


 !"##!$%!$&'
!$(")*'%$&!$(")%+
$,& $,"
/01/23456/73/89:1
9;</=/>/
(5/?/>
(5@A3/
9;</B=
BCD"/
EFGHIJKL
M(M
N
"&'O"&
2
MỤC LỤC 2
KP6/84Q3/;/RP9:9ST8U!VSBV3696B>WW3X
Trong môn thể thao bóng rổ, hai cầu thủ quăng một quả bóng qua lại trong khi
một người thứ ba –người ở giữa (man in the middle) - cố gắng để chặn quả bóng trong
khi nó được chuyền từ hai cầu thủ đối phương. Trong hệ thống mạng, ý tưởng “man in
the middle” cũng tương tự như vậy. Nó hoạt động như sau:
• Máy tính A khởi đầu cuộc trò chuyện với máy tính B
• Máy tính C cố gắng chặn cuộc trò chuyện gởi từ A và sau đó chuyển tiếp yêu
cầu đến máy tính B
• Máy tính B trả lời, máy tính C chặn thông điệp B gửi cho A và trả về chomáy
tính A.
Trong khi máy tính C có các thông tin liên lạc bị chặn, nó có thể thay đổi các
thông tin liên lạc hoặc thậm chí chuyển hướng nó đến một địa điểm mới (chẳng hạn
máy tính D). Trong khi đó, máy tính A tiếp tục tin rằng nó chỉ là giao tiếp với máy tính

B.
Việc kiểm soát thông tin liên lạc của A và B có thể là chính sách quản trị hệ
thống của một công ty nhằm ngăn chặn việc truy cập bất hợp pháp vào các máy tính
cần được bảo vệ; hoặc cũng có thể là của một kẻ tấn công để lấy trộm thông tin, phá
hoại hệ thống.
Làm thế nào để máy tính C có thể xen vào giữa A và B?
3
IY6Z[\]6/66D3^93/;/RP9:9ST8
IK_1`a"!>3/VU"!>3/VaZa9X
Giả mạo ARP Cache là một hình thức tấn công MITM (man in the middle) có
xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn
công này cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có
thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Đây là một trong
những hình thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi
được thực hiện bởi kẻ tấn công.
IKKB;Q6/^9"!6/^96/Rb9
Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ
giữa các lớp thứ hai và thứ ba trong mô hình OSI. Lớp thứ hai (lớp data-link) sử dụng
địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp.
Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên
toàn cầu. Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với nhau, còn lớp
mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp. Mỗi lớp có cơ chế
phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng truyền
thông. Với lý do đó, ARP được tạo với RFC 826, “một giao thức phân định địa chỉ
Ethernet - Ethernet Address Resolution Protocol”.
4
Hình 1: Quá trình truyền thông ARP
Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói
ARP request và một gói ARP reply. Mục đích của request và reply là tìm ra địa chỉ
MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đến được đích

của nó trong mạng. Gói request được gửi đến các thiết bị trong đoạn mạng, trong khi
gửi nó nói rằng (đây chỉ là nhân cách hóa để giải thích theo hướng dễ hiểu nhất) “Hey,
địa chỉ IP của tôi là XX.XX.XX.XX, địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX. Tôi
cần gửi một vài thứ đến một người có địa chỉ XX.XX.XX.XX, nhưng tôi không biết địa
chỉ phần cứng này nằm ở đâu trong đoạn mạng của mình. Nếu ai đó có địa chỉ IP này,
xin hãy đáp trả lại kèm với địa chỉ MAC của mình!” Đáp trả sẽ được gửi đi trong gói
ARP reply và cung cấp câu trả lời, “Hey thiết bị phát. Tôi là người mà bạn đang tìm
5
kiếm với địa chỉ IP là XX.XX.XX.XX. Địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX.”
Khi quá trình này hoàn tất, thiết bị phát sẽ cập nhật bảng ARP cache của nó và hai thiết
bị này có thể truyền thông với nhau.
IKI_1`a>3/V
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức
ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình
để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân
giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này có nghĩa rằng bất cứ
thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập
nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARP reply khi
không có request nào được tạo ra được gọi là việc gửi ARP “vu vơ”. Khi các ARP
reply vu vơ này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ
rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ
lại đang truyền thông với một kẻ tấn công.
6
Hình 2: Chặn truyền thông bằng các giả mạo ARP Cache
II%aZa9
“Đầu độc” DNS (tạm dịch từ DNS poisoning, hay DNS cache poisoning) là tác
vụ lừa một (một số) DNS server nào đó rằng một địa chỉ IP-giả là IP của một tên miền
nào đó. Ví dụ, IP của website ngân hàng vietcombank.com là 216.104.161.209 và
216.104.161.109; nếu ISP của ta có DNS bị “đầu độc”, tưởng rằng IP của
vietcombank.com là x.y.z.w thì truy cập vào vietcombank.com sẽ bị “chuyển hướng”

