Bài tập lớn môn an toàn mang, học viện bưu chính viễn thông (14)

Ta có thể hiểu tấn công Sniffing là việc chặn và bắt các gói tin thì tấn công Spoofing là một cuộc tấn công giả mạo, là tình huống mà một người hoặc một chương trình làm sai lệch dữ liệu

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN

Học phần: An toàn mạng

Bài báo cáo:

Tìm hiểu về công cụ Yersinia

Giảng viên hướng dẫn: TS Đặng Minh Tuấn

Sinh viên thực hiện: Nhóm 2

Phạm Đức Anh – B18DCAT010

Hà Nội 2021

Mục lục

DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT

Từ

viết tắt

Thuật ngữ tiếng Anh/Giải

STP Spanning Tree Protocol Giao thức Spanning Tree

VLAN Virtual Local Area Network Giao thức Trunking VLAN

HSRP Hot Standby Router Protocol Giao thức bộ định tuyến dự phòng

nóngDHCP Dynamic Host Configuration

DTP Dynamic Trunking Protocol Giao thức Trunking động

CDP Cisco Discovery Protocol Giao thức khám phá của Cisco

ISL Inter-Switch Link Giao thức liên kết giữa các Switch

DANH MỤC CÁC HÌNH VẼ

Lời nói đầu

Trong thời đại 4.0 hiện nay thì internet là thứ mà chúng ta không thể thiếu trong cuộc sống của mỗi chúng ta Mà đa phần các ứng dụng internet trong ngày nay sử dụng mô hình máy chủ - máy khách Sau rất nhiều nghiên cứu phân tích và thống kê, chúng ta kết luận rằng mô hình giao tiếp này rất dễ bị tấn công bởi nhiều các mối đe dọa như tấn công từ chối dịch vụ (DOS) , tấn công nghe lén ( Snifffing and spoofing),.v.v Trong tài liệu này chúng ta chủ yếu tập trung vào các nội dung tấn công nghe lén (Snifffing and spoofing) bằng các công cụ có sẵn trong kali linux Chúng

ta cũng tìm hiểu về cách thức cài đặt và hoạt động của các công cụ này để có thể phát hiện, hiểu được và chuẩn bị sẵn sàng cũng như cách khắc phục mỗi khi các cuộc tấn công xảy ra

Sniffer là thuật ngữ thường dùng để ám chỉ việc nghe lén thông tin của đối phương Trong môi trường bảo mật thông tin thì Sniffer là những công cụ có khả năng chặn bắt các gói tin trong quá trình truyền và hiển thị dưới dạng giao diện đồ họa hay dòng lệnh để có thể theo dõi dễ dàng Một

số ứng dụng sniffer cao cấp không những có thể đánh cắp các gói tin mà còn ráp chúng lại thành

dữ liệu ban đầu như là các thư điện tử hay tài liệu gốc

Bên cạnh tấn công Sniffing thì còn có tấn công Spoofing Ta có thể hiểu tấn công Sniffing là việc chặn và bắt các gói tin thì tấn công Spoofing là một cuộc tấn công giả mạo, là tình huống mà một người hoặc một chương trình làm sai lệch dữ liệu để đạt được lợi ích bất hợp pháp

Qua bài báo cáo này em có xây dựng các cơ sở lý thuyết cũng như kịch bản và demo tấn công bằng công cụ Yersinia, từ đó giúp cho các bạn đọc có thể khai thác và sử dụng công cụ Yersinia này đồng thời hiểu rõ hơn về các cuộc tấn công Sniffing và tấn công Spoofing Mặc dù bài báo cáo vẫn còn nhiều thiếu xót nhưng em mong thầy bỏ qua cho em và cho em xin những góp ý chânthành nhất để hoàn thiện bài báo cáo này hơn

Chương 1: Giới thiệu Kali Linux

1 Giới thiệu:

Kali Linux là phiên bản mới nhất của hệ điều hành Linux do Offensive Security phát hành vào tháng 3 năm 2013 Không giống như những hệ điều hành Linux khác ,Kali Linux thường được dùng để thử nghiệm xâm nhập hệ thống mạng.Đó là cách để đánh giá mức độ an toàn của một hệ thống máy tính hoặc mạng bằng cách mô phỏng một cuộc tấn công mạng

Kali Linux một OS tập hợp và phân loại gần như tất cả các công cụ thiết yếu mà bất kỳ một

chuyên gia đánh giá bảo mật nào cũng cần sử dụng đến

2 Lịch sử phát triển

Kali phát triển trên nền tảng hệ điều hành Debian, tiền thân của Kali là hệ điều hành BackTrack xuất hiện năm 2006 và nó đã không ngừng cải tiến để đạt được vị trí nhất định trong cộng đồng bảo mật

Kali Linux đã được phát hành chính thức vào ngày 13 tháng 3 năm 2013

Hỗ trợ mạng không dây tốt hơn:

-Hỗ trợ một số lượng lớn phần cứng bên trong các thiết bị mạng không dây hay USB Dongle.Một yêu cầu quan trọng khi các chuyên gia bảo mật thực hiện đánh giá mạng không dây

Khả năng tùy biến cao:

-Kali rất linh hoạt khi đề cập đến giao diện hoặc khả năng tùy biến hệ thống

Dễ dàng nâng cấp giữa các phiên bản:

-Mục đích của các nhà phát triển là duy trì và cung cấp các bản cập nhật mới nhất để Kali trở thành lựa chọn tốt nhất cho bất cứ ai tìm kiếm một hệ điều hành Pentest, một hệ điều hành dành cho công việc bảo mật chuyên nghiệp

Chương 2: Tổng quan về Sniffing

1. Giới thiệu về Sniffer

- Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là Sniffer Network Analyzer Tấn công Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng Các lưu lượng thông tin trên (trong một hệ thống mạng) Tương tự như là thiết bịcho phép nghe lén trên đường dây điện thoại Chỉ khác nhau ở môi trường là các chươngtrình Sniffer thực hiện nghe lén trong môi trường mạng máy tính

2. Đối tượng của Sniffing là:

- Password(Từ Email, Web, SMB, FTP, SQL hoặc Telnet)

- Các thông tin về thẻ tín dụng

- Văn bản của các Email

- Các tập tin di đông trên mạng (Tập tin Email, FTP, SMB)

3. Mục đích sử dụng tấn công Sniffer

- Tấn công Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau Nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình Cũng như theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này…Dưới đây

là một số tính năng của Sniffer được sử dụng theo cả hướng tích cực và tiêu cực :

+ Tự động chụp các tên người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text Password) Tính năng này thường được các Hacker sử dụng để tấn công hệ thống của bạn

+ Chuyển đổi dữ liệu trên đường truyền để những quản trị viên có thể đọc và hiểu được

ý nghĩa của những dữ liệu đó Bằng cách nhìn vào lưu lượng của hệ thống cho phép các quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống lưu lượng của mạng

4. Sniffing thường xảy ra ở đâu?

- Sniffing chủ yếu xảy ra ở mặt vật lý Nghĩa là kẻ tấn công phải tiếp cận Và có thể điều khiển một thành phần của hệ thống mạng Chẳng hạn như một máy tính nào đó Ví dụ

kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ Internet, các quán café WiFi, trong hệ thống mạng nội bộ doanh nghiệp, v.v… Trường hợp hệ thống máy tính nghe trộm Và kẻ tấn công ở cách xa nhau Kẻ tấn công tìm cách điều khiển một máy tính nào

đó trong hệ thống Rồi cài đặt trình nghe lén vào máy đó để thực hiện nghe trộm từ xa

5. Mức độ nguy hiểm của Sniffing

- Hiện nay, nghe trộm mạng thực hiện rất dễ dàng Bởi có quá nhiều công cụ giúp thực hiện như Yersinia, Ettercap, Mana, Rebind, Responder… Các công cụ này ngày càng được “tối ưu hóa” để dễ sử dụng Và tránh bị phát hiện sử được thực thi So với các kiểutấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm Bởi nó có thể ghi lại toàn bộ

thông tin được truyền dẫn trên mạng Và người sử dụng không biết là đang bị nghe trộmlúc nào Do máy tính của họ vẫn hoạt động bình thường, không có dấu hiệu bị xâm hại Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó Và hầu như chỉ có thể phòng chống trong thế bị động Nghĩa là chỉ phát hiện được bị nghe trộm khi đang ở tình trạng bị nghe trộm.

