1.3. Mục tiêu của báo cáo Với sự phát triển mạnh mẽ của mạng máy tính hiện nay, nhu cầu sử dụng mạng cho việc trao đổi và chia sẻ thông tin là rất lớn. Tuy nhiên, đi song song với việc đó thì an ninh mạng luôn là một nỗi lo khi các hình thức tấn công mạng ngày một nhiều và ngày càng trở nên tinh vi hơn. Do vậy việc nghiên cứu về các phương pháp tấn công mạng và cách phòng chống là điều tất yếu. Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER” được thực hiện nhằm tìm hiểu về các kiểu tấn công phổ biến trên mạng. Cụ thể, bài báo cáo sẽ đi sâu vào nghiên cứu phương pháp tấn công sniffing và cách phòng chống. Mục tiêu đề ra là: Tìm hiểu một số kiểu tấn công phổ biến trên mạng. Tìm hiểu phương pháp tấn công sniffing. Cách phòng chống tấn công sniffing. CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG 2.1. Giới thiệu 2.1.1. Khái niệm sniffing Sniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc điểm của cơ chế TCPIP. Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ để các nhà quản trị mạng theo dõi, bảo trì hệ thống mạng và có thể kiểm tra các dữ liệu ra vào mạng. Về mặt tiêu cực, nó được sử dụng với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng. 2.1.2. Cơ chế hoạt động của sniffing Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng. Hình 2.1: Cơ chế hoạt động của sniffing Trong môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast). Các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu về địa chỉ MAC của frame gói tin với địa chỉ đích. Nếu trùng lập thì sẽ nhận, còn không thì cho qua. Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếp nhận. Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ “tự nhận” bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đến gói tin có đích đến không phải là nó, do sniffer chuyển card mạng của máy sang chế độ hỗn tạp (promiscuous mode). Promiscuous mode là chế độ đặc biệt. Khi card mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến. Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu “tự nhận” như ở Hub không thực hiện được. Tuy nhiên, kẻ tấn công có thể dùng các cơ chế khác để tấn công trong môi trường Switch như ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, v.v… 2.1.3. Phân loại sniffing Passive sniffing: Chủ yếu hoạt động trong môi trường không có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạng sử dụng Hub. Do không có các thiết bị chuyển mạch gói nên các gói tin được broadcast đi trong mạng. Chính vì vậy, việc thực hiện sniffing là khá đơn giản. Kẻ tấn công không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port về (dù host nhận gói tin không phải là nơi đến của gói tin đó). Hình thức sniffing này rất khó phát hiện do các máy tự broadcast các gói tin. Ngày nay hình thức này thường ít được sử dụng do Hub không còn được ưa chuộng nhiều, thay vào đó là Switch. Active sniffing: Chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạch sử dụng Switch. Kẻ tấn công thực hiện sniffing dựa trên cơ chế ARP và RARP (2 cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi các gói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gửi gói tin là “tôi là người nhận” mặc không phải là “người nhận”. Ngoài ra, các sniffer còn có thể dùng phương pháp giả địa chỉ MAC, thay đổi MAC của bản thân thành MAC của một máy hợp lệ và qua được chức năng lọc MAC của thiết bị, qua đó ép dòng dữ liệu đi qua card mạng của mình. Tuy nhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông. Nếu thực hiện sniffing quá nhiều máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng.
GIỚI THIỆU
Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạng 8 1.2 Các kiểu tấn công mạng phổ biến
Trong bối cảnh hội nhập toàn cầu, an ninh mạng và bảo mật dữ liệu ngày càng trở nên quan trọng Mặc dù cơ sở hạ tầng và công nghệ mạng được cải thiện, nhưng tình trạng tấn công mạng lại gia tăng, khiến vấn đề bảo mật trở nên cấp bách hơn bao giờ hết Không chỉ các nhà cung cấp dịch vụ Internet và cơ quan chính phủ, mà cả doanh nghiệp và tổ chức cũng đang nâng cao nhận thức về an toàn thông tin Bảo mật thông tin là việc bảo vệ dữ liệu trước các mối đe dọa về thông tin bị lộ.
Thông tin không còn toàn vẹn và không sẵn sàng có thể dẫn đến những rủi ro nghiêm trọng Bên cạnh đó, việc bảo vệ thông tin là cần thiết để chống lại các nguy cơ mất an toàn, bao gồm những mối đe dọa tiềm ẩn.
Bảo mật thông tin là một yếu tố quan trọng trong việc giảm thiểu thiệt hại và mất mát do các tội phạm khác gây ra Nó bao gồm cả cấu trúc và quá trình xử lý nhằm nâng cao mức độ bảo vệ thông tin hiệu quả.
Các nguyên tắc nền tảng của an ninh mạng:
Tính bí mật là khả năng ngăn ngừa việc tiết lộ trái phép thông tin nhạy cảm, đảm bảo rằng chỉ những người được cấp phép mới có quyền truy cập Trong lĩnh vực an ninh mạng, tính bí mật là yếu tố quan trọng hàng đầu và thường xuyên phải đối mặt với các cuộc tấn công.
Tính toàn vẹn là khả năng phát hiện và ngăn chặn việc sửa đổi trái phép đối với dữ liệu, thông tin và hệ thống, nhằm đảm bảo độ chính xác của chúng Ba mục đích chính của việc đảm bảo tính toàn vẹn bao gồm bảo vệ thông tin khỏi sự can thiệp, duy trì độ tin cậy của hệ thống và đảm bảo rằng dữ liệu luôn chính xác và nhất quán.
- Ngăn cản sự làm biến dạng nội dung thông tin của những người sử dụng không được phép.
- Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm của những người sử dụng được phép
- Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài.
Tính sẵn sàng của hệ thống đảm bảo rằng người dùng hợp pháp có thể truy cập thông tin và mạng một cách kịp thời và liên tục, không bị gián đoạn Điều này liên quan mật thiết đến độ tin cậy của hệ thống, giúp duy trì hiệu suất và sự ổn định trong quá trình sử dụng.
1.2 Các kiểu tấn công mạng phổ biến
Có rất nhiều kiểu tấn công mạng để xâm nhập vào một hệ thống máy tính, nhưng phổ biến thường là các kiểu tấn công sau đây:
Cuộc tấn công trực tiếp thường được áp dụng trong giai đoạn đầu để chiếm quyền truy cập vào hệ thống Một trong những phương pháp cổ điển là dò tìm tên người sử dụng và mật khẩu, vì nó đơn giản và dễ thực hiện Kẻ tấn công có thể sử dụng thông tin như tên người dùng, ngày sinh, địa chỉ và số nhà để đoán mật khẩu Nếu có danh sách người sử dụng và thông tin về môi trường làm việc, kẻ tấn công có thể sử dụng chương trình tự động để dò tìm mật khẩu Phương pháp này có thể cho phép kẻ tấn công đạt được quyền quản trị hệ thống (root hoặc administrator).
Hai chương trình phổ biến trong phương pháp này là Sendmail và Rlogin trên hệ thống Unix Sendmail, một chương trình phức tạp với hàng ngàn dòng mã nguồn C, yêu cầu quyền của người quản trị hệ thống để ghi vào hộp thư người dùng Do tiếp nhận trực tiếp các yêu cầu mạng thư tín, Sendmail có thể tạo ra những lỗ hổng bảo mật cho hệ thống Rlogin cho phép người dùng truy cập từ xa vào máy khác trên mạng, nhưng không kiểm tra độ dài dòng nhập khi nhập tên và mật khẩu, cho phép kẻ tấn công sử dụng xâu lệnh đã tính toán trước để ghi đè mã chương trình của Rlogin và chiếm quyền truy cập.
Việc nghe trộm thông tin trên mạng có thể thu thập dữ liệu quan trọng như tên và mật khẩu của người dùng, cũng như các thông tin nhạy cảm khác Kẻ tấn công thường tiến hành nghe trộm sau khi đã chiếm quyền truy cập vào hệ thống, sử dụng các chương trình để đưa card giao tiếp mạng (NIC) vào chế độ nhận toàn bộ thông tin lưu thông trên mạng Những thông tin này có thể dễ dàng bị lấy cắp từ Internet.
Giả mạo địa chỉ IP có thể được thực hiện thông qua khả năng dẫn đường trực tiếp, cho phép kẻ tấn công gửi các gói tin IP tới mạng bên trong với địa chỉ IP giả mạo, thường là địa chỉ của một mạng hoặc máy được coi là an toàn Kẻ tấn công cũng chỉ định đường dẫn mà các gói tin IP phải đi qua, tạo ra nguy cơ tiềm ẩn cho an ninh mạng.
Một kiểu tấn công phổ biến là vô hiệu hóa các chức năng của hệ thống, khiến nó không thể thực hiện nhiệm vụ đã được thiết kế Tấn công này khó có thể ngăn chặn, bởi vì các công cụ được sử dụng để tấn công cũng chính là những công cụ cần thiết cho việc làm việc và truy cập thông tin trên mạng Chẳng hạn, việc sử dụng lệnh ping với tần suất cao có thể làm cho hệ thống tiêu hao toàn bộ tài nguyên tính toán và băng thông mạng, dẫn đến việc không còn đủ khả năng để thực hiện các công việc hữu ích khác.
Lỗi của người quản trị hệ thống không phải là một hình thức tấn công từ bên ngoài, nhưng chúng thường tạo ra các lỗ hổng bảo mật nghiêm trọng Những lỗ hổng này có thể bị kẻ tấn công khai thác để truy cập trái phép vào mạng nội bộ.
Tấn công vào yếu tố con người:
Kẻ tấn công có thể giả mạo người dùng để yêu cầu thay đổi mật khẩu hoặc quyền truy cập, từ đó thực hiện các phương pháp tấn công khác Không có thiết bị nào có thể ngăn chặn hiệu quả kiểu tấn công này, do đó, việc giáo dục người dùng về các yêu cầu bảo mật là rất quan trọng để nâng cao cảnh giác với những hành vi đáng ngờ Yếu tố con người luôn là điểm yếu trong hệ thống bảo vệ, và chỉ có sự hợp tác cùng với giáo dục người dùng mới có thể cải thiện độ an toàn của hệ thống.
PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG
Giới thiệu
Sniffing là một hình thức nghe lén trên mạng dựa vào cơ chế TCP/IP, cho phép người dùng theo dõi thông tin giữa hai thiết bị như điện thoại hoặc thiết bị đầu cuối trên internet Công cụ này thường được các quản trị mạng sử dụng để theo dõi và bảo trì hệ thống, cũng như kiểm tra dữ liệu ra vào mạng Tuy nhiên, về mặt tiêu cực, sniffing cũng có thể bị lạm dụng để thu thập thông tin quan trọng từ mạng.
2.1.2 Cơ chế hoạt động của sniffing
Các giao dịch giữa các hệ thống mạng máy tính thường sử dụng dữ liệu ở dạng nhị phân Để hiểu được loại dữ liệu này, các chương trình nghe lén cần có khả năng phân tích các giao thức và giải mã dữ liệu nhị phân.
Hình 2.1: Cơ chế hoạt động của sniffing
Trong môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy
Khi B gửi gói tin, nó sẽ được phát đến tất cả các máy khác kết nối với Hub theo cơ chế loan tin (broadcast) Các máy nhận gói tin sẽ so sánh địa chỉ MAC của frame với địa chỉ đích Nếu địa chỉ trùng khớp, máy sẽ tiếp nhận gói tin; nếu không, gói tin sẽ bị bỏ qua Do gói tin từ A chỉ được gửi đến B, nên chỉ có B mới nhận gói tin này.
Máy cài đặt chương trình nghe trộm có khả năng tự động nhận diện bất kỳ gói tin nào lưu chuyển qua Hub, ngay cả khi gói tin không hướng đến nó Điều này xảy ra nhờ vào việc card mạng được chuyển sang chế độ hỗn tạp (promiscuous mode), cho phép nó nhận tất cả các gói tin mà không cần kiểm tra địa chỉ đích.
Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu
Tại môi trường Switch, việc "tự nhận" không khả thi, nhưng kẻ tấn công có thể áp dụng các phương thức khác như ARP spoofing, MAC spoofing, MAC duplicating và DNS spoofing để thực hiện các cuộc tấn công.
Passive sniffing chủ yếu diễn ra trong môi trường không có thiết bị chuyển mạch gói, như mạng sử dụng Hub Trong trường hợp này, các gói tin được phát đi dưới dạng broadcast, khiến việc sniffing trở nên dễ dàng Kẻ tấn công chỉ cần bắt các gói tin từ Port mà không cần gửi gói tin giả mạo, vì máy tự động broadcast gói tin Hình thức sniffing này rất khó phát hiện, nhưng hiện nay ít được sử dụng do Hub đã dần bị thay thế bởi Switch.
