một số Tool tấn công
- SwitchSniffer
- Cain &abel
- Netcut
e Cách phát hiện bị tấn công
- Cách 1: Sử dụng phần mềm XArp 2.0
Bạn chạy chương trình XArp 2.0 và sẽ nhìn thấy một số dòng màu đỏ, trong đó có IP Gateway, máy tấn công và các máy nạn nhân
Bạn hãy loại ra IP Gateway và các IP máy nạn nhân bị mất mạng, còn lại chính là IP của máy tính tấn công đó (máy này không bị mất mạng)
Nếu chú ý hơn vào XArp 2.0, bạn kéo ra sau cùng sẽ thấy cột How Often seen, bạn sẽ thấy số dữ liệu trao đổi giữa Gateway và các máy nạn nhân tăng lên tương ứng nhau, còn máy tấn công thì khác hẳn
- Cách 2: bạn ping đến từng máy trong mạng LAN xem máy nào kết nối chập chờn, lúc được lúc không thì đó chính là máy tấn công ARP spoofing bằng NetCut hay
ArpSpoof Tất nhiên cách này thủ công và mất nhiều thời gian hơn
f Cách phòng thủ
- ARP Poisoning là một kiểu tấn công dạng local, nghĩa là hacker thực hiện tấn công từ bên trong mạng của bạn Hậu quả của cách tấn công này là rất lớn, những người quản trị mạng cần nắm bắt rõ về kỹ thuật tấn công này Sau đây là một số kỹ thuật giúp phòng chống tấn công kiểu ARP Poisoning
1 Đối với một mạng nhỏ:
Trang 5a Ta có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó, bạn sẽ liệt kê bằng tay
IP nào đi với MAC nào Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem IP và MAC, dùng câu lệnh arp -s để thêm vào ARP table Khi mà ép tĩnh như vậy sẽ ngăn chặn hacker gởi các gói ARP Reply giả tạo đến máy của mình vì khi
sử dụng ARP table tĩnh thì nó luôn luôn không thay đổi Chú ý rằng cách thức này chỉ áp dụng được trong môi trường mạng với quy mô nhỏ, nếu mạng lớn hơn
là không thể vì chúng ta phải thêm vào ARP table bằng tay với số lượng quá nhiều
2 Đối với một mạng lớn:
a Khi quản trị trong một mạng quy mô lớn, ta có thể sử dụng chức năng Port security Khi mở chức năng Port security lên các port của Switch, ta có thể quy định port đó chỉ chấp nhận một địa chỉ MAC Như vậy sẽ ngăn chặn việc thay đổi địa chỉ MAC trên máy hacker
b Ngoài ra cũng có thể sử dụng các công cụ, ví dụ như ArpWatch Nó sẽ phát hiện
và báo cáo cho bạn các thông tin liên quan đến ARP đang diễn ra trong mạng Nhờ đó, nếu có hiện tượng tấn công bằng ARP Poisoning thì bạn có thể giải quyết kịp thời