VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
- -BÁO CÁO AN NINH MẠNG
CHỦ ĐỀ: VẬN DỤNG CÁC KỸ THUẬT TẤN CÔNG MẠNG TRONG TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG
Giảng viên hướng dẫn: TS Nguyễn Ngọc Điệp Nhóm:
Vũ Hồng Dương B16DCAT042 NTTống Đình Hoàn B16DCAT062
Ngô Thành Công B16DCAT017Nguyễn Thị Hà Trang B16DCAT057Nguyễn Thùy Dương B16DCAT041
Hà Nội, ngày 25 tháng 11 năm 2020
Trang 2MỤC LỤC
LỜI MỞ ĐẦU 3
PHẦN 1: THẾ NÀO LÀ TẤN CÔNG ĐÁNH CẮP THÔNG TIN NGƯỜI DÙNG ? 5
1.1 Thông tin người dùng bị đánh cắp như thế nào ? 5
1.2 Điều gì xảy ra với thông tin bị đánh cắp 5
PHẦN 2: TẤN CÔNG ĐÁNH CẮP THÔNG TIN ĐĂNG NHẬP SỬ DỤNG KĨ THUẬT SPOOFING + PHISHING 7
2.1 Đặt vấn đề 7
2.2 Cơ sở lý thuyết 7
2.2.1 Giao thức ARP và DNS 7
a Giao thức ARP 7
b Giao thức DNS 8
2.2.2 Tổng quan về Spoofing 10
2.2.3 Phishing 11
2.3 Xây dựng hệ thống 12
2.3.1 Xây dựng mô hình tấn công 12
2.3.2 Phân tích kịch bản tấn công 13
2.3.3 Các bước tấn công 14
2.3.4 Thử nghiệm và đánh giá kết quả 20
2.4 Các biện pháp phát hiện và phòng tránh tấn công 21
2.4.1 Về phía người dùng thông thường: 21
2.4.2 Phân tích về mặt kĩ thuật: 21
PHẦN 3: CAPTURE WEBCAM NGƯỜI DÙNG SỬ DỤNG KĨ THUẬT PHISHING + SOCIAL ENGINEERING 29
3.1 Đặt vấn đề 29
3.2 Cơ sở lý thuyết 29
3.2.1 Tìm hiểu về ngrok 29
3.2.2 Social Engineering 30
3.2.3 Phishing (Tham khảo tại phần 2) 32
3.3 Xây dựng hệ thống 32
3.3.1 Xây dựng mô hình tấn công 32
3.3.3 Các bước tấn công 33
3.3.4 Thử nghiệm và đánh giá kết quả 39
3.4 Các biện pháp phát hiện và phòng tránh tấn công 40
3.4.1 Phát hiện phòng chống qua của kẻ tấn công 40
3.4.2 Phòng chống trên các thiết bị 40
3.4.3 Phát hiện nhận dạng những Mail giả mạo 40
TÀI LIỆU THAM KHẢO 42
Trang 3LỜI MỞ ĐẦU
Trong thời đại công nghệ, dữ liệu & thông tin của người dùng Internet đóng vaitrò quan trọng trong việc phát triển của doanh nghiệp cũng như việc quản lý của các cơquan chức trách Tuy nhiên, những thông tin này luôn đứng trước một nguy cơ bị rò rỉ do
sự tấn công của tin tặc và là miếng mồi béo bở của các hacker Vậy làm sao để hacker cóthể thực hiện tấn công, họ sẽ làm gì với những thông tin đó, làm sao để ngăn chặn
Trong phạm vi bài báo cáo này, nhóm em muốn giới thiệu một cách trực quan nhấtmột số kiểu tấn công ăn cắp thông tin người dùng phổ biến và có thể áp dụng vào trongthực tế giúp người dùng thông thường có thể biết được cách một hacker tấn công ăn cắpthông tin của người Đồng thời nhóm cũng đưa ra các biện pháp giúp người dùng có thểnhận dạng, phòng tránh những cuộc tấn công đó
Bài báo cáo này chứa những kĩ thuật tấn công, vì vậy những nội dung tấn côngchỉ mang tính chất tham khảo, nhóm khuyến cáo không nên áp dụng cũng như thực hiệnnhững kiểu tấn công này nhằm mục đích xấu
Trong báo cáo không thể tránh khỏi những thiếu xót, mong thầy góp ý để nhóm
em có thể hoàn thiện bài báo cáo một cách tốt nhất Chúng em xin cảm ơn !
