I. TẤN CÔNG MAN-IN-THE-MIDDLE LÀ GÌ?
Man-in-the-Middle (MITM) là hình thức tấn công màkẻ tấn công (attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân.
II. CÁC KIỂU TẤN CÔNG MITM
Hiện nay có các hình thức tấn công MITM phổ biến như:
§ Tấn công giả mạo ARP cache (ARP Cache Poisoning).
§ Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning).
§ Chiếm quyền điều khiển Session (Session Hijacking).
§ Chiếm quyền điều khiển SSL.
§ …
CHƯƠNG 2 - TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING)
I. GIAO THỨC ARP VÀ CƠ CHẾ HOẠT ĐỘNG CỦA NÓ
1. Giao thức ARP
Ø Sơ lược về địa chỉ MAC
Ø Giao thức ARP
Giao thức ARP (Address Resolution Protocol) được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa lớp thứ hai (Data Link) và thứ ba (Network) trong mô hình OSI.
§ Lớp thứ hai (Data Link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp.
§ Lớp thứ ba (Network) sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu.
Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để có thể tạo nên một mạng truyền thông.Và, giao thức ARP đã đáp ứng được điều đó.
2. Cơ chế hoạt động củaARP
Quá trình ARP (Address Resolution Protocol) được thực hiện theo cơ chế: Một thiết bị IP trong mạng gửi một gói tin broadcast đến toàn mạng để yêu cầu các thiết bị khác gửi trả lại địa chỉ phần cứng (địa chỉ MAC) của mình nhằm thực hiện truyền tin cho nhau giữa thiết bị phát và thiết bị nhận.
ARP về cơ bản là một quá trình 2 chiều Request/Response giữa các thiết bị trong cùng mạng nội bộ. Thiết bị nguồn yêu cầu(request) bằng cách gửi một bản tin broadcast trên toàn mạng. Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast đến thiết bị nguồn.
Mục đích của Request và Response là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã gửi để lưu lượng có thể đến được đích của nó trong mạng.
3. ARP Cache
Bộ nhớ đệm ARP Cache dùng để lưu lại thông tin về địa chỉ IP và MAC để thực hiện cho các giao dịch truyền thông các lần tiếp theo, giúp giảm băng thông mạng bằng cách hạn, làm tăng khả năng hoạt động của mạng.
II. TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING)
1. Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning)
- Hai máy A và B sẽ thực hiện truyền thông bình thường với giao thức ARP như cơ chế đã trình bày ở trên.
- Dựa theo đó, kẻ tấn công thực hiện gửi liên tục các gói ARP Response nhắm đầu độc bộ đệm ARP Cache của máy A, B.
- Sau khi đầu độc, kẻ tấn công có thể lấy cắp được các thông tin cơ mật của A và B.
Nhóm sẽ sử dụng công cụ Cain & Abel để thực hiện tấn công. Về cách sử dụng cụ thể, các bạn có thể tải về file nội dung đầy đủ của nhóm để biết thêm chi tiết.
III. CÁC BIỆN PHÁP PHÒNG CHỐNG
1. Bảo mật mạng LAN
2. Cấu hình lại bảng ARP Cache
3. Sử dụng phần mềm
CHƯƠNG 3 - TẤN CÔNG GIẢ MẠO DNS (DNS CACHE POISONING)
I. SƠ LƯỢC VỀ DNS (DOMAINNAMESYSTEM)
1. DNS là gì?
2. Chức năng của DNS
3. Nguyên tắc làm việc của DNS
4. Cơ chế làm việc của DNS
Các máy tính kết nối với Internet sử dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators).Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối mà chỉ cần sử dụng tên miền (domain name) để truy vấn đến kết nối đó.
Theo đó, khi máy chủ DNS nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm, nó sẽ tra cứu bộ đệm (DNS Cache) và trả về địa chỉ IP tương ứng với tên miền mà máy trạm yêu cầu. Trường hợp nếu không tìm thấy trong bộ đệm, máy chủ DNS sẽ chuyển yêu cầu phân giải tới một máy chủ DNS khác.
II. TẤN CÔNG GIẢ MẠO DNS (DNS CACHE POISONING)
1. DNS Cache Poisoning là gì
· Giả mạo DNS(DNS Cache Poisoning) là một kỹ thuật tấn công MITM, theo đó dữ liệu sai sẽ được đưa vào hệ thống tên miền (DNS) cho một máy chủ, để khi người dùng duyệt đến một địa chỉ nào đó sẽ bị chuyển sang một địa chỉ khác mà không hề hay biết. Ví dụ nhưngười dùng duyệt đến địa chỉ www.abc.com có IPlà XXX.XX.XX.XX, thìtrình duyệt sẽ được chuyển đến một địa chỉ www.abc.com giả mạo cư trú ở địa chỉ IPYYY.YY.YY.YYvới giao diện hoàn toàn giống với giao diện khi dùng địa chỉ thật, đây là địa chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin người dùng, chẳng hạn như tài khoản ngân hàng trực tuyến của người dùng…
2. Tấn công giả mạo DNS (DNS Cache Poisoning)
Hiện có hai cơ chế tấn công giả mạoDNS của hacker như sau:
vGiả mạo các phản hồi DNS
vGiả mạo địa chỉ DNS
III. CÁC BIỆN PHÁP PHÒNG CHỐNG TẤN CÔNG GIẢ MẠO DNS
1. Bảo vệ mạng máy tính cá nhân
2. Thận trọng khi duyệt Internet
3. Sử dụng DNSSEC
4. Kiểm tra lỗ hổng DNS Cache Poisoning
