Trước hết chúng ta cần phải hiểu được thế nào là nghe lén (sniffer) và thế nào là ARP Poinsoning.
Sniffer nghĩ theo nghĩa đơn nhất đó là nghe lén những thông tin của đối phương. Attacker sẽ chặn bắt những gói tin của victim trong quá trình truyền đi sau đó ăn cắp thông tin trong gói tin đó bao gồm username, password…
Bất kì giao thức nào không thực hiện việc mã hóa dữ liệu khi truyền đi đều có thể trở thành nạn nhân của những kẻ tấn công sử dụng sniffer. Một số giao thức thông dụng hay bị tấn công như HTTP, POP3, SNMP, FTP… vì thông tin được truyền đi dưới dạng clear text (không được mã hóa).
ARP (Address Resolution Protocol) được dùng để phân dải từ một địa chỉ IP sang địa chỉ vật lý của máy. Ở trạng thái bình thường khi nhận được gói tin ARP Request từ máy chủ, victim sẽ trả lời lại 1 gói ARP Reply để gửi địa chỉ MAC của máy mình. Tuy nhiên, khi đã bị tấn công, attacker sẽ gói tin ARP Reply có chứa địa chỉ MAC của máy attacker. Khi đã nắm bắt được thông tin của victim, attacker sẽ vẫn gửi những thông tin đó đến máy chủ để đảm bảo phiên làm việc giữa victim và máy chủ thành thông và victim không hề hay biết mình đã bị tấn công.
Để thực hiện bài này mình cần hai máy: 1 máy Kali Linux đóng vai trò là attacker và 1 máy ngoài đóng vai trò là victim. Máy Kali sử dụng card mạng Bridge.
Địa chỉ IP của hai máy lần lượt là:
- Kali Linux: 10.86.85.43
- Windows 10: 10.86.84.131
Ở đây mình sẽ dùng công cụ Ettercap để đầu độc ARP, chuyền luồng dữ liệu từ máy victim sang máy Kali của mình.
Để xem hướng dẫn sử dụng Ettercap bạn dùng câu lệnh: ettercap –help
Câu lệnh để đầu độc ARP đó là: ettercap -T -q -M arp:remote -i eth0 //ipvictim/ //ipdestination/. Trong đó:
- -T: sử dụng giao diện dòng chữ
- -q: không thể hiện nội dung của gói tin
- -M: Main In The Midle
- -i: interface được sử dụng để tấn công
Ở ví dụ này câu lệnh mình dùng là: ettercap -T -q -M arp:remote -i eth0 //10.86.84.131/ /// phần ipdestination mình để trống vì mình muốn bắt tất cả các gói tin đi từ địa chỉ IP 10.86.84.131.
Bên máy victim truy cập vào trang web không có bảo mật SSL là http://wifi-fishcm.biz/Admin và tiến hành đăng nhập.
Bây giờ mình sẽ dùng Wireshark để bắt gói tin. Để lọc gói tin từ Wireshark và lấy được những thông tin đăng nhập, mình sẽ dùng khóa sau: ip.addr==10.86.84.131 && http contains “POST” hoặc ip.addr==10.86.84.131 && http contains “username=” hoặc ip.addr==10.86.84.131 && http.authorization…
Chuột phải vào gói tin POST chọn Follow -> TCP Stream.
Như vậy mình đã đọc được thông tin đăng nhập của victim với địa chỉ email là test@gmail.com và password là abc123.
Kĩ thuật tấn công sniffer rất nguy hiểm, chỉ một số bước đơn giản như vậy attacker đã có thể thu thập được thông tin đăng nhập của nạn nhân, chính vì vậy bạn nên cẩn thận khi truy cập những websites có độ bảo mật thấp khi dùng mạng công cộng. Trường hợp phải kiểm tra email hoặc vào những trang web không bảo mật bạn nên sử dụng VPN để tránh trường hợp bị tấn công.
Chúc các bạn thành công !!!
Hoàng Tuấn - Microsoft Student Partner 
bạn ơi cho mình hỏi làm sao để cài card mạng bridge cho kali vậy
LikeLike