PDA

View Full Version : [TUTOR] Spoofing default gateway .



yuna_admirer
17-12-2002, 20:15
hihi . Anh FSD chỉ cách xâm nhập từ bên ngoài hay quá . Nhưng còn từ trong đi ra thì sao ?
Các bạn ai cũng biết , hiện giờ ai cũng sài TCP/IP , vì là 1 chuẩn mở , nên các lổi cũng như điểm yếu khá nhiều . Một trong những lổi đó , chính là cơ chế chuyển dử liệu ở mức Layer 2 dựa vào MAC address .
Khi một thiết bị cần chuyển dử liệu đến cho thiết bị khác , nó cần 2 loại địa chỉ , địa chỉ IP và MAC address . IP là địa chỉ logic , do người quản trị tự gán , còn MAC address chính là địa chỉ vật lý , được gán chết trong card mạng , hoặc là interface của Router bằng 1 con chip ROM . Ví von : IP là đường , số nhà .v.v. , còn MAC chính là CMND của mình .
Khi một host cần chuyển 1 gói dử liệu đi , thì gói dử liệu sẻ được đóng gói ở lớp thứ 3 của mô hình OSI . Ở đây , một header sẻ được đính kèm vào trong gói dử liệu đó , trong đó chứa địa chỉ IP source (nơi gởi) và destination IP (nơi tới) . Sau đó sẻ tiếp được đưa xuống layer 2 . Tại đây gói dử liệu sẻ được đóng gói 1 lần nửa với source MAC address (người gởi) và Destination MAC address(người nhận) .
Đối với IP , vốn là 1 dạng địa chỉ phân cấp , có Network field , host field , do đó việc tìm một địa chỉ IP khá dể dàng , chỉ cần tìm đúng Network field , rồi lại tìm host field . ( giống như tìm tên con đường , sau đó tìm số nhà ) . Nhưng với MAC address được gán random , thì việc tìm ra sẻ hơi khó .
Do đó xuất phát cơ chế ARP - address resolution protocol . MAC address là một địa chỉ 48Bit được viết dưới dạng hexadecimal là :(vd) 5f-2f-d2-56-ab chẳng hạn . Cũng như địa chỉ IP , địa chỉ MAC có giá trị tất cả là 1 hết là ff-ff-ff-ff-ff-ff có nghỉa là tất cả mọi người . Cơ chế ARP : sẻ gới một gói dử liệu , có source IP là chính nó , Destination IP là IP của người mà nó cần gởi tới , source MAC address nhưng destination MAC chính là giá trị ff-ff-ff-ff-ff-ff . Như vậy tất cả các host sẻ nhận được . Sau đó các host đó sẻ kiểm tra phần Destination IP , nếu nó thấy nó ở trong đó , nó biết đây là gói dử liệu dành cho nó và nó sẻ trả lời cho người gởi với IP source là của nó , IP des là IP đứa đã gởi cho , MAC source của nó và MAC des là MACaddress của gói thông tin mà nó đã nhận .
Có thể hình tượng hoá như sau : Một anh phát thư (IP source , MAC source) đi phát thư (gói dử liệu ) . Anh ta tìm đến nhà (IP des) của người nhận , nhưng có nhiều người trong nhà , anh ta mới la lên (ARP - ffff-ffff-ffff) là có thư (ARP process) của ai đó (des IP) . Mọi người đều nghe thấy , và người biết là thư của mình ( IP des=IP source) sẻ trả lời (des MAC) .
Như vậy , lúc này người đưa thư đã biết người nhận thư . Nếu giửa 2 host đó , trong khoảng thời gian là 30 giây lại tiếp tục trao đổi với nhau , thì sẻ không cần thực hiện ARP nửa , vì đã biết MAC address của nhau rồi .
Sau 30 S không có traffic , entry trong bảng sẻ hết hạn , khi đó lại tiếp tục diển ra 1 quá trình ARP kế . Hoặc khi có một MAC address mới hơn thì host sẻ update bảng ARP của mình theo cái mới hơn đó .

Đây cũng là một sơ hở của IP .

Default Gateway là nơi các IP packet mà host thấy là Destination IP không có trong mạng của mình , thì sẻ gởi tới đây . Default gateway là một IP . Nó có thể là card ethernet của server trước khi được proxy hoặc dịch sang internet . Nó cũng có thể là Ethernet interface của Router . Default gateway cũng có 2 thành phần là MAC address và IP address . Khi đó , ở trên một host bất kỳ trong mạng , có thể gán IP trùng với IP của default-gateway , sau đó flood thông tin IP của mình ra cho tất cả mọi người với source MAC address là MAC address của mình . Lúc này , các host khác update bảng ARP của nó , và sẻ hiểu là default-gateway có MAC address là MAC address mà nó mới đưa vào .

Lúc này , khi một user trên 1 host muốn ra internet , thì host đó sẻ trước tiên gởi thông tin ra default-gateway . Nó có IP của default-gateway . Sau đó nó xem tiếp , thì thấy mình có 1 entry của IP của default-gateway . Và nó sẻ gởi gói dử liệu đến chính MAC ADDRESS đó , chính là máy của tên hacker ngồi , ở máy này có tiếp tục chuyển tiếp dử liệu đi không thì tùy . Như vậy , mọi thông tin của chúng ta gởi đi , đều phải qua máy của tên đó , trong đó có thể có những thông tin tế nhị như username , password , chat , .v.v.v.

Trong môi trường WIN 2000 , việc thay đổi IP trùng với một IP khác đã có trên mạng thì sẻ bị báo lổi , do đó các bạn cần một chương trình spoof IP riêng . Download ở trang :
http://neworder.box.sk
hoặc nhiều trang khác .
Ở một vài hệ thống , người ta có thể gán tỉnh / gán chết địa chỉ ip của default-gateway với 1 MAC address nhất định để chống Spoof .
Bạn có thể áp dụng cách này với các host khác , không nhất thiết phải là default-gateway .