ARP SPOOFING LÀ GÌ

Trong mạng máy tính, ARP spoofing, ARP poisoning, hay ARP poison routing là một kỹ thuật thông qua đó kẻ tấn công giả mạo thông điệp ARP trong mạng cục bộ. Mục tiêu là kết hợp địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy chủ khác, chẳng hạn như cổng mặc định (default gateway) làm cho bất kì lưu lượng truy cập nào dành cho địa chỉ IP đó được gửi đến kẻ tấn công ARP spoofing có thể cho phép kẻ tấn công chặn các khung dữ liệu trên mạng, sửa đổi lưu lượng, hoặc dừng tất cả lưu lượng.

Bạn đang xem: Arp spoofing là gì

Bạn đang xem: Arp spoofing là gì

*

Trong mạng máy tính, ARP spoofing, ARP poisoning, hay ARP poison routing là một kỹ thuật thông qua đó kẻ tấn công giả mạo thông điệp ARP trong mạng cục bộ. Mục tiêu là kết hợp địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy chủ khác, chẳng hạn như cổng mặc định (default gateway) làm cho bất kì lưu lượng truy cập nào dành cho địa chỉ IP đó được gửi đến kẻ tấn công ARP spoofing có thể cho phép kẻ tấn công chặn các khung dữ liệu trên mạng, sửa đổi lưu lượng, hoặc dừng tất cả lưu lượng. Thông thường cuộc tấn công này được sử dụng như là một sự mở đầu cho các cuộc tấn công khác, chẳng hạn như tấn công từ chối dịch vụ, tấn công Man-in-the-middle attack, hoặc các cuộc tấn công cướp liên lạc dữ liệu. Cuộc tấn công này chỉ giới hạn trong mạng cục bộ

1. Lỗ hổng của ARP

2. Nguyên lý tấn công


Xem thêm: " License Agreement Là Gì ? Nghĩa Của Từ License Agreement Trong Tiếng Việt

*

Giả sử ta có mạng LAN như mô hình trên gồm các hostAttacker - IP: 10.0.0.6 - MAC:0000:7ee5Host A - IP: 10.0.0.1 - MAC:0000:9f1eVictim - IP:10.0.0.3 - MAC:0000:ccab

Thông thường, khi Host A muốn gửi dữ liệu cho Victim thì Host A sẽ phải biết địa chỉ MAC của Victim. Để biết được địa chỉ MAC của Victim, Host A sẽ gửi tin broadcast ARP request tới tất cả các máy trong mạng LAN để hỏi xem IP có địa chỉ 10.0.0.3 có MAC là gìCác máy sẽ nhận được ARP request từ Host A nhưng chỉ có Victim trả lời lại bằng gói tin ARP reply cho Host AĐể thực hiện ARP spoofing Attacker sẽ gửi liên tục các gói tin reply cho Host A chứa nội dung là IP Victim, MAC Attacker, MAC Host A để làm cho Host A tưởng rằng dữ liệu cần phải gửi tới có địa chỉ đích là MAC của Attacker. Như vậy mọi dữ liệu khi Host A gửi cho Victim đã bị Attacker nghe lénAttacker có thể kiểm soát toàn bộ quá trình liên lạc giữa Host A và Victim bằng cách gửi các gói tin ARP reply mà trong đó có địa chỉ MAC là của Attacker. Như vậy mọi dữ liệu trên đường truyền đều qua Attacker

3. Phòng chống tấn công ARP Spoofing

DAI (Dynamic ARP Inspection) là một tính năng bảo mật loại bỏ các gói ARP độc hại, nó ngăn chặn các cuộc tấn công ARP Spoofing bằng việc chặn, loại bỏ các gói tin có ràng buộc IP - MAC không hợp lệ, cách thức hoạt động của DAI như sau:

Ngăn chặn tất cả các ARP request và ARP response từ các cổng không đáng tin cậyXác minh rằng mỗi gói tin bị chặn này có liên kết địa chỉ IP - MAC hợp lệ trước khi cập nhật vào bộ nhớ cache ARP cục bộ hoặc trước khi chuyển gói tin đến đích thích hợpLoại bỏ các gói tin ARP không hợp lệ Chuyên mục: Hỏi Đáp