Tấn công ARP spoofing trong mạng LAN và cách phòng chống Kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing hay còn gọi là ARP flooding, ARP poisoning hay ARP Poison Routing (APR). Đó là cách tấn công từ một máy tính trong mạng LAN, thông qua giao thức ARP và địa chỉ MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến tình trạng các máy tính đó không thể truy cập Internet. Máy tính nạn nhân mất kết nối Internet nhưng vẫn có kết nối mạng LAN nên khi bạn ping đến máy nạn nhân vẫn có kết quả. Sau đây tôi sẽ nói 2 cách để thực hiện cuộc tấn công này từ máy tính của bạn. {} Cách đơn giản nhất là sử dụng phần mềm NetCut v2. Sau khi cài đặt và chạy chương trình, cách sử dụng cũng rất đơn giản, bạn chỉ cần chọn 1 hoặc nhiều máy tính và ấn Cut Off, sau một vài giây các máy tính đó sẽ bị mất mạng không truy cập Internet được, khi muốn khôi phục mạng lại bạn chọn máy tính và ấn Resume. Chú ý là nếu bạn tích chọn Protected My Computer thì máy tính của bạn sẽ không bị ảnh hưởng bởi cuộc tấn công này. >>> Cách thứ 2 là sử dụng bộ công cụ WinPcap4 và ArpSpoof . Bạn hãy cài phần mềm WinPcap4, sau đó copy 2 file arpspoof.exe và Libnet.dll trong thư mục arpspoof vào ổ C:\ trên máy tính bạn để có thể sử dụng ArpSpoof. Thực hiện như sau: > Bạn mở CMD (Start/Run gõ cmd) rồi chuyển thư mục làm việc về ổ C:\ bằng cách gõ cd\ > Trước hết bạn cần biết được địa chỉ IP của Gateway, bạn hãy gõ vào ipconfig, Enter là bạn sẽ thấy IP của chính máy mình và của Gateway, thường sẽ là 192.168.1.1 > Tiếp theo là tấn công máy tính nạn nhân, bạn gõ tiếp lệnh arpspoof -t [ip Gateway] [ip máy nạn nhân] ví dụ : arpspoof -t 192.168.1.1 192.168.1.12 rồi gõ tiếp 2 và Enter, vậy là cuộc tấn công sử dụng arpspoof bắt đầu rồi đó, bạn cứ để cửa sổ CMD để chương trình chạy như vậy, khi đó nạn nhân sẽ mất mạng Internet. Để tăng tính hiệu quả bạn có thể mở nhiều cửa sổ CMD và chạy lệnh như vậy. Khi muốn ngừng cuộc tấn công, bạn có thể mở lại cửa sổ CMD đang chạy và ấn Ctrl + C hoặc đóng hẳn cửa sổ CMD đó đi. Một vài phút sau khi ngừng tấn công, nạn nhân sẽ lại truy cập Internet được. Chú ý : với cả 2 cách này, có thể sau khi đã ngừng tấn công một lúc sau nạn nhân vẫn chưa vào Internet được, khi đó nạn nhân cần vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area Connection) thì mới có thể truy cập Internet lại. * Trên đây là cách tấn công, vậy chúng ta có thể làm gì để phòng chống cuộc tấn công này và biết được máy tính nào đã thực hiện cuộc tấn công. Trước tiên hãy chú ý là để phòng chống cuộc tấn công này thì bạn phải bắt đầu thực hiện từ trước khi bị tấn công hoặc từ ngay khi mới mở máy tính lên (có thể là bằng cách tạo file chạy khi khởi động máy tính). Bước 1: Bạn vào CMD và gõ lệnh sau để lấy về toàn bộ địa chỉ IP và MAC của mạng LAN để lưu trữ lại for /l %x in (1,1,12) do ping 192.168.1.%x -n 1 Tiếp theo là lệnh arp -a Bạn sẽ thấy hiển thị kết quả tương tự như sau: > Interface: 192.168.1.3 0x2 > Internet Address Physical Address Type > 192.168.1.1 00-27-19-f9-1c-e2 dynamic > 192.168.1.4 00-24-1d-5f-cc-2c dynamic > 192.168.1.12 00-0b-6a-8c-2c-77 dynamic Bạn hãy chú ý đến địa chỉ MAC (Physical Address) của Gateway, vì nó thường sẽ bị thay đổi khi bị tấn công, còn bình thường địa chỉ MAC của tất cả các máy đều cố định. Bước 2: Bạn copy phần thông tin phía dưới dòng Internet Address rồi mở Notepad, paste vào, rồi Save as thành 1 file .bat, ví dụ Test.bat, bạn chú ý chọn All Files ở chỗ Save as Type Nội dung file bat có dạng sau : arp -d * arp -s 192.168.1.1 00-27-19-f9-1c-e2 arp -s 192.168.1.4 00-24-1d-5f-cc-2c arp -s 192.168.1.12 00-0b-6a-8c-2c-77 ping google.com -n 2 pause Có thể những bạn chưa biết sẽ thắc mắc là làm thế nào để copy trong CMD, bạn làm như sau: Phải chuột ở giữa cửa sổ CMD chọn Mark, bạn bôi đen những