Chào mừng đến với site của Bee! Chúc các bạn có những giây phút thực sự vui vẻ!!!

Thứ Sáu, 30 tháng 11, 2012

Tấn công ARP spoofing trong mạng LAN và cách phòng chống

Kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing hay còn gọi là ARP flooding, ARP poisoning hay ARP Poison Routing (APR). Đó là cách tấn công từ một máy tính trong mạng LAN, thông qua giao thức ARP và địa chỉ MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến tình trạng các máy tính đó không thể truy cập Internet.
Máy tính nạn nhân mất kết nối Internet nhưng vẫn có kết nối mạng LAN nên khi bạn ping đến máy nạn nhân vẫn có kết quả.

Sau đây tôi sẽ nói 2 cách để thực hiện cuộc tấn công này từ máy tính của bạn. 
>>> Cách đơn giản nhất là sử dụng phần mềm NetCut v2.

Sau khi cài đặt và chạy chương trình, cách sử dụng cũng rất đơn giản, bạn chỉ cần chọn 1 hoặc nhiều máy tính và ấn Cut Off, sau một vài giây các máy tính đó sẽ bị mất mạng không truy cập Internet được, khi muốn khôi phục mạng lại bạn chọn máy tính và ấn Resume.
Chú ý là nếu bạn tích chọn Protected My Computer thì máy tính của bạn sẽ không bị ảnh hưởng bởi cuộc tấn công này.
>>> Cách thứ 2 là sử dụng bộ công cụ WinPcap4 và ArpSpoof. Bạn hãy cài phần mềm WinPcap4, sau đó copy 2 file arpspoof.exe và Libnet.dll trong thư mục arpspoof vào ổ C:\ trên máy tính bạn để có thể sử dụng ArpSpoof.
Thực hiện như sau:
> Bạn mở CMD (Start/Run gõ cmd) rồi chuyển thư mục làm việc về ổ C:\ bằng cách gõ cd\
> Trước hết bạn cần biết được địa chỉ IP của Gateway, bạn hãy gõ vào ipconfig, Enter là bạn sẽ thấy IP của chính máy mình và của Gateway, thường sẽ là 192.168.1.1
> Tiếp theo là tấn công máy tính nạn nhân, bạn gõ tiếp lệnh arpspoof -t [ip Gateway] [ip máy nạn nhân]
ví dụ : arpspoof -t 192.168.1.1 192.168.1.12
rồi gõ tiếp 2 và Enter, vậy là cuộc tấn công sử dụng arpspoof bắt đầu rồi đó, bạn cứ để cửa sổ CMD để chương trình chạy như vậy, khi đó nạn nhân sẽ mất mạng Internet. Để tăng tính hiệu quả bạn có thể mở nhiều cửa sổ CMD và chạy lệnh như vậy.
Khi muốn ngừng cuộc tấn công, bạn có thể mở lại cửa sổ CMD đang chạy và ấn Ctrl + C hoặc đóng hẳn cửa sổ CMD đó đi.
Một vài phút sau khi ngừng tấn công, nạn nhân sẽ lại truy cập Internet được.

Chú ý : với cả 2 cách này, có thể sau khi đã ngừng tấn công một lúc sau nạn nhân vẫn chưa vào Internet được, khi đó nạn nhân cần vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area Connection) thì mới có thể truy cập Internet lại.

* Trên đây là cách tấn công, vậy chúng ta có thể làm gì để phòng chống cuộc tấn công này và biết được máy tính nào đã thực hiện cuộc tấn công.
Trước tiên hãy chú ý là để phòng chống cuộc tấn công này thì bạn phải bắt đầu thực hiện từ trước khi bị tấn công hoặc từ ngay khi mới mở máy tính lên (có thể là bằng cách tạo file chạy khi khởi động máy tính).


Bước 1:
Bạn vào CMD và gõ lệnh sau để lấy về toàn bộ địa chỉ IP và MAC của mạng LAN để lưu trữ lại
for /l %x in (1,1,12) do ping 192.168.1.%x -n 1
Tiếp theo là lệnh
arp -a

Bạn sẽ thấy hiển thị kết quả tương tự như sau:
> Interface: 192.168.1.3 --- 0x2
>  Internet Address      Physical Address      Type
>  192.168.1.1           00-27-19-f9-1c-e2     dynamic
>  192.168.1.4           00-24-1d-5f-cc-2c     dynamic
>  192.168.1.12          00-0b-6a-8c-2c-77     dynamic

Bạn hãy chú ý đến địa chỉ MAC (Physical Address) của Gateway, vì nó thường sẽ bị thay đổi khi bị tấn công, còn bình thường địa chỉ MAC của tất cả các máy đều cố định.

Bước 2:
Bạn copy phần thông tin phía dưới dòng Internet Address rồi mở Notepad, paste vào, rồi Save as thành 1 file .bat, ví dụ Test.bat, bạn chú ý chọn All Files ở chỗ Save as Type
Nội dung file bat có dạng sau :
arp -d *
arp -s 192.168.1.1 00-27-19-f9-1c-e2
arp -s 192.168.1.4 00-24-1d-5f-cc-2c
arp -s 192.168.1.12 00-0b-6a-8c-2c-77
ping google.com -n 2
pause

Có thể những bạn chưa biết sẽ thắc mắc là làm thế nào để copy trong CMD, bạn làm như sau:
Phải chuột ở giữa cửa sổ CMD chọn Mark, bạn bôi đen những dòng cần copy, rồi ấn Enter, vậy là copy được rồi đó.

Chú ý : bạn có thể tạo file bat như trên để lưu giữ chạy cho những lần sau, hoặc có thể ghi lại địa chỉ IP và MAC của Gateway ra ngoài để sử dụng sau khi bị tấn công

>>>>> Tất cả trên đây là công đoạn chuẩn bị trước phòng ngừa có thể bị tấn công.
Sau khi phát hiện thấy mình đang bị tấn công rồi, bạn làm như sau

Cách 1 : kích đúp chuột chạy luôn cái file .bat mà bạn đã tạo ra ở trên
Cách 2 : mở CMD và gõ lệnh
Với win XP
arp -s [ip Gateway] [MAC Gateway], vi du : arp -s 192.168.1.1 00-27-19-f9-1c-e2
Với Win 7 
netsh -c "interface ipv4" set neighbors "tên card mạng" "IP gateway" "MAC gateway"
vi du : 
netsh -c "interface ipv4" set neighbors "Local Area Connection" "192.168.1.1" "00-27-19-f9-1c-e2"

Vậy là xong, bạn lại có thể truy cập Internet như bình thường.
Nếu vẫn chưa được bạn hãy thử vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area Connection) nhé.

Bước 3:
Giờ tôi sẽ nói cho các bạn biết làm thế nào để chúng ta biết đang bị tấn công ARP spoofing khi bị mất mạng và cách phát hiện ra máy tính thực hiện cuộc tấn công đó nhé.
Cách 1: Sử dụng phần mềm XArp 2.0.
Bạn chạy chương trình XArp 2.0 và sẽ nhìn thấy một số dòng màu đỏ, trong đó có IP Gateway, máy tấn công và các máy nạn nhân.
Bạn hãy loại ra IP Gateway và các IP máy nạn nhân bị mất mạng, còn lại chính là IP của máy tính tấn công đó (máy này không bị mất mạng).
Nếu chú ý hơn vào XArp 2.0, bạn kéo ra sau cùng sẽ thấy cột How Often seen, bạn sẽ thấy số dữ liệu trao đổi giữa Gateway và các máy nạn nhân tăng lên tương ứng nhau, còn máy tấn công thì khác hẳn.
Cách 2: bạn ping đến từng máy trong mạng LAN xem máy nào kết nối chập chờn, lúc được lúc không thì đó chính là máy tấn công ARP spoofing bằng NetCut hay ArpSpoof. Tất nhiên cách này thủ công và mất nhiều thời gian hơn.
Ví dụ bạn phát hiện ra máy tấn công là 192.168.1.12

Bước 4: Hãy trừng phạt kẻ tấn công này
Sau khi đã lấy lại được kết nối Internet, bạn hãy sử dụng lại chính arpspoof để trừng phạt kẻ tấn công này, cách làm tương tự như cách tấn công thứ 2 đã nói ở trên. Bạn vào CMD và gõ lệnh
arpspoof -t 192.168.1.1 192.168.1.12 
rồi chọn 2, Enter
với 192.168.1.1 là IP Gateway và 192.168.1.12 là IP máy tấn công vừa phát hiện ra ở trên.
* Ngoài cách phòng chống bị tấn công ở trên, còn một cách nữa là bạn sử dụng chính phần mềm NetCut và tích chọn Protected My Computer hoặc dùng phần mềm Anti Netcut v2
DOWNLOAD tất cả công cụ và phần mềm nói trên ở đây
Link Download tốc độ cao tại Google Docs và MegaShare.vn 

Không có nhận xét nào: