01:20:14.833350 arp who-has 192.168.0.66 tell 192.168.0.62

01:20:14.833421 arp reply 192.168.0.66 is-at 0:0:d1:1f:3f:f1

77:6b:e1:6e:5e:8c 93:2d:ed:45:f9:e3 0.0.0.0.45702 > 0.0.0.0.11000: S 1847390231:1847390231(0) win 512 84:a4:d3:57:ef:8 12:56:52:42:dc:95 0.0.0.0.16630 > 0.0.0.0.3031: S 1484147693:1484147693(0) win 512 88:f0:9:3f:18:89 d:86:53:53:d7:f8 0.0.0.0.15535 > 0.0.0.0.7466: S 293820390:293820390(0) win 512
 

Để chặn luồng thông tin giữa 2 trạm A và B, trạm C sẽ đầu độc (poison) ARP cache của trạm A, làm cho nó nhầm tưởng là địa chỉ IP của trạm B giống với địa chỉ MAC của trạm C (chứ không phải là địa chỉ MAC của B). Sau đó C sẽ poison bộ cache của B, làm cho nó nhầm tưởng địa chỉ IP của trạm A tương ứng với địa chỉ MAC của C (chứ không phải địa chỉ MAC của A).  

Vậy theo zeno có cách nào để chống bị ARP posioning ?

Và sau khi trạm C lắng nghe được tất cả những luồng traffic từ A-B và ngược lại thì nó vẫn phải gửi những frame đó tới đúng địa chỉ chứ !?
Vì sau khi trạm A giao tiếp với trạm B rồi " nhầm tưởng " MAC của trạm B là MAC của trạm C. Lúc này trạm A sẽ gửi toàn bộ frame của mình sang trạm C .
Vậy thì sau khi trạm C tiếp nhận toàn bộ luồng thông tin của trạm A nó sẽ có động thái gì kế tiếp ?
Gửi sang B !? Và tiếp tục quá trình nhận ngược lại !? 

Thông thường cách ứng xử của các tool sniff sau khi nghe được luồng thông tin là forward nó đi giống như lộ trình ban đầu .
Vậy theo vietwow làm cách nào để mình nhận biết được mình đang bị sniff ?

 

Không phải là thông thường, mà là do người sử dụng tool sniff ko biết sử dụng hoặc ko để ý thôi chứ tool sniff nào cũng cho chọn "hướng đi" của luồng traffic

Đối mạng hub để phát hiện sniff gần như là ko thể (nếu có thì khả năng chính xác cũng ko cao), còn mạng sniff thì dùng những tool như ARP Watch, Ethereal .... noí chung là các tool có khả năng capture & phân tích packet bởi vì như nói ở trên, trong 1 mạng switch muốn sniff thì phải sử dụng kỹ thuật ARP Poisoning mà kỹ thuật này đòi hỏi phải "phun" khá nhiều packet ARP trong mạng để "đầu độc" các máy khác, vì thế dùng các tool phân tích packet, nếu thấy lượng traffic ARP "đáng kể" xuất hiện thì khả năng bị sniff là rất cao

 

Gửi vietwow: Tất nhiên sniff traffic bằng cách chuyển NIC sang promiscuous mode thì không cần phải làm gì sau đó cả, nhưng muốn sniff dùng ARP poisoning thì sau đó phải poison luôn máy B và forward cái packet đó về máy B--> Man In the Middle attack. C đứng giữa và kiêm chức chuyển thông tin cho 2 máy A và B. Nếu máy C không thể poison luôn B, traffic từ A -> B sẽ bị dừng lại ở C. Như vậy, C chỉ đang sniff traffic của chính mình mà thôi.

Cách phát hiện promiscuous mode, khoai đã có viết một bài về vấn đề này. Cách chống ARP poisoning: Có lẽ chỉ còn cách như vietwow nói: dùng IDS hay các công cụ kiểm tra traffice của mạng. Nếu thấy có tình trạng khả nghi thì có thể cho đó là ARP poisoning. Nhưng vấn đề được đặt ra là: Sau khi biết có ARP poisoning, ta phải làm gì nữa?

khoai 

Gửi vietwow: Tất nhiên sniff traffic bằng cách chuyển NIC sang promiscuous mode thì không cần phải làm gì sau đó cả, nhưng muốn sniff dùng ARP poisoning thì sau đó phải poison luôn máy B và forward cái packet đó về máy B--> Man In the Middle attack. C đứng giữa và kiêm chức chuyển thông tin cho 2 máy A và B. Nếu máy C không thể poison luôn B, traffic từ A -> B sẽ bị dừng lại ở C. Như vậy, C chỉ đang sniff traffic của chính mình mà thôi.

