Lab giả mạo DHCP server và nhiễm độc cache DNS

Mục tiêu
- Mô phỏng giả mạo thông tin từ dhcp, cấp phát thông tin dns server sai
- hiểu local DNS server
- Hiểu nhiễm độc cache DNS
A. DHCP giả mạo, và cách phòng chống
Hướng dẫn
1. Tạo topology mạng như hình
Lưu ý: Khuyến khích sinh viên làm trên mô hình đã định tuyến trong bài tập 1.

R1

2. Cấu hình địa chỉ

Cấu hình
Thiết bị Interface Địa chỉ Mặt nạ
Dhcp thật 200.200.200.2 255.255.255.0
Router G0/1 200.200.200.1 255.255.255.0
G00 192.168.1.1 255.255.255.0
 Dhcp giả mạo 192.168.1.2 255.255.255.0
3. Cấu hình dịch vụ dns
Thiết bị Cấu hình
Dhcp thật DNS Ntu.edu.vn
Địa chỉ
200.200.200.2
Dhcp giả DNS Ntu.edu.vn
Địa chỉ 192.168.1.2
4. Sửa file web
Tại server thực sửa web thành

Tại server giả mạo tạo web như sau:

5. Cấu hình dịch vụ dhcp
Nhớ bật on dịch vụ dhcp
Trên server thực
Trên server giả mạo:

6. Cấu hình để router gửi gói dhcp đi sang mạng khác

interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip helper-address 200.200.200.2
duplex auto
speed auto
7. Vào PC kiểm tra
Tại từng pc chọn chế độ dhcp
Vào từng pc kiểm tra xem nhận thông tin nào
Sau đó vào web gõ ntu.edu.vn trên từng pc xem vào web thật hay web giả
8. Cấu hình dhcp snooping để chống giả mạo
Theo mô hình thì cổng g0/1 trên router nối với dhcp thật nên nó sẽ được trust, các cổng
còn lại sẽ không được trust
Do vậy ta cấu hình dhcp snooping như sau:
R1(config)#ip dhcp snooping
R1 (config)#ip dhcp snooping vlan 1
//Lưu ý vlan ở đây chúng ta không thiết lập nên mặc định là vlan 1, trong trường hợp có
vlan thì các bạn sẽ cấu hình vlan của các bạn
R1 (config)#interface gig0/1
R1 (config-if)#ip dhcp snooping trust
R1 (config)#int range g0/0
R1 (config-if)#no ip dhcp snooping trust
Bây giờ các bạn kiểm tra lại kịch bản cấp hai dhcp giả và thật cùng cấp xem máy tính
nhận dhcp thật hay giả?
B- Nhiễm độc cache và cách phòng chống
Một kịch bản ví dụ như sau: (Sinh viên có thể làm với các website khác vì dụ như shopee
thì lại mở thành lazada…)
- Dùng wireshark để sniff gói DNS, biết được địa chỉ DNS server của tên miền rit.edu,
server là 129.21.1.40:

- Vào file host trong Windows bằng cách dùng Notepad (với quyền admin), thêm dòng
129.21.1.1 sẽ trỏ tới website của đại học rit.edu như vậy địa chỉ server của RIT bị thay đổi.
Sau đó vào cmd, nhập lệnh ipconfig/flushdns để xóa cache cũ. Cập nhật lại nội dung mới
trong file host bằng lệnh ipconfig/displaydns. Bây giờ khi nhập lại website rit.edu sẽ không
truy cập được nữa.

Hoặc có thể sử dụng công cụ Ettercap để giả mạo DNS. Trong Ettercap để thực hiện giả
mạo DNS sẽ sửa file /etc/ettercap/etter.dns. Sau đó cần bật chế độ ARP spoof trong
Ethercap lên trước để có thể nhìn thấy các lưu lượng DNS request tiếp đó là cho phép DNS
spoof chạy, điều này sẽ cho phép tải file etter.dns đã sửa, nhiễm độc cache với địa chỉ
không đúng này..
Cũng theo ý tưởng của việc nhiễm độc cache, người dùng có thể tự bảo vệ khỏi các trang
web đen, trang web chứa mã độc bằng cách đưa các web này về địa chỉ 127.0.0.1. Có thể
cập nhật định kì các web chứa rủi ro từ file host của trang
https://someonewhocares.org/hosts/, sau đó copy file này ghi đè vào file host của hệ thống,
như hình dưới đây: