ARP là gì?

ARP là giao thức cho phép truyền thông mạng đến được một thiết bị cụ thể trên mạng.
ARP dịch IP thành địa chỉ MAC (Media Access Control) và ngược lại. Thông thường,
các thiết bị sử dụng ARP để liên hệ với bộ định tuyến hoặc cổng cho phép chúng kết
nối với Internet.
Cách thức hoạt động của ARP
Máy chủ duy trì bộ đệm ARP, bảng ánh xạ giữa địa chỉ IP và địa chỉ MAC, đồng thời
sử dụng nó để kết nối với các điểm đến trên mạng. Nếu máy chủ không biết địa chỉ
MAC của một địa chỉ IP nhất định, nó sẽ gửi gói yêu cầu ARP, yêu cầu các máy khác
trên mạng cung cấp địa chỉ MAC phù hợp.

Giao thức ARP không được thiết kế để bảo mật nên nó không xác minh rằng phản hồi
đối với yêu cầu ARP có thực sự đến từ một bên được ủy quyền hay không. Nó cũng
cho phép các máy chủ chấp nhận phản hồi ARP ngay cả khi chúng chưa bao giờ gửi
yêu cầu. Đây là điểm yếu trong giao thức ARP, mở ra cơ hội cho các cuộc tấn công
giả mạo ARP.
Tấn công ARP Poisoning (Spoofing) là gì?
Tấn công ARP Poisoning hay còn gọi là ARP Spoofing là một quá trình theo đó kẻ
xâm nhập gửi nội dung độc hại qua mạng cục bộ (LAN) để chuyển hướng kết nối của
một địa chỉ IP hợp pháp đến địa chỉ MAC của chúng. Trong quá trình này, kẻ tấn công
thay thế địa chỉ MAC ban đầu sẽ kết nối với địa chỉ IP, cho phép chúng truy cập
những tin nhắn mà mọi người gửi đến địa chỉ MAC xác thực.
Ví dụ như hình.PC A có IP : 192.168.10.1 có địa chỉ MAC: AA:AA:AA:AA:AA:AA
R1 có IP: 192.168.10.10 có địa chỉ MAC: A1:A1:A1:A1:A1:A1
Hacker liên tục gửi gói ARP: 192.168.10.10 có địa chỉ MAC là EE:EE:EE:EE:EE:EE,
tương tự như 192.168.10.1. Như vậy PC A ghi nhận địa chỉ MAC là EE. Thực chất
đây là địa chỉ MAC của hacker. Như vậy khi có bất kì dữ liệu nào được gửi tới PC A
sẽ được gửi tới hacker

Các loại ARP Spoofing :

● Tấn công DDoS (từ chối dịch vụ phân tán): Làm quá tải máy chủ khiến nó
ngừng hoạt động. Kẻ tấn công có thể sử dụng địa chỉ IP của máy chủ mục tiêu
để thực hiện tấn công DDoS. Nếu tấn công ARP Spoofing thành công nhiều
lần, nạn nhân sẽ bị ngập trong lưu lượng ARP.
● Tấn công chiếm quyền phiên (session hijacking): Kẻ tấn công sử dụng công cụ
ARP Spoofing để truy cập mạng, đánh cắp ID phiên của bạn. Sau đó, chúng có
thể dùng ID phiên bị đánh cắp để truy cập các tài khoản bạn đã đăng nhập.
○ Để ngăn chặn tấn công ARP Spoofing, bạn có thể sử dụng VPN chất
lượng cao để che giấu địa chỉ IP và giữ cho hoạt động trực tuyến của
bạn riêng tư và an toàn. VPN là một đường hầm được mã hóa, giúp chặn
hoạt động của bạn khỏi những kẻ tấn công sử dụng ARP Spoofing.
● Tấn công MitM (Man-in-the-middle): Can thiệp vào liên lạc giữa hai bên để
chúng tưởng đang giao tiếp với nhau. Kẻ tấn công có thể chặn và thao túng lưu
lượng truy cập web, thậm chí đưa phần mềm độc hại vào thiết bị mạng và máy
tính của nạn nhân.
Cách phát hiện ARP Cache Poisoning
Sau khi khởi động hệ điều hành với quyền quản trị viên, gõ lệnh arp -a vào Command
Prompt:

