[Tìm hiểu Kali Linux] ARP Spoofing
Chúng ta sẽ tìm về cách tấn công Man-in-the-middle bằng cách lợi dụng gói tin đi trong mạng LAN cần đóng gói Layer 2 là địa chỉ MAC.
Như các bạn đã biết, muốn gửi 1 gói tin đi thì cần đóng gói tối thiểu 4 địa chỉ sau:
– Source MAC (SM), Destination MAC(DM).
– Source IP (SIP), Destination IP (DIP).
Thì để đi trong mạng LAN, gói tin cần có DM để gửi tới đích, do đó mình sẽ lợi dụng quá trình ARP làm giả gói ARP Reply ứng mới MAC ảo là máy của Attacker.
Khi PC Client muốn ra Internet thi phải biết địa chỉ MAC của Default Gateway để đóng gói gói tin ở Layer 2 và Router cũng phải biết MAC của PC client để đóng gói gói tin trả về. Lợi dụng việc này, Attcker liên tục giả địa chỉ MAC gửi gói ARP Reply đến PC client và Router như sau:
Gói ARP Reply gửi đến PC client: Địa chỉ IP 192.168.0.1 có địa chỉ MAC là C
Gói ARP Reply gửi đến Router: Địa chỉ 192.168.0.102 có địa chỉ MAC là C.
Do đó, Attacker sẽ bắt được tất cả gói tin trao đổi giữa PC Client và Router, từ đó dùng những công cụ phân tích gói tin để biết được chi tiết về các thông tin trao đổi.
Ở bài demo này, mình sẽ sử dụng các công cụ có sẵn trong Kali Linux:
nmap: quét port, quét các host đang up.
arpspoof: giả mạo gói ARP Reply.
urlsnarf: xem những đường dẫn mà Client truy cập.
driftnet: hiển thị những ảnh mà Client truy cập.
Trên máy Kali Linux thực hiện như sau:
Quét tất cả các máy đang up trong mạng 192.168.0.0/24
Chọn máy 192.168.0.102 tiến hành arp spoofing để xem nó đang làm gì.
Tiếp theo bật tính năng IP Forwading bằng câu lệnh
để kiểm tra xem nó đã được ghi vào chưa bạn có thể dùng câu lệnh:
Thưc hiện ARP spoofing:
Với wlan0 là wireless device, 192.168.0.1: IP Defatul Gateway, 192.168.0.102: IP client muốn tấn công.
Bây giờ client sẽ thấy IP Gateway có MAC là MAC của máy Attacker
Dưới đây là 1 số hình ảnh bắt được
Các hình ảnh này được lưu trong thư mục /tmp/driftnet.
Ngoài ra các bạn có thể sử dụng các công cụ khác để phân tích gói tin như wireshark.
Video Demo: https://youtu.be/FKalIIlOPT8
Như các bạn đã biết, muốn gửi 1 gói tin đi thì cần đóng gói tối thiểu 4 địa chỉ sau:
– Source MAC (SM), Destination MAC(DM).
– Source IP (SIP), Destination IP (DIP).
Thì để đi trong mạng LAN, gói tin cần có DM để gửi tới đích, do đó mình sẽ lợi dụng quá trình ARP làm giả gói ARP Reply ứng mới MAC ảo là máy của Attacker.
Khi PC Client muốn ra Internet thi phải biết địa chỉ MAC của Default Gateway để đóng gói gói tin ở Layer 2 và Router cũng phải biết MAC của PC client để đóng gói gói tin trả về. Lợi dụng việc này, Attcker liên tục giả địa chỉ MAC gửi gói ARP Reply đến PC client và Router như sau:
Gói ARP Reply gửi đến PC client: Địa chỉ IP 192.168.0.1 có địa chỉ MAC là C
Gói ARP Reply gửi đến Router: Địa chỉ 192.168.0.102 có địa chỉ MAC là C.
Do đó, Attacker sẽ bắt được tất cả gói tin trao đổi giữa PC Client và Router, từ đó dùng những công cụ phân tích gói tin để biết được chi tiết về các thông tin trao đổi.
Ở bài demo này, mình sẽ sử dụng các công cụ có sẵn trong Kali Linux:
nmap: quét port, quét các host đang up.
arpspoof: giả mạo gói ARP Reply.
urlsnarf: xem những đường dẫn mà Client truy cập.
driftnet: hiển thị những ảnh mà Client truy cập.
Trên máy Kali Linux thực hiện như sau:
#nmap -F 192.168.0.0/24
Quét tất cả các máy đang up trong mạng 192.168.0.0/24
Chọn máy 192.168.0.102 tiến hành arp spoofing để xem nó đang làm gì.
Tiếp theo bật tính năng IP Forwading bằng câu lệnh
#echo 1 > /proc/sys/net/ipv4/ip_forward
1 -> Enable IP Forwarding, 0-> Disable
1 -> Enable IP Forwarding, 0-> Disable
để kiểm tra xem nó đã được ghi vào chưa bạn có thể dùng câu lệnh:
#more /proc/sys/net/ipv4/ip_forward.
Thưc hiện ARP spoofing:
#arpspoof -i wlan0 -t 192.168.0.1 192.168.0.102
#arpspoof -i wlan0 -t 192.168.0.102 192.168.0.1
#arpspoof -i wlan0 -t 192.168.0.102 192.168.0.1
Với wlan0 là wireless device, 192.168.0.1: IP Defatul Gateway, 192.168.0.102: IP client muốn tấn công.
Bây giờ client sẽ thấy IP Gateway có MAC là MAC của máy Attacker
Bước giả mạo MAC đã xong, giờ ta sẽ phân tích các gói tin bắt được.
Dùng tool urlsnarf để xem đường link mà client truy cập:
Dùng tool urlsnarf để xem đường link mà client truy cập:
#urlsnarf -i wlan0
Dùng tool driftnet để xem các hình ảnh bắt được:
#driftnet -i wlan0
Ngoài ra các bạn có thể sử dụng các công cụ khác để phân tích gói tin như wireshark.
Video Demo: https://youtu.be/FKalIIlOPT8
Nhận xét
Đăng nhận xét