Trang 4DANH MỤC HÌNH ẢNH
Hình 1 Các nguy cơ bị mất dữ liệu 6
Hình 2: Mô hình hoạt động của giao thức ARP 9
Hình 3: Mô hình hoạt động của hệ thống DNS 11
Hình 4 Mô hình tấn công DNS Spoofing + Web phishing 14
Hình 5 Setoolkit Config Options 16
Hình 6 Chọn các Web template có sẵn 17
Hình 7 Scan host trên Ettercap 18
Hình 8: Kích hoạt ARP Spoofing 18
Hình 9 Kích hoạt plugin DNS Spoofing 19
Hình 10 Trang web đăng nhập google giả mạo 19
Hình 11 Thông báo đã spoofing dns thành công 20
Hình 12 Setoolkit trả về Usename/password người dùng 21
Hình 13 Bảng ARP 23
Hình 14 Bảng ARP sau khi bị tấn công ARP Spoofing 23
Hình 15 Sử dụng wireshark phát hiện tấn công ARP spoofing 24
Hình 16 Giao diện công cụ xARP 25
Hình 17 Công cụ xARP phát hiện giả mạo MAC 25
Hình 18: Sử dụng VPN 26
Hình 19 Sử dụng nslookup phát hiện giả mạo DNS 28
Hình 20 Mô hình tấn công Capture Camera 33
Hình 21 Giao diện công cụ SayCheese 34
Hình 22 Config SayCheese để thực hiện tấn công 35
Hình 23 Giao diện Setoolkit 36
Hình 24 Các kiểu tấn công Social Engineering trong Setoolkit 36
Hình 25 Giao diện Mass Mailer Attack 37
Hình 26 Config Mass Mailer Attack 37
Hình 27 Setup nội dung mail để dụ dỗ người dùng 38
Hình 28 Mail giả mạo mà nạn nhân nhận được 38
Hình 29 Người dùng truy cập vào link lạ trong Mail 39
Hình 30 Hình ảnh chụp từ camera nạn nhân được gửi về 40
Hình 31 Hình ảnh nạn nhân 40
Trang 5PHẦN 1: THẾ NÀO LÀ TẤN CÔNG ĐÁNH CẮP THÔNG TIN
NGƯỜI DÙNG
1.1 Thông tin người dùng bị đánh cắp như thế nào
Bất cứ ai sử dụng máy tính có kết nối Internet đều có thể là nạn nhân của cáchackers Chúng thường sử dụng các trò lừa đảo như email spam có chứa mã độc hoặc gửitin nhắn và các trang web không có thật để cung cấp phần mềm độc hại nguy hiểm nhằmxâm phạm an ninh máy tính của bạn Tin tặc cũng có thể cố gắng truy cập trực tiếp vàomáy tính và thông tin cá nhân của bạn nếu bạn không được tường lửa bảo vệ Chúng cóthể theo dõi các cuộc hội thoại của bạn nhằm tìm kiếm thông tin hoặc dụ dỗ bạn tiết lộthông tin cá nhân dưới hình thức ẩn danh
Hình 1 Các nguy cơ bị mất dữ liệu
Tiếp theo, thông tin bị đánh cắp sẽ được sắp xếp theo mức độ hữu dụng Khôngphải tất cả dữ liệu đều hữu ích nhưng các thông tin như mật khẩu và các chi tiết xác thựccộng với số điện thoại, email và địa chỉ, số thẻ tín dụng và tên đều rất có giá trị
1.2 Điều gì xảy ra với thông tin bị đánh cắp
- Tống tiền thông qua phần mềm gián điệp có chứa mã độc (ransomware):
Trang 6Một trong những hành vi phổ biến nhất của tin tặc là đánh cắp dữ liệu để tống tiềnnạn nhân Chúng sẽ chiếm quyền truy cập vào máy tính của bạn và mã hóa toàn bộ dữliệu cá nhân tìm được Một khi dữ liệu đã bị mã hóa thì chỉ có một chìa khóa đặc biệt bímật mới có thể giải mã được Và tin tặc thường tống tiền người dùng để trao đổi chìakhóa bí mật này Cái giá mà Ransomware đưa ra cho nạn nhân cũng rất đa dạng, “nhẹnhàng” thì cỡ 20$, “nặng đô” hơn có thể tới hàng ngàn $ (nhưng trung bình thì hay ởmức 500 – 600$), cũng có trường hợp chấp nhận thanh toán bằng Bitcoin Tuy nhiên, cácbạn cần phải chú ý rằng cho dù có trả tiền cho hacker cũng không đảm bảo một cáchtuyệt đối rằng bạn sẽ lấy lại được dữ liệu.
- Đánh cắp danh tính
Danh tính chính là các thông tin cá nhân như: tên, tuổi, giới tính, email và cácthông tin nằm trong account của bạn Tin tặc có thể sử dụng nó để phục vụ cho các ý đồxấu trong tương lai – bao gồm đánh cắp nhiều thông tin có giá trị hơn thông qua những gì
đã thu thập được hoặc truy xuất vào thẻ tín dụng, thẻ ngân hàng của bạn nhằm tạo ranhững giao dịch ảo
- Bán ra chợ đen
Hầu hết các dữ liệu bị đánh cắp sẽ bị bán ra chợ đen trên một nền tảng được gọi làdeep web Theo Quartz, một bộ đầy đủ thông tin cá nhân của ai đó bao gồm mã số ansinh, địa chỉ, ngày sinh và thông tin thẻ tín dụng sẽ có giá từ 1 đến 450 đô la
Có rất nhiều khả năng có thể xảy ra sau khi thông tin cá nhân bị bán ra ngoài chợđen Một số các tình huống có thể xảy ra sẽ bao gồm: khai thuế gian lận, áp dụng khoảnvay, tạo thẻ giả mạo, thanh toán hóa đơn, chuyển tiền, khởi động các cuộc tấn công spam,lừa đảo hay sử dụng chính những thông tin đó để tống tiền nạn nhân,
- Đánh cắp sở hữu trí tuệ
Chúng ta đang sống trong một thế giới chạy đua về công nghiệp, bí mật thươngmại và quyền sở hữu trí tuệ Trong đó, quyền sở hữu trí tuệ là một trong những mục tiêuhàng đầu của các hackers – những người thậm chí được bảo trợ bởi một thế lực lớn đứngđằng sau như các tập đoàn hoặc chính phủ Theo các đại diện thương mại tại Mỹ, hoạtđộng đánh cắp quyền sở hữu trí tuệ tại Trung Quốc tiêu tốn hơn 50 tỷ USD mỗi năm
Trang 7PHẦN 2: TẤN CÔNG ĐÁNH CẮP THÔNG TIN ĐĂNG NHẬP SỬ
DỤNG KĨ THUẬT SPOOFING + PHISHING 2.1 Đặt vấn đề
Chúng ta thường có thói quen đến những quán café có free internet để làm việchay đơn giản là lướt web đọc báo Chúng ta bắt đầu với việc laptop lên và bắt đầu bằngviệc kết nối wifi của quán cafe, đăng nhập tài khoản google, facebook,… của mình Vàrồi sau đó bỗng dưng chúng ta bị kick ra khỏi phiên đăng nhập mà không hiểu lí do tạisao, ta thử đăng nhập lại và mật khẩu cũ của bạn đã không thể sử dụng được nữa Vậychúng ta đã trở thành nạn nhân của cuộc tấn công ăn cắp thông tin đăng nhập bởi một kẻ
lạ mặt nào đó dùng chung mạng LAN với chính chúng ta
Cuộc tấn công ăn cắp thông tin đăng nhập người dùng xảy ra rất thường xuyên khingười dùng truy cập vào những mạng công cộng Sau đây chúng ta sẽ tìm hiểu cách thựchiện một cuộc tấn công ăn cắp thông tin đăng nhập của người dùng
