Hacking DCHP spoofing with ettercap

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
1. Mô hình
- DHCP server : là 1 Router ADSL. Ở đây mình dùng Tplink accesspoint :). IP: 172.16.1.254
- Backtrack 5R3: xin IP từ DHCP server có IP: 192.168.1.106
0.bmp

2. Kịch bản
- Attacker sẽ dựng 1 DHCP giả mạo
- Khi client broadcast DHCP DISCOVER thì attacker sẽ nhận được và gửi trả về gói DHCP OFFER bên trong có IP và gateway là của attack.
- Lúc này toàn bộ traffic của Client thay vì đi qua ROuter rồi ra internet thì phải đi đường vòng qua attacker
- Lúc này attacker đã kiểm soát được toàn bộ traffic. Bước tiếp theo Attacker có thể sniffer user/pass của client hay làm 1 website giả mào để lấy info của client ...

3. Tân công
- Trên máy attacker cài Backtrack 5R3 các bạn bật terminal lên và gõ lệnh sau để bật tool tấn công
ettercap -G

- Tiếp theo khi tool hiện lên các bạn cho interface nào thực hiện tấn công. Ở đây mình dùng eth0 vì nó nối với Switch
1.png
2.png

- Sau đó các bạn chọn kiểu tấn công là DHCP spoofing
3.png

- Chỉnh các thông số như network, subnet mask, DNS mà được cấp xuống cho client. Ở đây con DHCP cấp cho mình mạng 172.16.1.0/24 nên mình sẽ cấp mạng 172.16.1.0/24 cho client
4.png

- Sau đó các bạn bật tính năng sniffing lên để capture các packet mà client đi qua
5.png


4. Trên Client
- Và khi client thực hiện xin DHCP thì các bạn sẽ thấy Default-gateway của client đã bị đổi thành gateway của Attacker.
5.png

- Bây giờ trên client các bạn truy cấp ftp
6.png

5. Trên Backtrack 5R3
- Các bạn vào tool và kiểm tra thì thấy username/password của client đã bị capture lại
2014-05-20_001635.png

- Tuy nhiên với ettercap chỉ hỗ trợ capture dữ liệu thô, nghĩa là nó ko bị mã hóa.
- Khi dữ liệu bị mã hóa hay bị hash sẽ ko đọc được pasword các bạn có thể thực hiện giả mạo website và cho client truy cập vào để lấy passs. Kiểu tấn công: phishing attack. Mình sẽ có viết và lab về kiểu tấn công này sau :)

6. Phòng chống
- Để phòng chống tấn công này các bạn bật tính năng DHCP-snooping.
- DHCP-snooping dựa vào cơ chế port "unstruted" hay "trusted". Nghĩa là
  • Trusted: port nào bật thì sẽ được phép gửi gói DHCP OFFER
  • Untrusted: Những port unstruted là những port không được phép gửi gói tin DHCP OFFER ra ngoài
DHCP_snooping_Trust_Untrust.jpg
 
Last edited by a moderator:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu