Tấn Công Giả Mạo
IP và Mac
Nhóm 11 thực hiện:
1. Ngô Văn Thỉnh.
2. Phạm Quốc Đạt.
3. Nguyễn Văn Hoàng.
4. Phạm Công Lý.


Nội Dung
1. Cơ sở lý thuyết.
 Tìm hiểu IP và MAC.
 Giao Thức ARP.

2. Các hình thức tấn công giả mạo IP và MAC.
 Tấn công MAC Flooding.
 Tấn công ARP Spoofing.
 Giả mạo DNS.
 Một số tấn công từ chối dịch vụ DoS.

3. Video Demo.


Địa Chỉ IP và MAC
Mỗi thiết bị trong mạng (máy tính, router,…) đều được
nhận diện dưới 2 loại địa chỉ:
o Địa chỉ logic (IP): phụ thuộc vào cấu trúc của mạng và có thể
thay đổi.
o Địa chỉ vật lý (MAC addres): địa chỉ được nhà sx ghi card
mạng nằm bên trong thiết bị, không thể thay đổi.

Địa Chỉ IP và MAC
Giao thức IP - Internet Protocol :
Gồm 2 phần: địa chỉ mạng (netID) và địa chỉ máy (hostID).
o Net ID: Dùng để nhận dạng những hệ thống trong cùng 1 khu

vực vật lý còn được gọi là Phân Đoạn (Segment). Mọi hệ
thống trong cùng 1 Phân Đoạn phải có cùng Địa Chỉ Mạng và
Phần địa chỉ này phải là duy nhất trong số các mạng hiện có.
o Host ID: Dùng để nhận dạng 1 trạm làm việc, 1 máy chủ, 1
Router hoặc 1 trạm TCP/IP (1 computer) trong 1 phân đoạn.
Phần địa chỉ trạm cũng phải là duy nhất trong 1 mạng

NET ID

HOST ID

1…………………………………32


Địa Chỉ IP và MAC
Địa chỉ MAC - Media Access Control:
o Một địa chỉ MAC bao gồm 6 byte và thường được viết dưới dạng
hexa, mỗi thiết bị (card mạng, modem, router...) được nhà sản xuất
(NSX) chỉ định và gán sẵn 1 địa chỉ nhất định .
o Thường được viết theo 2 dạng: MM:MM:MM:SS:SS:SS hay MMMM-MM-SS-SS-SS.
o Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 số hexa (hệ số
thập lục phân), trong đó:
o 24bit đầu (MM:MM:MM) là mã số của NSX (Linksys, 3COM...)
o 24 bit sau (SS:SS:SS) là số seri của từng card mạng được NSX gán.



Địa Chỉ IP và MAC
 Giao thức liên mạng IP cung cấp
khả năng kết nối của mạng con
thành liên mạng để truyền dữ
liệu, vai trò của IP nằm trong
tầng mạng (Network layer) của
mô hình OSI.
 Media Access Control (MAC) địa
chỉ này được dùng để nhận diện
các thiết bị giúp cho các gói tin
lớp 2 (Datalink layer) có thể đến
đúng đích.


Giao thức ARP (Address
Resolution Protocol)
o Giao thức ARP là giao thức phân giải địa chỉ động, được thiết kế
để phục vụ cho nhu cầu thông dịch các địa chỉ giữ lớp thứ hai
(data link) và thứ ba (network) trong mô hình OSI.
• Lớp thứ hai (datalink): sử dụng địa chỉ MAC để các thiết bị phần
cứng có thể truyền thông với nhau một cách trực tiếp.
• Lớp thứ ba (Network): sử dụng địa chỉ IP để tạo các mạng có khả
năng mở rộng trên toàn cầu.

o Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải
làm việc với nhau để có thể tạo nên một mạng truyền thông.
=> Xuất hiện giao thức phân giải địa chỉ ARP.



Cơ chế hoạt động của ARP
o ARP về cơ bản là một quá trình 2 chiều
Request/Response giữa các thiết bị trong cùng mạng nội
bộ.
• Thiết bị nguồn yêu cầu (request) bằng các gửi một bản tin
broadcast (FF-FF-FF-FF-FF-FF) trên toàn mạng.
• Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast
đến thiết bị nguồn.


