Professional Documents
Culture Documents
1.1 Giao thức phân giải địa chỉ-ARP (Address Resolution Protocol)
1.1.1 Khái niệm
ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa
chỉ lớp data-link. Sở dĩ cần phải có giao thức chuyển đổi như vậy là do có nhiều
giao thức lớp 3 như IP, IPX, Appletalk… mỗi giao thức lại có qui ước về địa chỉ
logic riêng. Khi được đóng gói vào một frame tại lớp thì tất cả các địa chỉ này
cần phải được qui đổi thành một kiểu địa chỉ thống nhất (địa chỉ MAC) nhằm
giúp cho mọi thiết bị có thể trao đổi với các thiết bị khác khi chúng nằm trong
cùng một môi trường truyền dẫn vật lý.
Ban đầu ARP chỉ được sử dụng trong mạng Ethernet để phân giải địa chỉ IP
và địa chỉ MAC. Nhưng ngày nay ARP đã được ứng dụng rộng rãi và dùng trong
các công nghệ khác dựa trên lớp hai.
1.1.5 Giao thức phân giải địa chỉ ngược RARP (Reverse ARP)
RARP là giao thức phân giải địa chỉ ngược. Quá trình này ngược lại với quá
trình ARP ở trên, nghĩa là cho trước địa chỉ mức liên kết, tìm địa chỉ IP tương
ứng. Như vậy RARP được sử dụng để phát hiện địa chỉ IP, khi biết địa chỉ vật lý
MAC.
Khuôn dạng gói tin RARP tương tự như khuôn dạng gói ARP đã trình bày,
chỉ khác là trường Operation có giá trị 0×0003 cho mã lệnh yêu cầu (RARP
Request) và có giá trị 0×0004 cho mã lệnh trả lời (RARP Reply).
Nguyên tắc hoạt động của RARP ngược với ARP, nghĩa là máy đã biết trước
địa chỉ vật lý MAC tìm địa chỉ IP tương ứng của nó.
1.2 Giao thức cấu hình Host động-DHCP (Dynamic Host Configuration
Protocol)
Hình 1.11.
Dynamic VLAN (MAC address base VLAN)
- Switch VMPS Client tiến hành kiểm tra địa chỉ MAC này bằng cách gửi
gói request đến Switch đóng vai trò là VMPS Server.
- Thông tin VMPS database (địa chỉ MAC tương ứng với VLAN) từ TFTP
Server sẽ được tải vào VMPS Server để kiểm chứng địa chỉ MAC request
từ VMPS Client.
192.168.1.20
Admin
192.168.1.1
192.168.1.10
Attacker
192.168.1.21
User
Mô hình
F0/1 User
Switch F0/7
Attacker
Client
DHCP Server
Yersinia
DHCPDISCOVER
DHCPOFFER
DHCPREQUEST
DHCPACK
F0/1 User
F0/0 F0/24
F0/7
Switch
Router
Attacker
DHCP Server.
Hình
3.24. Username và Password bắt được
Sang máy User A, gõ lệnh arp –a, để xem bảng arp
Dựa trên ý tưởng trên, Attacker sẽ là làm thay đổi các Record lưu trữ trên
DNS Server, do đó DNS Server sẽ query vào địa chỉ IP của một Website giả
được thiết lập bởi Attacker và trả về cho Client. Nếu DNS Server không xác
minh lại các gói tin, nó sẽ lưu lại những Record với những IP sai lệch.
3.5.4 Internet DNS Spoofing
Internet DNS spoofing là một kỹ thuật MITM được sử dụng nhằm cung cấp
thông tin DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó,
ví dụ abc.vn có IP X.X.X.X, thì sẽ bị chuyển hướng đến một địa chỉ abc.vn giả
mạo cư trú ở địa chỉ IP Y.Y.Y.Y, đây là địa chỉ mà kẻ tấn công đã tạo trước để
đánh cắp các thông tin của người dùng. Để rõ hơn, hãy tham khảo hình bên dưới:
Chọn tab Host Scan for host, để scan tất cả các host có trên mạng. Sau
khi đã scan xong, chọn tiếp tab Host Host List. Click chọn 192.168.1.23
Add to target 1. Click chọn 192.168.1.22 Add to target 2. Chọn tiếp tab
Start Start Sniffing. Sau đó chọn Tab Plugin Manage the plugin, click
double vào dns_spoof để kích hoạt tính năng gởi các DNS replies giả mạo đến
máy nạn nhận.
Hình
Sau đó hộp
thoại hiện ra, chọn
sending
802.1Q
double enc.
Packet, click OK.
Root bridge
FWD FWD
F1/0 SW1 F1/15 F1/15 SW2
F1/1 F1/2
Victim
eth0 eth1
FWD BLK
F1/0 SW1 F1/15 F1/15 SW2
F1/1 F1/2
Victim
Root bridge
BPDU
BPDU
eth0 eth1
SW1 MAC: c200.0ab8.0000
SW2 MAC: c201.0ab8.0000
Attacker MAC: c201.0ab7.0000
Attacker
[2] Yusuf Bhaiji, Layer 2 Attacks & Mitigation Techniques, Cisco Systems.
[3] Sean Convery, Hacking Layer 2: Fun with Ethernet Switch, Cisco Systems.
[6] http://wikipedia.org