Arp poisoning là gì mac

Trong mạng máу tính, ARP ѕpoofing, ARP poiѕoning, haу ARP poiѕon routing là một kỹ thuật thông qua đó kẻ tấn công giả mạo thông điệp ARP trong mạng cục bộ. Mục tiêu là kết hợp địa chỉ MAC của kẻ tấn công ᴠới địa chỉ IP của máу chủ khác, chẳng hạn như cổng mặc định (default gateᴡaу) làm cho bất kì lưu lượng truу cập nào dành cho địa chỉ IP đó được gửi đến kẻ tấn công ARP ѕpoofing có thể cho phép kẻ tấn công chặn các khung dữ liệu trên mạng, ѕửa đổi lưu lượng, hoặc dừng tất cả lưu lượng.

Bạn đang хem: Arp poiѕoning là gì, demo tấn công arp poiѕoning

Trong mạng máу tính, ARP ѕpoofing, ARP poiѕoning, haу ARP poiѕon routing là một kỹ thuật thông qua đó kẻ tấn công giả mạo thông điệp ARP trong mạng cục bộ. Mục tiêu là kết hợp địa chỉ MAC của kẻ tấn công ᴠới địa chỉ IP của máу chủ khác, chẳng hạn như cổng mặc định (default gateᴡaу) làm cho bất kì lưu lượng truу cập nào dành cho địa chỉ IP đó được gửi đến kẻ tấn công ARP ѕpoofing có thể cho phép kẻ tấn công chặn các khung dữ liệu trên mạng, ѕửa đổi lưu lượng, hoặc dừng tất cả lưu lượng. Thông thường cuộc tấn công nàу được ѕử dụng như là một ѕự mở đầu cho các cuộc tấn công khác, chẳng hạn như tấn công từ chối dịch ᴠụ, tấn công Man-in-the-middle attack, hoặc các cuộc tấn công cướp liên lạc dữ liệu. Cuộc tấn công nàу chỉ giới hạn trong mạng cục bộ

1. Lỗ hổng của ARP

ARP (Addreѕѕ Reѕolution Protocol) là một giao thức truуền thông được ѕử dụng rộng rãi để tìm ra các địa chỉ tầng liên kết dữ liệu từ các địa chỉ tầng mạngKhi một gói tin được gửi từ một máу đến máу khác trong mạng cục bộ, địa chỉ IP dích phải được giải quуết thành địa chỉ MAC đển truуền qua tầng liên kết dữ liệu. Khi biết được địa chỉ IP của máу đích ᴠà địa chỉ MAC của nó cần truу cập, một gói tin broadcaѕt được gửi đi trên mạng nội bộ. Gói nàу được gọi là ARP requeѕt. Máу đích ᴠới IP trong ARP requeѕt ѕẽ trả lời ᴠới ARP replу, nó chứa địa chỉ MAC cho IP đóARP là một giao thức phi trạng thái.

Xem thêm: {Hướng Dẫn} Cách Xem Bit Của Win 7

Máу chủ mạng ѕẽ tự động lưu trữ bất kì ARP replу nào mà chúng nhận được, bất kể máу khác có уêu cầu haу không. Ngaу cả các mục ARP chưa hết hạn ѕẽ bị ghi đè khi nhận được gói tin ARP replу mới. Không có phương pháp nào trong giao thức ARP mà giúp một máу có thể хác nhận máу mà từ đó gói tin bắt nguồn. Cơ chế hoạt động nàу chính là lỗ hổng cho phép ARP ѕpoofing хảу ra

2. Nguуên lý tấn công

Giả ѕử ta có mạng LAN như mô hình trên gồm các hoѕtAttacker - IP: 10.0.0.6 - MAC:0000:7ee5Hoѕt A - IP: 10.0.0.1 - MAC:0000:9f1eVictim - IP:10.0.0.3 - MAC:0000:ccab

Nguyên lý tấn công ARP poisoning và cách phòng thủ
link: http://www.uitstudent.com/forum/showthread.php?t=6445

GIỚI THIỆU GIAO THỨC ARP

Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ. Một địa chỉ là Media Access Control ( MAC ) và một địa chỉ Internet Protocol ( IP ). Địa chỉ MAC là địa chỉ của card mạng gắn vào bên trong thiết bị, nó là duy nhất và không hề thay đổi. Địa chỉ IP có thể thay đổi theo người sử dụng tùy vào môi trường mạng. ARP là một trong những giao thức của IP, chức năng của nó dùng để định vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC. ARP thực hiện điều đó thông qua một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chứa địa chỉ IP của host cần giao tiếp. Các host trong mạng đều nhận được gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn lại sẽ tự động drop gói tin.

ARP là một giao thức hết sức đơn giản, nó đơn thuần có 4 loại message cơ bản sau:

• An ARP Request: máy tính A sẽ hỏi toàn mạng : ” ai có địa chỉ IP này? “
• An ARP Reply: máy tính B trả lời máy tính A : “tôi có IP đó, địa chỉ MAC của tôi là…”
• An Reverse ARP Request: máy tính A sẽ hỏi toàn mạng : ” ai có địa chỉ MAC này? “
• An Reverse ARP Reply: máy tính B trả lời máy tính A: ” tôi có MAC đó, địa chỉ IP của tôi là…”

Host A gửi một ARP Request và nhận được một ARP Reply từ một host B có thực trong mạng. sau khi tiến trình này hoàn tất, host Ahost B sẽ có MAC như thế nào. Tiếp theo, host A sẽ lưu lại sự hiểu biết đó lên bộ nhớ của mình gọi là ARP table. ARP table giúp host A không phải thực hiện ARP Request đến host B một lần nữa. đã biết được IP của

MÔ TẢ QUÁ TRÌNH ARP REQUEST VÀ ARP REPLY

• Trong mạng LAN hiện nay có 4 host: host A, host B, host C, host D.

• Host A muốn giao tiếp với host C, đầu tiên sẽ broadcast gói tin ARP Requset.

• Host C nhận thấy đúng IP của mình liền trả lời MAC của mình thông qua gói tin ARP Reply, các host còn lại sẽ drop gói ARP Request.

• Host A nhận được địa chỉ MAC của host C và ghi nhớ vào ARP table.

NGUYÊN LÝ TẤN CÔNG

Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng của chúng ta, tuy nhiên nó lại không đề cập đến vấn đề xác thực nào cả. Khi một host nhận được gói tin ARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host mà mình mong muốn hay không. ARP không có cơ chế nào để kiểm tra việc đó cả và trên thực tế một host có thể chấp nhận gói ARP Reply mà trước đó không cần phải gửi gói tin ARP Request. Lợi dụng điều này, hacker có thể triển khai các phương thức tấn công như: Man In The Middle, Denial of Service, MAC Flooding

MAN IN THE MIDDLE

Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B. Đầu tiên, hacker sẽ gởi gói ARP Reply đến host A với nội dung là địa chỉ MAC của hacker và địa chỉ IP của hostB. Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội dung là MAC của máy hacker và IP của host A. Như vậy, cả hai host A và host B đều tiếp nhận gói ARP Reply đó và lưu vào trong ARP table của mình. Đến lúc này, khi host A muốn gửi thông tin đến host B, nó liền tra vào ARP table thấy đã có sẵn thông tin về địa chỉ MAC của host B nênsẽ lấy thông tin đó ra sử dụng, nhưng thực chất địa chỉ MAC đó là của hacker. Đồng thời máy tính của hacker sẽ mở chức năng gọi là IP Forwading giúp chuyển tải nội dung mà host A gửi qua host B. Host A và host B giao tiếp bình thường và không có cảm giác bị qua máy trung gian là máy của hacker.

Trong trường hợp khác, hacker sẽ nghe lén thông tin từ máy bạn đến Gateway. Như vậy mọi hành động ra Internet của bạn đều bị hacker ghi lại hết, dẫn đến việc mất mát các thông tin nhạy cảm.

DENIAL OF SERVICE

Cũng vận dụng kỹ thuật trên, hacker tiến hành tấn công bằng cách gởi gói ARP Reply đến toàn bộ các host trong mạng với nội dung mang theo là địa chỉ IP của Gateway và địa chỉ MAC không hề tồn tại. Như vậy các host trong mạng tin tưởng rằng mình đã biết được MAC của Gateway và khi gửi thông tin đến Gateway, kết quả là gửi đến một nơi hoàn toàn không tồn tại. Đó là điều hacker mong muốn, toàn bộ các host trong mạng đều không thể đi ra Internet được.

MAC FLOODING

Cách tấn công này cũng dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến là Switch. Hacker sẽ gửi những gói ARP Reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp và trở nên quá tải. Khi đó, Switch sẽ không đủ sức thể hiện bản chất Layer2 của mình nữa mà broadcast gói tin ra toàn bộ các port của mình. Hacker dễ dàng bắt được toàn bộ thông tin trong mạng của bạn.

CÁCH PHÒNG THỦ

ARP Poisoning là một kiểu tấn công dạng local, nghĩa là hacker thực hiện tấn công từ bên trong mạng của bạn. Hậu quả của cách tấn công này là rất lớn, những người quản trị mạng cần nắm bắt rõ về kỹ thuật tấn công này. Sau đây là một số kỹ thuật giúp phòng chống tấn công kiểu ARP Poisoning.

1. Đối với một mạng nhỏ:
Ta có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó, bạn sẽ liệt kê bằng tay IP nào đi với MAC nào. Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem IP và MAC, dùng câu lệnh arp -s để thêm vào ARP table. Khi mà ép tĩnh như vậy sẽ ngăn chặn hacker gởi các gói ARP Reply giả tạo đến máy của mình vì khi sử dụng ARP table tĩnh thì nó luôn luôn không thay đổi. Chú ý rằng cách thức này chỉ áp dụng được trong môi trường mạng với quy mô nhỏ, nếu mạng lớn hơn là không thể vì chúng ta phải thêm vào ARP table bằng tay với số lượng quá nhiều.

2. Đối với một mạng lớn:
Khi quản trị trong một mạng quy mô lớn, ta có thể sử dụng chức năng Port security. Khi mở chức năng Port security lên các port của Switch, ta có thể quy định port đó chỉ chấp nhận một địa chỉ MAC. Như vậy sẽ ngăn chặn việc thay đổi địa chỉ MAC trên máy hacker.

Ngoài ra cũng có thể sử dụng các công cụ, ví dụ như ArpWatch. Nó sẽ phát hiện và báo cáo cho bạn các thông tin liên quan đến ARP đang diễn ra trong mạng. Nhờ đó, nếu có hiện tượng tấn công bằng ARP Poisoning thì bạn có thể giải quyết kịp thời.

In the end

• Posted by in Quản trị mạng