Cơ chế hoạt động của ARP


Các Phương Pháp
Tấn Công Giả Mạo IP và MAC

1

4

Tấn công MAC Flooding: Tấn công bảng CAM
của Switch

2

Tấn công ARP Spoofing: Tấn công giả mạo
vào ARP Cache của các máy trạm

3


Giả mạo DNS: Giả mạo địa chỉ phân giải tên
miền của máy trạm yêu cầu.
Một số tấn công từ chối dịch vụ DoS: Kiểu tấn
công SYN Flood & Kiểu tấn công Smurf Attack


Tấn Công MAC Flooding (CAM)
o Bảng CAM: là vùng nhớ trong RAM của Switch dùng để lưu
các ánh xạ giữa địa chỉ MAC nguồn với port trên Switch mà
các thiết bị đó kết nối vào mạng.
o Kích thước của CAM là có giới hạn tùy thuộc vào các dòng

Port MAC
Switch khác nhau. Ví dụ Switch
1
A Catalysh 6000 có thể chứa tối
3
c

đa 128000 ánh xạ.

o Dữ liệu trong bảng CAM được Switch xây dựng qua quá trình
học địa chỉ, duy trì trong quá trình hoạt động và sẽ bị xóa đi
sau 1 khoảng thời gian timeout hoặc khi Switch khởi động lại.


Tấn Công MAC Flooding (CAM)
Chức năng chuyển mạch của Switch


Port MAC
1
A
3
c


Tấn Công MAC Flooding (CAM)
Nguyên lý tấn công

Port MAC
G
13
A
H
23
B
3
C
3
D
3
E
3
F


Phòng Chống
Tấn Công MAC Flooding (CAM)
Nguyên lí chung là không để các gói tin có địa chỉ MAC lạ

đi qua switch. Phương pháp phòng chống hiệu quả nhất là
cấu hình port security trên switch.
Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm
tra địa chỉ MAC

Port MAC
1 gói
A tin
nguồn của
3
c

với danh sách các địa chỉ

đã được cấu hình trước đó. Nếu hai địa chỉ này khác nhau
thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử
lí gói tin đến với các mức độ khác nhau.


Phòng Chống
Tấn Công MAC Flooding (CAM)
Các lệnh cấu hình port security:
 Switch(config-if)# switchport port-security: cho phép cổng được hoạt động trong chế độ
port-security.
 Switch(config-if)# switchport port-security maximum value (tuỳ chọn): câu lệnh cho phép
cấu hình số địa chỉ MAC tối đa mà cổng có thể học tự động và cho phép các thiết bị này
truyền dữ liệu qua.
 Switch(config-if)# switchport port-security mac-address mac_address (tuỳ chọn) : gán tĩnh
một số địa chỉ MAC có thể truy cập vào
port.

Portmột
MAC
 Switch(config-if)# switchport port-security
{protect | restrict | shutdown} (tuỳ
1 violation
A
chọn) : Đây là các biện pháp mà người3quảnctrị có thể tiến hành khi một gói tin đến không
phù hợp với yêu cầu của port-security .Các biện pháp xử lí có thể là :
 shutdown: cổng sẽ bị ngừng hoạt động; không nhận và chuyển gói tin.
 restrict: cổng chỉ cho phép các gói tin có địa chỉ MAC hợp lệ đi qua; các gói tin vi phạm sẽ bị huỷ.
Đồng thời số lượng các bản tin vi phạm sẽ được thống kê và báo cho người quản trị biết.
 protect: cũng giống như trong trường hợp restrict, tuy nhiên việc vi phạm sẽ không được ghi lại.


Tấn Công MAN IN THE MIDDLE
(MITM)
ARP Cache: có thể coi như một bảng chứa một tập tương ứng giữa
các phần cứng và các địa chỉ IP. Mỗi thiết bị trên mạng đều có cache
riêng. Để quá trình phân giải địa chỉ diễn ra nhanh ta có thể sử dụng
các cách sau để lưu giữ các entry trong cache:
• Sử dụng ARP cache tĩnh: Mỗ
i địMAC
a chỉ IP và địa chỉ MAC tương ứng
Port
1 vàoAbảng cache và được duy trì lâu dài.
được thêm một cách thủ công
3

c


• Sử dụng ARP cache động: Địa chỉ IP và phần cứng được lưu trong cache
bằng phần mềm.Các địa chỉ này được lưu giữ tạm thời và sau đó được
gỡ bỏ.


