Home / Thủ Thuật / Hacking / BackTrack / DCHP spoofing with ettercap

DCHP spoofing with ettercap

DCHP spoofing with ettercap

1. Mô hình
DHCP server : là 1 Router ADSL. Ở đây mình dùng Tplink accesspoint . IP: 172.16.1.254
Backtrack 5R3: xin IP từ DHCP server có IP: 192.168.1.106


2. Kịch bản

– Attacker sẽ dựng 1 DHCP giả mạo
– Khi client broadcast DHCP DISCOVER thì attacker sẽ nhận được và gửi trả về gói DHCP OFFER bên trong có IP và gateway là của attack.
– Lúc này toàn bộ traffic của Client thay vì đi qua ROuter rồi ra internet thì phải đi đường vòng qua attacker
– Lúc này attacker đã kiểm soát được toàn bộ traffic. Bước tiếp theo Attacker có thể sniffer user/pass của client hay làm 1 website giả mào để lấy info của client …

3. Tân công
– Trên máy attacker cài Backtrack 5R3 các bạn bật terminal lên và gõ lệnh sau để bật tool tấn công

ettercap -G

– Tiếp theo khi tool hiện lên các bạn cho interface nào thực hiện tấn công. Ở đây mình dùng eth0 vì nó nối với Switch

– Sau đó các bạn chọn kiểu tấn công là DHCP spoofing

– Chỉnh các thông số như network, subnet mask, DNS mà được cấp xuống cho client. Ở đây con DHCP cấp cho mình mạng 172.16.1.0/24 nên mình sẽ cấp mạng 172.16.1.0/24 cho client

– Sau đó các bạn bật tính năng sniffing lên để capture các packet mà client đi qua

4. Trên Client
– Và khi client thực hiện xin DHCP thì các bạn sẽ thấy Default-gateway của client đã bị đổi thành gateway của Attacker.

– Bây giờ trên client các bạn truy cấp ftp

5. Trên Backtrack 5R3
– Các bạn vào tool và kiểm tra thì thấy username/password của client đã bị capture lại

– Tuy nhiên với ettercap chỉ hỗ trợ capture dữ liệu thô, nghĩa là nó ko bị mã hóa.
– Khi dữ liệu bị mã hóa hay bị hash sẽ ko đọc được pasword các bạn có thể thực hiện giả mạo website và cho client truy cập vào để lấy passs. Kiểu tấn công: phishing attack. Mình sẽ có viết và lab về kiểu tấn công này sau

6. Phòng chống
– Để phòng chống tấn công này các bạn bật tính năng DHCP-snooping.
– DHCP-snooping dựa vào cơ chế port “unstruted” hay “trusted”. Nghĩa là

  • Trusted: port nào bật thì sẽ được phép gửi gói DHCP OFFER
  • Untrusted: Những port unstruted là những port không được phép gửi gói tin DHCP OFFER ra ngoài
Print Friendly

About dongpolice

Check Also

sms-thuong-hieu

SMS Thương Hiệu

SMS thương hiệu, SMS Brandname Ngày nay, nhu cầu sử dụng sms, sms thương hiệu, …