Active sniffing chủ yếu diễn ra trong môi trường có thiết bị chuyển mạch gói, như các switch hiện nay Kẻ tấn công thực hiện sniffing thông qua cơ chế ARP và RARP, phát đi các gói tin đầu độc để giả mạo danh tính, thông báo cho máy gửi gói tin rằng chúng là "người nhận" Ngoài ra, các sniffer có thể thay đổi địa chỉ MAC của mình thành địa chỉ MAC hợp lệ để vượt qua chức năng lọc MAC của thiết bị, từ đó ép dòng dữ liệu đi qua card mạng của chúng Tuy nhiên, việc này tiêu tốn băng thông và nếu thực hiện trên nhiều máy, lượng gói tin giả mạo gửi đi có thể dẫn đến tình trạng nghẽn mạng.
2.1.4 Các hình thức tấn công
Sniffing là phương pháp nghe lén thông tin trên mạng, nhằm khai thác tài nguyên mạng và theo dõi thông tin một cách bất hợp pháp Các hacker đã lợi dụng kỹ thuật này để lấy thông tin nhạy cảm, biến nó thành một hình thức hack Có nhiều phương pháp thực hiện sniffing, cả tấn công chủ động lẫn bị động Bài viết này sẽ trình bày chi tiết về 6 phương pháp tấn công sniffing.
1) Lắng nghe thông tin qua Hub
2) Lắng nghe thông tin qua Span Port trên Switch
3) Lắng nghe thông tin qua nút trung gian
4) Lắng nghe thông tin qua Gateway
5) Chặn bắt thông tin dùng ARP – poisoning
6) Chặn bắt thông tin dùng DNS – spoofing
Lắng nghe thông tin qua Hub
Sniffing trên mạng môi trường Hub là một giấc mơ cho những ai muốn theo dõi lưu lượng mạng, vì gói tin gửi qua Hub sẽ được phát đến tất cả các cổng kết nối Khi một gói tin được chuyển từ máy A sang máy B, nó sẽ đồng thời được gửi đến tất cả các máy khác kết nối với Hub thông qua cơ chế loan tin (broadcast).
Để phân tích lưu lượng dữ liệu qua máy tính kết nối với thiết bị Hub, người dùng chỉ cần kết nối một packet sniffer vào cổng trống trên Hub Tuy nhiên, do dữ liệu thường ở dạng nhị phân, các chương trình nghe lén cần có khả năng giải mã để hiểu thông tin Kẻ tấn công cũng sẽ chuyển card mạng sang chế độ Promiscuous, cho phép nó nhận diện tất cả các gói tin trên mạng mà không cần kiểm tra địa chỉ đích Nhờ đó, kẻ tấn công có thể theo dõi toàn bộ truyền thông giữa máy tính và các thiết bị khác kết nối với Hub.
Ngày nay, mạng Hub không còn được ưa chuộng do chỉ cho phép một thiết bị truyền thông tại một thời điểm Các thiết bị kết nối qua Hub phải chia sẻ băng thông, dẫn đến tình trạng cạnh tranh giữa chúng Khi nhiều thiết bị cố gắng truyền thông cùng lúc, xung đột dễ xảy ra, gây ảnh hưởng đến hiệu suất mạng.
Hình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thời điểm
Mất mát gói tin gây ra tình trạng tắc nghẽn mạng, khi các thiết bị phải truyền lại gói tin nhiều lần, có thể lên đến 3-4 lần, dẫn đến hiệu năng mạng giảm sút Hơn nữa, tấn công qua Hub rất khó phát hiện vì các máy tự động phát sóng gói tin.
2.3.Lắng nghe thông tin qua nút trung gian
Kẻ tấn công mạo danh cả hai bên trong cuộc trò chuyện để truy cập vào tài khoản, tương tự như cuộc trò chuyện giữa khách hàng và máy chủ hoặc giữa hai người Bằng cách chặn một public key, kẻ tấn công có thể giả mạo thông tin đăng nhập của một bên, từ đó lừa người dùng tin rằng họ đang giao tiếp an toàn với nhau.
