Nội dung bài viết
#

ARP Spoofing là gì? Cách phát hiện và ngăn chặn hiệu quả

Nội dung bài viết

    Bạn đã bao giờ nghe tới thuật ngữ ARP Spoofing chưa? Hay đã khi nào thiết bị của bạn gặp rắc rối vì các vấn đề mà ARP gây ra? Để tìm hiểu cụ thể về tình trạng lỗi này và làm thế nào để khắc phục chúng? Hãy theo dõi bài viết về ARP Spoofing dưới đây của BKHOST.

    Giao thức ARP Protocol là gì?

    ARP Protocol – Address Resolution Protocol là một giao thức tiếp cận thiết bị trên mạng bằng cách chuyển địa chỉ IP sang địa chỉ MAC và ngược lại dựa vào kết nối Internet với bộ định tuyến hoặc cổng.

    Máy chủ lưu trữ bộ nhớ đệm ARP, bảng ánh xạ giữa địa chỉ IP và MAC để kết nối các điểm đến trên mạng. Nếu như không có địa chỉ IP thì máy chủ sẽ thực hiện gửi gói yêu cầu ARP đến các máy khác trên mạng để cung cấp địa chỉ MAC phù hợp. Tuy nhiên, giao thức ARP không có tính bảo mật nên không có khả năng xác minh một phản hồi là chính xác hay giả mạo. Điều này tạo điều kiện cho kẻ tấn công dễ dàng thực hiện ARP Spoofing trên các thiết bị của người dùng.

    Giao thức ARP chỉ cần địa chỉ IP 32 bit trong tiêu chuẩn IPv4 được sử dụng khá rộng rãi. Còn với IPv6 thì cần tới một giao thức khác đó là NDP. Đây là một giao thức tương đối an toàn với các khoá bảo mật có nhiệm vụ xác nhận danh tính máy chủ.

    ARP Spoofing (ARP Poisoning) là gì?

    ARP Spoofing la gi

    ARP Spoofing (ARP Poisoning) là một cuộc tấn công MitM nhắm vào các giao tiếp giữa các thiết bị mạng dựa vào kết nối Internet với bộ định tuyến hoặc cổng.

    ARP Spoofing hoạt động như thế nào?

    Đầu tiên kẻ tấn công sẽ thu thập quyền truy cập để quét mạng nhằm tìm kiếm địa chỉ của các thiết bị, chẳng hạn như máy trạmbộ định tuyến. Sau đó sử dụng công cụ spoofing như Arpspoof hoặc Driftnet để gửi phản hồi ARP spoofing.

    ARP spoofing đánh lừa địa chỉ MAC giả mạo là chính xác cho cả hai địa chỉ IP của bộ định tuyến và máy trạm nhằm mục đích kết nối trực tiếp với thiết bị của kẻ tấn công. Đồng thời hai biết bị cập nhật bộ nhớ đệm ARP cũng sẽ trực tiếp kết nối với kẻ tấn công.

    Tan cong ARP Spoofing
    ARP Spoofing của kẻ tấn công

    Nếu cuộc tấn công ARP spoofing thành công, kẻ tấn công sẽ thực hiện:

    • Tiếp tục thực hiện các thao tác liên lạc hiện tại của bộ định tuyến để đánh cắp dữ liệu từ các gói tin mạng không được mã hóa HTTPS.
    • Đánh cắp ID để lấy quyền điều khiển phiên nhằm truy cập vào tài khoản hiện tại của người dùng.
    • Thực hiện thay đổi như chuyển tệp hoặc trang web độc hại đến máy trạm.
    • Kẻ tấn công sử dụng công cụ DDoS cung cấp địa chỉ MAC của máy chủ để tấn công IP và máy chủ mục tiêu thông qua lưu lượng truy cập.

    Cách phát hiện ARP Cache Poisoning

    Sử dụng dòng lệnh là một trong những phương pháp giúp phát hiện ARP Cache Poisoning trên thiết bị khá hiệu quả. Bằng cách khởi động hệ điều hành với tư cách quản trị viên và sử dụng lệnh arp -a. Sau đó bảng ARP sẽ được hiển thị trên màn hình của Windows và Linux.

    Đầu ra sẽ là:

    {{EJS0}}

    Trong bảng trên, nếu có hai địa chỉ IP khác nhau nhưng cùng một địa chỉ MAC tức là thiết bị đang bị ARP tấn công.

    Ví dụ: Địa chỉ IP thực của bộ định tuyến là 192.168.5.1 còn địa chỉ IP của kẻ tấn công là 192.168.5.202.

    Một cách khác đó là sử dụng giao thức WireShark mã nguồn mở để phát hiện ARP spoofing trong một mạng lớn

    Các phương pháp ngăn chặn ARP Spoofing

    Dưới đây là một số mẹo giúp ngăn chặn ARP Spoofing trên mạng như sau:

    • Sử dụng VPN kết nối các thiết bị với Internet bằng một tunnel được mã hoá giúp bảo vệ các thông tin liên lạc quan trọng khỏi ARP Spoofing.
    • Sử dụng ARP tĩnh giúp xác định mục nhập ARP tĩnh cho địa chỉ IP và ngăn chặn thiết bị nghe phản hồi ARP cho địa chỉ đó.
    • Sử dụng công cụ packet filtering để lọc các gói ARP Spoofing nếu phát hiện chúng chứa các thông tin nguy hiểm và tự động ngăn chặn khỏi các thiết bị mạng.
    • Thực hiện ARP Spoofing kết hợp với các nhóm CNTT để kiểm tra trạng thái hoạt động của hệ thống bảo mật. Nếu phát hiện ra vấn đề hãy tìm ra nguyên nhân của các biện pháp và khắc phục lại chúng.

    Tổng kết về ARP Spoofing

    Bài viết trên đây là những thông tin cơ bản giúp bạn tìm hiểu về ARP Spoofing và các phương pháp phát hiện chính xác nhất. Nói đến ARP sẽ còn nhiều vấn đề cần được làm rõ.

    Nếu bạn có thắc mắc về ARP Spoofing, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.

    P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.

    Mua tên miền .VN tại BKHOST

    Giá chỉ từ 750k/năm. Kiểm tra tên miền .VN đẹp và đăng ký ngay hôm nay!

    kiểm tra tên miền .vn

    Tôi là Trịnh Duy Thanh, CEO & Founder Công ty Cổ Phần Giải Pháp Mạng Trực Tuyến Việt Nam - BKHOST. Với sứ mệnh mang tới các dịch vụ trên Internet tốt nhất cho các cá nhân và doanh nghiệp trong nước và quốc tế, tôi luôn nỗ lực hết mình nâng cấp đầu tư hệ thống phần cứng, nâng cao chất lượng dịch vụ chăm sóc khách hàng để đem đến những sản phẩm hoàn hảo nhất cho người tiêu dùng. Vì vậy, tôi tin tưởng sẽ đem đến các giải pháp CNTT mới nhất, tối ưu nhất, hiệu quả nhất và chi phí hợp lý nhất cho tất cả các doanh nghiệp.
    Bình luận
    Trượt lên đầu trang
    Miễn phí cước gọi
    Bạn đã hài lòng với trải nghiệm trên Bkhost.vn?
    Cảm ơn lượt bình chọn của bạn, Chúc bạn 1 ngày tốt lành !