Các công cụ sử dụng trong ARP Spoofing Attack
Có nhiều công cụ như Arpspoof, Cain & Abel, Arpoison và Ettercap có sẵn để bắt đầu giả mạo ARP.
Đây là ảnh chụp màn hình để cho thấy cách các công cụ được đề cập có thể gửi yêu cầu ARP một cách hài hòa:
Tấn công giả mạo ARP chi tiết
Hãy cho chúng tôi xem một số ảnh chụp màn hình và hiểu từng bước giả mạo ARP:
Bước 1 :
Kỳ vọng của kẻ tấn công là nhận được phản hồi ARP để nó có thể tìm hiểu địa chỉ MAC của nạn nhân. Bây giờ, nếu chúng ta đi xa hơn trong ảnh chụp màn hình đã cho, chúng ta có thể thấy rằng có 2 phản hồi ARP từ các địa chỉ IP 192.168.56.100 và 192.168.56.101. Sau đó, nạn nhân [192.168.56.100 và 192.168.56.101] cập nhật bộ đệm ARP nhưng không truy vấn lại. Vì vậy, mục trong bộ đệm ARP không bao giờ được sửa.
Số gói yêu cầu ARP là 137 và 138. Số gói phản hồi ARP là 140 và 143.
Do đó, kẻ tấn công tìm thấy lỗ hổng bằng cách giả mạo ARP. Điều này được gọi là 'mục nhập của cuộc tấn công'.
Bước 2:
Các số gói là 141, 142 và 144, 146.
Từ hoạt động trước đó, kẻ tấn công hiện có địa chỉ MAC hợp lệ là 192.168.56.100 và 192.168.56.101. Bước tiếp theo của kẻ tấn công là gửi gói ICMP đến địa chỉ IP của nạn nhân. Và chúng ta có thể thấy từ ảnh chụp màn hình đã cho rằng kẻ tấn công đã gửi gói ICMP và nhận được phản hồi ICMP từ 192.168.56.100 và 192.168.56.101. Điều này có nghĩa là cả hai địa chỉ IP [192.168.56.100 và 192.168.56.101] đều có thể truy cập được.
Bước 3:
Chúng ta có thể thấy rằng có yêu cầu ARP cuối cùng cho địa chỉ IP 192.168.56.101 để xác nhận rằng máy chủ đang hoạt động và nó có cùng địa chỉ MAC là 08:00:27:dd:84:45.
Số gói đã cho là 3358.
Bước 4:
Có một yêu cầu và phản hồi ICMP khác với địa chỉ IP 192.168.56.101. Các số gói là 3367 và 3368.
Từ đây chúng ta có thể nghĩ rằng kẻ tấn công đang nhắm mục tiêu nạn nhân có địa chỉ IP là 192.168.56.101.
Bây giờ, bất kỳ thông tin nào đến từ địa chỉ IP 192.168.56.100 hoặc 192.168.56.101 đến IP 192.168.56.1 đều đến được kẻ tấn công địa chỉ MAC có địa chỉ IP là 192.168.56.1.
Bước 5:
Khi kẻ tấn công có quyền truy cập, nó sẽ cố gắng thiết lập một kết nối thực tế. Từ ảnh chụp màn hình đã cho, chúng ta có thể thấy rằng thiết lập kết nối HTTP đang được thử từ kẻ tấn công. Có một kết nối TCP bên trong HTTP, điều đó có nghĩa là phải có bắt tay 3 CHIỀU. Đây là những trao đổi gói cho TCP:
ĐỒNG BỘ -> ĐỒNG BỘ + ACK -> ACK.
Từ ảnh chụp màn hình đã cho, chúng ta có thể thấy rằng kẻ tấn công đang thử lại gói SYN nhiều lần trên các cổng khác nhau. Số khung từ 3460 đến 3469. Số gói 3469 SYN dành cho cổng 80 là HTTP.
Bước 6:
Bắt tay TCP thành công đầu tiên được hiển thị ở các số gói sau từ ảnh chụp màn hình đã cho:
4488: SYN khung từ kẻ tấn công
4489: SYN+ACK khung từ 192.168.56.101
4490: Khung ACK từ kẻ tấn công
Bước 7:
Khi kết nối TCP thành công, kẻ tấn công có thể thiết lập kết nối HTTP [số khung 4491 đến 4495] theo sau là kết nối SSH [số khung 4500 đến 4503].
Bây giờ, cuộc tấn công có đủ quyền kiểm soát để nó có thể thực hiện những việc sau:
- Tấn công chiếm quyền điều khiển phiên
- Man in the middle attack [MITM]
- Tấn công từ chối dịch vụ (DoS)
Cách ngăn chặn cuộc tấn công giả mạo ARP
Dưới đây là một số biện pháp bảo vệ có thể được thực hiện để ngăn chặn cuộc tấn công giả mạo ARP:
- Sử dụng các mục “ARP tĩnh”
- Phần mềm phát hiện và ngăn chặn giả mạo ARP
- lọc gói tin
- VPN, v.v.
Ngoài ra, chúng tôi có thể ngăn điều này xảy ra lần nữa nếu chúng tôi sử dụng HTTPS thay vì HTTP và sử dụng bảo mật lớp vận chuyển SSL (Lớp cổng bảo mật). Điều này là để tất cả các thông tin liên lạc được mã hóa.
Phần kết luận
Từ bài viết này, chúng tôi đã có một số ý tưởng cơ bản về cuộc tấn công giả mạo ARP và cách nó có thể truy cập vào bất kỳ tài nguyên nào của hệ thống. Ngoài ra, bây giờ chúng tôi biết làm thế nào để ngăn chặn loại tấn công này. Thông tin này giúp quản trị viên mạng hoặc bất kỳ người dùng hệ thống nào bảo vệ khỏi cuộc tấn công giả mạo ARP.