6. Các giao thức có thể sử dụng Sniffing

- Telnet và Rlogin : ghi lại các thông tin như Password, usernames

- HTTP: Các dữ liệu gởi đi mà không mã hóa

- SMTP : Password và dữ liệu gởi đi không mã hóa

- NNTP : Password và dữ liệu gởi đi không mã hóa

- POP : Password và dữ liệu gởi đi không mã hóa

- FTP : Password và dữ liệu gởi đi không mã hóa

- IMAP : Password và dữ liệu gởi đi không mã hóa

7. Phương thức hoạt động của tấn công Sniffer

- Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ Theo một khái niệm nàythì tất cả các máy tính trên một hệ thống mạng cục bộ Đều có thể chia sẻ đường truyền của hệ thống mạng đó Hiểu một cách khác tất cả các máy tính đó Đều có khả năng nhìn thấy lưu lượng dữ liệu Được truyền trên đường truyền chung đó Như vậy phần cứng Ethernet được xây dựng với tính năng lọc Và bỏ qua tất cả những dữ liệu không thuộc đường truyền chung với nó

- Nó thực hiện được điều này trên nguyên lý Bỏ qua tất cả những Frame có địa chỉ MAC không hợp lệ đối với nó Khi Sniffer được tắt tính năng lọc này Và sử dụng chế độ hỗn tạp (promiscuous mode) Nó có thể nhìn thấy tất cả lưu lượng thông tin từ máy B đến máy C Hay bất cứ lưu lượng thông tin giữa bất kỳ máy nào trên hệ thống mạng Miễn làchúng cùng nằm trên một hệ thống mạng

8. Phân loại Sniffing:

a. Active:

- Chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch gói, phổ biến hiện nay

là các dạng mạch sử dụng Switch Kẻ tấn công thực hiện sniffing dựa trên cơ chế ARP

và RARP (2 cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi các gói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gửi gói tin là

"tôi là người nhận" mặc không phải là "người nhận" Ngoài ra, các sniffer còn có thể dùng phương pháp giả địa chỉ MAC, thay đổi MAC của bản thân thành MAC của một máy hợp lệ và qua được chức năng lọc MAC của thiết bị, qua đó ép dòng dữ liệu đi qua card mạng của mình Tuy nhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông Nếu thực hiện sniffing quá nhiều máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng

b. Passive:

- Chủ yếu hoạt động trong môi trường không có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạng sử dụng Hub Do không có các thiết bị chuyển mạch gói nên

các gói tin được broadcast đi trong mạng Chính vì vậy, việc thực hiện sniffing là khá đơn giản Kẻ tấn công không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port về (dù host nhận gói tin không phải là nơi đến của gói tin đó) Hình thức sniffing này rất khó phát hiện do các máy tự broadcast các gói tin Ngày nay hình thức này thường ít được sử dụng do Hub không còn được ưa chuộng nhiều, thay vào đó là

Switch

Chương 3: Tổng quan về Spoofing.

1. Giới thiệu về Spoofing

- Spoofing là hành động ngụy trang một thông tin liên lạc của một một nguồn tin cậy, xác định bằng một nguồn không xác định

- Spoofing có thể áp dụng cho email, cuộc gọi điện thoại và trang web hoặc có thể mang tính kỹ thuật hơn, chẳng hạn như máy tính giả mạo địa chỉ IP, Giao thức phân giải địa chỉ (ARP) hoặc máy chủ Hệ thống tên miền (DNS)

- Việc giả mạo có thể được sử dụng để có quyền truy cập vào thông tin cá nhân của mục tiêu, phát tán phần mềm độc hại thông qua các liên kết hoặc tệp đính kèm bị nhiễm, bỏ qua các kiểm soát truy cập mạng hoặc phân phối lại lưu lượng để thực hiện một cuộc tấncông từ chối dịch vụ Lừa đảo thường là cách một diễn viên xấu có được quyền truy cập

để thực hiện một cuộc tấn công mạng lớn hơn như một mối đe dọa dai dẳng tiên tiến hoặc một cuộc tấn công trung gian

2. Các cuộc tấn công Spoofing

a. Giả mạo email

- Giả mạo email là hành động gửi email có địa chỉ người gửi sai, thường là một phần của cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin của nạn nhân, lây nhiễm máy tính của nạn nhân bằng phần mềm độc hại hoặc là để xin tiền Điển hình cho các email độc hại bao gồm ransomware , phần mềm quảng cáo, tiền điện tử , Trojan (như Emotet )hoặc phần mềm độc hại làm nô lệ máy tính của bạn trong botnet (xem DDoS )

- Nhưng một địa chỉ email giả mạo không phải lúc nào cũng đủ để đánh lừa người bình thường Hãy tưởng tượng nhận được một email lừa đảo với địa chỉ giống như địa chỉ Facebook trong trường người gửi, nhưng phần thân của email được viết bằng văn bản cơbản, không có thiết kế hay HTML nào để nói về ngay cả logo không phải là logo Đó không phải là thứ chúng tôi quen nhận được từ Facebook và nó sẽ giơ cờ đỏ Theo đó, email lừa đảo thường sẽ bao gồm một sự kết hợp của các tính năng lừa đảo:

+ Địa chỉ người gửi sai được thiết kế trông giống như từ một người bạn biết và tin tưởng

có thể là một người bạn, đồng nghiệp, thành viên gia đình hoặc công ty bạn kinh doanh Trong một thay đổi gần đây, một lỗi trong Gmail cho phép những kẻ lừa đảo gửi email

mà không có địa chỉ người gửi mà không phải là một người dùng bình thường của bạn

có thể nhìn thấy Phải mất một số bí quyết kỹ thuật để xem chuỗi mã độc được sử dụng

để làm cho trường "From" xuất hiện trống

+ Trong trường hợp của một công ty hoặc tổ chức, email có thể bao gồm nhãn hiệu quenthuộc; ví dụ: logo, màu sắc, phông chữ, nút gọi hành động, v.v

+ Các cuộc tấn công lừa đảo Spear nhắm vào một cá nhân hoặc nhóm nhỏ trong một công ty và sẽ bao gồm ngôn ngữ được cá nhân hóa và địa chỉ người nhận theo tên

b. Giả mạo website

- Giả mạo website là tất cả về việc làm cho một trang web độc hại trông giống như một trang web hợp pháp Trang web giả mạo này sẽ trông giống như trang đăng nhập cho một trang web mà bạn thường xuyên sử dụng cho đến thương hiệu, giao diện người dùng và thậm chí là một tên miền giả mạo trông giống nhau ngay từ cái nhìn đầu tiên Tội phạm mạng sử dụng các trang web giả mạo để nắm bắt tên người dùng và mật khẩu của bạn (còn gọi là giả mạo đăng nhập) hoặc thả phần mềm độc hại vào máy tính của bạn ( tải xuống theo ổ đĩa ) Một trang web giả mạo thường sẽ được sử dụng cùng với một trò giả mạo email, trong đó email sẽ liên kết đến trang web

- Cũng đáng lưu ý rằng một trang web giả mạo không giống như một trang web bị tấn công Trong trường hợp hack trang web , trang web thực sự đã bị xâm phạm và tiếp quản bởi tội phạm mạng không có sự giả mạo hay giả mạo liên quan Trong các quảng cáo độc hại, tội phạm mạng đã lợi dụng các kênh quảng cáo hợp pháp để hiển thị quảng cáo độc hại trên các trang web đáng tin cậy Những quảng cáo này bí mật tải phần mềm độc hại vào máy tính của nạn nhân

c. Giả mạo tin nhắn

- Giả mạo SMS là gửi tin nhắn văn bản với số điện thoại hoặc ID người gửi của người khác Nếu bạn đã từng gửi tin nhắn văn bản từ máy tính xách tay của mình, bạn đã giả mạo số điện thoại của chính mình để gửi văn bản, vì văn bản không thực sự bắt nguồn

từ điện thoại của bạn Các công ty thường giả mạo số riêng của họ, nhằm mục đích tiếp thị và thuận tiện cho người tiêu dùng, bằng cách thay thế số dài bằng ID người gửi chữ

và số ngắn và dễ nhớ Những kẻ lừa đảo làm điều tương tự mà che giấu danh tính thực

sự của họ đằng sau một ID người gửi chữ và số, thường đóng giả là một công ty hoặc tổ chức hợp pháp Các văn bản giả mạo thường sẽ bao gồm các liên kết đến các trang web lừa đảo SMS ( smishing ) hoặc tải xuống phần mềm độc hại

d. Giả mạo IP

- Giả mạo IP được sử dụng khi ai đó muốn ẩn hoặc ngụy trang vị trí mà họ đang gửi hoặc yêu cầu dữ liệu trực tuyến Vì nó áp dụng cho các mối đe dọa trực tuyến, giả mạo địa chỉ IP được sử dụng trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS) để ngăn chặn lưu lượng độc hại bị lọc ra và để ẩn vị trí của kẻ tấn công

e. Tấn công người đứng giữa(Mitm)

