Thứ Sáu, 17 tháng 2, 2012

Tấn công Man-in-the-Middle – Giả mạo ARP Cache


1- Nguyên Tắc Hoạt Động ARP Trong Môi Trường Mạng


1.1 - ARP là gì ?


ARP (Address Resolution Protocol) là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp datalink trong mô hình SOI. Quá trình thực hiện bằng cách: một thiết bị IP trong mạng gửi một gói tin broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa chỉ phần cứng ( địa chỉ lớp datalink ) của mình.








1.2- ARP cache là gì ?

ARP cache là một bảng có chứa một tập tương ứng giữa các phần cứng và địa chỉ Internet Protocol (IP).
.
1.3 Nguyên Tắc Truyền Thông ARP


Thông tin máy 1: IP : 192.168.0.101
Mac : f2:f2:f2:f2:f2:f2

Thông tin máy 2: IP : 192.168.0.1
Mac : 02:f2: 02:f2: 02:f2

Giả sử Máy 1 nằm trong mạng lan, Máy 2 nằm ngoài mạng lan muốn giao tiếp với máy 1.
Máy 2 gửi sẽ gói tin ARP Request tới broadcast lan của máy 1. Mục đích: lấy thông tin về địa chỉ Mac của máy 1.

Nội dung của gói tin ARP Request:
Source IP: 192.168.0.101
Source Mac: f2:f2:f2:f2:f2:f2
Target IP: 192.168.0.1
Target Mac: 00:00:00:00:00:00

Thông điệp: “Tôi cần gửi một số thông tin tới địa chỉ 192.168.0.1, nhưng tôi không biết địa chỉ Mac là gì để kết nối liên lạc. Nếu ai có địa chỉ IP này, xin hãy đáp trả lại kèm theo địa chỉ MAC của mình!”





Tất cả các máy nằm trong cùng mạng lan với Máy 1 đều nhận được thông điệp từ máy 2 nhưng chỉ có mỗi Máy 1 có địa chỉ ip 192.168.0.1 trả lời với gói tin ARP Response.
Nội dung gói tin ARP Response:

Source IP: 192.168.0.1
Source Mac: 02:f2:02:f2:02:f2
Target IP: 192.168.0.101
Target Mac: f2:f2:f2:f2:f2:f2

Thông điệp: “Bonjour máy 1. Tôi là người mà bạn đang tìm kiếm với địa chỉ IP là 192.168.0.1. Địa chỉ MAC của tôi là 02:f2:02:f2:02:f2.”

Máy 1 và Máy 2 đều có thông tin về địa chỉ IP và địa chỉ Mac của nhau nên tiến hành liên lạc và truyền dữ liệu. Các máy khác không thể xem được nội dung giữa Máy 1 và Máy 2 được.



2 – Tấn Công Sử Dụng ARP Spoofing


Sử dụng mô hình như trên:

Thông tin máy 1: IP : 192.168.0.101
Mac : f2:f2:f2:f2:f2:f2

Thông tin máy 2: IP : 192.168.0.1
Mac : 02:f2: 02:f2: 02:f2

Thông tin máy attacker:
IP : 192.168.1.13
Mac: : ff:ff:ff:22:22:22

1- Máy Attacker cần thâu tóm thông tin được gửi từ Máy 2 đến Máy 1.


Attaker thực hiện gửi liên tục gói tin ARP Response trên toàn mạng có nội dung:
Source IP : 192.168.0.101
Source Mac : ff:ff:ff:22:22:22
Target IP : 192.168.0.1
Target Mac : 02:f2: 02:f2: 02:f2

Khi Máy 2 gửi gói tin ARP Resquest đến toàn mạng thì sẽ nhận ngay được gói tin ARP Response của máy attacker. ( Gói tin không đến được máy 1). Và máy 2 sẽ cho rằng Máy có IP: 192.168.0.101 ( IP máy victim) sẽ có địa chỉ Mac: ff:ff:ff:22:22:22 ( Địa chỉ Mac của máy attaker). Máy 2 tiến hành lưu thông tin này vào bảng ARP cache.

Bây giờ mọi thông tin mà máy 2 gửi cho máy 1( Victim), Attacker đều nhận được.

2- Máy Attaker cần thâu tóm thâu tóm thông tin gửi từ Máy 1 đến Máy 2.

Để thâu tóm được nội dung liên lạc giữa 2 máy thì Máy Attacker cần phải gửi nội dung liên lạc của Máy 2 cho Máy 1, và thâu tóm được thông tin từ Máy 1 gửi đến Máy 2.
Để thực hiện được điều đó, tương tự như trên . Attaker thực hiện gửi liên tục gói tin ARP Response trên toàn mạng có nội dung:

Source IP : 192.168.0.1 (IP Máy 2)
Source Mac : ff:ff:ff:22:22:22 ( Mac Máy Attacker)
Target IP : 192.168.0.101
Target Mac : 00:00:00:00:00:00

Vì địa chỉ đích là của Máy 1 nên trong toàn mạng chỉ có Máy 1 trả lời và gửi thông tin địa chỉ Mac về cho máy Attacker, trong lúc đó Máy 1 nhầm tưởng là đang liên lạc tới Máy 2 có IP: 192.168.0.1 . Quá thiết lập liên lạc giữa Máy Attacker và Máy 1 được hình thành.

Tóm lại, Ta sẽ thấy rằng Máy Attacker là kẻ đứng giữa trong qua trình liên lạc giữa 2 Máy :1 và 2. Chính vì vậy. Attacker sẽ có toàn bộ nội dung liên lạc giữa Máy 1 và Máy 2. Đó gọi là Tấn Công Sử Dụng ARP Spoofing


Tác giả: Mr.Soleil VHB_Group

0 nhận xét:

Đăng nhận xét