Tấn công bằng chất độc ARP: Cách thực hiện trên Kali Linux

Giao thức ARP là gì?

Giao thức ARP (Address Resolution Protocol) là một trong những giao thức cơ bản trong mạng IPv4, nếu không có giao thức này, chúng ta không thể lấy địa chỉ IP bằng DHCP hoặc giao tiếp với các máy tính khác, ngay cả khi chúng ta đã đặt địa chỉ IP riêng trên máy tính của mình. Giao thức ARP cho phép truyền thông mạng đến đích một cách chính xác, mục tiêu của nó là chuyển địa chỉ IP (địa chỉ logic) thành địa chỉ MAC (địa chỉ vật lý) và ngược lại. Giao thức ARP chịu trách nhiệm hình thành một bảng với cặp IP-MAC và các máy tính khác nhau trong mạng cục bộ có thể giao tiếp với nhau mà không gặp sự cố, ngoài ra, nó cũng đảm bảo rằng các máy tính có thể giao tiếp với bộ định tuyến để truy cập Internet Vì bộ định tuyến cũng sẽ có địa chỉ IP LAN và địa chỉ MAC, nơi các PC và thiết bị khác nhau sẽ gửi khung của chúng để bộ định tuyến quản lý.

Giao thức ARP chỉ tồn tại trong mạng IPv4, trong mạng IPv6, công việc tương tự này được thực hiện bởi ICMPv6, tích hợp nhiều chức năng hơn trong IPv4. Bản thân chúng ta có thể xem bảng ARP của máy tính để xem tất cả các máy tính trong mạng cục bộ hiện đang có giao tiếp, nếu chúng ta mở bảng điều khiển và đặt lệnh sau:

arp -a

Trong hình ảnh sau, bạn có thể thấy địa chỉ IP riêng (địa chỉ Internet) và địa chỉ MAC của tất cả các thiết bị (Địa chỉ vật lý). Chúng ta có thể xem tất cả các bảng ARP của các card mạng khác nhau mà chúng ta có, một chi tiết rất quan trọng là chúng ta có thể xóa hoặc đặt các cặp IP-MAC khỏi bảng ARP này theo cách thủ công.

Tất cả các máy tính đều giữ bảng ARP này làm bộ nhớ đệm, vì vậy nó sẽ tạm thời được đổi mới hoặc khi các máy tính mới xuất hiện mà chúng ta muốn giao tiếp, tức là, nó là một bảng động và nó thay đổi tùy thuộc vào giao tiếp mà chúng ta sẽ thực hiện. Bằng cách này, nếu một máy tính nào đó không biết MAC của địa chỉ IP, nó sẽ phải gửi một gói yêu cầu ARP, yêu cầu địa chỉ MAC tương ứng từ các máy tính khác.

Một trong những mục quan trọng nhất trong bảng ARP là mục được hiển thị bởi bộ định tuyến, thường là địa chỉ IP đầu tiên trên mạng con. Các cuộc tấn công ARP Poisoning đặc biệt tập trung vào mục này và bây giờ chúng tôi sẽ giải thích lý do tại sao. Giao thức ARP không được thiết kế với mục đích bảo mật, vì vậy nó không xác minh bất cứ lúc nào phản hồi cho một yêu cầu ARP thực sự đến từ một máy chủ hợp pháp, bất kỳ ai cũng có thể mạo danh một máy chủ khác một cách dễ dàng và nhanh chóng, thực hiện một cuộc tấn công ARP Poisoning.

Cuộc tấn công ARP Poisoning là gì?

Cuộc tấn công ARP Poisoning bao gồm đầu độc bảng ARP của nạn nhân, khiến nó tin rằng bộ định tuyến là kẻ tấn công, với mục đích nạn nhân chuyển tiếp tất cả lưu lượng truy cập của nó cho kẻ tấn công này để thực hiện đánh giá từng kết nối mà trình diễn. Bằng cách này, thiết bị nạn nhân có thể vô tình gửi tất cả lưu lượng mạng của nó cho kẻ tấn công này và thực hiện hai kiểu tấn công khác nhau:

• DoS tấn công : nếu kẻ tấn công không chuyển tiếp các kết nối đến bộ định tuyến để truy cập Internet, chúng tôi sẽ thực hiện từ chối dịch vụ đối với nạn nhân, tức là chúng tôi sẽ rời khỏi anh ta mà không có kết nối Internet.
• Người đàn ông giữa cuộc chiến : nếu kẻ tấn công chuyển tiếp các kết nối tới bộ định tuyến để truy cập Internet, chúng tôi sẽ thực hiện một cuộc tấn công MitM, lấy tất cả lưu lượng mạng của nó để nghiên cứu thêm, ngoài ra, thông tin được gửi hoặc nhận cũng có thể được sửa đổi ngay khi nạn nhân. , trên thực tế, một trong những cuộc tấn công nguy hiểm nhất là SSL Stripping, theo đó kẻ tấn công có thể “nâng” lưu lượng HTTPS và chuyển nó thành HTTP để theo dõi tất cả các liên lạc. Kẻ tấn công sẽ có thể tiếp tục định tuyến tất cả các liên lạc và lấy được tất cả thông tin, đó là điều bình thường nhất, trên thực tế, hắn có thể đánh cắp cookie của nạn nhân và mạo danh anh ta mà không cần lấy cắp tài khoản và mật khẩu của người dùng.

Để thực hiện một Cuộc tấn công bằng chất độc ARP , nó là cần thiết để đáp ứng các yêu cầu nhất định:

• Kẻ tấn công phải ở trong cùng mạng với nạn nhân, cùng mạng có dây hoặc cùng mạng WiFi.
• Bạn phải quét toàn bộ mạng cục bộ để tìm kiếm địa chỉ IP của nạn nhân, để khởi động cuộc tấn công sau đó.
• Bạn phải sử dụng các công cụ khác nhau để tạo gói ARP giả và gửi cho nạn nhân. Hai công cụ nổi tiếng để thực hiện nhiệm vụ này là Arpspoof và BetterCap, phần sau bạn có hướng dẫn đầy đủ trong bài viết này.
• Một khi các gói ARP giả được gửi đến nạn nhân, họ sẽ tin rằng chúng tôi là bộ định tuyến. Nhưng để giao tiếp được hai chiều, cũng cần phải làm cho bộ định tuyến tin rằng chúng ta là nạn nhân, do đó, chúng ta sẽ phải khởi động hai cuộc tấn công ARP Poisoning, một cuộc tấn công vào nạn nhân và một cuộc tấn công trên bộ định tuyến.

Khi cả nạn nhân và bộ định tuyến đã nhận được các gói ARP giả mạo, chúng sẽ liên lạc trực tiếp với kẻ tấn công thay vì với nhau và ngay bây giờ kẻ tấn công sẽ ở giữa cuộc giao tiếp. Bây giờ kẻ tấn công

Cách thực hiện một cuộc tấn công ARP Poisoning với Kali Linux

Điều đầu tiên chúng ta phải làm, trong danh sách các ứng dụng, là tìm phần « 9. Đánh hơi và giả mạo «, Vì đó là nơi chúng tôi sẽ tìm thấy các công cụ cần thiết để thực hiện cuộc tấn công máy tính này. Tiếp theo, chúng tôi sẽ mở « Ettercap-đồ họa »Và chúng ta sẽ thấy một cửa sổ tương tự như sau.

Bây giờ chúng ta sẽ phải nhập mật khẩu siêu người dùng, tức là mật khẩu "root", theo mặc định mật khẩu là "kali".

Bước tiếp theo chúng ta chọn các thông số Ettercap cơ bản, chúng ta có thể để thông số mặc định, tức là bắt đầu ngửi lúc đầu chúng ta sẽ chọn card mạng mà mình muốn, mặc định là eth0. Chúng tôi giữ nguyên phần còn lại của các tùy chọn và nhấp vào nút ở phần trên bên phải để chấp nhận các thay đổi.

Khi chúng ta đã bắt đầu chương trình, chúng ta sẽ phải nhấp vào "kính lúp" mà bạn nhìn thấy ở phía trên bên trái, những gì Ettercap sẽ làm là quét toàn bộ mạng cục bộ mà chúng ta được kết nối để tìm kiếm các thiết bị khác nhau được kết nối. , và do đó, một số nạn nhân để tấn công.

Tại đây, chúng tôi sẽ kết nối tất cả các máy chủ hoặc thiết bị với mạng của chúng tôi. Tuy nhiên, trong trường hợp chúng không xuất hiện tất cả, chúng ta có thể thực hiện quét toàn bộ mạng chỉ bằng cách nhấp lại vào «kính lúp» mà chúng ta có ở phần trên bên trái. Sau một vài giây, danh sách từ trước đó sẽ được cập nhật hiển thị tất cả các thiết bị, với IP và MAC tương ứng, được kết nối với mạng của chúng tôi.

Ví dụ, trong trường hợp muốn thực hiện một cuộc tấn công nhắm vào một máy chủ duy nhất, thay thế danh tính của cổng để giám sát các kết nối của nạn nhân xuất hiện trong danh sách thiết bị, trước khi bắt đầu cuộc tấn công, chúng ta phải thiết lập cả hai mục tiêu.

Để làm điều này, bên dưới danh sách các máy chủ, chúng ta có thể thấy ba nút, mặc dù chúng ta sẽ chú ý đến hai nút cuối cùng:

• Mục tiêu 1 - Chúng ta chọn IP của thiết bị cần giám sát, trong trường hợp này là thiết bị nạn nhân, và bấm vào nút đó.
• Mục tiêu 2 - Chúng tôi nhấn IP mà chúng tôi muốn mạo danh, trong trường hợp này là một trong những cổng vào.

Tất cả đã sẵn sàng. Bây giờ chúng ta chỉ cần chọn ” MITM "Ở trên cùng và trong đó, chọn" Ngộ độc ARP " Tùy chọn.

Một cửa sổ cấu hình nhỏ sẽ xuất hiện, trong đó chúng ta phải đảm bảo đánh dấu « Sniff kết nối từ xa «. Chúng ta cũng phải bỏ chọn tùy chọn “chỉ chất độc một chiều”, tùy chọn này sẽ không thực hiện Ngộ độc ARP theo cả hai hướng mà chỉ theo một hướng, do đó, chúng tôi không có giao tiếp hai chiều. Điều rất quan trọng là bỏ chọn tùy chọn “chỉ gây độc một chiều” này, đó là, vì nó là theo mặc định.

Chúng tôi nhấp vào «Ok» và cuộc tấn công sẽ diễn ra. Giờ đây, chúng tôi có thể kiểm soát máy chủ mà chúng tôi đã đặt là ” Mục tiêu 1 ".

Điều tiếp theo chúng ta phải làm, chẳng hạn, chạy Wireshark để nắm bắt tất cả các gói mạng và phân tích chúng để tìm kiếm thông tin thú vị hoặc sử dụng các plugin khác nhau mà Ettercap cung cấp cho chúng ta, chẳng hạn như trình duyệt web từ xa, nơi nó sẽ tải cho chúng tôi tất cả các trang web mà mục tiêu truy cập. Ví dụ, chúng tôi đã thực hiện ping điển hình với Google, đội tấn công đã nắm bắt mọi thứ một cách chính xác.

Các kỹ thuật này chỉ dành cho mục đích sử dụng riêng tư trong mạng của chúng tôi hoặc trong mạng mà chúng tôi được phép, về mặt logic, các kỹ thuật này có thể được áp dụng cho các mục đích bất hợp pháp. Nếu chúng ta sử dụng những kỹ thuật này để giám sát hệ thống của người khác, chúng ta đang phạm tội.

Khi chúng ta đã biết cách chúng ta có thể thực hiện cuộc tấn công này với Kali Linux một cách dễ dàng và nhanh chóng, hãy xem cách chúng ta có thể giảm thiểu cuộc tấn công này.

Phát hiện và giảm thiểu cuộc tấn công này để lướt web an toàn

Cuộc tấn công vào mạng dữ liệu này rất phổ biến và có sẵn cho bất kỳ ai, vì lý do này, điều rất quan trọng là phải biết cách phát hiện xem cuộc tấn công này có đang được thực hiện đối với chúng ta hay không và cũng như cách chúng ta có thể giảm thiểu cuộc tấn công này để nó không thành công. Trong nhiều trường hợp, điều duy nhất chúng ta có thể làm là mã hóa tất cả các thông tin liên lạc của mình để mặc dù chúng có thể nắm bắt được tất cả thông tin nhưng chúng hoàn toàn không thể đọc được bất cứ thứ gì. Dưới đây, bạn có thể xem tất cả các chi tiết để phát hiện và giảm thiểu cuộc tấn công này.

