TỔNG QUAN VỀ FORENSICS
ĐỊNH NGHĨA FORENCIS
Trong lĩnh vực an toàn thông tin, Forensics, hay điều tra số, là quá trình phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc tạo ra bởi máy tính hoặc mạng máy tính Mục tiêu của Forensics là đưa ra những suy luận hợp lý để xác định nguyên nhân và giải thích các hiện tượng trong quá trình điều tra.
Khoa học pháp y, hay Forensics, có nguồn gốc từ lĩnh vực y tế vào thế kỷ 18 và gắn liền với quá trình điều tra pháp lý Hiện nay, khái niệm Forensics đã được mở rộng sang nhiều lĩnh vực khác nhau, cho thấy sự phát triển và ứng dụng đa dạng của nó trong các ngành nghề hiện đại.
Forensics xuất hiện vào những năm 1980 nhờ sự phát triển của máy tính cá nhân, khi các vấn đề như trộm cắp thiết bị phần cứng, mất dữ liệu, vi phạm bản quyền và virus máy tính ngày càng gia tăng Thời điểm đó, doanh nghiệp và chính phủ các nước đã nhận thức rõ hơn về tầm quan trọng của bảo mật thông tin.
Hình ảnh 1 1 Minh Họa Forensic
MỤC TIÊU
Mục tiêu chính của điều tra máy tính là phát hiện, bảo quản và khai thác dữ liệu một cách hiệu quả, đồng thời tài liệu hóa và đưa ra kết luận chính xác về thông tin thu thập được Để đảm bảo tính xác thực của dữ liệu, quá trình thu thập phải diễn ra một cách cẩn thận và không làm hư hại đến thông tin, nếu không, dữ liệu sẽ mất đi giá trị và ý nghĩa.
• Khi hệ thống bị tấn công, chưa xác định được nguyên nhân
• Khi cần khôi phục dữ liệu thiết bị, hệ thống
• Hiểu rõ cách làm việc của hệ thống
• Điều tra tội phạm liên quan đến công nghệ cao
• Điều tra các hoạt động gián điệp trong công nghệ
Tiến hành điều tra số là cần thiết để xác định các hoạt động của tội phạm mạng và ngăn ngừa rủi ro tiềm ẩn Đồng thời, việc khôi phục thiệt hại từ các cuộc tấn công vào hệ thống mạng máy tính bao gồm phục hồi dữ liệu và thông tin bị phá hoại.
ĐẶC ĐIỂM
Dữ liệu cần phân tích có kích thước lớn, và chỉ với vài megabyte văn bản, chúng ta đã có một lượng thông tin đáng kể Trên thực tế, khối lượng dữ liệu này còn lớn hơn nhiều.
• Dữ liệu thường không còn nguyên vẹn, bị thay đổi, phân mảnh, và có thể bị lỗi
Bảo quản dữ liệu là một thách thức lớn, vì dữ liệu thu được thường có tính toàn vẹn cao; chỉ một thay đổi nhỏ cũng có thể ảnh hưởng đến toàn bộ hệ thống.
• Dữ liệu forensic có thể gồm nhiều loại khác nhau: file hệ thống, ứng dụng,
• Vấn đề cần forensics là khá trừu tượng: mã máy, dump file, network packet
• Dữ liệu dễ dàng bị giả mạo
Việc xác định tội phạm là một thách thức lớn, mặc dù bạn có thể thu thập được thông tin về hacker như địa chỉ IP, email hay hồ sơ cá nhân Tuy nhiên, việc nhận diện đối tượng thật ngoài đời thực lại không hề đơn giản.
ĐỐI TƯỢNG NHẮM ĐẾNCỦA FORENSICS
Forensic thường làm việc với những đối tượng sau:
• Physical Media, Media Management: Liên quan đến phần cứng, tổ chức phân vùng, phục hồi dữ liệu khi bị xóa
• File System: Phân tích các file hệ thống, hệ điều hành windows, linux, android
• Application: Phân tích dữ liệu từ ứng dụng như các file Log, file cấu hình, reverse ứng dụng
• Network: Phân tích gói tin mạng, sự bất thường trong mạng
• Memory: Phân tích dữ liệu trên bộ nhớ, thường là dữ liệu lưu trên RAM được dump ra
TỔNG QUAN VỀ GIAO THỨC ARP
MỘT SỐ KHÁI NIỆM CƠ BẢN
IP hay Internet Protocol là địa chỉ số có trên mọi thiết bị kết nối mạng để chia sẻ dữ liệu với nhau giao thức kết nối Internet
Địa chỉ IP đóng vai trò quan trọng trong việc điều hướng dữ liệu giữa các máy chủ nguồn và đích trong mạng máy tính Nó tương tự như địa chỉ nhà riêng, giúp nhận diện người dùng hoặc doanh nghiệp Khi bạn truy cập email hay website, địa chỉ IP, mặc dù không gắn trực tiếp với thiết bị của bạn, vẫn có thể tiết lộ một số thông tin cá nhân.
Hình ảnh 2 1 Địa chỉ IP
IP dùng để làm gì?
IP giúp các thiết bị trên Internet phân biệt, chia sẻ và giao tiếp với nhau, cung cấp danh tính cho chúng khi kết nối mạng, tương tự như địa chỉ doanh nghiệp cụ thể.
Khi gửi một lá thư tay đến bạn ở nước ngoài, tôi cần địa chỉ và số điện thoại chính xác để tra cứu Quy trình này tương tự khi gửi dữ liệu qua Internet, nhưng hoàn toàn tự động Thay vì sử dụng số điện thoại, máy tính sẽ dùng DNS Server để xác định địa chỉ đích và IP.
Khi tôi tìm kiếm từ khóa “cách kiểm tra IP” trên Google, yêu cầu sẽ được chuyển đến máy chủ DNS, nơi tìm kiếm các website có chứa địa chỉ IP tương ứng Do đó, nếu không có địa chỉ IP, máy tính sẽ không thể xác định được nội dung mà tôi đang muốn tìm kiếm.
2.1.2 Địa chỉ MAC Địa chỉ MAC (media access control: kiểm soát truy cập phương tiện truyền thông) của máy tính là một định danh duy nhất được gán cho một bộ điều khiển giao diện mạng cho truyền thông tại tầng liên kết dữ liệu của một phân đoạn mạng Địa chỉ MAC được sử dụng làm địa chỉ mạng cho hầu hết các công nghệ mạng IEEE 802, bao gồm Ethernet và Wi-Fi, Router/modem Về mặt logic, các địa chỉ MAC được sử dụng trong tầng con của media access control của mô hình tham chiếu OSI Địa chỉ MAC thường được chỉ định bởi nhà sản xuất bộ điều khiển giao diện mạng và được lưu trữ trong phần cứng, chẳng hạn như bộ nhớ chỉ đọc của card mạng hoặc một số cơ chế phần mềm khác Nếu được chỉ định bởi nhà sản xuất, một địa chỉ MAC thường mã hoá số nhận dạng của nhà sản xuất đã đăng ký Nó cũng có thể được biết đến như một địa chỉ phần cứng Ethernet (EHA), địa chỉ phần cứng hoặc địa chỉ vật lý (không nên nhầm lẫn với địa chỉ vật lý bộ nhớ) Điều này có thể tương phản với địa chỉ được lập trình, nơi thiết bị ban lệnh đến NIC sử dụng một địa chỉ nào đó Để hiểu hơn Mac là gì bạn hình dung như sau MAC chính là ID của card mạng máy tính của bạn để phân biệt với các máy có card mạng khác trong một máy tính Một máy tính có nhiều card mạng Mỗi card mạng đó lại tương ứng với một địa chỉ của MAC
2.1.3 Địa chỉ IP và địa chỉ MAC hoạt động song song như thế nào? Địa chỉ IP được sử dụng để truyền dữ liệu từ mạng này sang mạng khác bằng giao thức TCP/IP Địa chỉ MAC được sử dụng để phân phối dữ liệu đến đúng thiết bị trên mạng
Giả sử tên bạn là "John Smith", điều này không đủ để xác định chính xác vì có nhiều người cùng tên Tuy nhiên, nếu kết hợp với tổ tiên của bạn, ví dụ như "nhà sản xuất", bạn sẽ trở thành "John Smith, con trai của Edward".
Địa chỉ MAC của bạn có thể được hiểu như một chuỗi thông tin duy nhất, ví dụ như "Edward là con trai của George, và George là con trai của " Tất cả những thông tin này kết hợp lại giúp xác định một cách rõ ràng và độc nhất tên gọi "John Smith".
Để gửi một gói bưu phẩm, việc cung cấp địa chỉ nhà là rất quan trọng Nếu người gửi chỉ định bạn bằng cách liệt kê mối quan hệ gia đình như "John Smith, con trai của Edward, Edward là con trai của George", điều này sẽ gây khó khăn cho bưu điện trong việc xác định người nhận Địa chỉ nhà giúp bưu điện dễ dàng tìm thấy bạn và đảm bảo gói hàng được gửi đến đúng nơi.
Địa chỉ nhà không đủ để nhận hàng; bạn cần cả địa chỉ và tên của mình Nếu chỉ có địa chỉ, bạn có thể nhận gói hàng mà không biết ai là người gửi Địa chỉ IP xác định vị trí của bạn, trong khi địa chỉ MAC cho biết danh tính của bạn Điều này có ý nghĩa quan trọng trong thực tế khi nhận hàng.
Router/modem của bạn được cấp một địa chỉ IP duy nhất bởi nhà cung cấp dịch vụ Internet (ISP), giống như địa chỉ nhà của bạn Các thiết bị kết nối với router/modem có địa chỉ MAC riêng biệt, tương tự như tên cá nhân Địa chỉ IP sẽ nhận dữ liệu gửi đến router/modem, sau đó router/modem sẽ phân phối dữ liệu đó đến thiết bị tương ứng, như một hệ thống hộp thư và người nhận.
GIAO THỨC ARP LÀ GÌ?
ARP là phương thức phân giải địa chỉ giữa lớp mạng và lớp liên kết dữ liệu Quá trình này diễn ra khi một thiết bị IP trong mạng gửi gói tin broadcast tới toàn bộ mạng, yêu cầu các thiết bị khác phản hồi với địa chỉ phần cứng (địa chỉ lớp liên kết dữ liệu), hay còn gọi là địa chỉ Mac.
Giao thức ARP, ban đầu chỉ được áp dụng trong mạng Ethernet để phân giải địa chỉ IP và địa chỉ MAC, đã trở nên phổ biến và được sử dụng rộng rãi trong nhiều công nghệ khác dựa trên lớp hai ngày nay.
Hình ảnh 2 2 ARP request, ARP reply
• Host A có địa chỉ IP là 192.168.1.10 và có địa chỉ MAC là 74-2F-6K-B6-44-
• Host B có địa chỉ IP là 192.168.1.120 và có địa chỉ MAC là 02-FE-05-A7-00-
• Host A muốn tìm địa chỉ MAC của host có địa chỉ IP là 192.168.1.120
• Host A phát ra một gói tin ARP request (dạng broadcast) trên mạng yêu cầu tìm MAC của host nào có IP là 192.168.1.120
• Gói tín có dạng broadcast nên nó sẽ gửi đến tất cả các host trong mạng
Tất cả các host sẽ xác minh địa chỉ IP để đảm bảo tính chính xác; nếu không khớp, chúng sẽ bỏ qua Khi địa chỉ IP đúng, host sẽ lấy địa chỉ MAC và gửi gói tin ARP reply dưới dạng unicast đến host A.
• Lúc này Host A đã có địa chỉ MAC của Host B Nó sẽ lưu và ARP cache của nó
2.2.1 CÁC LỖ HỔNG VÀ GIAO THỨC LIÊN QUAN TỚI ARP
2.2.1.1 Lỗ hổng bảo mật ARP
Khi một host nhận được gói tin ARP Reply, nó hoàn toàn tin tưởng vào thông tin này và sử dụng mà không xác minh nguồn gốc, dẫn đến khả năng sử dụng thông tin từ một host không mong muốn.
Lợi dụng điều này, hacker có thể triển khai các phương thức tấn công như: Man
In The Middle, Denial of Service, MAC Flooding
Tấn công Man in the Middle (MitM) là một trong những kiểu tấn công mạng phổ biến nhất, cho phép kẻ tấn công nghe trộm thông tin giữa các máy tính nạn nhân Hình thức tấn công này, còn được biết đến với tên gọi ARP Poison Routing, có nguồn gốc lâu đời và có khả năng theo dõi toàn bộ lưu lượng mạng Dù đơn giản, nhưng MitM lại cực kỳ hiệu quả trong việc đánh cắp thông tin.
Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B
• Đầu tiên, hacker sẽ gởi gói ARP Reply đến host A với nội dung là địa chỉ MAC của hacker và địa chỉ IP của hostB
• Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội dung là MAC của máy hacker và IP của host A
• Như vậy, cả hai host A và host B đều tiếp nhận gói ARP Reply đó và lưu vào trong ARP table của mình
Khi host A muốn gửi thông tin đến host B, nó kiểm tra bảng ARP và thấy đã có địa chỉ MAC của host B, nhưng thực tế đó là địa chỉ MAC của hacker Đồng thời, máy tính của hacker kích hoạt chức năng IP Forwarding để chuyển tiếp nội dung mà host A gửi đến host B.
• Host A và host B giao tiếp bình thường và không có cảm giác bị qua máy trung gian là máy của hacker
Hình ảnh 2 3 Tấn công man in middle
Công cụ phổ biến nhất để thực hiện cuộc tấn công này là Cain & Abel, ettercap …
Tấn công từ chối dịch vụ (Denial of Service) là một kỹ thuật mà hacker sử dụng để gây rối mạng lưới Cụ thể, hacker gửi gói ARP Reply đến tất cả các host trong mạng, trong đó chứa địa chỉ IP của Gateway và một địa chỉ MAC không tồn tại Điều này khiến các host trong mạng tin rằng chúng đã biết địa chỉ MAC của Gateway, dẫn đến việc thông tin được gửi đến một địa chỉ không có thật Kết quả là toàn bộ các host trong mạng không thể truy cập Internet, đúng như mục tiêu mà hacker mong muốn.
Hình ảnh 2 4 Tấn công DOS
Kỹ thuật tấn công ARP Poisoning nhằm vào Switch, trong đó hacker gửi hàng loạt gói ARP Reply giả mạo để làm quá tải Switch Khi Switch không còn khả năng xử lý, nó sẽ phát tán gói tin ra tất cả các cổng, giúp hacker dễ dàng thu thập thông tin trong mạng của bạn.
2.2.1.2 Cách phòng chống tấn công mạng kiểu ARP Đối với mạng nhỏ: Ta có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó, bạn sẽ liệt kê bằng tay IP nào đi với MAC nào Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem IP và MAC, dùng câu lệnh arp -s để thêm vào ARP table Khi mà ép tĩnh như vậy sẽ ngăn chặn hacker gởi các gói ARP Reply giả tạo đến máy của mình vì khi sử dụng ARP table tĩnh thì nó luôn luôn không thay đổi Chú ý rằng cách thức này chỉ áp dụng được trong môi trường mạng với quy mô nhỏ, nếu mạng lớn hơn là không thể vì chúng ta phải thêm vào ARP table bằng tay với số lượng quá nhiều Đối với mạng lớn: Khi quản trị trong một mạng quy mô lớn, ta có thể sử dụng chức năng Port security Khi mở chức năng Port security lên các port của Switch, ta có thể quy định port đó chỉ chấp nhận một địa chỉ MAC Như vậy sẽ ngăn chặn việc thay đổi địa chỉ MAC trên máy hacker.Ngoài ra cũng có thể sử dụng các công cụ, ví dụ như ArpWatch Nó sẽ phát hiện và báo cáo cho bạn các thông tin liên quan đến ARP đang diễn ra trong mạng Nhờ đó, nếu có hiện tượng tấn công bằng ARP Poisoning thì bạn có thể giải quyết kịp thời
Bên cạnh đó ta có thể dùng arpwatch để giám sát các thông tin về ARP để phát hiện kịp thời khi bị tấn công
Giao thức ARP đóng vai trò thiết yếu trong hệ thống mạng, ban đầu được sử dụng để phân giải địa chỉ IP và địa chỉ MAC trong mạng Ethernet Hiện nay, ARP đã được ứng dụng rộng rãi trong nhiều công nghệ khác dựa trên lớp hai Bài viết này sẽ giới thiệu khái quát về ARP cũng như các biện pháp bảo vệ hệ thống trước lỗ hổng bảo mật liên quan đến ARP một cách an toàn.
PHẦN MỀM ARPWATCH
GIỚI THIỆU PHẦN MỀM ARPWATCH
Arpwatch – Công cụ giám sát hoạt động Ethernet
Arpwatch là phần mềm giám sát Address Resolution Protocol (ARP) trên hệ thống Linux, giúp theo dõi các thay đổi về địa chỉ MAC và IP trong mạng Ethernet Công cụ này hoạt động liên tục, ghi lại và tạo log về các biến động địa chỉ IP và MAC kèm theo thời gian cụ thể.
Arpwatch cung cấp tính năng gửi và nhận email, giúp cảnh báo người quản trị về các sự cố trong mạng Tính năng này rất quan trọng trong việc phát hiện các cuộc tấn công ARP spoofing, từ đó bảo vệ mạng khỏi những mối đe dọa tiềm ẩn.
Công cụ này đặc biệt hữu ích cho các quản trị viên mạng giám sát hoạt động ARP để phát hiện giả mạo ARP , mạng flip-flops…
LỊCH SỬ PHÁT TRIỂN
Arpwatch được phát triển bởi Phòng thí nghiệm Quốc gia Lawrence
Berkeley (Phòng thì nghiệm quốc gia Hoa Kỳ), Arpwatch được viết dưới dạng phần mềm mã nguồn mở và được phát hành theo giấy phép BSD
Arpwatch được viết bằng ngôn ngữ C, được phát hành phiên bản đầu tiên v1 vào ngày 16/6/1992 Và phiên bản 3.2 mới nhất được ra mắt vào ngày 15/12/2021.
HƯỚNG DẪN CÀI ĐẶT ARPWATCH
Hướng dẫn cài đặt ArpWatch trên Kali Linux Để cài đặt ArpWatch trên Linux ta có 3 cách
Cách 1: Cài đặt arpwatch bằng apt
Mở terminal Emulator trên kali linux
Cập nhật cơ sở dữ liệu apt bằng lệnh sau sudo apt update
Hình ảnh 3 1 Sudo apt update
Sau khi cập nhật cơ sở dữ liệu apt, chúng ta có thể cài đặt arpwatch bằng cách chạy lệnh sau: sudo apt -y install arpwatch
Cách 2: Cài đặt arpwatch bằng apt-get
Cập nhật cơ sở dữ liệu apt-get bằng lệnh sau sudo apt-get update
Sau khi cập nhật cơ sở dữ liệu apt, chúng ta có thể cài đặt arpwatch bằng apt-get bằng cách chạy lệnh sau: sudo apt-get -y install arpwatch
Cách 3: Cài đặt arpwatch bằng aptitude
Để thực hiện phương pháp này, bạn cần cài đặt aptitude, vì nó thường không có sẵn trên Kali Linux Hãy cập nhật cơ sở dữ liệu apt aptitude bằng lệnh: sudo aptitude update.
Sau khi cập nhật cơ sở dữ liệu apt, chúng ta có thể cài đặt arpwatch bằng cách chạy lệnh sau: sudo aptitude -y install arpwatch
SỬ DỤNG ARPWATCH
3.4.1 Các tập tin mặc định trong Arpwatch
/ var / arpwatch thư mục mặc định
/var/arpwatch/arp.dat Cơ sở dữ liệu bản ghi địa chỉ ethernet / ip mặc định
/var/arpwatch/ethercodes.dat - danh sách khối ethernet của nhà cung cấp
/etc/rc.d/init.d/arpwatch Dịch vụ Arpwatch để khởi động hoặc dừng daemon / etc / sysconfig / arpwatch Đây là tệp cấu hình chính
/ usr / sbin / arpwatch Lệnh nhị phân để khởi động và dừng công cụ bằng thiết bị đầu cuối
/ var / log / messages Đây là tệp nhật ký hệ thống nơi arpwatch ghi bất kỳ thay đổi hoặc hoạt động bất thường nào lên IP / MAC
Bảng 3 1 Các tập tin trong arpwatch
To use arpwatch, execute the command with the syntax: arpwatch [-CdFNpqsvzZ] [-D arpdir] [-f datafile] [-i interface] [-P pidfile] [-w watcher@email] [-W watchee@email] [-n net[/width]] [-x net[/width]] [-r file], incorporating the following options.