dòng cần copy, rồi ấn Enter, vậy là copy được rồi đó. Chú ý : bạn có thể tạo file bat như trên để lưu giữ chạy cho những lần sau, hoặc có thể ghi lại địa chỉ IP và MAC của Gateway ra ngoài để sử dụng sau khi bị tấn công {} Tất cả trên đây là công đoạn chuẩn bị trước phòng ngừa có thể bị tấn công. Sau khi phát hiện thấy mình đang bị tấn công rồi, bạn làm như sau Cách 1 : kích đúp chuột chạy luôn cái file .bat mà bạn đã tạo ra ở trên Cách 2 : mở CMD và gõ lệnh Với win XP arp -s [ip Gateway] [MAC Gateway], vi du : arp -s 192.168.1.1 00-27-19-f9-1c-e2 Với Win 7 netsh -c "interface ipv4" set neighbors "tên card mạng" "IP gateway" "MAC gateway" vi du : netsh -c "interface ipv4" set neighbors "Local Area Connection" "192.168.1.1" "00-27-19-f9-1c-e2" Vậy là xong, bạn lại có thể truy cập Internet như bình thường. Nếu vẫn chưa được bạn hãy thử vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area Connection) nhé. Bước 3: Giờ tôi sẽ nói cho các bạn biết làm thế nào để chúng ta biết đang bị tấn công ARP spoofing khi bị mất mạng và cách phát hiện ra máy tính thực hiện cuộc tấn công đó nhé. Cách 1: Sử dụng phần mềm XArp 2.0. Bạn chạy chương trình XArp 2.0 và sẽ nhìn thấy một số dòng màu đỏ, trong đó có IP Gateway, máy tấn công và các máy nạn nhân. Bạn hãy loại ra IP Gateway và các IP máy nạn nhân bị mất mạng, còn lại chính là IP của máy tính tấn công đó (máy này không bị mất mạng). Nếu chú ý hơn vào XArp 2.0, bạn kéo ra sau cùng sẽ thấy cột How Often seen, bạn sẽ thấy số dữ liệu trao đổi giữa Gateway và các máy nạn nhân tăng lên tương ứng nhau, còn máy tấn công thì khác hẳn. Cách 2: bạn ping đến từng máy trong mạng LAN xem máy nào kết nối chập chờn, lúc được lúc không thì đó chính là máy tấn công ARP spoofing bằng NetCut hay ArpSpoof. Tất nhiên cách này thủ công và mất nhiều thời gian hơn. Ví dụ bạn phát hiện ra máy tấn công là 192.168.1.12 Bước 4: Hãy trừng phạt kẻ tấn công này Sau khi đã lấy lại được kết nối Internet, bạn hãy sử dụng lại chính arpspoof để trừng phạt kẻ tấn công này, cách làm tương tự như cách tấn công thứ 2 đã nói ở trên. Bạn vào CMD và gõ lệnh arpspoof -t 192.168.1.1 192.168.1.12 rồi chọn 2, Enter với 192.168.1.1 là IP Gateway và 192.168.1.12 là IP máy tấn công vừa phát hiện ra ở trên. * Ngoài cách phòng chống bị tấn công ở trên, còn một cách nữa là bạn sử dụng chính phần mềm NetCut và tích chọn Protected My Computer hoặc dùng phần mềm Anti Netcut v2 Trên switch Cisco, để set MAC tĩnh cho từng port, có thể dùng các lệnh: switchport port-security mac-address mac-address: gán cố định một địa chỉ MAC được phép đi qua port đó. switchport port-security mac-address sticky: địa chỉ MAC đầu tiên đi qua port đó sẽ là địa chỉ MAC được phép đi qua switchport port-security violation {protect | restrict | shutdown**: Quy định cách hành xử của port trên Switch nếu địa chỉ MAC bị vi phạm Với các hệ thống này thì nên trang bị các thiết bị có khả năng secure port. Thông qua việc nhận DHCP, các thiết bị giữ lại các record của MAC add được kết nối trên mỗi port vì thế nó có thể phát hiện được các spoofed ARP. Phương pháp này được gắn trên các thiết bị của các nhà sản xuất như Cisco, ProCurve, Extreme Network, Dlink và Allied Telesis . Tấn công ARP spoofing trong mạng LAN và cách phòng chống Kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing hay còn gọi là ARP flooding, ARP poisoning hay ARP Poison Routing. để phòng chống cuộc tấn công này và biết được máy tính nào đã thực hiện cuộc tấn công. Trước tiên hãy chú ý là để phòng chống cuộc tấn công này thì bạn phải bắt đầu thực hiện từ trước khi bị tấn. máy tấn công ARP spoofing bằng NetCut hay ArpSpoof. Tất nhiên cách này thủ công và mất nhiều thời gian hơn. Ví dụ bạn phát hiện ra máy tấn công là 192.168.1.12 Bước 4: Hãy trừng phạt kẻ tấn công