Làm thế nào tôi có thể phát hiện ra rằng cuộc tấn công này đang được thực hiện đối với tôi?

Cách dễ nhất để phát hiện rằng một cuộc tấn công ARP Poisoning hoặc ARP Spoofing đang được thực hiện là kiểm tra bảng ARP, với lệnh trước đó của «arp -a», chúng tôi có thể thấy bảng ARP hoàn chỉnh của thiết bị của mình, trong trường hợp chúng tôi có hai Địa chỉ IP có cùng địa chỉ MAC vật lý, điều đó có nghĩa là ai đó đang thực hiện cuộc tấn công Người ở giữa bằng đầu độc ARP. Ví dụ, hãy tưởng tượng chúng ta có bảng ARP sau:

Địa chỉ Internet Địa chỉ thực

192.168.1.1 00-01-02-03-04-05
192.168.1.2 00-01-02-03-04-AA
192.168.1.3 00-01-02-03-04-05

Trong trường hợp này, hoàn toàn có thể thấy rằng cả bộ định tuyến và PC thứ hai đều có cùng một địa chỉ MAC. Điều này có nghĩa là bảng ARP đang bị nhiễm độc. Có những chương trình bảo mật cho phép chúng tôi tự động phát hiện nếu một cuộc tấn công như vậy đang được thực hiện đối với chúng tôi, nó sẽ liên tục kiểm tra bảng ARP để tìm xem có địa chỉ MAC trùng lặp hay không, sau đó nó sẽ gửi cho người dùng một cảnh báo.

Các biện pháp giảm thiểu cuộc tấn công này

Đối với người dùng, biện pháp duy nhất có thể được thực hiện để giảm thiểu cuộc tấn công này là sử dụng một VPN , điều này sẽ đảm bảo tính bí mật và tính xác thực của tất cả các kết nối. Chúng ta phải nhớ rằng, trong một số trường hợp nhất định, có thể vi phạm các kết nối HTTPS bằng cách sử dụng kỹ thuật SSL Stripping, do đó, nếu bạn muốn được bảo vệ trước cuộc tấn công này, khuyến nghị của chúng tôi là bạn nên sử dụng IPsec, OpenVPN hoặc Dây bảo vệ loại VPN, tất cả chúng sẽ đảm bảo cho chúng ta sự an toàn và riêng tư trong mạng.

Một biện pháp khác mà người dùng có thể thực hiện là để đăng ký một mục nhập tĩnh trong bảng ARP của chúng tôi Tuy nhiên, điều này sẽ chỉ hoạt động nếu chúng tôi luôn kết nối với cùng một mạng, nếu không, chúng tôi sẽ phải đăng ký và xóa mục nhập ARP, điều này rất khó chịu. Nếu đó là một máy tính tĩnh, chẳng hạn như một máy tính để bàn, nó có thể được thực hiện theo cách này, tuy nhiên, tốt hơn nhiều nên thực hiện ở cấp độ mạng bởi quản trị viên.

Trong trường hợp của chính các quản trị viên của mạng, hiện tại thiết bị chuyển mạch và bộ định tuyến / tường lửa có kỹ thuật chống giả mạo ARP , theo cách này, nếu chúng ta kích hoạt các biện pháp bảo mật này, nó sẽ ngăn kẻ tấn công tấn công người dùng khác trong mạng của chúng ta, do đó, đây sẽ là một tính năng rất quan trọng để bảo vệ người dùng của chính nó. Chúng tôi cũng có thể kích hoạt DHCP Snooping để ngăn kẻ tấn công thiết lập máy chủ DHCP của riêng mình để cung cấp địa chỉ cho một nạn nhân cụ thể hoặc cho một số nạn nhân.

Cuối cùng, khi chúng tôi đã thực hiện các biện pháp giảm thiểu này, khuyến nghị của chúng tôi là bạn nên tự mình thực hiện kiểu tấn công này để xác minh rằng các biện pháp phòng thủ của bạn có hiệu quả, nghĩa là, điều quan trọng là bạn phải kiểm tra bảo mật của chính mình.