Tấn Công MAN IN THE MIDDLE
(MITM)
Nguyên Lý:
o Việc giả mạo bảng ARP chính là lợi dụng bản tính không
an toàn của giao thức ARP.
o Việc gửi một gói ARP
reply
Port
MAC khi không có request nào
được tạo ra được gọi

1
là
3

A
việc
c

gửi ARP “vu vơ”. Các thiết

bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp
nhận cập nhật bất cứ lúc nào.



Tấn Công MAN IN THE MIDDLE
(MITM)
Nguyên Lý:

Bảng CAM

Port
1
2
3
Port 1

PC A

ARP Cache PC A
IP MAC
B BC
C C
D D
….

…

MAC
A
B
C

Port 3
Port MAC

1
A
3
c

PC C

Port 2

PC B

ARP Cache PC B
IP MAC
A AC
C C
D D
….


Phòng Chống
Tấn Công MAN IN THE MIDDLE
 Sử dụng dạng tĩnh của ARP cache: Đây là một tùy chọn
vì các máy tính Windows cho phép bạn có thể bổ sung
các entry tĩnh vào ARP cache.
o Xem arp cache bằng lệnh trong cmd arp –a
o Thêm các entry bằng lênh arp –s <IP ADDRESS> Port MAC
ADDRESS>.
1
3

A
c

Kiểm tra lưu lượng ARP cache với chương trình của
hãng thứ 3: Ta có thể thực hiện điều này với một vài hệ
thống phát hiện xâm phạm (chẳng hạn như Snort) hoặc
thông qua các tiện ích được thiết kế đặc biệt cho mục
đích này (như xARP).


Domain Name Server (DNS)

Port MAC
1
A
3
c


Tấn Công Giả Mạo
Domain Name Server (DNS)
Sử dụng kỹ thuật giảo mạo DNS ID
• Mỗi truy vấn DNS được gửi qua mạng đều chứa một số nhận
dạng duy nhất, mục đích để phân biệt các truy vấn và đáp trả.
• Cần tạo một gói giả mạo có chứa số nhận dạng đó để gói dữ liệu
được chấp nhận bỏi victim.
Port MAC
1 DNS:
A

• 2 bước để thực hiện giả mạo

• Giả mạo ARP cache

3

c

• Chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo.

• Mục đích của việc giả mạo là đánh lừa victim truy cập vào trang
web giả mạo (chứa mã độc, đánh cắp thông tin,…)


Tấn Công Giả Mạo
Domain Name Server (DNS)
Nguyên Lý:

Facebook.com

Bảng CAM
Port MAC
1
A
2
B
3
C
…

Port 2

Port 1
PC A

Port 3

ARP Cache PC A
IP MAC
B B C
C C
D D
….

PC C

69.171.203.5

Internet
Port MAC
Router B
1
A
3
c

Fakefacebook.com

69.161.204.52

Tấn Công Từ Chối Dịch Vụ DoS
•Một phương thức tấn công phổ biến kéo theo sự bão hoà máy
mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không
thể đáp ứng giao thông hợp pháp, hoặc đáp ứng quá chậm.
•Đa phần trong các cuộc tấn công DoS hay DDoS đều khiến
máy mục tiêu phải khởi động lại do không thể xử lý hết yêu cầu
hoặc tiêu thụ hết tài nguyên Port
của MAC
nó đến mức nó không cung cấp
1 lạc
A giữa người sử dụng và nạn
dịch vụ, hoặc làm tắc nghẽn liên
3
c
nhân.
•Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh
mạng của máy đang bị tấn công. Ví dụ băng thông của router giữa
Internet và Lan có thể bị tiêu thụ bởi tấn công, làm tổn hại không
chỉ máy tính ý định tấn công mà còn là toàn thể mạng.


Kiểu Tấn Công SYN Flood

Port MAC
1
A
3
c

Kiểu Tấn Công SYN Flood

Port MAC
1
A
3
c