Mac spoofing là gì

1. MAC, ARP là gì?

Mỗi thiết bị mạng đều có một địa chỉ MAC (Medium Access Control address) và địa chỉ đó là duy nhất. Các thiết bị trong cùng một mạng thường dùng địa chỉ MAC để liên lạc với nhau tại tầng Data Link.

Nội dung chính Show

Các dạng lừa đảo trong spoofing

Các thiết bị thường dùng cơ chế ARP (Address Resolution Protocol) và RARP (Reverse Address Resolution Protocol) để biết được các địa chỉ MAC, IP của các thiết bị khác

2. Quá trình ARP

HostA và HostB truyền tin cho nhau, các packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host sẽ phải đóng gói MAC nguồn, MAC đích vào frame. Như vậy trước khi quá trình truyền dữ liệu xảy ra, 2 máy sẽ phải làm động tác hỏi MAC của nhau.

Nếu mà HostA khởi động quá trình hỏi MAC trước, nó broadcast gói tin ARP request để hỏi MAC HostB, thì HostB coi như đã có MAC của HostA, và HostB chỉ trả lời cho A MAC của HostB thôi (gói tin trả lời từ HostB là ARP reply).

3. Làm thế nào để tấn công bằng ARP

Giả sử ta có mạng Lan như mô hình trên gồm các host

Attacker: là máy hacker dùng để tấn công ARP attack

IP: 10.0.0.11
Mac: 0000:0000:0111

HostA

IP: 10.0.0.09
MAC: 0000:0000:0109

HostB

IP: 10.0.0.08
MAC: 0000:0000:0108

Victim: là máy bị tấn công ARP attack

IP: 10.0.0.10
MAC: 0000:0000:0110

Attacker muốn thực hiện ARP attack đối với máy Victim. Attacker muốn mọi gói tin HostA truyền tới máy Victim đều có thể chụp lại được để xem trộm. Làm thế nào để Attacker có thể hiện được điều đó?

Đầu tiên, HostA muốn gởi dữ liệu cho Victim. HostA cần phải biết địa chỉ MAC của Victim để liên lạc. HostA sẽ gửi broadcast ARP Request tới tất cả các máy trong cùng mạng Lan để hỏi xem IP 10.0.0.10 (IP của Victim) có địa chỉ MAC là bao nhiêu.

HostB, Attacker, Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim là gửi lại gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP của Victim, MAC Victim, MAC HostA

Sau khi nhận được gói tin ARP Reply từ Victim, HostA đã biết được địa chỉ MAC của Victim. HostA bắt đầu thực hiện liên lạc, truyền dữ liệu tới Victim. HostB, Attacker không thể xem nội dung dữ liệu được truyền giữa 2 máy HostA và Victim

Attacker muốn xem dữ liệu truyền giữa HostA và Victim. Attacker sử dụng kiểu tấn công ARP Spoof. Attacker thực hiện gửi liên tục ARP Reply chứa thông tin về IP Victim, MAC Attacker, MAC HostA. Ở đây, thay vì là MAC Victim, Attacker đã đổi thành địa chỉ MAC của mình.

HostA nhận được ARP Reply và nghĩ là IP Victim 10.0.0.10 sẽ có địa chỉ MAC là 0000:0000:0111 ( MAC của Attacker). HostA lưu thông tin này vào bảng ARP Cache.

Bây giờ mọi thông tin, dữ liệu HostA gửi tới 10.0.0.10 (Victim), Attacker đều có thể nhận được, Attacker có thể xem tòan bộ nội dung HostA gửi cho Victim

Attacker còn có thể kiểm sóat tòan bộ quá trình liên lạc giữa HostA và Victim thông qua ARP Attack

Attacker thường xuyên gửi các gói tin ARP Reply chứa địa chỉ IP của HostA và Victim nhưng có địa chỉ MAC là của Attacker.