Nếu bảng chứa hai địa chỉ IP khác nhau có cùng địa chỉ MAC, chứng tỏ một cuộc tấn
công ARP đang diễn ra.
Trong trường hợp này có thể suy đoán 192…202 là kẻ tấn công
Một số phương pháp và công cụ giám sát phát hiện ARP Spoofing:
● Tạo bảng ARP tĩnh
Thiết lập thủ công danh sách địa chỉ MAC và IP của thiết bị trên mạng. Rất hiệu quả
nhưng việc cập nhật thủ công cho từng thiết bị khi có thay đổi mạng là bất khả thi với
mạng lớn. Chỉ nên dùng cho mạng nhỏ, cần bảo mật cao.
● Triển khai Dynamic ARP Inspection (DAI)
Kiểm tra ARP động (DAI) là một tính năng bảo mật xác thực các gói ARP trong
mạng. DAI cho phép quản trị viên mạng chặn, ghi nhật ký và loại bỏ các gói ARP có
liên kết địa chỉ MAC không hợp lệ với địa chỉ IP. Khả năng này bảo vệ mạng khỏi
một số cuộc tấn công “trung gian” nhất định.
● Phân đoạn mạng
Những kẻ xấu thực hiện các cuộc tấn công ARP Poisoning, đặc biệt là khi chúng có
quyền truy cập vào tất cả mọi khu vực của mạng. Chia mạng thành các phân đoạn
riêng biệt. Tấn công ARP Spoofing chỉ ảnh hưởng đến phân đoạn bị tấn công, không
lan sang các phân đoạn khác. Nên đặt các nguồn tài nguyên quan trọng vào một phân
đoạn riêng biệt với các biện pháp bảo mật cao.
● Mã hóa dữ liệu
Mặc dù không ngăn được tấn công ARP Spoofing, mã hóa giúp bảo vệ dữ liệu bị đánh
cắp.
● Sử dụng gói lọc tin - Bộ lọc gói giúp phân tích và chặn các gói giả mạo cũng
như các địa chỉ IP đáng ngờ. Bộ lọc gói cũng có thể giúp phát hiện xem gói có
được ngụy trang dưới dạng đến từ mạng nội bộ hay không trong khi trên thực
tế, nó đến từ mạng bên ngoài.
● Arpwatch: Giám sát hoạt động của ethernet, bao gồm thay đổi địa chỉ IP và
MAC, thông qua công cụ Linux này. Xem qua nhật ký hàng ngày và truy cập
dấu thời gian để biết thời điểm cuộc tấn công xảy ra.
● ARP-GUARD: Chạm vào hình ảnh tổng quan về mạng hiện tại của bạn, bao
gồm hình minh họa về bộ chuyển mạch và bộ định tuyến. Cho phép chương
trình phát triển sự hiểu biết về những thiết bị nào trên mạng của bạn và xây
dựng các quy tắc để kiểm soát các kết nối trong tương lai.
● XArp: Sử dụng công cụ này để phát hiện các cuộc tấn công xảy ra bên dưới
tường lửa của bạn. Nhận thông báo ngay khi cuộc tấn công bắt đầu và sử dụng
công cụ này để xác định việc cần làm tiếp theo.
● Wireshark: Sử dụng công cụ này để phát triển hiểu biết đồ họa về tất cả các
tthiết bị trên mạng của bạn. Công cụ này rất mạnh mẽ nhưng bạn có thể cần
những kỹ năng nâng cao để triển khai nó đúng cách.
● Hãy sử dụng VPN đáng tin cậy làm biện pháp bảo mật mạng bổ sung, đảm bảo
rằng ngay cả khi kẻ tấn công xâm nhập vào mạng của bạn, việc giải mã dữ liệu
của bạn sẽ trở nên rất khó khăn. Và luôn cập nhật phần mềm của bạn. Các bản
cập nhật phần mềm mới nhất chứa các bản vá bảo mật chống lại các lỗ hổng đã
biết, bảo vệ mạng của bạn khỏi phần mềm độc hại và các cuộc tấn công mạng.
Hãy nhớ rằng, thực hiện các biện pháp đối phó luôn tốt hơn việc tìm kiếm giải
pháp sau khi bạn trở thành nạn nhân của một cuộc tấn công. Luôn cảnh giác và
sử dụng các chiến lược này sẽ đảm bảo một môi trường duyệt web an toàn.