1. MAC, ARP là gì? Mỗi thiết bị mạng đều có một địa chỉ MAC (Medium Access Control address) và địa chỉ đó là duy nhất. Các thiết bị trong cùng một mạng thường dùng địa chỉ MAC để liên lạc với nhau tại tầng Data Link. Các thiết bị thường dùng cơ chế ARP (Address Resolution Protocol) và RARP (Reverse Address Resolution Protocol) để biết được các địa chỉ MAC, IP của các thiết bị khác 2. Quá trình ARP HostA và HostB truyền tin cho nhau, các packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host sẽ phải đóng gói MAC nguồn, MAC đích vào frame. Như vậy trước khi quá trình truyền dữ liệu xảy ra, 2 máy sẽ phải làm động tác hỏi MAC của nhau. Nếu mà HostA khởi động quá trình hỏi MAC trước, nó broadcast gói tin ARP request để hỏi MAC HostB, thì HostB coi như đã có MAC của HostA, và HostB chỉ trả lời cho A MAC của HostB thôi (gói tin trả lời từ HostB là ARP reply). 3. Làm thế nào để tấn công bằng ARP Giả sử ta có mạng Lan như mô hình trên gồm các host Attacker: là máy hacker dùng để tấn công ARP attack IP: 10.0.0.11 Mac: 0000:0000:0111 HostA IP: 10.0.0.09 MAC: 0000:0000:0109 HostB IP: 10.0.0.08 MAC: 0000:0000:0108 Victim: là máy bị tấn công ARP attack IP: 10.0.0.10 MAC: 0000:0000:0110 Attacker muốn thực hiện ARP attack đối với máy Victim. Attacker muốn mọi gói tin HostA truyền tới máy Victim đều có thể chụp lại được để xem trộm. Làm thế nào để Attacker có thể hiện được điều đó? Đầu tiên, HostA muốn gởi dữ liệu cho Victim. HostA cần phải biết địa chỉ MAC của Victim để liên lạc. HostA sẽ gửi broadcast ARP Request tới tất cả các máy trong cùng mạng Lan để hỏi xem IP 10.0.0.10 (IP của Victim) có địa chỉ MAC là bao nhiêu. HostB, Attacker, Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim là gửi lại gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP của Victim, MAC Victim, MAC HostA Sau khi nhận được gói tin ARP Reply từ Victim, HostA đã biết được địa chỉ MAC của Victim. HostA bắt đầu thực hiện liên lạc, truyền dữ liệu tới Victim. HostB, Attacker không thể xem nội dung dữ liệu được truyền giữa 2 máy HostA và Victim Attacker muốn xem dữ liệu truyền giữa HostA và Victim. Attacker sử dụng kiểu tấn công ARP Spoof. Attacker thực hiện gửi liên tục ARP Reply chứa thông tin về IP Victim, MAC Attacker, MAC HostA. Ở đây, thay vì là MAC Victim, Attacker đã đổi thành địa chỉ MAC của mình. HostA nhận được ARP Reply và nghĩ là IP Victim 10.0.0.10 sẽ có địa chỉ MAC là 0000:0000:0111 ( MAC của Attacker). HostA lưu thông tin này vào bảng ARP Cache. Bây giờ mọi thông tin, dữ liệu HostA gửi tới 10.0.0.10 (Victim), Attacker đều có thể nhận được, Attacker có thể xem tòan bộ nội dung HostA gửi cho Victim Attacker còn có thể kiểm sóat tòan bộ quá trình liên lạc giữa HostA và Victim thông qua ARP Attack Attacker thường xuyên gửi các gói tin ARP Reply chứa địa chỉ IP của HostA và Victim nhưng có địa chỉ MAC là của Attacker. HostA nhận được gói tin này thì cứ nghĩ Victim sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker) Victim nhận đươc gói tin này thì cứ nghĩ HostA sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker) Mọi thông tin trao đổi giữa HostA và Victim, Attacker đều có thể nhận được. Như vậy là Attacker có thể biết được nội dung trao đổi giữa HostA và Victim Sau khi bị tấn công ARP attack, sẽ rất nguy hiểm cho người dùng vì mọi thông tin trao đổi của họ đều bị lộ, nhất là những thông tin đó là quan trọng, cần phải giữ bí mật 4. Giới hạn và điểm yếu của kiểu tấn công ARP Spoof:
5. Một số chương trình tấn công bằng ARP
Dùng lệnh:
Dùng phần mềm :
Dùng thiết bị:
SWITCH(config)#ip arp inspection Vlan SWITCH(config)#ip arp inspection validate ? Tham khảo : http://www.cisco.com/en/US/docs/swit...de/dynarp.html Nguồn: http://vnpro.org
Spoofing là một loại lừa đảo trong đó bọn tội phạm cố gắng lấy thông tin cá nhân của ai đó bằng cách giả vờ là một doanh nghiệp hợp pháp, hàng xóm hoặc một bên khác có liên quan với nạn nhân.
Hình minh họa. Nguồn: fluentstream.com SpoofingKhái niệm Spoofing là một loại lừa đảo mà bọn tội phạm cố gắng lấy thông tin cá nhân của ai đó bằng cách giả vờ là một doanh nghiệp hợp pháp, hàng xóm hoặc một bên khác có liên quan với nạn nhân. Các dạng lừa đảo trong spoofingCó một số loại spoofing, bao gồm giả mạo email, giả mạo tin nhắn, giả mạo ID người gọi, giả mạo URL và giả mạo GPS. Giả mạo email Đôi khi được gọi là phishing, chiến thuật này được sử dụng bởi cả nhà quảng cáo không trung thực và kẻ lừa đảo. Kẻ lừa đảo gửi email với giả mạo với địa chỉ sai lệch, cố gắng lừa nạn nhân tin rằng tin nhắn là từ một người bạn, người thân hoặc ngân hàng của anh ta, hoặc một số nguồn hợp pháp khác. Bất kì email nào hỏi mật khẩu, số chứng minh nhân dân hoặc bất kì thông tin cá nhân nào khác đều có thể là một trò lừa đảo. Giả mạo tin nhắn Đôi khi được gọi là smishing, thủ thuật này tương tự như giả mạo email. Tin nhắn văn bản có thể đến từ một nguồn hợp pháp, chẳng hạn như ngân hàng của bạn, yêu cầu bạn gọi một số điện thoại nhất định hoặc nhấp vào một liên kết trong tin nhắn, với mục tiêu lừa bạn tiết lộ thông tin cá nhân. Giả mạo ID người gọi Tội phạm làm sai lệch số điện thoại chúng dùng để nạn nhân, để anh ta hoặc cô ta sẽ nghe cuộc gọi của chúng. Điện thoại của nạn nhân sẽ hiển thị ID người gọi đến có vẻ là từ một doanh nghiệp hợp pháp hoặc cơ quan chính phủ, chẳng hạn như Sở Thuế. Giả mạo hàng xóm Đây là một loại giả mạo ID người gọi, trong đó cuộc gọi sẽ hiện tên người gọi đến là một người quen biết hoặc người sống gần nạn nhân. Giả mạo URL Giả mạo URL là khi những kẻ lừa đảo thiết lập một trang web lừa đảo để lấy thông tin từ nạn nhân hoặc cài đặt phần mềm độc hại lên máy tính của họ. Chẳng hạn, nạn nhân có thể được chuyển đến một trang web trông giống như trang web ngân hàng quản lí thẻ tín dụng của họ, và được yêu cầu đăng nhập bằng ID và mật khẩu người dùng. Nếu nạn nhân bị lừa, kẻ lừa đảo có thể sử dụng thông tin mà nạn nhân đã nhập để đăng nhập vào trang web thực và truy cập vào tài khoản của họ. Giả mạo GPS Là một kiểu spoofing có một mục đích hơi khác với các kiểu spoofing trên. Nó cố gắng lừa máy thu GPS tin rằng nó ở một địa điểm khác hoặc đi theo một hướng khác, bằng cách phát tín hiệu GPS không có thật hoặc bằng các cách khác. Giả mạo GPS có nhiều khả năng được sử dụng trong chiến tranh hoặc bởi các game thủ hơn là nhắm vào người tiêu dùng cá nhân, mặc dù ai cũng có thể bị tấn công bởi công nghệ này. (Theo investopedia)
Khoản vay không khí (Air Loan) là gì? Phương thức hoạt động 11-09-2019 Gian lận quan hệ (Affinity Fraud) là gì? 18-09-2019 Gian lận thẩm định (Appraisal Fraud) là gì? |