Tấn công ARP spoofing trong mạng LAN và cách phòng chống

Kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing hay còn gọi là ARP flooding, ARP poisoning  hay ARP Poison Routing (APR). Đó là cách tấn công từ một máy tính trong mạng LAN, thông qua giao thức  ARP và địa chỉ MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến tình trạng các  máy tính đó không thể truy cập Internet. Máy tính nạn nhân mất kết nối Internet nhưng vẫn có kết nối mạng LAN nên khi bạn ping đến máy nạn nhân vẫn có  kết quả. Sau đây tôi sẽ nói 2 cách để thực hiện cuộc tấn công này từ máy tính của bạn.  {} Cách đơn giản nhất là sử dụng phần mềm NetCut v2. Sau khi cài đặt và chạy chương trình, cách sử dụng cũng rất đơn giản, bạn chỉ cần chọn 1 hoặc nhiều máy tính và ấn  Cut Off, sau một vài giây các máy tính đó sẽ bị mất mạng không truy cập Internet được, khi muốn khôi phục mạng lại  bạn chọn máy tính và ấn Resume. Chú ý là nếu bạn tích chọn Protected My Computer thì máy tính của bạn sẽ không bị ảnh hưởng bởi cuộc tấn công  này....
Nội dung trích xuất từ tài liệu:
Tấn công ARP spoofing trong mạng LAN và cách phòng chống Tấn công ARP spoofing trong mạng LAN và cách phòng chống Kỹ thuật tấn công Address Resolution Protocol (ARP) spoofing hay còn gọi là ARP flooding, ARP poisoning   hay ARP Poison Routing (APR).  Đó là  cách tấn công từ  một máy tính trong mạng LAN, thông qua giao thức  ARP và địa chỉ MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem, dẫn đến tình trạng các   máy tính đó không thể truy cập Internet. Máy tính nạn nhân mất kết nối Internet nhưng vẫn có kết nối mạng LAN nên khi bạn ping đến máy nạn nhân vẫn có  kết quả. Sau đây tôi sẽ nói 2 cách để thực hiện cuộc tấn công này từ máy tính của bạn.  {} Cách đơn giản nhất là sử dụng phần mềm NetCut v2. Sau khi cài đặt và chạy chương trình, cách sử dụng cũng rất đơn giản, bạn chỉ cần chọn 1 hoặc nhiều máy tính và ấn  Cut Off, sau một vài giây các máy tính đó sẽ bị mất mạng không truy cập Internet được, khi muốn khôi phục mạng lại  bạn chọn máy tính và ấn Resume. Chú ý là nếu bạn tích chọn Protected My Computer thì máy tính của bạn sẽ không bị ảnh hưởng bởi cuộc tấn công  này. >>> Cách thứ 2 là sử dụng bộ công cụ WinPcap4 và ArpSpoof .  Bạn hãy cài phần mềm WinPcap4, sau đó copy 2 file arpspoof.exe và Libnet.dll trong thư mục arpspoof vào ổ C:\ trên  máy tính bạn để có thể sử dụng ArpSpoof. Thực hiện như sau: > Bạn mở CMD (Start/Run gõ cmd) rồi chuyển thư mục làm việc về ổ C:\ bằng cách gõ cd\ > Trước hết bạn cần biết được địa chỉ IP của Gateway, bạn hãy gõ vào ipconfig, Enter là bạn sẽ thấy IP của chính  máy mình và của Gateway, thường sẽ là 192.168.1.1 > Tiếp theo là tấn công máy tính nạn nhân, bạn gõ tiếp lệnh arpspoof ­t [ip Gateway] [ip máy nạn nhân] ví dụ : arpspoof ­t 192.168.1.1 192.168.1.12 rồi gõ tiếp 2 và Enter, vậy là cuộc tấn công sử dụng arpspoof bắt đầu rồi đó, bạn cứ để cửa sổ CMD để chương trình  chạy như vậy, khi đó nạn nhân sẽ mất mạng Internet. Để tăng tính hiệu quả bạn có thể mở nhiều cửa sổ CMD và  chạy lệnh như vậy. Khi muốn ngừng cuộc tấn công, bạn có thể mở lại cửa sổ CMD đang chạy và ấn Ctrl + C hoặc đóng hẳn cửa sổ CMD  đó đi. Một vài phút sau khi ngừng tấn công, nạn nhân sẽ lại truy cập Internet được. Chú ý : với cả 2 cách này, có thể sau khi đã ngừng tấn công một lúc sau nạn nhân vẫn chưa vào Internet  được, khi đó nạn nhân cần vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area  Connection) thì mới có thể truy cập Internet lại. * Trên đây là cách tấn công, vậy chúng ta có thể làm gì để phòng chống cuộc tấn công này và biết được máy  tính nào đã thực hiện cuộc tấn công. Trước tiên hãy chú ý là để phòng chống cuộc tấn công này thì bạn phải bắt đầu thực hiện từ trước khi bị tấn công  hoặc từ ngay khi mới mở máy tính lên (có thể là bằng cách tạo file chạy khi khởi động máy tính). Bước 1: Bạn vào CMD và gõ lệnh sau để lấy về toàn bộ địa chỉ IP và MAC của mạng LAN để lưu trữ lại for /l %x in (1,1,12) do ping 192.168.1.%x ­n 1 Tiếp theo là lệnh arp ­a Bạn sẽ thấy hiển thị kết quả tương tự như sau: > Interface: 192.168.1.3 ­­­ 0x2 > Internet Address Physical Address Type > 192.168.1.1 00­27­19­f9­1c­e2 dynamic > 192.168.1.4 00­24­1d­5f­cc­2c dynamic > 192.168.1.12 00­0b­6a­8c­2c­77 dynamic Bạn hãy chú ý đến địa chỉ MAC (Physical Address) của Gateway, vì nó thường sẽ bị thay đổi khi bị tấn công, còn  bình thường địa chỉ MAC của tất cả các máy đều cố định. Bước 2: Bạn copy phần thông tin phía dưới dòng Internet Address rồi mở Notepad, paste vào, rồi Save as thành 1 file .bat, ví  dụ Test.bat, bạn chú ý chọn All Files ở chỗ Save as Type Nội dung file bat có dạng sau : arp ­d * arp ­s 192.168.1.1 00­27­19­f9­1c­e2 arp ­s 192.168.1.4 00­24­1d­5f­cc­2c arp ­s 192.168.1.12 00­0b­6a­8c­2c­77 ping google.com ­n 2 pause Có thể những bạn chưa biết sẽ thắc mắc là làm thế nào để copy trong CMD, bạn làm như sau: Phải chuột ở giữa cửa sổ CMD chọn Mark, bạn bôi đen những dòng cần copy, rồi ấn Enter, vậy là copy được rồi đó. Chú ý : bạn có thể tạo file bat như trên để lưu giữ chạy cho những lần sau, hoặc có thể ghi lại địa chỉ IP và  MAC của Gateway ra ngoài để sử dụng sau khi bị tấn công {} Tất cả trên đây là công đoạn chuẩn bị trước phòng ngừa có thể bị tấn công. Sau khi phát hiện thấy mình đang bị tấn công rồi, bạn làm như sau  Cách 1 : kích đúp chuột chạy luôn cái file .bat mà bạn đã tạo ra ở trên Cách 2 : mở CMD và gõ lệnh Với win XP arp ­s [ip Gateway] [MAC Gateway], vi du : arp ­s 192.168.1.1 00­27­19­f9­1c­e2 Với Win 7  netsh ­c interface ipv4 set neighbors tên card mạng IP gateway MAC gateway vi du :  netsh ­c interface ipv4 set neighbors Local Area Connection 192.168.1.1 00­27­19­f9­1c­e2 Vậy là xong, bạn lại có thể truy cập Internet như bình thường. Nếu vẫn chưa được bạn hãy thử vào My Network Places rồi Disable và lại Enable lại kết nối (thường là Local Area  Connection) nhé. Bước 3: Giờ tôi sẽ nói cho các bạn biết làm thế nào để chúng ta biết đang bị tấn công ARP spoofing khi bị mất mạng và cách  phát hiện ra máy tính thực hiện cuộc tấn công đó nhé. Cách 1: Sử dụng phần mềm XArp 2.0. Bạn chạy chương trình XArp 2.0 và sẽ nhìn thấy một số dòng màu đỏ, trong đó có IP Gateway, máy tấn công và các  máy nạn nhân. Bạn hãy loại ra IP Gateway và các IP máy nạn nhân bị mất mạng, còn lại chính là IP của máy tính tấn công đó (máy  này không bị mất mạng). Nếu chú ý hơn vào XArp 2.0, bạn kéo ra sau cùng sẽ thấy cột How Often seen, bạn sẽ thấy số dữ liệu trao đổi giữa  Gateway và các máy nạn nhân tăng lên tương ứng nhau, còn máy tấn công thì khác hẳn. Cách 2: bạn ping đến từng máy trong mạng LAN xem máy nào kết nối chập chờn, lúc được lúc không thì đó chính là  máy tấn công ARP spoofing bằng NetCut hay ArpSpoof. Tất nhiên cách này thủ công và mất nhiều thời gian hơn. Ví dụ bạn phát hiện ra máy tấn công là 192.168.1.12 Bước 4: Hãy trừng phạt kẻ tấn công này  Sau khi đã lấy lại được kết nối Internet, bạn hãy sử dụng lại chính arpspoof để trừng phạt kẻ tấn công ...