Ngăn chặn tấn công Man-In-The-Middle, giả mạo ARP bằng shARP

shARP

ARP là gì?

Address Resolution Protocol là một giao thức truyền thông được sử dụng rộng rãi để tìm ra các địa chỉ tầng liên kết dữ liệu từ các địa chỉ tầng mạng.
Khi một gói tin được gửi từ một máy đến máy khác trong mạng cục bộ, địa chỉ IP đích phải được giải quyết thành địa chỉ MAC để truyền qua tầng liên kết dữ liệu. Khi biết được địa chỉ IP của máy đích, và địa chỉ MAC của nó cần truy cập, một gói tin broadcast được gửi đi trên mạng nội bộ. Gói này được gọi là ARP request. Máy đích với IP trong ARP request sẽ trả lời với ARP reply, nó chứa địa chỉ MAC cho IP đó.

ARP là một giao thức phi trạng thái. Máy chủ mạng sẽ tự động lưu trữ bất kỳ ARP reply nào mà chúng nhận được, bất kể máy khác có yêu cầu hay không. Ngay cả các mục ARP chưa hết hạn sẽ bị ghi đè khi nhận được gói tin ARP reply mới. Không có phương pháp nào trong giao thức ARP mà giúp một máy có thể xác nhận máy mà từ đó gói tin bắt nguồn. Hành vi này là lỗ hổng cho phép ARP spoofing xảy ra.

Còn ARP spoofing là gì?

Lợi dụng tính phi trạng thái đó, các phương thức ARP spoofing, ARP cache poisoning, hay ARP poison routing, là một kỹ thuật qua đó kẻ tấn công giả thông điệp ARP trong mạng cục bộ. Nói chung, attacker sẽ giả mạo địa chỉ MAC với địa chỉ IP của máy chủ khác, chẳng hạn như cổng mặc định (default gateway), làm cho bất kỳ gói tin nào được gửi tới IP đó được gửi đến kẻ tấn công thay vì đến gateway.

ARP spoofing có thể cho phép kẻ tấn công chặn các gói tin trên mạng, sửa đổi lưu lượng, hoặc dừng tất cả lưu lượng. Thông thường cuộc tấn công này được sử dụng như là một sự mở đầu cho các cuộc tấn công khác, chẳng hạn như tấn công từ chối dịch vụ, tấn công Man-in-the-middle attack, hoặc các cuộc tấn công cướp liên lạc dữ liệu.

Về chương trình ShARP:

Hôm nay ta sẽ tìm hiểu cách ngăn chặn ARP-spoofing này, giúp chúng ta ngăn chặn các cuộc tấn công như các cuộc tấn công MiTM (Man-in-the-middle) chúng ta sẽ sử dụng một script được gọi là shARP là một ứng dụng giả mạo ARP và chống ARP attack. Phần mềm sử dụng phương pháp quét chủ động để phát hiện và loại bỏ bất kỳ ARP-spoofer từ mạng. Chương trình giả mạo chống ARP này, phát hiện sự có mặt của một bên thứ ba trong mạng riêng.

• Tác giả: europa502
• Trang dự án: https://github.com/europa502/shARP

Nó có 2 chế độ: phòng thủ và tấn công.

1. Phòng thủ.

Là chế độ bảo vệ người dùng cuối từ spoofer bởi ngắt kết nối hệ thống của người dùng từ mạng và cảnh báo cho người dùng bằng tin nhắn âm thanh càng sớm càng giả mạo được phát hiện.

2. Tấn công.

Là chế độ ngắt kết nối hệ thống của người dùng khỏi mạng và tiếp tục tấn công bằng cách gửi các gói tin xác thực đến hệ thống của anh ta, không phải anh ta kết nối lại vào mạng cho đến khi chương trình được đặt lại bằng tay.

Hướng dẫn sử dụng shARP:

Bây giờ chúng ta biết những gì shARP hiện chúng ta có thể sử dụng nó để bảo vệ hệ thống của chúng tôi từ APR-Spoofing.
Đầu tiên chúng ta cần tải về shARP bằng git:
[[mcode]]$ git clone https://github.com/europa502/shARP.git[[ecode]]
Trước tiên, hãy điều hướng đến thư mục tải xuống cho shARP:
[[mcode]]$ cd shARP[[ecode]]
Tiếp theo chúng ta cần làm là phân quyền lại để có thể chạy được script này:
[[mcode]]$ chmod +x shARP.sh[[ecode]]

Các tập tin và thư mục sau khi tải về.

Bây giờ chúng ta có thể chạy shARP bằng các chạy trực tiếp file script.
Cú pháp lệnh: [[scode]]$ ./shARP.sh [options] [interface][[escode]]
Các tùy chọn [[scode]]options[[escode]]:
[[scode]]-r[[escode]]: Restart lại card mạng và driver.
[[scode]]-d[[escode]]: Chạy với chế độ phòng thủ (defense).
[[scode]]-o[[escode]]: Chạy với chế độ tấn công (offense).
[[scode]]-h[[escode]]: Hiển thị bản trợ giúp (help).

Sau đây là một số ví dụ.

Để thiết lập lại card mạng và trình điều khiển:

[[mcode]]./shARP.sh -r wlan0[[ecode]]

Để kích hoạt chương trình trong chế độ bảo vệ:

Chế độ bảo vệ bảo vệ người dùng cuối khỏi spoofer bằng cách ngắt kết nối hệ thống của người dùng khỏi mạng. Chế độ này cũng cảnh báo người dùng bằng một tin nhắn âm thanh ngay khi phát hiện được giả mạo.
[[mcode]]./shARP.sh -d wlan0[[ecode]]

Chạy với chế độ phòng thủ.

Để kích hoạt chương trình trong chế độ tấn công:

Chế độ tấn công ngắt kết nối hệ thống của người dùng khỏi mạng và tiếp tục tấn công bằng cách gửi các gói tin De-authentication đến hệ thống mang, điều này sẽ không cho phép người dunkết nối lại vào mạng cho đến khi chương trình được đặt lại bằng tay.
[[mcode]]./shARP.sh -o wlan0[[ecode]]

Chạy với chế độ tấn công.

Chương trình tạo một tệp nhật ký (log file) trong thư mục [[scode]]/usr/shARP/[[escode]] chứa các chi tiết của cuộc tấn công như địa chỉ MAC người tấn công, nhà cung cấp MAC, thời gian và ngày của cuộc tấn công. Từ đây ta có thể truy ra được

Cảm ơn các bạn đã theo dõi bài viết.