HostA nhận được gói tin này thì cứ nghĩ Victim sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)

Victim nhận đươc gói tin này thì cứ nghĩ HostA sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)

Mọi thông tin trao đổi giữa HostA và Victim, Attacker đều có thể nhận được. Như vậy là Attacker có thể biết được nội dung trao đổi giữa HostA và Victim

Sau khi bị tấn công ARP attack, sẽ rất nguy hiểm cho người dùng vì mọi thông tin trao đổi của họ đều bị lộ, nhất là những thông tin đó là quan trọng, cần phải giữ bí mật

4. Giới hạn và điểm yếu của kiểu tấn công ARP Spoof:

Chỉ có những máy nằm trong cùng đường mạng với máy Attacker mới bị tấn công. Các máy nằm khác mạng sẽ không thể bị tấn công bằng hình thức này vì

Trong cùng một đường mạng LAN, các máy sẽ thực hiện trao đổi dữ liệu với nhau dựa vào địa chỉ MAC . HostA muốn trao đổi dữ liệu với HostB. HostA sẽ dò tìm trong bảng ARP cache xem IP của HostB sẽ có địa chỉ MAC tương ứng là gì. HostA đóng gói dữ liệu cần truyền với MAC nguồn là MAC HostA, MAC đích là MAC HostB. Sau đó HostA sẽ truyền dữ liệu tới HostB dựa vào MAC đích của gói tin

Trong trường hợp HostA, HostB khác đường mạng muốn liên lạc với nhau, ta phải dựa vào địa chỉ IP để truyền dữ liệu và phải thông qua một thiết bị định tuyến, đó là router. HostA sẽ đóng gói dữ liệu cần truyền với MAC nguồn là HostA, MAC đích là router. Gói tin đó sẽ được truyền đến router, router sẽ dựa vào địa chỉ IP đích (IP HostB)và dò tìm trong bảng định tuyến nhằm xác định con đường đi đến HostB. Router có khả năng ngăn chặn các gói tin broadcast

Hình thức tấn công này không thể thực hiện được trong mạng WAN, trên Internet mà chỉ thực hiện được trên cùng mạng LAN

5. Một số chương trình tấn công bằng ARP

5. Cách phát hiện và phòng chống:

Dùng lệnh:

ipconfig /all xem MAC của mình

arp -a xem bảng ARP trên máy mình, kiểm tra MAC của B có phải đúng là MAC B hay không.

arp -d * xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị tấn công cũng mất, và máy tính sẽ bắt đầu học lại. Nhưng nếu máy tấn công vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô ích

arp -s gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không đầu độc được IP này nữa. Nhưng việc này không khả thi cho mạng lớn, nhiều máy tính, và có sự thay đổi IP (ví dụ dùng DHCP).

Dùng phần mềm :

Chúng ta có thể cài đặt phần mềm Anti ARP để tránh việc nhận ARP Reply giả mạo

Dùng thiết bị:

Dynamic ARP Inspection : Switch sẽ dựa vào bảng DHCP Snooping Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lệ hay không, nếu không hợp lệ sẽ DROP ngay

SWITCH(config)#ip arp inspection Vlan

SWITCH(config)#ip arp inspection validate ?

Tham khảo : http://www.cisco.com/en/US/docs/swit...de/dynarp.html

Nguồn: http://vnpro.org

Spoofing là một loại lừa đảo trong đó bọn tội phạm cố gắng lấy thông tin cá nhân của ai đó bằng cách giả vờ là một doanh nghiệp hợp pháp, hàng xóm hoặc một bên khác có liên quan với nạn nhân.

22-10-2019Kẻ giả mạo (Phishing) là gì? Cách thức giả mạo
18-09-2019Tội phạm cổ cồn trắng (White-Collar Crime) trong kinh tế là gì?
10-09-2019Mô hình Ponzi (Ponzi Scheme) - hình thức đầu tư gian lận cần tránh
18-09-2019Người mua 'rơm' (Straw Buyer) là gì? Các chiêu trò lừa đảo sử dụng người mua rơm
11-11-2019Đấu giá kiểu Hà Lan (Dutch Auction) là gì? Đặc điểm đấu giá kiểu Hà Lan

Hình minh họa. Nguồn: fluentstream.com

Spoofing

Khái niệm

Spoofing là một loại lừa đảo mà bọn tội phạm cố gắng lấy thông tin cá nhân của ai đó bằng cách giả vờ là một doanh nghiệp hợp pháp, hàng xóm hoặc một bên khác có liên quan với nạn nhân.

Các dạng lừa đảo trong spoofing

Có một số loại spoofing, bao gồm giả mạo email, giả mạo tin nhắn, giả mạo ID người gọi, giả mạo URL và giả mạo GPS.

Giả mạo email

Đôi khi được gọi là phishing, chiến thuật này được sử dụng bởi cả nhà quảng cáo không trung thực và kẻ lừa đảo. Kẻ lừa đảo gửi email với giả mạo với địa chỉ sai lệch, cố gắng lừa nạn nhân tin rằng tin nhắn là từ một người bạn, người thân hoặc ngân hàng của anh ta, hoặc một số nguồn hợp pháp khác.

Bất kì email nào hỏi mật khẩu, số chứng minh nhân dân hoặc bất kì thông tin cá nhân nào khác đều có thể là một trò lừa đảo.

Giả mạo tin nhắn

Đôi khi được gọi là smishing, thủ thuật này tương tự như giả mạo email. Tin nhắn văn bản có thể đến từ một nguồn hợp pháp, chẳng hạn như ngân hàng của bạn, yêu cầu bạn gọi một số điện thoại nhất định hoặc nhấp vào một liên kết trong tin nhắn, với mục tiêu lừa bạn tiết lộ thông tin cá nhân.

Giả mạo ID người gọi

Tội phạm làm sai lệch số điện thoại chúng dùng để nạn nhân, để anh ta hoặc cô ta sẽ nghe cuộc gọi của chúng. Điện thoại của nạn nhân sẽ hiển thị ID người gọi đến có vẻ là từ một doanh nghiệp hợp pháp hoặc cơ quan chính phủ, chẳng hạn như Sở Thuế.

Giả mạo hàng xóm

Đây là một loại giả mạo ID người gọi, trong đó cuộc gọi sẽ hiện tên người gọi đến là một người quen biết hoặc người sống gần nạn nhân.

Giả mạo URL

Giả mạo URL là khi những kẻ lừa đảo thiết lập một trang web lừa đảo để lấy thông tin từ nạn nhân hoặc cài đặt phần mềm độc hại lên máy tính của họ. Chẳng hạn, nạn nhân có thể được chuyển đến một trang web trông giống như trang web ngân hàng quản lí thẻ tín dụng của họ, và được yêu cầu đăng nhập bằng ID và mật khẩu người dùng.

Nếu nạn nhân bị lừa, kẻ lừa đảo có thể sử dụng thông tin mà nạn nhân đã nhập để đăng nhập vào trang web thực và truy cập vào tài khoản của họ.

Giả mạo GPS

Là một kiểu spoofing có một mục đích hơi khác với các kiểu spoofing trên. Nó cố gắng lừa máy thu GPS tin rằng nó ở một địa điểm khác hoặc đi theo một hướng khác, bằng cách phát tín hiệu GPS không có thật hoặc bằng các cách khác.

Giả mạo GPS có nhiều khả năng được sử dụng trong chiến tranh hoặc bởi các game thủ hơn là nhắm vào người tiêu dùng cá nhân, mặc dù ai cũng có thể bị tấn công bởi công nghệ này.

(Theo investopedia)

Khoản vay không khí (Air Loan) là gì? Phương thức hoạt động

11-09-2019 Gian lận quan hệ (Affinity Fraud) là gì?

18-09-2019 Gian lận thẩm định (Appraisal Fraud) là gì?