Có thể hiểu nôm na là:
Trong quá trình hai bên trao đổi khóa công khai để chia sẻ dữ liệu, một bên thứ ba có thể can thiệp và đánh cắp khóa công khai của cả hai.
Kẻ tấn công sử dụng khóa công khai đã lấy được để tạo niềm tin với hai đối tượng khác, qua đó trở thành trung gian trong việc luân chuyển dữ liệu.
Lắng nghe thông tin qua Span Port trên Switch
SPAN(Switch Port Analyzer- cổng chuyển đổi phân tích máy) cho phép bạn thu thập thông tin từ một cổng đến một cổng khác trên cùng một Switch
SPAN san chép tất cả các đơn vị dữ liệu giao thức quy định cho một Port và truyền đến port đích của SPAN
Hình 2.4.1: Cơ chế hoạt động của Span port
Khi thiết lập SPAN, cần lưu ý rằng nếu port nguồn có băng thông lớn hơn port đích, giao thông sẽ bị dừng lại trong trường hợp link bị nghẽn.
Lắng nghe thông tin qua Gateway
Với sự gia tăng số lượng hệ thống và nút kết nối internet, địa chỉ IPv4 không còn đủ để xác định duy nhất tất cả các thiết bị Do đó, các địa chỉ không thể định tuyến được sử dụng trong mạng LAN để nhận diện các nút, tất cả đều kết nối với internet thông qua gateway.
Hình 2.3.1: Mô hình làm việc của Gateway
Trong hệ thống mạng thông thường, tất cả lưu lượng đều đi qua gateway, nơi lưu lượng được phân phối đến các nút trong mạng LAN Các khái niệm như NAT và ARP (Giao thức phân giải địa chỉ) được sử dụng để duy trì bảng ánh xạ MAC-IP Địa chỉ MAC là duy nhất và được coi là địa chỉ phần cứng, trong khi địa chỉ IPv4 được gán động khi một nút tham gia mạng Khi nhận lưu lượng mạng, gateway sử dụng NAT để dịch địa chỉ IP đích sang địa chỉ IPv4 cục bộ, sau đó tìm kiếm địa chỉ MAC tương ứng trong bảng ARP và tạo lớp Ethernet mới với địa chỉ MAC vừa phát hiện.
Tuyến đường [Gateway] đang bị nhiễm độc do một cuộc tấn công giả mạo gói tin, trong đó địa chỉ IP nguồn của một máy được thay thế bằng địa chỉ MAC nguồn của một máy khác Khi nút nhận thấy sự khác biệt này, nó sẽ cập nhật bảng ARP để phản ánh sự thay đổi.
Quá trình tấn công chi tiết sẽ được giới thiệu kỹ trong phần bắt chặn thông tin bằng ARP poisoning.
Chặn bắt thông tin dùng ARP – Poisoning
2.6.1 Khái niệm và nguyên tắc làm việc của ARP trong mạng LAN
Tầng Network trong mô hình OSI sử dụng các địa chỉ quy ước như IP và IPX, tuy nhiên, các card mạng (NIC) chỉ kết nối qua địa chỉ MAC, địa chỉ duy nhất của phần cứng Do đó, giao thức Address Resolution Protocol (ARP) được áp dụng để chuyển đổi giữa các dạng địa chỉ này.
Khi một thiết bị mạng cần xác định địa chỉ MAC của một thiết bị khác đã biết địa chỉ IP, nó sẽ gửi một yêu cầu ARP (ARP request) bao gồm địa chỉ MAC của chính nó và địa chỉ IP của thiết bị cần tìm Tất cả các thiết bị trong miền broadcast sẽ nhận yêu cầu này và so sánh địa chỉ IP trong yêu cầu với địa chỉ IP của mình Nếu có sự trùng khớp, thiết bị đó sẽ gửi lại một phản hồi ARP (ARP reply) cho thiết bị gửi yêu cầu, kèm theo địa chỉ MAC của nó.
Trong một hệ thống mạng đơn giản, khi PC A muốn gửi gói tin đến PC B chỉ biết địa chỉ IP của PC B, nó sẽ phát một yêu cầu ARP broadcast cho toàn mạng để hỏi "địa chỉ MAC của PC có địa chỉ IP này là gì?" Khi PC B nhận được yêu cầu broadcast này, nó sẽ so sánh địa chỉ IP trong gói tin với địa chỉ IP của chính nó Nếu trùng khớp, PC B sẽ phản hồi lại cho PC A.