- Việc sử dụng Wi-Fi miễn phí ví dụ như tại quán cà phê Nếu một tên tội phạm mạng đã hack Wi-Fi hoặc tạo ra một mạng Wi-Fi lừa đảo khác ở cùng địa điểm? Trong cả hai trường hợp, có một thiết lập hoàn hảo cho một cuộc tấn công người đứng giữa , được đặt tên như vậy vì tội phạm mạng có thể chặn lưu lượng truy cập web giữa hai bên Việcgiả mạo phát huy tác dụng khi bọn tội phạm thay đổi liên lạc giữa các bên để định tuyếnlại tiền hoặc thu hút thông tin cá nhân nhạy cảm như số thẻ tín dụng hoặc thông tin đăngnhập.

- Lưu ý bên lề: Mặc dù các cuộc tấn công MitM thường chặn dữ liệu trong mạng Wi-Fi, một hình thức tấn công MitM khác chặn dữ liệu trong trình duyệt Đây được gọi là một người đàn ông trong cuộc tấn công trình duyệt (MitB)

3. Cách phát hiện tấn công Spoofing

a. Giả mạo Website

- Không có biểu tượng khóa hoặc thanh màu xanh lá cây Tất cả các trang web an toàn, có

uy tín cần phải có chứng chỉ SSL , có nghĩa là cơ quan chứng nhận của bên thứ ba đã xác minh rằng địa chỉ web thực sự thuộc về tổ chức được xác minh Một điều cần lưu ý, chứng chỉ SSL hiện miễn phí và dễ dàng có được Mặc dù một trang web có thể có ổ khóa, điều đó không có nghĩa đó là vấn đề thực sự Chỉ cần nhớ, không có gì là an toàn

100 phần trăm trên Internet

- Trang web này không sử dụng mã hóa tập tin HTTP , hay Giao thức truyền siêu văn bản, cũng cũ như Internet và nó đề cập đến các quy tắc được sử dụng khi chia sẻ tệp trênweb Các trang web hợp pháp hầu như sẽ luôn sử dụng HTTPS , phiên bản được mã hóacủa HTTP, khi truyền dữ liệu qua lại Nếu bạn đang ở trên một trang đăng nhập và bạn thấy "http" trái ngược với "https" trong thanh địa chỉ của trình duyệt, bạn nên nghi ngờ

- Sử dụng một trình quản lý mật khẩu Trình quản lý mật khẩu như 1Password sẽ tự động điền thông tin đăng nhập của bạn cho bất kỳ trang web hợp pháp nào bạn lưu trong kho mật khẩu của mình Tuy nhiên, nếu bạn điều hướng đến một trang web giả mạo, trình quản lý mật khẩu của bạn sẽ không nhận ra trang web đó và không điền vào các trường tên người dùng và mật khẩu cho bạn một dấu hiệu tốt bạn đang bị giả mạo

b. Giả mạo Email

- Google nội dung của email Một tìm kiếm nhanh có thể cho bạn biết nếu một email lừa đảo đã biết đang tìm đường trên web

- Liên kết nhúng có URL bất thường Bạn có thể kiểm tra URL trước khi nhấp bằng cách

di chuột qua chúng bằng con trỏ của bạn

- Typose, ngữ pháp xấu và cú pháp bất thường Những kẻ lừa đảo không đọc được công việc của họ

- Cảnh giác với các tập tin đính kèm Đặc biệt khi đến từ một người gửi không xác định

4. Cách phòng chống

- Đầu tiên và quan trọng nhất là phải học cách phát hiện một cuộc tấn công giả mạo

- Một số biện pháp phổ biến như sau:

+ Bật bộ lọc thư rác Điều này sẽ ngăn phần lớn các email giả mạo không bao giờ đượcgửi đến hộp thư đến.

+ Đừng nhấp vào liên kết hoặc mở tệp đính kèm trong email nếu email đến từ một người gửi không xác định Nếu có cơ hội email là hợp pháp, liên hệ với người gửi thôngqua một số kênh khác và xác nhận nội dung của email

+ Đăng nhập thông qua một tab hoặc cửa sổ riêng biệt Nếu nhận được email hoặc tin nhắn văn bản đáng ngờ, yêu cầu đăng nhập vào tài khoản và thực hiện một số hành động, ví dụ: xác minh thông tin, đừng nhấp vào liên kết được cung cấp Thay vào đó, hãy mở một tab hoặc cửa sổ khác và điều hướng đến trang web trực tiếp Ngoài ra, đăngnhập thông qua ứng dụng chuyên dụng trên điện thoại hoặc máy tính bảng

+ Nhấc điện thoại lên Nếu đã nhận được một email đáng ngờ, được cho là từ một người

mà đã biết, đừng ngại gọi điện hoặc nhắn tin cho người gửi và xác nhận rằng họ thực sự

đã gửi email Việc này sẽ tránh được việc giả mạo để nhờ mua thẻ điện thoại hay chuyểnkhoản ngân hàng…

+ Hiển thị phần mở rộng tập tin trong Windows Windows không hiển thị tiện ích mở rộng tệp theo mặc định, nhưng có thể thay đổi cài đặt đó bằng cách nhấp vào tab "Xem" trong File Explorer, sau đó chọn hộp để hiển thị tiện ích mở rộng tệp Mặc dù điều này

sẽ không ngăn chặn tội phạm mạng giả mạo các tiện ích mở rộng tệp, ít nhất sẽ có thể thấy các tiện ích mở rộng giả mạo và tránh mở các tệp độc hại đó

+ Đầu tư vào một chương trình an ninh mạng tốt Trong trường hợp nhấp vào liên kết hoặc tệp đính kèm xấu, đừng lo lắng, một chương trình an ninh mạng tốt sẽ có thể cảnh báo bạn về mối đe dọa, ngăn chặn việc tải xuống và ngăn phần mềm độc hại xâm nhập vào hệ thống hoặc mạng Ví dụ, Malwarebytes có các sản phẩm bảo mật không gian mạng cho Windows , Mac và Chromebook

Chương 4: Yersinia

1 Giới thiệu chung về Yersinia

Yersinia là một khuôn khổ để thực hiện các cuộc tấn công lớp 2 Nó được thiết kế để tận dụng một số điểm yếu trong các giao thức mạng khác nhau Nó giả vờ là một khuôn khổ vững chắc

để phân tích và kiểm tra các mạng và hệ thống đã triển khai

Nó bao gồm các cuộc tấn công lớp 2 khác nhau khai thác các điểm yếu của các giao thức lớp 2khác nhau Do đó, một pentester có thể xác định các lỗ hổng trong lớp sâu 2 của mạng Trong các đợt áp sát, yersinia được sử dụng để bắt đầu các cuộc tấn công vào các thiết bị lớp 2 như thiết bị chuyển mạch, máy chủ dhcp mở rộng giao thức cây, v.v Hiện tại yersinia hỗ trợ:

- Giao thức Spanning Tree (STP)

• Spanning Tree Protocol (STP) là một giao thức ngăn chặn sự lặp vòng, cho phép các bridge truyền thông với nhau để phát hiện vòng lặp vật lý trong mạng Sau đó giao thứcnày sẽ định rõ một thuật toán mà bridge có thể tạo ra một topology luận lý chứa loop-free Nói cách khác STP sẽ tạo một cấu trúc cây của free-loop gồm các lá và các nhánh nối toàn bộ mạng lớp 2

- Giao thức Khám phá của Cisco (CDP)

• CDP là một giao thức độc quyền của Cisco, mặc đinh thì giao thức CDP được bật trên tất cả các cổng, các cổng này sẽ gửi thông điệp CDP đến các thiết bị Cisco láng giềng, qua việc trao đổi thông điệp CDP thì các các thiết bị sẽ nắm rõ được hết các thiết bị lánggiềng của mình Các thông điệp này được gửi định kì 60s một lần và chỉ trên các đường link có trạng thái up/up

+ Giao thức độc quyền của Cisco

+ Các thiết bị của Cisco sử dụng nó để giao tiếp với nhau

+ Nó mang một số dữ liệu thú vị (Phiên bản iOS, Nền tảng, Tên miền VLAN, )

- Giao thức Trunking động (DTP)

• DTP được sử dụng trong Cisco switch để đàm phán, thỏa thuận port trên switch sẽ hoạt động ở mode access hay mode trunk

+ Giao thức độc quyền của Cisco

+ Thiết lập trunking giữa các switch

- Giao thức cấu hình máy chủ động (DHCP)

+ DHCP là giao thức cấu hình host động Nó cung cấp cho máy tính địa chỉ ip ; subnet mask; default gateway Và nó thường được cấp phát bởi DHPC server được tích hợp sẵntrên router

- Giao thức bộ định tuyến dự phòng nóng (HSRP)

• HSRP là một giao thức cho phép các Router Cisco thực hiện nhiệm vụ dự phòng

gateway cho các host trong một mạng LAN HSRP là một giao thức được phát triển bởi Cisco

- IEEE 802.1Q

- IEEE 802.1.X

- Giao thức liên kết giữa công tắc (ISL)

• Inter-Switch Link (ISL) là giao thức đóng gói frame độc quyền của Cisco lựa chọn cho cấu hình trung kế Lớp 2 Nó được dùng chính trong môi trường Ethernet, chỉ hỗ trợ trên các Router và Switch của Cisco

- Giao thức Trunking VLAN (VTP)

• Giao thức VTP có vai trò duy trì cấu hình của VLAN và đồng nhất trên toàn mạng VTP

là giao thức sử dụng đường trunk để quản lý sự thêm, xóa, sửa các VLAN trên toàn mạng từ switch trung tâm được đặt trong Server mode

1. Hướng dẫn cài đặt và sử dụng Yersinia

a. Hướng dẫn cài đặt

- Một máy chưa cài đặt tool Yersinia sẽ không thể thực hiện các lệnh của Yersinia Chính

vì thế ta phải thực hiện cài đặt Yersinia bằng câu lệnh: sudo apt install yersinia

- Installed size: 437 KB

b. Hướng dẫn sử dụng Yersinia

- Để sử dụng các câu lệnh của Yersinia ta phải vào quyền root bằng lệnh: sudo su

- Sau đó gõ lệnh: Yersinia –help để có thể thấy được hết các tùy chọn của tool Yersinia

Hình ảnh 2 1: Các tùy chọn của Yersinia

+ h, help Màn hình Trợ giúp

+ V, Version Phiên bản chương trình -V, Version

+ G Bắt đầu một phiên GTK đồ họa

+ I, interactive Bắt đầu một phiên ncurses tương tác

+ D, daemon Khởi động trình lắng nghe mạng dành cho quản trị

viên từ xa (mô phỏng Cisco CLI)

+ d Kích hoạt thông báo gỡ lỗi

+ l logfile Lưu phiên hiện tại vào tệp logfile Nếu logfile tồn

tại, dữ liệu sẽ được thêm vào ở cuối

+ c conffile Đọc / ghi các biến cấu hình từ / đến conffile

+ M Vô hiệu hóa giả mạo MAC

- GTK GUI: GTK GUI (-G) là giao diện đồ họa GTK với tất cả các tính năng mạnh mẽ của yersinia và 'giao diện' chuyên nghiệp.

- GUI Ncurses GUI: (-I) là một giao diện điều khiển dựa trên ncurses (hoặc nguyền rủa) nơi người dùng có thể tận dụng các tính năng mạnh mẽ của yersinia Nhấn 'h' để hiển thị Màn hình trợ giúp và tận hưởng phiên

- NETWORK DAEMON: Network Daemon (-D) là một máy chủ dựa trên mạng viễn thông (chế độ Cisco) lắng nghe theo mặc định ở cổng 12000 / tcp chờ các kết nối telnet đến Nó hỗ trợ CLI tương tự như thiết bị Cisco nơi người dùng (sau khi được xác thực)

có thể hiển thị các cài đặt khác nhau và có thể khởi động các cuộc tấn công mà không cần yersinia chạy trong máy của chính mình (đặc biệt là người dùng Windows hữu ích)

2. Tấn công DHCP DoS với Yersinia trong Kali Linux

Hình ảnh 3 1: Mô hình tấn công DHCP

- Sử dụng CLI để tấn công DoS vào DHCP trên Windows Server 2016 Cài đặt DHCP server trên Windows server 2016 và tạo Scope cấp IP cho nghi2204: 192.168.177.0