(redirected) đến x.y.z.w; Ở địa chỉ x.y.z.w này, có thể có sẵn một webserver với giao
diện giống hệt vietcombank.com – người dùng không để ý (rất kỹ mới biết) sẽ phải
giao dịch với kẻ giả mạo.
7
Tương tự như vậy, nếu attacker có thể nghe lén được ID của DNS request, anh
ta có thể giả mạo DNS Server đó trả lời cho máy gửi yêu cầu trước DNS Server thực
sự. Khi đó, máy tính của người dùng sẽ giao dịch với máy chủ do attacker chỉ định và
anh ta có thể dễ dàng thực hiện các thao tác lừa đảo.
Ic/>;deWVaZ6Z
Thay đổi file Hosts là một phương pháp khác được sử dụng để chuyển hướng
truy cập. Mỗi máy tính đều có một tập tin Hosts, hoạt động giống như DNS, dùng phân
giải tên miền ra địa chỉ IP. Tuy nhiên, các mục trong file Hostsđược sử dụng trước khi
gọi DNS và file Hosts thường dễ tiếp cận hơn cho những kẻ tấn công - do đó,việc đầu
độc bằng cách thay đổi file Hosts cũng khá thông dụng.
IfD3^93/;/RP93e9UaB6!VSBV36a>66>3\X
Một cuộc tấn công chuyển hướng cổng là một dạng khác của cuộc tấn công dựa
trên khai thác tin tưởng. Những kẻ tấn công sử dụng một máy chủ bị xâm nhập để truy
cập máy chủ bên trong xuyên qua tường lửa mà không bị chặn.
Nhìn nó theo cách này, các máy chủ bên ngoài có thể đến được với các máy chủ
công khai, nhưng không phải là máy chủ bên trong. Nếu một kẻ xâm nhập có thể khai
thác được lỗ hỗng trên các máy chủ công khai, kẻ tấn công có thể cài đặt phần mềm để
chuyển hướng lưu lượng truy cập từ các máy chủ bên ngoài trực tiếp đến các máy chủ
bên trong.
Mặc dù không phải giao tiếp vi phạm các quy tắc thực hiện trong các bức tường
lửa, các máy chủ bên ngoài vẫn có thể kết nối đến các máy chủ bên trong thông qua
8
các quá trình chuyển hướng cổng (port redirection) trên các máy chủ dịch vụ công
khai. Một số công cụ có thể cung cấp các kiểu truy cập này là Netcat, Netwox.
Cũng dựa vào cơ chế này, một nhân viên trong công ty có thể vượt tường lửa để truy
cập các dịch vụ không được phép một cách dễ dàng và rất khó ngăn chặn.

