ARP – Address Réolution Protocol là một giao thức cho phép truyền thông mạng đến một thiết bị cụ thể. ARP sẽ chuyển địa chỉ IP sang MAC (Media Access Control) và có chiều ngược lại. Vậy còn cụm từ tấn công mạng ARP Snoofing cụ thể là gì ? Hãy cùng mình tìm hiểu rõ hơn qua bài viết sau!

Arp spoofing là gì ?

Arp Spoofing còn có tên gọi là Arp Poisoning, là một cuộc tấn công Man in the middle ( MitM ) đồng ý những người tấn công chặn trò chuyện giữa các trang thiết bị mạng.

Kẻ tấn công ARP spoofing giả vờ là cả hai bên tham gia của một kết nối mạng. Khi kẻ tấn công giả mạo ARP, chúng có thể:

Tiếp tục định tuyến thông tin liên lạc như hiện tại, người tấn công có thể đánh hơi (sniffing) các gói tin và đánh cắp dữ liệu, ngoại trừ trường hợp gói tin được truyền qua một kênh được mã hóa như HTTPS.

Thực hiện chiếm quyền điều khiển session⁠, nếu kẻ tấn công có được session ID, chúng có thể có quyền truy cập vào tài khoản mà người dùng hiện đang đăng nhập.

Thay đổi giao tiếp⁠ – ví dụ: đẩy một file hoặc trang web độc hại đến máy tính.

Tấn công DDoS – những kẻ tấn công có thể cung cấp địa chỉ MAC của server mà chúng muốn tấn công bằng DDoS, thay vì máy của chính chúng. Nếu làm điều này cho một số lượng lớn IP, server mục tiêu sẽ bị tấn công bởi lưu lượng truy cập.

Các Cuộc tấn công Arp Spoofing xảy ra như thế nào ?

1. Kẻ tấn công phải được cấp quyền truy cập vào mạng. Chúng quét mạng để xác định địa chỉ IP của tối thiểu hai thiết bị⁠ – giả thử đây chính là một máy trạm và một bộ định tuyến.
2. Kẻ tấn công dùng một dụng cụ giả mạo, ví như Arpspoof hoặc driftnet, để gửi phản hồi Arp làm giả.
3. Các phản hồi làm giả bố cáo rằng khu vực MAC chuẩn xác cho cả hai khu vực IP, thuộc bộ định tuyến và máy trạm ( workstation ) , là địa chỉ MAC của kẻ tấn công. điều đó đánh lừa cả bộ định tuyến và máy trạm kết nối với máy của người tấn công, thay vì kết nối với nhau.
4. Hai trang thiết bị cập nhật các mục dung lượng bộ nhớ cache Arp của chúng và từ lúc ấy trở đi, giao tiếp với người tấn công thay vì không qua khâu trung gian cùng nhau.
5. Kẻ tấn công hiện đang bí mật đứng giữa mọi liên hệ.

Arp giả mạo hoạt động như thế nào ?

• Không ngừng định tuyến thông tin liên hệ như hiện tại, kẻ tấn công nhiều khả năng ngửi ( sniffing ) các gói tin và ăn cắp thông tin, ngoại trừ tình huống gói tin được truyền qua một kênh được mã hóa như https.
• Thực hành chiếm quyền điều khiển session⁠, nếu người tấn công đạt được session ID, chúng có thể có quyền truy cập vào tài khoản mà người dùng vốn đang đăng nhập.
• Thay đổi giao tiếp⁠ – chẳng hạn : đẩy một file hoặc website gây hại đến máy vi tính.
• Tấn công DDoS – những người tấn công có khả năng phân phối địa chỉ MAC của server mà chúng muốn tấn công bằng DDoS, thay vì máy của chính chúng. Nếu làm chuyện này cho vài ba lượng lớn IP, server mục đích sẽ bị hành hung bởi số lượng lượt người ghé thăm website.

Cách phòng chống tấn công ARP Snoofing

Sử dụng mạng riêng ảo ( virtual private network – VPN ) đồng thuận các máy móc gắn kết với internet phê duyệt một tunnel được mã hóa. Chuyện này khiến tất cả dữ liệu liên hệ được mã hóa và không có ý nghĩa đối với người tấn công Arp Spoofing.

Dùng Arp⁠ tĩnh – giao thức Arp cho phép xác định mục nhập Arp tĩnh cho địa chỉ IP và ngăn máy móc nghe phản hồi Arp cho khu vực đó. Thí dụ : nếu một máy vi tính luôn kết nối với cùng một bộ định tuyến, bạn có khả năng định vị một mục arp tĩnh cho bộ định tuyến đó, chuyện này giúp ngăn chặn một cuộc tấn công.

Sử dụng packet filtering⁠ – các packet filtering⁠ có khả năng xác định các gói Arp bị nhiễm độc bằng giải pháp phát hiện chúng chứa dữ liệu nguồn xung khắc và ngăn chúng lại trước thời điểm chúng tới được các máy móc trên mạng.

Thực hành một cuộc tấn công Arp Spoofing⁠ – điều tra xem những hệ thống bảo mật ngày nay có vẫn đang hoạt động hay không bằng giải pháp làm một cuộc tấn công Arp Spoofing với sự kết hợp của các hội nhóm 4 và bảo mật. Nếu cuộc tấn công thành công, hãy xác nhận nhược điểm trong các phương án bảo mật của bạn và khắc phục chúng.

Và bên trên là những thông tin về tấn công ARP Spoofing mà chúng tôi biết được. Mong rằng với lượng thông tin trên có thể giúp bạn hiểu hơn về kiểu tấn công mạng này và có thể khắc phục được các lỗi để hạn chế việc bị tấn công.