B sẽ gửi lại một gói tin ARP reply cho PC A, trong đó có chứa địa chỉ MAC của
B Sau đó PC A mới bắt đầu truyền gói tin cho B.
Hình 2.6.1: Cách thức hoạt động của ARP
ARP là giao thức phi trạng thái, cho phép máy chủ mạng tự động lưu trữ tất cả các phản hồi ARP mà chúng nhận được, bất kể có yêu cầu từ máy khác hay không Các mục ARP chưa hết hạn có thể bị ghi đè khi nhận được phản hồi ARP mới, và không có phương pháp nào trong giao thức ARP giúp xác nhận nguồn gốc của gói tin Hành vi này tạo ra lỗ hổng cho phép xảy ra hiện tượng ARP spoofing.
2.6.1 Cách thức hoạt động của ARP poisoning
Giao thức ARP được thiết kế để tạo điều kiện thuận lợi cho việc trao đổi địa chỉ giữa lớp thứ 2 (tầng data-link) và lớp thứ 3 (tầng network) trong mô hình OSI Lớp thứ hai sử dụng địa chỉ MAC, cho phép các thiết bị phần cứng giao tiếp trực tiếp trong một phạm vi nhỏ, trong khi lớp thứ ba sử dụng địa chỉ IP để xây dựng mạng rộng lớn hơn, hỗ trợ giao tiếp toàn cầu.
Giao thức ARP hoạt động dựa trên hai gói tin chính là ARP request và ARP reply, với mục đích xác định địa chỉ MAC tương ứng với địa chỉ IP Gói tin request được gửi đến tất cả các thiết bị trong mạng nhằm tìm kiếm địa chỉ MAC, từ đó giúp các luồng dữ liệu được truyền đi một cách chính xác đến đích mà không bị nhầm lẫn với các thiết bị khác.
Xin chào, địa chỉ IP của tôi là X.X.X.X và tôi đang cần gửi một gói tin đến máy có địa chỉ IP Y.Y.Y.Y Tuy nhiên, tôi không có địa chỉ MAC của máy đó Nếu ai có địa chỉ IP Y.Y.Y.Y, xin vui lòng phản hồi và cung cấp địa chỉ MAC của bạn để tôi có thể trao đổi gói tin này.
Khi máy cần phản hồi, nó sẽ gửi gói ARP reply với thông điệp xác nhận địa chỉ IP và MAC của mình Sau khi quá trình truyền gói tin hoàn tất, thiết bị phát sẽ cập nhật bảng ARP cache, cho phép hai thiết bị giao tiếp hiệu quả với nhau.
Việc tấn công gói tin ARP khai thác những điểm yếu và thiếu bảo mật của giao thức ARP Rõ ràng, gói ARP request và reply có những bất cập, cho phép bất kỳ máy tính nào không sở hữu địa chỉ Y.Y.Y.Y có thể giả mạo và cung cấp địa chỉ MAC của mình Hệ thống không có cơ chế kiểm soát chặt chẽ đối với người nhận, mà chỉ dựa vào địa chỉ IP để thực hiện việc chuyển tiếp thông tin.
Giao thức ARP khác với DNS ở chỗ nó cho phép cập nhật động mà không cần cấu hình, cho phép bất kỳ thiết bị nào gửi gói ARP reply đến máy tính khác, dẫn đến việc cập nhật bảng ARP cache ngay lập tức Việc gửi ARP reply mà không có yêu cầu trước được gọi là ARP “cho không” Khi các gói ARP reply này đến tay máy tính đã gửi yêu cầu, chúng có thể nhầm lẫn và thiết lập kết nối với kẻ tấn công giả danh, tạo điều kiện cho cuộc tấn công Man-in-the-Middle (MITM).
2.6.2 Các biện pháp phòng chống
Ngày nay, sự phát triển của phần mềm bảo mật và giao thức HTTPS đã làm cho ARP - Poisoning trở nên kém hiệu quả hơn so với trước đây.
Có thể kể đến một vài biện pháp để phòng chống như:
Giả mạo ARP Cache là một kỹ thuật tấn công nhằm chặn lưu lượng giữa hai thiết bị trong cùng một mạng LAN Mối lo ngại chính là liệu thiết bị nội bộ có bị thỏa hiệp hoặc có ai đó cắm thiết bị không tin cậy vào mạng Dù đã tập trung vào bảo mật mạng, việc phòng chống các mối đe dọa từ bên trong và duy trì thái độ bảo mật tốt có thể giúp loại trừ nguy cơ tấn công này.
Để bảo vệ chống lại các vấn đề an toàn trong ARP request và ARP reply, một giải pháp hiệu quả là thực hiện quy trình kém động hơn bằng cách bổ sung các entry tĩnh vào ARP cache trên máy tính Windows Trong những mạng có cấu hình ổn định, việc tạo danh sách các entry ARP tĩnh và sử dụng chúng cho các client qua kịch bản tự động sẽ giúp đảm bảo rằng các thiết bị luôn dựa vào ARP cache nội bộ thay vì thực hiện các ARP request và ARP reply.
Một trong những phương pháp phòng chống hiện tượng giả mạo hiệu quả là kiểm tra ARP cache, liên quan đến việc giám sát lưu lượng mạng của các thiết bị Chúng ta có thể sử dụng các hệ thống phát hiện xâm phạm như Snort hoặc các công cụ chuyên dụng như xARP để thực hiện điều này Mặc dù phương pháp này khả thi cho từng thiết bị riêng lẻ, nhưng nó vẫn gặp khó khăn trong việc áp dụng cho toàn bộ mạng.
Chặn bắt thông tin dùng DNS – Spoofing
Giao thức DNS (Domain Name System) là một trong những giao thức quan trọng nhất trên Internet, cho phép liên kết giữa địa chỉ IP và tên miền Mỗi website có một tên miền và một địa chỉ IP riêng Khi người dùng nhập tên miền vào trình duyệt, DNS server sẽ chuyển đổi tên miền thành địa chỉ IP, giúp trình duyệt truy cập vào website mà không cần nhớ địa chỉ IP phức tạp Các máy chủ DNS hoạt động cùng nhau để thực hiện quá trình này, giúp người sử dụng chỉ cần nhớ tên miền thay vì các con số khó nhớ của địa chỉ IP.
2.7.2 Phương pháp tấn công DNS – Spoofing
DNS spoofing là một kỹ thuật tấn công mà kẻ xấu cung cấp thông tin DNS sai lệch cho người dùng Khi người dùng cố gắng truy cập vào một trang web, họ có thể bị chuyển hướng đến một địa chỉ giả mạo tương tự như địa chỉ thật mà không hề hay biết Hậu quả là kẻ tấn công có thể đánh cắp thông tin nhạy cảm, cài đặt phần mềm độc hại, hoặc gây ra tình trạng từ chối dịch vụ.
Hình 2.7.1: Mô hình tấn công DNS - spoofing
Khi người dùng cố gắng truy cập hộp thư điện tử tại www.mybank.com với địa chỉ IP X.X.X.X, một kỹ thuật tấn công sẽ chuyển hướng yêu cầu của họ đến một trang giả mạo có địa chỉ IP Y.Y.Y.Y Mục đích của kẻ tấn công là chiếm đoạt tài khoản của người dùng.
Một trong những phương pháp phổ biến để thực hiện kỹ thuật DNS Spoofing là DNS ID Spoofing Mỗi truy vấn DNS được gửi qua mạng đều mang theo một số nhận dạng duy nhất, giúp phân biệt các truy vấn và phản hồi chính xác Kẻ tấn công có thể chặn một truy vấn DNS từ máy nạn nhân bằng cách tạo ra một gói dữ liệu giả mạo, trong đó chứa số nhận dạng tương ứng, nhằm khiến gói dữ liệu này được chấp nhận bởi máy nạn nhân.
Hình 2.7.2: Tấn công giả mạo DNS sử dụng phương pháp ID
Quá trình tấn công được thực hiện qua hai bước: đầu tiên là ARP Cache Poisoning, nhằm định tuyến lại lưu lượng của thiết bị qua máy chủ tấn công Điều này cho phép kẻ tấn công chặn yêu cầu DNS và gửi gói dữ liệu giả mạo, khiến nạn nhân truy cập vào website giả mạo thay vì trang chính thức mà họ muốn vào.
