Bàn thêm đi .

Trong đoạn ------- như thế, thì với điều kiện nào mà attacker có thể capture packets được server gởi cho client (để mà thực hiện chuyện "sửa đổi")? 

Quay lại em muốn trả lời câu hỏi của anh conmale

conmale wrote:

Bàn thêm đi .

Trong đoạn ------- như thế, thì với điều kiện nào mà attacker có thể capture packets được server gởi cho client (để mà thực hiện chuyện "sửa đổi")? 

Cái này chắc anh đã đồng ý các forwarder là các người nhìn thấy dữ liệu qua lại rồi đúng ko?

còn điều kiện, em nghĩ để capture được toàn bộ packet thì nó có thể dùng biện pháp arp spoofing ( hay có cách khác mà em ko biết ) hoặc tương tự để thay đổi source và destination header của packet giữa Server và client => nó làm thằng đứng giữa để foward packet từ Mỹ và nhận packet từ VN đẻ forward qua Mỹ lại lúc này nó sẽ có đk hơn để thay đổi nội dung file.



 

À ha. "arp spoofing". Chờ mãi mới thấy từ này .

"arp spoofing" cho ta cái gì?

Giả sử anh ngồi ở Úc, download 1 file từ một server bên Mỹ. Từ chỗ anh sang server bên Mỹ là 10 hops chẳng hạn.

- Ở hop nào có thể "arp spoof"? Lý do?
- Ở hop nào không thể "arp spoof"? Lý do?
- Ngay cả ở hop có thể "arp spoof", điều kiện nào cho phép việc này thành công?

 

Khi client requests download file từ 1 site nào đó, nó sẽ chuyển từ DNS-->IP, trả cho client biết ip của server mỹ, lúc này có IP rồi client sẽ hỏi MAC address của server mỹ đó là gì, nó mới moi trong ARP cache của nó ( có thê lưu ở trong máy client ) xem có lưu IP đó có MAC nào chưa, nếu chưa nó sẽ la làng broadcast message trong cùng subnet của nó để hỏi Ai có IP đó thì trả lời nó, IP của server mỹ chắc khác subnet với client nên hỏi default gateway và Routerx sẽ có nhiệm vụ route packet qua các Router khác cho đến khi đụng Server Mỹ sẽ trả lại IP và MAC cho client úc theo chiều ngược lại  

(Tới lúc này có lẽ switch1 hoặc 10 sẽ update vào bảng routing table của nó là port ( nối vơi Router ) có MAC và IP đó thì nó sẽ theo forward đi sau này)

Theo câu hỏi của anh

1. nên thể ở hop 1, vì có thể capture và biết được bảng routing table của switch từ đó có thể spoof nó ( em đang suy nghĩ hop 10 có khả thi hơn ko)
2. Những hop trung gian, hop 2-9 ko thể arp spoof, vì nó chỉ làm nhiệm vụ routing ko biết đc ip thực của client và server, và nếu nó spoofing, có thể sẽ phải xử lý ( arp spoof) toàn bộ traffic của hàng triệu request qua nó, mạng sẽ rất chậm
3. Ở hop có thể spoof đc, điều kiện cho phép việc này thành công có thể: chúng arp spoofer phải biét đâu là dc cần để route packet ứng với mac nào, client phải update arp cache khi nó gặp gói arp replay, và cũng có thể client ko set static arp tới default gateway , switch ko có tính năng port security gì đó, hoặc client ko dùng giao thức s-arp để request
 

Cho em hỏi cắt dây từ Client đến switch 1 đấu vào 1 con máy có 2 card mạng thì có MITM được ko ạ? Hoặc cắt từ switch1 cho đến phần ra bên ngoài cũng được . 

Cho em hỏi cắt dây từ Client đến switch 1 đấu vào 1 con máy có 2 card mạng thì có MITM được ko ạ? Hoặc cắt từ switch1 cho đến phần ra bên ngoài cũng được . 

lúc này có IP rồi client sẽ hỏi MAC address của server mỹ đó là gì 

2. Những hop trung gian, hop 2-9 ko thể arp spoof, vì nó chỉ làm nhiệm vụ routing ko biết đc ip thực của client và server, và nếu nó spoofing, có thể sẽ phải xử lý ( arp spoof) toàn bộ traffic của hàng triệu request qua nó, mạng sẽ rất chậm 

MrNothing wrote:

Cho em hỏi cắt dây từ Client đến switch 1 đấu vào 1 con máy có 2 card mạng thì có MITM được ko ạ? Hoặc cắt từ switch1 cho đến phần ra bên ngoài cũng được . 

theo mình nghĩ là đc và cũng giống như nó là switch để forward packet, lúc này mình nghĩ cũng vần phải dùng ARP spoofing thôi 

Thảo luận đến đây, các 'héc cờ' wannabe có thấy kiến thức căn bản quan trọng như thế nào chưa? Nếu vẫn chưa thấy thì nên từ bỏ ý định muốn làm 'héc cờ' bởi vì nó hoàn toàn vô vọng. 

zu4er wrote:

lúc này có IP rồi client sẽ hỏi MAC address của server mỹ đó là gì 

Cái này không chính xác. Client ở Úc không hề quan tâm đến MAC address của server ở Mỹ là gì.

zu4er wrote:

2. Những hop trung gian, hop 2-9 ko thể arp spoof, vì nó chỉ làm nhiệm vụ routing ko biết đc ip thực của client và server, và nếu nó spoofing, có thể sẽ phải xử lý ( arp spoof) toàn bộ traffic của hàng triệu request qua nó, mạng sẽ rất chậm 

Các hop từ 2-9 bắt buộc phải biết IP của client và server. Không biết thì lấy gì mà route?

Câu trả lời cho câu hỏi "Các hop nào có thể sproof ARP được?" của anh conmale là....tùy: Tùy coi người tấn công ở đâu trong topology tên.

Ban cũng nên xem lại cách thức một switch và một router hoạt động thế nào. Từng bước một, một IP Packet chẳng hạn đi từ A đến B, thông qua các switch và các router trung gian thì điều gì sẽ xảy ra, các fields nào của packet, của segment, hoặc của frame sẽ được thay đổi, và thay đổi ra sao.

khoai 

- Khi các packet đi thông qua các switch thì ko có gì thay đổi, còn khi đi routing qua router em nghĩ chỉ có MAC address của DES và SOURCE thay đổi, khi packet đi tới hop nào thì nó sẽ thay đổi theo hop đó. Cũng chính vì lý do này nên nếu mình dùng ARP ở các hop trung gian 2-9 thì ko thể Spoof được bảng ARP của switch. 

zu4er wrote:

- Khi các packet đi thông qua các switch thì ko có gì thay đổi, còn khi đi routing qua router em nghĩ chỉ có MAC address của DES và SOURCE thay đổi, khi packet đi tới hop nào thì nó sẽ thay đổi theo hop đó. Cũng chính vì lý do này nên nếu mình dùng ARP ở các hop trung gian 2-9 thì ko thể Spoof được bảng ARP của switch. 

---> Thường là vậy nhưng không nhất là vậy
---> Có vẻ bạn vẫn chưa nắm rõ thế nào là ARP spoofing. Bạn tấn công ở chỗ nào thì cái switch ở đó là nạn nhân của bạn.

Ở post trước mình có nhắc đến một lý do hiển nhiên dẫn đến việc arp spoofing ở đoạn giữa là bất khả thi. Bạn thử tìm hiểu xem ở chỗ nào trong cái path từ client đến server thì thường tồn tại switches và chỗ nào không.