HTTP, HTTPS, DHCP,… chắc các bạn đều đã được nghe qua ít nhiều, chúng phần lớn thuộc tầng ứng dụng của mô hình TCP/IP. Tuy nhiên, trong bài viết này SecurityBox sẽ giới thiệu cho các bạn một giao thức ít được mọi người biết đến nhưng cực kì quan trong đó là giao thức ARP.

Bộ giao thức TCP IP

I.TỔNG QUAN VỀ GIAO THỨC ARP

1.Giao thức ARP là gì?

ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp datalink. Quá trình thực hiện bằng cách: một thiết bị IP trong mạng gửi một gói tin local broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa chỉ phần cứng ( địa chỉ lớp datalink ) hay còn gọi là Mac Address của mình.

Ban đầu giao thức ARP chỉ được sử dụng trong mạng Ethernet để phân giải địa chỉ IP và địa chỉ MAC. Nhưng ngày nay ARP đã được ứng dụng rộng rãi và dùng trong các công nghệ khác dựa trên lớp hai.

>> Xem thêm: 8 Kiểu tấn công mạng phổ biến năm 2017

2.Cơ chế hoạt động của ARP

Cơ chế hoạt động của ARP

Giả sử:

• Host A có địa chỉ IP là 192.168.1.10 và có địa chỉ MAC là​ 74-2F-6K-B6-44-10
• Host B có địa chỉ IP là 192.168.1.120 và có địa chỉ MAC là​ 02-FE-05-A7-00-01
• Host A muốn tìm địa chỉ MAC của host có địa chỉ IP là 192.168.1.120

Cơ chế:

• Host A phát ra một gói tin ARP request (dạng broadcast) trên mạng yêu cầu tìm MAC của host nào có IP là 192.168.1.120
• Gói tín có dạng broadcast nên nó sẽ gửi đến tất cả các host trong mạng
• Tất cả các host sẽ kiểm tra xem nó có đúng là địa chỉ IP của mình không. Nếu không thì nó sẽ bỏ qua. Nếu đúng thì nó sẽ lấy địa chỉ MAC của nó và gửi gói tin ARP reply (dạng unicast) về cho host A.​
• Lúc này Host A đã có địa chỉ MAC của Host B. Nó sẽ lưu và ARP cache của nó.

II.CÁC LỖ HỔNG VÀ GIAO THỨC LIÊN QUAN TỚI ARP

1.Lỗ hổng bảo mật ARP​

Khi một host nhận được gói tin ARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host mà mình mong muốn hay không​.

Lợi dụng điều này, hacker có thể triển khai các phương thức tấn công như: Man In The Middle, Denial of Service, MAC Flooding.​

• Man in middle

Man in middle là một trong những kiểu tấn công mạng thường thấy nhất, có thể hiểu kiểu tấn công này là kẻ đứng giữa nghe trộm thông tin. Đây là một hình thức tấn công mạng có xuất xứ lâu đời nhất (nó còn được biết đến với cái tên ARP Poison Routing) tấn công này cho phép hacker có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Nó là một trong những hình thức tấn công đơn giản nhưng  cực kì hiệu quả

Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B. ​

• Đầu tiên, hacker sẽ gởi gói ARP Reply đến host A với nội dung là địa chỉ MAC của hacker và địa chỉ IP của hostB.
• Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội dung là MAC của máy hacker và IP của host A.
• Như vậy, cả hai host A và host B đều tiếp nhận gói ARP Reply đó và lưu vào trong ARP table của mình.
• Đến lúc này, khi host A muốn gửi thông tin đến host B, nó liền tra vào ARP table thấy đã có sẵn thông tin về địa chỉ MAC của host B nên sẽ lấy thông tin đó ra sử dụng, nhưng thực chất địa chỉ MAC đó là của hacker. Đồng thời máy tính của hacker sẽ mở chức năng gọi là IP Forwading giúp chuyển tải nội dung mà host A gửi qua host B.
• Host A và host B giao tiếp bình thường và không có cảm giác bị qua máy trung gian là máy của hacker. ​

ARP Poison Routing

Công cụ phổ biến nhất để thực hiện cuộc tấn công này là Cain & Abel, ettercap …

• Denial of service

Denial of service hay còn gọi là tấn công từ chối dịch vụ. Cũng vận dụng kỹ thuật trên, hacker tiến hành tấn công bằng cách gởi gói ARP Reply đến toàn bộ các host trong mạng với nội dung mang theo là địa chỉ IP của Gateway và địa chỉ MAC không hề tồn tại. Như vậy các host trong mạng tin tưởng rằng mình đã biết được MAC của Gateway và khi gửi thông tin đến Gateway, kết quả là gửi đến một nơi hoàn toàn không tồn tại. Đó là điều hacker mong muốn, toàn bộ các host trong mạng đều không thể đi ra Internet được.

ARP tấn công từ chối dịch vụ

Các công cụ phổ biến để thực hiện tấn công: ettercap, arpspoof, nemesis

• Mac Flooding

Cách tấn công này cũng dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến là Switch. Hacker sẽ gửi những gói ARP Reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp và trở nên quá tải. Khi đó, Switch sẽ không đủ sức thể hiện bản chất Layer2 của mình nữa mà broadcast gói tin ra toàn bộ các port của mình. Hacker dễ dàng bắt được toàn bộ thông tin trong mạng của bạn.

ARP Mac Flooding

2.Cách phòng chống tấn công mạng kiểu ARP

Đối với mạng nhỏ: Ta có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó, bạn sẽ liệt kê bằng tay IP nào đi với MAC nào. Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem IP và MAC, dùng câu lệnh arp -s để thêm vào ARP table. Khi mà ép tĩnh như vậy sẽ ngăn chặn hacker gởi các gói ARP Reply giả tạo đến máy của mình vì khi sử dụng ARP table tĩnh thì nó luôn luôn không thay đổi. Chú ý rằng cách thức này chỉ áp dụng được trong môi trường mạng với quy mô nhỏ, nếu mạng lớn hơn là không thể vì chúng ta phải thêm vào ARP table bằng tay với số lượng quá nhiều.

Đối với mạng lớn:​ Khi quản trị trong một mạng quy mô lớn, ta có thể sử dụng chức năng Port security. Khi mở chức năng Port security lên các port của Switch, ta có thể quy định port đó chỉ chấp nhận một địa chỉ MAC. Như vậy sẽ ngăn chặn việc thay đổi địa chỉ MAC trên máy hacker.Ngoài ra cũng có thể sử dụng các công cụ, ví dụ như ArpWatch. Nó sẽ phát hiện và báo cáo cho bạn các thông tin liên quan đến ARP đang diễn ra trong mạng. Nhờ đó, nếu có hiện tượng tấn công bằng ARP Poisoning thì bạn có thể giải quyết kịp thời.​

III.Kết luận

Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng của chúng ta. Ban đầu ARP chỉ được sử dụng trong mạng Ethernet để phân giải địa chỉ IP và địa chỉ MAC. Nhưng ngày nay ARP đã được ứng dụng rộng rãi và dùng trong các công nghệ khác dựa trên lớp hai.​ Do vậy thông qua đây SecurityBox chỉ giới thiệu khái quát về ARP và cách bảo vệ hệ thống liên quan tới lỗ hổng bảo mật ARP một cách an toàn.