2.7.3 Các biện pháp phòng chống DNS Spoofing
Tấn công DNS Spoofing rất khó phát hiện do thiếu dấu hiệu rõ ràng, khiến nạn nhân không nhận ra mình đang bị chuyển hướng đến trang giả mạo cho đến khi gặp sự cố khi đăng nhập Nếu kẻ tấn công không khéo léo, nạn nhân có thể nhận thấy điều bất thường ngay khi giao diện trang web xuất hiện.
Một số hướng phòng chống tấn công DNS Spoofing:
Bảo mật hệ thống máy tính của bạn là rất quan trọng, vì nhiều tấn công thường xuất phát từ nội bộ Để ngăn chặn việc bị lợi dụng chuyển hướng DNS, cần phải chú trọng vào bảo mật từ các yếu tố môi trường và con người ngay từ đầu.
Tránh sử dụng DNS cho các hệ thống bảo mật là rất quan trọng, đặc biệt khi môi trường chứa dữ liệu nhạy cảm của công ty Để bảo vệ thông tin, cần hạn chế sử dụng Internet và cấm truy cập mạng trên các máy tính này.
Sử dụng IDS (Hệ thống phát hiện dấu hiệu xâm nhập) giúp phát hiện các cuộc tấn công giả mạo ARP cache và DNS khi được triển khai trên hệ thống của bạn.
Sử dụng DNSSEC là một giải pháp mới cho DNS, giúp đảm bảo tính hợp lệ của các phản hồi truy vấn thông qua việc áp dụng các bản ghi DNS có chữ ký Giải pháp này đã được triển khai một cách nhất định.
Cách phòng chống các Phương pháp tấn công
Để phát hiện các chương trình nghe lén trên mạng, người dùng có thể sử dụng các phần mềm như AntiSniff, PromiScan, Promqry, PromqryUI, ARPwatch và Ettercap Trong đó, Ettercap không chỉ có khả năng nghe trộm mà còn hỗ trợ phát hiện các hoạt động nghe lén thông qua các plugin như arp_cop (phát hiện ARP poisoning), find_ettercap (phát hiện các trình Ettercap khác), scan_poisoner (phát hiện máy thực hiện poisoning), và seach_promisc (phát hiện máy đang nghe lén ở chế độ hỗn tạp).
Sử dụng các chương trình giám sát mạng như IDS (Hệ thống phát hiện xâm nhập) miễn phí Snort giúp phát hiện các hiện tượng lạ, bao gồm ARP spoofing, để có biện pháp đối phó kịp thời Mặc dù phần mềm phát hiện nghe trộm mang lại sự thuận tiện cho người dùng cuối, nhưng nhược điểm lớn là chỉ có khả năng phát hiện sau khi sự việc đã xảy ra, tức là trong trạng thái bị động Hầu hết các chương trình này dựa vào việc phát hiện tình trạng Promiscuous và ARP spoofing để cảnh báo về nguy cơ nghe lén.
Dưới đây là một số giải pháp phòng chống – nên sử dụng kết hợp
– Giới hạn mức độ và phạm vi broadcast bằng cách phân chia VLAN (Virtual Local Area Network);
Để hạn chế khả năng bị cài đặt chương trình nghe lén, cần áp dụng chính sách quản lý cài đặt phần mềm cho hệ thống Đồng thời, việc áp dụng tính năng bảo mật cổng (port security) sẽ giúp ngăn chặn các thiết bị mạng kết nối trái phép.
Đối với mạng nhỏ, việc sử dụng địa chỉ IP tĩnh và bảng ARP tĩnh là cần thiết để giảm thiểu nguy cơ tấn công ARP spoofing Điều này có thể được thực hiện thông qua việc giám sát chặt chẽ sự thay đổi địa chỉ MAC trên thiết bị switch.
– Áp dụng cơ chế one-time password – thay đổi password liên tục.
To ensure secure data transmission, it is essential to implement encryption mechanisms such as SSL (Secure Sockets Layer) and Virtual Private Networks (VPNs) This involves replacing or limiting the use of unencrypted communication protocols with encrypted alternatives For instance, utilizing SSH (Secure Shell) instead of Telnet or Rlogin, opting for SFTP (Secure File Transfer Protocol) in place of FTP, and using secure messaging platforms like Trillian or Jabber can significantly enhance data security during communication.