Cách phát hiện promiscuous mode, khoai đã có viết một bài về vấn đề này. Cách chống ARP poisoning: Có lẽ chỉ còn cách như vietwow nói: dùng IDS hay các công cụ kiểm tra traffice của mạng. Nếu thấy có tình trạng khả nghi thì có thể cho đó là ARP poisoning. Nhưng vấn đề được đặt ra là: Sau khi biết có ARP poisoning, ta phải làm gì nữa?

khoai 

Nếu máy C không thể poison luôn B, traffic từ A -> B sẽ bị dừng lại ở C. Như vậy, C chỉ đang sniff traffic của chính mình mà thôi. 

tớ chỉ đang nói đến cách chốn ARP Poisoning chứ đã nói đến MIMT attack đâu 

Thế này nhé, nếu hacker chỉ muốn drop tất cả traffic của máy A thì máy của Hacker chỉ cần poison máy A là đủ (lúc này đường traffic đi sẽ là Máy A --> Hacker), cón nếu muốn thực hiện hành vi forward như 1 "gateway" thì Hacker cần phải poison 2 mục tiêu đó là máy A & Gateway, poison máy A để luốn traffic đi từ máy A đến Hacker, còn poison gateway là để cho chiều ngược lại, để sau khi hacker nhận được traffic máy A, forward đi đến gateway như tình trạng bình thường, và ở chiều ngược lại, lúc này gateway bị poison nên sẽ "trả" traffic cho Hacker chứ ko phải máy A, rồi sau đó Hacker lại tiếp tục forward traffic đến máy A để "dựng" lên 1 tình trạng bình thường  

Nếu máy C không tiến hành poison luôn máy B thì cuộc tấn công này có gọi là sniff không? Khi đó, bạn có chắc là có sniff được thông tin gì đáng giá từ máy A?  

ví dụ: Khi A browse http://mail.yahoo.com chẳng hạn. Bạn đã poison ARP, khiến cho thay vì gửi đến default gw thì lại gửi đến máy C. Lúc đó, máy A có nhận được trang log-in để type username và password đâu? Và như vậy, cho dù bạn thấy được nhiều request của máy A (do retransmission) thì bạn cũng chả có được thông tin gì quan trọng cả

khoai 

Nhưng có 1 vấn đề tôi vẫn thắc mắc là làm sao ? Dùng tool gì cụ thể và biểu hiện gì để mình có thể xác minh 1 arp là hợp lệ hay không hợp lệ . 

Một frame của ARP request có nội dung như sau:


Code:

01:20:14.833350 arp who-has 192.168.0.66 tell 192.168.0.62

và tất cả các máy trong mạng sẽ bỏ qua packet này chỉ máy tính nào có IP address trùng với IP address trong request thì nó sẽ reply lại cho sender một packet cùng với ethernet address:


Code:

01:20:14.833421 arp reply 192.168.0.66 is-at 0:0:d1:1f:3f:f1

 

Giờ tôi thấy cách chống tạm thời đơn giản nhất chỉ có set arp static giữa máy tôi và defautgateway cảu Router.
Công ty tôi dùng hệ thống VoIP nên việc bị nghe lén rất dễ xảy ra . Nên sáng nào vào Công Ty công việc đầu tiên cũng là set static arp giữa PC của tôi và Router .

Nhưng có 1 vấn đề tôi vẫn thắc mắc là làm sao ? Dùng tool gì cụ thể và biểu hiện gì để mình có thể xác minh 1 arp là hợp lệ hay không hợp lệ . 

Thanks anh em !
Tớ thấy một vấn đề nữa .
Mặc dù Web Server Cty tớ có hỗ trợ SSL .
Email Server thì có hỗ trợ SSL và SPA . Vậy mà khi tớ sniff thử thì vẫn thấy password toàn cleartext .
Tất nhiên tool của tớ có hỗ trợ ARP-HTTPS . Không lẽ SSL cũng thiếu an toàn đến vậy cơ à ? 

Nếu ko sử dụng những chương trình tự động này mà muốn nhận biết 1 cuộc tấn công ARP Poisoning thì chịu khó lâu lâu capture packet, nếu thấy lượng ARP xuất hiện nhiều liên tục thì 90% đó là ARP Poisoning. Còn ko thì cũng còn 1 cách cuối cùng là ...... học thuộc lòng MAC của con gateway, arp -a lên thấy khác thì chính là đang bị tấn cọng  

Tôi đặt trường hợp sau khi một attacker kết thúc quá trình sniff hệ thống LAN thì việc sniff của attacker này có để lại dấu vết gì không ?
Có cơ hội nào phát hiện +bằng chứng về việc hệ thống của mình bị sniff không ?  

Không phải lúc nào tỉ lệ ARP cũng lên cao khi đang có arp poisoning, vì chỉ cần gửi gói arp reply định kỳ 30s đến 1 phút là đủ, không cần flood (hình như Cain&Abel có option này). Thực tế trong mạng LAN vài chục máy hoạt động bình thường thì tỉ lệ arp nhiều hơn thế.
Cái bất thường ở đây là không gửi arp request mà lại nhận đc reply. Vậy giải pháp để phát hiện mình có bị poisoned không là tự sniff mình xem có đều đặn nhận arp reply từ 1 máy nào đó không.
Giải pháp chung cho toàn mạng để phát hiện các "táy máy" về MAC/IP mà tớ dùng cũng chỉ là arpwatch thôi. 

Tôi đặt trường hợp sau khi một attacker kết thúc quá trình sniff hệ thống LAN thì việc sniff của attacker này có để lại dấu vết gì không ?
Có cơ hội nào phát hiện +bằng chứng về việc hệ thống của mình bị sniff không ? 

Tôi đặt trường hợp sau khi một attacker kết thúc quá trình sniff hệ thống LAN thì việc sniff của attacker này có để lại dấu vết gì không ?
Có cơ hội nào phát hiện +bằng chứng về việc hệ thống của mình bị sniff không ? 

Thanks anh em !
Tớ thấy một vấn đề nữa .
Mặc dù Web Server Cty tớ có hỗ trợ SSL .
Email Server thì có hỗ trợ SSL và SPA . Vậy mà khi tớ sniff thử thì vẫn thấy password toàn cleartext .
Tất nhiên tool của tớ có hỗ trợ ARP-HTTPS . Không lẽ SSL cũng thiếu an toàn đến vậy cơ à ?
 

...
tôi xin vd, tui là 1 thằng Admin trong LAN xài switch, tui nghi ngờ máy A nó dính Virus hay spyware gì đấy khiến A có thể biến thành Zombie, lúc đó tôi không có đk để đến trực tiếp máy A để quét virus chảng hạn, lúc đó tôi ngồi máy C và bắt đầu sử dụng ARP poisoning máy A để sau đó Sniff các gói packet từ máy A và phân tích xem các gói Packet đó có dấu hiệu của Zombie ko?? lúc đó máy tôi là máy C ko nhất thiết phải forward các gói tin từ máy A --> gateway thực vì ko cần thiết, làm thế khác nào tiếp tay cho spyware ?? Mục đích của tui lúc bấy giờ chỉ là "sniff một chiều" (theo các bạn định nghĩa :lol ) để khẳng định là máy A bị dính virus. Chỉ có vậy thôi, các bác cứ nghĩ sniff là phải hack hiếc là sao chời ?
ps: các bác cứ bàn về phương pháp chống đi, nhất là cách phát hiện ARP reply ko hợp lệ  

Cách thủ công để detect một promisuous NIC là gởi một "non-broadcast" ARP đi đến các NIC trong subnet. NIC nào trong subnet ở tình trạng promiscuous sẽ cache ARP entry này. Sau đó, mình đổi MAC adddress nhưng giữ lại IP của máy (vừa gởi non-broadcast ARP) và gởi 1 broadcast ping đi. Các máy có NIC không ở tình trạng promiscuous sẽ respond cú ping này, các máy có NIC ở tình trạng promiscuous sẽ không trả lời (vì nó dã cache MAC address cũ của máy mình dùng để gởi non-broadcast ARP).