- Cơ chế hoạt động
Thiết bị gửi sử dụng ARP để dịch địa chỉ IP sang địa chỉ MAC Thiết bị sẽ gửi mộtrequest ARP có chứa địa chỉ IP của thiết bị nhận Tất cả thiết bị trên local network sẽthấy thông điệp này, nhưng chỉ thiết bị có địa chỉ IP chứa trong request mới phản hồi lạivới thông điệp mà chứa địa chỉ MAC của nó Thiết bị gửi khi đó sẽ có đủ thông tin để gửipacket tới thiết bị nhận
Trang 8 Các packets request ARP được gửi tới địa chỉ broadcast (FF:FF:FF:FF:FF:FF đối vớiEthernet broadcasts và 255.255.255.255 cho IP broadcast).
Hình 2: Mô hình hoạt động của giao thức ARP
Giả sử HOST A muốn giao tiếp với SERVER HOST A biết địa chỉ IP của SERVER,nhưng nó không biết địa chỉ MAC của SERVER Để tìm được địa chỉ MAC củaSERVER, thì HOST A gửi request ARP, liệt kê địa chỉ IP của SERVER như là địa chỉ IPđích và địa chỉ MAC FF:FF:FF:FF:FF:FF (Ethernet broadcast) Switch khi đó sẽ chuyểnframe tới tất cả interface (ngoại trừ incoming interface) Mỗi thiết bị trên đoạn mạng sẽnhận được packet, nhưng vì địa chỉ IP đích là địa chỉ IP của SERVER, nên chỉ SERVER
sẽ trả lời gói tin ARP, liệt kê địa chỉ MAC của nó trong đó Lúc này HOST A đã có đủthông tin để gửi traffic tới cho SERVER
Trang 9lại Trên Internet, DNS tự động chuyển đổi các tên miền chúng ta
gõ vào thanh địa chỉ trên trình duyệt web thành địa chỉ IP
Trong trường hợp máy chủ tên miền cục bộ không có cơ sở dữliệu về tên miền này nó sẽ hỏi lên các máy chủ tên miền ở mứccao nhất (máy chủ tên miền làm việc ở mức ROOT) Máy chủ tênmiền ở mức ROOT này sẽ chỉ cho máy chủ tên miền cục bộ địachỉ của máy chủ tên miền quản lý các tên miền có đuôi vn
Tiếp đó, máy chủ tên miền cục bộ gửi yêu cầu đến máy chủ quản
lý tên miền Việt Nam (.VN) tìm tên miền matbao.vn
Máy chủ tên miền cục bộ sẽ hỏi máy chủ quản lý tên miền vnn.vnđịa chỉ IP của tên miền qldt.ptit.edu.vn Do máy chủ quản lý tênmiền vnn.vn có cơ sở dữ liệu về tên miền qldt.ptit.edu.vn nên địachỉ IP của tên miền này sẽ được gửi trả lại cho máy chủ tên miềncục bộ
Cuối cùng, máy chủ tên miền cục bộ chuyển thông tin tìm được đến máy của người sử dụng Người sử dụng dùng địa chỉ IP này
để kết nối đến server chứa trang web có địa chỉ qldt.ptit.edu.vn
Trang 10Hình 3: Mô hình hoạt động của hệ thống DNS
2.2.2 Tổng quan về Spoofing
Spoofing attack là kiểu tấn công mạo danh thiết bị phần cứng hoặc mạo danh người dùng khác trên mạng, để thực hiện các cuộc tấn công vào máy chủ mạng, đánh cắp dữ liệu, phát tán phần mềm độc hại hoặc vượt qua các kiểm soát truy cập Một số phương pháp phổ biến nhất bao gồm tấn công giả mạo địa chỉ IP, tấn công giả mạo ARP và tấn công giả mạo máy chủ DNS
a ARP Spoofing
- ARP Spoofing là gì?