Hình 3: Mô hình tấn công chuyển Port Redirection
cY6Z[9_g/hgg/h6/84ig/j93/[93h3\6D3^93/;/RP9
:9ST8
cK_1`a"!>3/VU"!>3/VaZa9X
a. %k98/:g3aW9.> xem MAC của mình
9
• >Bgl> xem bảng ARP trên máy mình, kiểm tra MAC của B có phải đúng là
MAC B hay không.
• >BglSm xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị
tấn công cũng mất, và máy tính sẽ bắt đầu học lại. Nhưng nếu máy tấn công
vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô
ích.
• >BglZ gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không
đầu độc được IP này nữa. Nhưng việc này không khả thi cho mạng lớn, nhiều
máy tính, và có sự thay đổi IP (ví dụ dùng DHCP).
b. Dùng phần mềm: có thể cài đặt phần mềm "6"! để tránh việc nhận ARP
Reply giả mạo.
c. %k96/n6op%;>13"!ZgV36aswitch sẽ dựa vào bảngDHCP
Snooping Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lệ hay
không, nếu không hợp lệ sẽ DROP ngay.
cI%aZa9
Để tìm lý do thực sự của sự nhiễm độc bộ nhớ đệm DNS là một vấn đề rất khó
khăn bởi vì không có cách nào thực sự hiệu quả để xác định các danh mục DNS máy
tính của bạn nhận được có hợp pháp hay đã bị giả mạo.
Một trong những giải pháp dài hạn để chống đầu độc bộ nhớ đệm DNS là
DNSSEC. DNSSEC sẽ cho phép các tổ chức "ký" vào các bản ghi DNS của họ bằng
cách sử dụng mật mã khóa công khai, việc này đảm bảo rằng máy tính của bạn sẽ biết
liệu một bản ghi DNS nên tin tưởng hay đã bị đầu độc và chuyển hướng đến một địa
chỉ không chính xác.
cc/>;deWVaZ6Z

Phân quyền cho các user, hạn chế/cấm quyền ghitrên file Hosts.
cfD3^93/;/RP93e9UaB6!VSBV36a>66>3\X
Chuyển hướng cổng có thể được kiểm soát chủ yếu thông qua việc sử dụng các
mô hình tin cậy thích hợp. Có thể cài đặt phần mềm chống virus hoặc một hệ thống
10
phát hiện xâm nhập dựa trên máy chủ (IDS) giúp phát hiện các kẻ tấn công và ngăn
chặn cài đặt các phần mềm độc hại trên các máy chủ.
fY6Z[3^93q6D3^9!V>;
• Ettercap ( />- Poisoning
- Sniffing
- Hijacking
- Filtering
- SSH sniffing
• Dsniff ( />- Poisoning
- Sniffing
- SSH sniffing (proxy attack)
• Netwox/Netwags ( gồm 223 công cụ, hỗ trợ nhiều
kiểu tấn công.
'("?r&
1. Practical hacking techniques and countermesures, Mark D.Spivey, CISSP, NXB
Auerbach Publications, năm 2007
2. />3. />4. />gia-mao-arp-cache-66482
11
%$&s!$(")t%M$,&-
/Ru96/A36D3^9Port Redirection
^93q6/73/86D3^9Netwox (công cụ số 183)
v//[9dw6B>
Công công ty X có chính sách cho hệ thống mạng nội bộ là: tất cả các máy tính
của nhân viên chỉ được ra internet bằng port 80, các port khác đều bị cấm. Một
Firewall được dựng lên để thực hiện chính sách này.

Nhân viên A trong công ty sử dụng phương thức port redirection để vượt tường
lửa (một hình thức tấn công từ trong ra ngoài) phá vỡ chính sách của công ty.
Anh A muốn truy cập đến 1 dịch vụ webmail, port 8000 chạy trên máy chủ có ip
là X, ngoài internet.
Các thức thực hiện: anh A cài sẵnnexwox lên một máy chủ có ip là Y ngoài
internet; cấu hình để netwox chạy (lắng nghe) ở port 3000. Netwox được cấu hình để
chuyển hướng đến địa chỉ X port 8000 khi có yêu cầu. Như vậy, anh A chỉ cần truy
cập đến địa chỉ Y, port 3000 thì lập tức netwox sẽ chuyển yêu cầu đó đến địa chỉ X
port 8000 như nhu cầu của anh A. Trong trường hợp này, chính sách của công ty bị vô
hiệu hóa.