Ngoài ARP spoofing, hacker còn có thể sử dụng MAC spoofing, IRDP spoofing, VLAN hopping và các cuộc tấn công STP để ngấm ngầm theo dõi lưu lượng thông tin của mạng mục tiêu. Phần này sẽ mô tả các kỹ thuật giả mạo mà hacker sử dụng để đánh cắp thông tin nhạy cảm đồng thời giúp bạn hiểu cách phòng vệ chống lại MAC spoofing, VLAN hopping và các cuộc tấn công STP.
MAC Spoofing/Duplicating
Tổng quan
MAC duplicating là việc giả mạo địa chỉ MAC bằng địa chỉ MAC của một người khác trên mạng. Hacker trước tiên thu thập địa chỉ MAC của các máy khác đang kết nối với cổng switch sau đó tiến hành giả mạo. Nếu việc giả mạo thành công, hacker có thể nhận được toàn bộ lưu lượng đi tới máy đó. Như vậy, hacker có thể tiếp cận vào mạng và chiếm đoạt danh tính của máy đó trong mạng.
Kỹ thuật này có thể được sử dụng để vượt qua bộ lọc MAC (MAC filtering) của các wireless access point.
Thay đổi địa chỉ MAC trong hệ điều hành Windows 11
Phương pháp 1: Nếu card mạng hỗ trợ sao chép địa chỉ MAC:
- Nhấp vào Start, tìm kiếm Control Panel, sau đó điều hướng đến Network and Internet Networking and Sharing Center.
- Nhấp vào Ethernet và sau đó nhấp vào Properties trong cửa sổ Ethernet Status.
- Trong cửa sổ Ethernet Properties, nhấp vào nút Configure, sau đó chuyển đến tab Advanced.
- Dưới mục Property, tìm Network Address và nhấp vào đó.
- Bên phải, dưới mục Value, nhập địa chỉ MAC mới mà bạn muốn gán và nhấp OK.
Lưu ý: Nhập số địa chỉ MAC mà không có “:” ở giữa. - Gõ
ipconfig/all
hoặcnet config rdr
trong command prompt để xác nhận các thay đổi. - Khởi động lại hệ thống. Nếu không thành công, thử phương pháp 2 (thay đổi địa chỉ MAC trong registry).
Phương pháp 2: Thay đổi địa chỉ MAC trong registry:
- Nhấn Win + R để mở Run, và gõ regedit để mở trình chỉnh sửa registry.
- Điều hướng đến “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class{4d36e972-e325-11ce-bfc1-08002be10318}” và nhấp đúp để mở cây thư mục.
- Các subkey có bốn chữ số đại diện cho các network controller (bắt đầu bằng 0000, 0001, 0002, v.v.).
- Tìm key “DriverDesc” phù hợp để tìm interface mong muốn.
- Nhấp chuột phải vào subkey phù hợp và thêm giá trị chuỗi “NetworkAddress” mới (kiểu dữ liệu “REG_SZ“) để chứa địa chỉ MAC mới.
- Chuột phải vào giá trị chuỗi “NetworkAddress” ở phía bên phải và chọn Modify…
- Trong hộp thoại Edit String, nhập địa chỉ MAC mới vào trường Value data và nhấp OK.
- Vô hiệu hóa sau đó kích hoạt lại interface hoặc khởi động lại máy.
Lưu ý: Độ chính xác và hiệu quả của hướng dẫn này có thể phụ thuộc vào phiên bản cụ thể của Windows 11 và card mạng được sử dụng. Quan trọng là cẩn thận và đảm bảo tuân thủ các quy định và quy tắc pháp luật áp dụng khi thay đổi địa chỉ MAC.
Công cụ MAC Spoofing
Công cụ Technitium MAC Address Changer (TMAC) cho phép ta thay đổi (giả mạo) địa chỉ MAC của card mạng một cách nhanh chóng. Mỗi card mạng có một địa chỉ MAC được mã hóa cứng trong mạch bởi nhà sản xuất. Địa chỉ MAC được mã hóa cứng này được sử dụng bởi các Windows driver để truy cập vào mạng Ethernet (LAN). Công cụ này có thể ghi đè một địa chỉ MAC mới cho card mạng, vượt qua địa chỉ MAC gốc được mã hóa cứng.
IRDP Spoofing
Giao thức ICMP Router Discovery Protocol (IRDP) là một giao thức định tuyến cho phép máy tính tìm ra các địa chỉ IP của các bộ định tuyến hoạt động trên mạng con bằng cách lắng nghe các thông điệp quảng bá và các yêu cầu định tuyến trên mạng. Hacker có thể giả mạo các thông điệp quảng bá định tuyến để thêm cái routing entries vào một hệ thống.
Vì IRDP không yêu cầu xác thực, máy mục tiêu sẽ ưu tiên lựa chọn route entries mặc định được xác định bởi hacker hơn là các entries được cung cấp bởi DHCP server. Hacker thiết lập mức ưu tiên và thời gian tồn tại của route entries ở mức cao để đảm bảo máy mục tiêu chọn nó làm route entries.
Hacker có thể sử dụng IRDP để gửi các thông điệp quảng bá định tuyến giả mạo để khiến các gói tin đi qua hệ thống của hacker. Do đó, hacker có thể ngấm ngầm theo dõi lưu lượng và thu thập thông tin từ các gói dữ liệu đó.
- Passive Sniffing: Trong mạng chuyển mạch, hacker giả mạo lưu lượng IRDP để điều hướng lưu lượng đi ra của máy mục tiêu.
- MITM: Sau khi bắt đầu theo dõi, hacker đóng vai trò là một proxy giữa nạn nhân và máy đích. Hacker cố gắng sửa đổi gói tin (lưu lượng).
- DoS: Giả mạo IRDP cho phép kẻ tấn công từ xa thêm các mục định tuyến sai vào bảng định tuyến của nạn nhân. Mục địa chỉ sai gây ra tình trạng DoS.
VLAN Hopping
VLAN hopping là một kỹ thuật được sử dụng để tấn công các tài nguyên mạng hiện có trên một VLAN. Mục đích chính của cuộc tấn công VLAN hopping là để truy cập vào lưu lượng thông tin đang đi qua các VLAN khác tồn tại trong cùng mạng mà không thể truy cập theo cách thông thường. Nếu hệ thống mạng cấu hình VLAN không đúng thì có thể bị ảnh hưởng bởi VLAN Hopping.
Cuộc tấn công VLAN hopping có thể được thực hiện thông qua hai phương pháp chính, như sau:
Giả mạo Switch
Bằng cách sử dụng phương pháp giả mạo switch, hacker kết nối một switch giả mạo vào mạng bằng cách lừa một switch hợp pháp và tạo ra một liên kết trunk giữa chúng. Sau khi thiết lập đường trunk, lưu lượng từ nhiều VLAN sẽ được gửi đến và thông qua switch giả mạo giúp hacker theo dõi và xem nội dung các gói tin. Kiểu tấn công này chỉ thành công chỉ khi switch hợp pháp được cấu hình để negotiate một kết nối trunk, hoặc khi interface được cấu hình với chế độ dynamic auto, dynamic desirable, hoặc trunk.
Phòng ngừa giả mạo switch
Cấu hình các cổng cụ thể là access ports và đảm bảo rằng tất cả các access port được cấu hình không thỏa thuận kết nối trunk:
switchport mode access
switchport mode nonegotiate
Đảm bảo rằng tất cả các cổng trunk được cấu hình không thỏa thuận kết nối trunk:
switchport mode trunk
switchport mode nonegotiate
Double Tagging
Sử dụng double tagging, hacker thêm và sửa đổi các tag trong frame Ethernet, cho phép luồng lưu lượng đi qua bất kỳ VLAN nào trong mạng. Frame Ethernet được gửi bởi hacker chứa hai tag 802.1Q, gồm tag inner (tag VLAN của switch mục tiêu mà hacker muốn đạt được) và tag outer (native VLAN của hacker).
Khi switch nhận frame Ethernet, nó loại bỏ tag outer, vì nó giống với tag cho native VLAN, và chuyển tiếp frame có tag inner trên tất cả các interface trunk. Kỹ thuật này giúp hacker bypass các cơ chế mạng bằng cách nhảy từ native VLAN của mình đến VLAN(s) của nạn nhân và cũng cho phép gửi lưu lượng đến các VLAN khác. Kiểu tấn công này chỉ khả thi nếu các cổng switch được cấu hình để sử dụng native VLAN.
Ngăn chặn tấn công double tagging
Đảm bảo rằng mỗi cổng truy cập được gán cho một VLAN ngoại trừ VLAN mặc định (VLAN 1):
switchport access vlan 2
Đảm bảo rằng các VLAN mặc định trên tất cả các cổng trunk được thay đổi thành một VLAN ID không sử dụng:
switchport trunk native vlan 999
Đảm bảo rằng các VLAN mặc định trên tất cả các cổng trunk được gắn thẻ một cách rõ ràng:
vlan dot1q tag native
STP Attack
Trong kỹ thuật tấn công Spanning Tree Protocol (STP), hacker gắn một switch giả mạo vào mạng để thay đổi hoạt động của giao thức STP và nghe trộm toàn bộ lưu lượng mạng. STP được sử dụng trong các mạng chuyển mạch LAN với chức năng chính là loại bỏ các vòng lặp (loop) trong mạng. STP đảm bảo rằng lưu lượng trong mạng tuân theo một đường dẫn tối ưu để tăng cường hiệu suất. Trong quá trình này, một switch trong mạng được chỉ định làm gốc (root bridge). Sau khi chọn root bridge, các switch khác trong mạng kết nối đến nó bằng cách chọn một cổng root (cổng gần nhất với root bridge).
Root bridge được chọn bằng BPDUs – Bridge Protocol Data Units. Mỗi BPDU có một số nhận dạng được gọi là BID hoặc ID. Những BID này bao gồm Bridge Priority và địa chỉ MAC. Theo mặc định, giá trị Bridge Priority là 32769.
Nếu hacker có quyền truy cập vào hai switch, chúng sẽ đưa một switch giả mạo vào mạng với ưu tiên thấp hơn bất kỳ switch nào khác trong mạng. Điều này khiến switch giả mạo trở thành root bridge
.
Để phòng ngừa tấn công STP trên switch, triển khai các biện pháp phòng ngừa sau:
BPDU Guard
BPDU guard phải được kích hoạt trên các cổng không bao giờ nhận BPDU từ các thiết bị kết nối đến chúng nhằm tránh việc truyền BPDU trên các cổng đã kích hoạt PortFast. Tính năng này giúp ngăn chặn các vòng lặp bridge trong mạng. Nếu BPDU guard được kích hoạt trên một interface switch và một switch trái phép kết nối vào nó, cổng sẽ được đặt vào chế độ errdisable khi nhận BPDU. Chế độ errdisable tắt cổng và vô hiệu hóa việc gửi hoặc nhận bất kỳ lưu lượng nào trên cổng đó.
Sử dụng các lệnh sau để kích hoạt BPDU guard trên interface switch:
configure terminal
interface G0/1
spanning-tree portfast bpduguard
Root Guard
Root guard bảo vệ root bridge và đảm bảo rằng nó vẫn là root trong STP topology. Nó buộc các interface trở thành các forwarding ports để ngăn chặn các switch gần đó trở thành root switch. Do đó, nếu một cổng được kích hoạt tính năng root guard nhận một BPDU, nó sẽ chuyển đổi cổng đó thành trạng thái không tương thích vòng lặp (không phải errdisabled), từ đó bảo vệ sự thay đổi STP topology. Cổng này chỉ không hoạt động cho switch hoặc các switch cụ thể đang cố gắng thay đổi STP topology. Cổng này sẽ ở trạng thái tắt cho đến khi sự cố được giải quyết.
Sử dụng các lệnh sau để kích hoạt tính năng root guard trên một interface của switch:
configure terminal
interface G0/1
spanning-tree guard root
Loop Guard
Loop guard cải thiện sự ổn định của mạng bằng cách ngăn chặn các vòng lặp bridge. Nó thường được sử dụng để bảo vệ switch khỏi gặp sự cố.
configure terminal
interface gigabiteethernet slot/port
spanning-tree guard loop
UDLD (Unidirectional Link Detection)
UDLD cho phép các thiết bị phát hiện sự tồn tại của các liên kết một chiều và vô hiệu hóa các interface bị ảnh hưởng trong mạng. Các liên kết một chiều trong mạng có thể gây ra các vòng lặp trong STP topology.
configure terminal
interface gigabiteethernet slot/port
udld { enable | disable | aggressive }