Trong mạng máy tính, ARP spoofing, ARP cache poisoning, hay ARP poison routing, làmột kỹ thuật qua đó kẻ tấn công giả thông điệp ARP trong mạng cục bộ Nói chung, mục tiêu làkết hợp địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy chủ khác, chẳng hạn như cổng mặcđịnh (default gateway), làm cho bất kỳ lưu lượng truy cập nào dành cho địa chỉ IP đó được gửiđến kẻ tấn công
- Công dụng
Trang 11ARP spoofing có thể cho phép kẻ tấn công chặn các frame dữ liệu trên mạng, sửa đổi lưulượng, hoặc dừng tất cả lưu lượng Thông thường cuộc tấn công này được sử dụng như là một sự
mở đầu cho các cuộc tấn công khác, chẳng hạn như tấn công từ chối dịch vụ, tấn công the-middle, hoặc các cuộc tấn công ăn cắp trao đổi dữ liệu
Man-in-b DNS Spoofing
- DNS Spoofing là gì ?
DNS Spoofing (tên tiếng anh là DNS cache poisoning) là một hình thức tấn côngtrong đó dữ liệu hệ thống tên miền giả mạo được đưa vào bộ đệm của trình phân giảiDNS, khiến máy chủ DNS trả về các bản ghi giá mạo Dẫn đến lưu lượng truy cập đượcchuyển hướng đến máy tính của kẻ tấn công (hoặc bất kỳ máy tính nào khác)
Khi bị tấn công, người dùng truy cập đến địa chỉ mong muốn nhưng sẽ được gửiđến một địa chỉ IP giả mạo Địa chỉ IP giả mạo này đã được kẻ tấn công tạo ra trước đóvới mục đích ăn cắp thông tin tài khoản ngân hàng hay bất cứ tài khoản nào của ngườidùng
- Công dụng
o Cài đặt Malware trên máy nạn nhân.
o Lừa người sử dụng truy cập tới các website giả mạo do attacker lập ra để
thực hiện các hành vi lừa đảo, ăn cắp mật khẩu, thông tin đăng nhập, càicắm các phần mềm độc hại
o Tăng traffic cho website: Attacker chuyển hướng người dùng khi họ truy
cập các website thông thường về địa chỉ website mà attacker muốn tăngtraffic Mỗi khi người dùng truy cập một trong các website kia thì trả về địachỉ IP website mà attacker mong muốn, qua đó làm tăng traffic chowebsite
o Gián đoạn dịch vụ: Mục đích này nhằm ngăn chặn người dùng sử dụng một
dịch vụ của một nhà cung cấp nào đó
2.2.3 Phishing
Trang 12Đúng như cách gọi tên của nó phishing = câu cá Kẻ tấn công sẽ thực hiện “thảmồi” và chờ người dùng “cắn câu” và mức độ cao hơn sẽ là “cắn câu hàng loạt” Vànhững thứ cắn câu chính là thông tin của nạn nhân.
Phishing là một phần trong quá trình tấn công Social Engineering nên ranh giớicũng như khái niệm về 2 kiểu tấn công này khá gần nhau Nhưng có thể phân biệt rằngSocial Engineering là kĩ thuật tấn công lấy thông tin hay thuyết phục đánh vào con người,còn phishing sẽ là những kiểu moi thông tin người dùng mang tính kĩ thuật
Nhưng tóm lại, ta có thể hiểu rằng, phishing chính là một kiểu tấn công lấy cắpnhững thông tin về tài khoản, những thông tin mà bạn có thể nhập được trên các trangweb hay những thông tin lấy được thông qua sự ủy quyền hay do chính nạn nhân vô tìnhcung cấp trên mạng mà họ không hề hay biết
Website Phisihing là website mà kẻ tấn công tạo ra, giả mạo các trang web mạng
xã hội, ngân hàng, giao dịch trực tuyến, ví điện tử,…để lừa người dùng chia sẻ, nhập các thông tin cá nhân nhạy cảm
Trước tình trạng xuất hiện nhiều website giả mạo ngân hàng điện tử để đánh cắp tên truy cập, mật khẩu, nhằm chiếm đoạt tiền từ tài khoản ngân hàng, người dùng cần phải nhận dạng được và có cách phòng tránh các tấn công lừa đảo này để bảo vệ thông tin
cá nhân, thông tin dữ liệu của chính mình
Các cuộc tấn công Phishing thường nhằm các mục đích:
- Lây nhiễm phần mềm độc hại cho thiết bị
- Đánh cắp thông tin đăng nhập, thông tin cá nhân.
- Kiểm soát các tài khoản trực tuyến.
- Thuyết phục bạn sẵn sàng gửi tiền hoặc vật có giá trị
- Xâm nhập vào email, họ có thể gửi thư rác cho những người bạn biết bằng các tin
nhắn lừa đảo mạo danh người dùng
2.3 Xây dựng hệ thống
Trang 132.3.1 Xây dựng mô hình tấn công
Hình 4 Mô hình tấn công DNS Spoofing + Web phishing
- Các thành phần
o Máy Attacker: Kali Linux - 192.168.1.14
o Máy Victim: Windows 7 - 192.168.1.17
o Gateway: 192.168.1.1
- Các công cụ sử dụng
o Setoolkit: Phishing website, capture username/password
o Etthercap: Scan hosts + ARP poisoning (ARP spoofing) + DNS
spoofing + MITM (Man in the middle)
2.3.2 Phân tích kịch bản tấn công
- Ta có máy Windows 7 đóng vai trò là người dùng thông thường Máy Kali Linux
là máy đóng vai trò là kẻ tấn công Hai máy tính trên sẽ được nối cùng một mạngLAN 192.168.1.0/24
- Máy Kali Linux sẽ tiến hành các kiểu tấn công ARP Spoofing DNS Spoofing
và Phishing website Khi đó máy người dùng khi mở trình duyệt và nhập vào địa
Trang 14chỉ thanh tìm kiếm domain google.com Lập tức trình duyệt sẽ điều hướng máyngười dùng đến trang đăng nhập google (Fake website), người dùng nhậpUsename và Password và ấn nút đăng nhập Trình duyệt lại trả về trang web đăngnhập google thật và người dùng tiến hành đăng nhập như bình thường Ngườidùng không hề hay biết họ đã vừa đăng nhập vào một trang web giả mạo vàUsename Password của họ đã được gửi về máy Kali Linux thông qua công cụSetoolkit
Bước 2: Kẻ tấn công sử dụng công cụ Setoolkit để tạo fake website
giống trang đăng nhập Google
- Khởi động setoolkit bằng câu lệnh setoolkit
- Chọn kiểu tấn công Social-Engineering Attacks
- Chọn Website Attack Vectors
- Chọn Credential Harvester Exploit Menthod
- Chọn Web Template
- Tiến hành nhập IP máy Kali Linux
Trang 15Hình 5 Setoolkit Config Options
- Chọn Template Google
Trang 17- Add IP của máy Victim vào Target 2
Hình 7 Scan host trên Ettercap
- Tiến hành ARP Spoofing để fake MAC
Hình 8: Kích hoạt ARP Spoofing
Trang 18- Kích hoạt plugin DNS Spoofing bằng cách chọn Plugins Manage Plugins và chọn kích hoạt dns_spoof
Hình 9 Kích hoạt plugin DNS Spoofing
Bước 4: Truy cập google.com trên máy Windows 7 nhận thấy trang Web fake giống hệt
trang thật Tuy nhiên nếu để ý kĩ thì ta thấy trang web không dùng giao thức mã hóa https
Hình 10 Trang web đăng nhập google giả mạo
- Kiểm tra trên Ettercap thấy thông báo đã giả mạo thành công địa chỉ
www.google.com ứng với IP máy Kali Linux là 192.168.1.14
Trang 19Hình 11 Thông báo đã spoofing dns thành công
- Tiến hành đăng nhập, lập tức công cụ Setoolkit sẽ trả về giá trị nhập vào 2 ô là tên
đăng nhập và mật khẩu Như vậy ta đã lấy được Usename và Password từ người dùng
Trang 20Hình 12 Setoolkit trả về Usename/password người dùng
2.3.4 Thử nghiệm và đánh giá kết quả
- Ưu điểm:
o Kiểu tấn công rất khó có thể phát hiện cũng như ngăn chặn.
o Tấn công mang tính thực chiến cao, có thể ăn cắp thông tin các tài khoản
nhạy cảm như tài khoản ngân hàng, tài khoản công ty, tổ chức,…
o Dễ thực hiện và áp dụng.
- Nhược điểm:
Trang 21o Vẫn có tỉ lệ thất bại nhất đinh: Khi cache trên trình duyệt người dùng đã lưu
địa chỉ IP ứng với Domain đó và thực hiện trả về querry nhanh hơn máy Kali Từ đó nạn nhân vẫn truy cập thẳng tới trang web thật
2.4 Các biện pháp phát hiện và phòng tránh tấn công
2.4.1 Về phía người dùng thông thường:
o Chú ý đến mục thông tin trang web bên cạnh thanh duyệt web Chỉ tin
tưởng các trang web có biểu tượng khóa sử dụng giao thức HTTPS Giao thức HTTP rất dễ bị tấn công kiểu MITM
o Khi truy cập tại các địa điểm cung cấp mạng công cộng, không nên đăng
nhập các tài khoản quan trọng trên máy tính
o Sử dụng 3G/4G hoặc bật VPN khi truy cập mạng ở những nơi công cộng.
o Thường xuyên xóa bộ nhớ cache trên trình duyệt để loại bỏ những phần
DNS bị nhiễm độc
2.4.2 Phân tích về mặt kĩ thuật:
a Phát hiện và phòng chống ARP poisoning/spoofing
- Cách phát hiện ARP Spoofing
ARP Spoofing có thể được phát hiện theo nhiều cách khác nhau Ta có thể sử dụngCommand Prompt của Windows, một trình phân tích gói mã nguồn mở như Wiresharkhoặc các phần mềm hỗ trợ như XArp
Trang 22Hình 13 Bảng ARP
Bảng hiển thị địa chỉ IP ở cột bên trái và địa chỉ MAC ở giữa Nếu bảng chứa haiđịa chỉ IP khác nhau có cùng địa chỉ MAC, thì có thể bạn đang trải qua một cuộc tấncông ARP Spoofing
Ví dụ, giả sử rằng bảng ARP của bạn chứa một số địa chỉ khác nhau Khi bạn quétqua nó, bạn có thể nhận thấy rằng hai trong số các địa chỉ IP có cùng địa chỉ MAC
Hình 14 Bảng ARP sau khi bị tấn công ARP Spoofing
Internet Address Physical Address
192.168.115.1 00-0c-29-a5-6-0b192.168.115.129 00-0c-29-a5-6-0b
Như bạn có thể thấy, cả địa chỉ MAC đầu tiên và thứ hai đều khớp với nhau Điềunày cho thấy rằng chủ sở hữu của địa chỉ IP 192.168.115.129 rất có thể là kẻ tấn công
o Phương án khác
+ Wireshark có thể được sử dụng để phát hiện ARP Spoofing bằng cách phân tích
các gói tin, phương pháp này áp dụng cho những người có kiến thức về mạng