Cờ -C(cờ mặc định) sử dụng địa chỉ Ethernet đệm nhỏ trong arp.dat, ví dụ như 0: 8: e1: 1: 2: d6
Cờ -d được sử dụng để gỡ lỗi, giúp hạn chế việc ẩn dưới nền và gửi báo cáo qua email Thay vào đó, các báo cáo này sẽ được gửi đến stderr.
Cờ -D được sử dụng để chỉ định thư mục làm việc của arpwatch, mặc định là / usr / local / arpwatch
Cờ -f cờ được sử dụng để đặt tên tệp cơ sở dữ liệu địa chỉ ethernet / ip Mặc định là arp.dat
Cờ -F cờ ngăn không cho arpwatch phân nhánh khiến nó chạy trên foreground
Cờ -i được sử dụng để ghi đè lên giao diện mặc định
Cờ -n được sử dụng để chỉ định các mạng cục bộ bổ sung, giúp tránh cảnh báo "bogon" khi nhiều mạng hoạt động trên cùng một dây Nếu không có độ rộng tùy chọn được chỉ định, mặt nạ mạng mặc định cho lớp của mạng sẽ được áp dụng.
Cờ -N Vô hiệu hóa báo cáo bogons
Cờ -p vô hiệu hóa chế độ promiscuous
Cờ -q ngăn chặn các báo cáo được ghi lại hoặc in ra stderr
Cờ -r được sử dụng để chỉ định một tệp lưu, như tệp tcpdump hoặc pcapture, để arpwatch đọc dữ liệu từ đó thay vì từ mạng Để chạy arpwatch lần đầu tiên, cần tạo một tệp arp.dat trống trước.
Cờ -s ngăn chặn các báo cáo được gửi qua email
Cờ -v vô hiệu hóa báo cáo tiền tố ethernet VRRP / CARP
Cờ -z vô hiệu hóa báo cáo các thay đổi 0.0.0.0, hữu ích trong các mạng bận rộn do DHCP phân phối
Cờ -Z sử dụng địa chỉ ethernet không đệm trong arp.dat, ví dụ:
Cờ -w được sử dụng để chỉ định địa chỉ đích cho các báo cáo email Mặc định là root
Cờ -W được sử dụng để chỉ định địa chỉ từ cho các báo cáo email
3.4.3 Report Messages đươc tạo bởi arpwatch new activity Cặp địa chỉ ethernet / ip này đã được sử dụng lần đầu tiên từ sáu tháng trở lên new station Địa chỉ ethernet chưa từng được nhìn thấy trước đây flip flop Địa chỉ ethernet đã được thay đổi từ địa chỉ được thấy gần đây nhất thành địa chỉ thứ 2 changed ethernet address
Máy chủ lưu trữ đã chuyển sang một địa chỉ ethernet mới
3.4.4 SysLog messages Đưới đây là một số thông báo nhật ký hệ thống phổ biến trong ứng dựng arpwatch: ethernet broadcast Địa chỉ mac ethernet của máy chủ lưu trữ là địa chỉ quảng bá(được sử dụng để truyền đến tất cả các thiết bị được kết nối với mạng truyền thông đa truy nhập Tất cả các máy chủ kết nối mạng có thể nhận được thông báo được gửi đến một địa chỉ quảng bá.) ip broadcast Địa chỉ ip của máy chủ lưu trữ là địa chỉ quảng bá Bogon Địa chỉ ip nguồn không phải là địa chỉ cục bộ của mạng con cục bộ Ethernet broadcast ethernet broadcast Địa chỉ ethernet mac hoặc arp nguồn là tất cả số 1 hoặc tất cả các số 0 ethernet mismatch Địa chỉ ethernet mac nguồn không khớp với địa chỉ bên trong gói arp reused old ethernet address Địa chỉ ethernet đã thay đổi từ địa chỉ được nhìn thấy gần đây nhất thành địa chỉ thứ ba (hoặc lớn hơn) ít được nhìn thấy gần đây nhất (Điều này tương tự như flip flop.) suppressed DECnet flip flop
Báo cáo "flip flop" đã bị chặn vì một trong hai địa chỉ là địa chỉ DECnet
DEMO ỨNG DỤNG ARPWATCH
Phát hiện Mac/ip bị thay đổi và cấu hình email nhận thông báo
- Bắt đầu sử dụng dịch vụ bằng lệnh: sudo systemctl start arpwatch hoặc lệnh: /etc/init.d/arpwatch
Hình ảnh 4 1 Khởi chạy arpwatch
Tạo 1 tệp arp.dat để chương trình lưu dữ liệu vào đó sudo touch /var/lib/arpwatch/arp.dat
Chỉnh sửa cấu hình tệp arpwatch.conf bằng lệnh sudo nano /etc/arpwatch.conf
Chèn vào email mà mình muốn arpWatch thông báo đến theo định dạng: eth0 -a -n 192.168.1.0/24 -m youremail@mydomain.com
Hình ảnh 4 2 Cấu hình tệp arpwatch.conf
Sử dụng lệnh sudo /usr/sbin/arpwatch -d -i eth0 -f /tmp/arp.dat
Hình ảnh 4 3 Thông báo mail
Arpwatch hiển thị report email, khi có một đia chỉ MAC mới đươc kết nối vào
Thông báo new station có nghĩa là địa chỉ mạng này chưa từng đươc nhìn thấy trước đây
Xem nhật ký hệ thống sau khi cặp MAC/IP bị thay đổi bằng dòng lệnh: tail –f/var/log/messages
Tấn công arp
- Mở ứng dụng ettercap trên kali
Để bắt đầu với Ettercap, chúng ta chọn các thông số cơ bản, có thể giữ nguyên các thiết lập mặc định Đầu tiên, hãy chọn card mạng mong muốn, thường là eth0, sau đó giữ nguyên các tùy chọn khác và nhấn nút ở góc trên bên phải để xác nhận các thay đổi.
Khi bắt đầu chương trình Ettercap, nhấp vào biểu tượng "kính lúp" ở góc trên bên trái để quét toàn bộ mạng cục bộ mà bạn đang kết nối Ettercap sẽ tìm kiếm các thiết bị khác nhau trên mạng, từ đó xác định các nạn nhân tiềm năng cho các cuộc tấn công.
- thiết lập cả hai mục tiêu
• Mục tiêu 1 - Chúng ta chọn IP của thiết bị cần giám sát, trong trường hợp này là thiết bị nạn nhân, và bấm vào nút đó
• Mục tiêu 2 - Chúng tôi nhấn IP mà chúng tôi muốn mạo danh, trong trường hợp này là một trong những cổng vào
Tất cả đã sẵn sàng Bây giờ chúng ta chỉ cần chọn ” MITM "Ở trên cùng và trong đó, chọn" ARP poisoning "
Giờ đây, ta đã có thể kiểm soát máy chủ mà ta đã đặt là ” Mục tiêu 1 "
Chạy Wireshark để nắm bắt và phân tích tất cả các gói mạng, nhằm tìm kiếm thông tin thú vị Ngoài ra, có thể sử dụng các plugin của Ettercap, chẳng hạn như trình duyệt web từ xa, để tải về tất cả các trang web mà mục tiêu truy cập.
Ví dụ, chúng tôi đã thực hiện ping điển hình với Google, đội tấn công đã nắm bắt mọi thứ một cách chính xác
Cuộc tấn công ARP poisoning diễn ra một cách đơn giản, nhưng để phát hiện sớm và khắc phục hậu quả, chúng ta có thể sử dụng ARPWATCH Công cụ này giúp nhận diện các địa chỉ IP và MAC bị thay đổi, như đã trình bày ở mục 4.1.
