CEH v13 AI – CEH VIETNAM

,

[Security365] Phân Tích Rủi Ro và Giải Pháp Phòng Chống Tấn Công ARP Spoofing và Responder trong Mạng Nội Bộ

I. Giới Thiệu Trong bối cảnh an ninh mạng ngày càng phức tạp, các cuộc tấn công vào mạng nội bộ (LAN) vẫn là một mối đe dọa đáng kể đối với các tổ chức và cá nhân. Hai trong số các kỹ thuật tấn công phổ biến và nguy hiểm trong môi trường LAN…

IT-PRO

I. Giới Thiệu

Trong bối cảnh an ninh mạng ngày càng phức tạp, các cuộc tấn công vào mạng nội bộ (LAN) vẫn là một mối đe dọa đáng kể đối với các tổ chức và cá nhân. Hai trong số các kỹ thuật tấn công phổ biến và nguy hiểm trong môi trường LAN là ARP Spoofing (Giả mạo ARP) và tấn công bằng công cụ Responder. Cả hai đều có khả năng cho phép kẻ tấn công thực hiện các cuộc tấn công Man-in-the-Middle (MitM), dẫn đến việc chặn, sửa đổi hoặc đánh cắp dữ liệu nhạy cảm.

Trong quá trình đào tạo cho các cán bộ chuyên trách ở Thành Phố Huế tôi nhận được khá nhiều sự quan tâm về những hình thức tấn công này, rũi ro của chúng phương án phòng chống thích hợp.

ARP Spoofing khai thác điểm yếu trong Giao thức Phân giải Địa chỉ (ARP) để đánh lừa các thiết bị trong mạng về danh tính của các thiết bị khác. Mặt khác, công cụ Responder lợi dụng các giao thức phân giải tên dự phòng như LLMNR (Link-Local Multicast Name Resolution) và NBT-NS (NetBIOS Name Service) để chiếm quyền và bắt giữ thông tin xác thực.

Bài viết này sẽ đi sâu vào phân tích cơ chế hoạt động, các rủi ro tiềm ẩn của tấn công ARP Spoofing và Responder. Đồng thời, nội dung sẽ đề xuất các giải pháp phòng chống toàn diện, từ các biện pháp cấu hình mạng, tăng cường bảo mật cho máy chủ và máy trạm, đến việc sử dụng các công cụ giám sát chuyên dụng.

Mục tiêu cuối cùng là trang bị cho quản trị viên mạng và các chuyên gia bảo mật những kiến thức và công cụ cần thiết để bảo vệ hiệu quả mạng nội bộ của họ.

II. Hiểu Rõ về Tấn Công ARP Spoofing

A. Giao thức ARP và Điểm yếu Cố hữu

Giao thức Phân giải Địa chỉ (ARP) là một giao thức truyền thông được sử dụng để khám phá địa chỉ lớp liên kết (ví dụ: địa chỉ MAC) được liên kết với một địa chỉ lớp Internet nhất định, điển hình là địa chỉ IPv4. Khi một thiết bị muốn giao tiếp với một thiết bị khác trong cùng một mạng cục bộ và nó biết địa chỉ IP của đích, nó sẽ gửi một yêu cầu ARP quảng bá hỏi “Ai có địa chỉ IP này?”.2 Thiết bị sở hữu địa chỉ IP đó sẽ trả lời bằng một gói tin ARP reply chứa địa chỉ MAC của nó.2 Thông tin này sau đó được lưu trữ trong bộ đệm ARP (ARP cache) của thiết bị gửi yêu cầu để sử dụng cho các giao tiếp sau này.1

Điểm yếu cốt lõi của ARP nằm ở việc nó thiếu cơ chế xác thực.2 Giao thức này được thiết kế dựa trên sự tin cậy ngầm giữa các thiết bị trong cùng một mạng LAN. Bất kỳ thiết bị nào cũng có thể gửi một gói tin ARP reply, và các thiết bị nhận thường sẽ chấp nhận thông tin trong gói tin đó và cập nhật ARP cache của mình mà không cần kiểm tra tính xác thực của nguồn gửi.2 Điều này tạo điều kiện cho các cuộc tấn công ARP Spoofing. Kẻ tấn công có thể gửi các gói tin ARP giả mạo, tự nhận là một thiết bị hợp pháp nào đó (ví dụ: default gateway), khiến các máy nạn nhân gửi lưu lượng truy cập đến kẻ tấn công thay vì đích thực sự.

B. Cơ chế hoạt động của Tấn công ARP Spoofing

Một cuộc tấn công ARP Spoofing, còn được gọi là ARP Poisoning (Đầu độc ARP), diễn ra theo các bước cơ bản sau:

  1. Quét Mạng (Scanning): Kẻ tấn công đầu tiên quét mạng cục bộ để xác định địa chỉ IP và MAC của các mục tiêu tiềm năng, chẳng hạn như máy trạm của người dùng và default gateway.2
  2. Gửi Gói Tin ARP Giả Mạo (ARP Spoofing):
  • Đầu độc máy nạn nhân: Kẻ tấn công gửi các gói tin ARP reply giả mạo đến máy nạn nhân. Gói tin này thông báo rằng địa chỉ IP của default gateway tương ứng với địa chỉ MAC của kẻ tấn công.2 Máy nạn nhân, khi nhận được gói tin này, sẽ cập nhật ARP cache của mình, tin rằng kẻ tấn công là default gateway.
  • Đầu độc default gateway: Đồng thời, kẻ tấn công có thể gửi các gói tin ARP reply giả mạo đến default gateway, thông báo rằng địa chỉ IP của máy nạn nhân tương ứng với địa chỉ MAC của kẻ tấn công.5 Default gateway cũng sẽ cập nhật ARP cache của nó.
  1. Thực hiện Tấn công Man-in-the-Middle (MitM): Sau khi đầu độc thành công ARP cache của cả máy nạn nhân và default gateway (hoặc hai máy nạn nhân bất kỳ), toàn bộ lưu lượng truy cập giữa chúng sẽ đi qua máy của kẻ tấn công.2 Kẻ tấn công lúc này đóng vai trò trung gian, có thể:
  • Nghe lén (Eavesdropping): Đọc trộm nội dung các gói tin không được mã hóa, thu thập thông tin nhạy cảm như tên người dùng, mật khẩu, dữ liệu tài chính.2
  • Sửa đổi dữ liệu (Data Modification): Thay đổi nội dung của các gói tin đang truyền tải, ví dụ như chèn mã độc, thay đổi nội dung website, hoặc sửa đổi các giao dịch.2
  • Chặn lưu lượng (Traffic Blocking) / Tấn công Từ chối Dịch vụ (DoS): Kẻ tấn công có thể chọn không chuyển tiếp các gói tin, gây ra gián đoạn kết nối hoặc tấn công DoS đối với nạn nhân.2

Sự thiếu vắng cơ chế xác thực trong giao thức ARP là lỗ hổng chính cho phép kiểu tấn công này diễn ra. Các thiết bị mạng thường chấp nhận các gói ARP reply mà không cần yêu cầu trước (gratuitous ARP) hoặc không kiểm tra xem gói reply có thực sự đến từ chủ sở hữu hợp pháp của địa chỉ IP hay không.6

C. Hậu quả và Rủi ro

Tấn công ARP Spoofing mang lại nhiều hậu quả nghiêm trọng cho các cá nhân và tổ chức 2:

  1. Nghe lén (Eavesdropping): Kẻ tấn công có thể chặn và xem xét các gói dữ liệu truyền qua mạng. Nếu dữ liệu không được mã hóa, thông tin nhạy cảm như thông tin đăng nhập, dữ liệu tài chính, và các cuộc trò chuyện cá nhân có thể bị lộ.2 Đây là một hình thức nghe lén nguy hiểm, đặc biệt trên các mạng không mã hóa.
  2. Sửa đổi dữ liệu (Data Modification): Không chỉ dừng lại ở việc nghe lén, ARP Spoofing cho phép kẻ tấn công thay đổi nội dung các gói dữ liệu đang trên đường truyền. Điều này bao gồm việc thay đổi tin nhắn, chèn mã độc vào các gói dữ liệu, hoặc làm hỏng tệp tin. Ví dụ, kẻ tấn công có thể thay đổi các giao dịch tài chính hoặc sửa đổi thông tin quan trọng trong giao tiếp, gây tổn hại đến tính toàn vẹn dữ liệu và niềm tin của người dùng hoặc hệ thống.2
  3. Phân phối phần mềm độc hại (Malware Distribution): Kẻ tấn công có thể chèn mã độc hại vào lưu lượng truy cập bị chặn, dẫn đến việc lây nhiễm phần mềm độc hại trong mạng. Điều này có thể gây ra lây nhiễm trên diện rộng, hỏng dữ liệu và các vi phạm bảo mật tiếp theo.2
  4. Đánh cắp thông tin (Data Theft): Kẻ tấn công có thể đánh cắp mật khẩu, thông tin đăng nhập khác, tin nhắn riêng tư và thông tin tài chính. Điều này đặc biệt nguy hiểm khi mạng không được mã hóa. Một vụ vi phạm có thể tiết lộ dữ liệu bí mật hoặc độc quyền, gây thiệt hại về danh tiếng và pháp lý cho doanh nghiệp.2
  5. Gián đoạn mạng (Network Disruption) và Từ chối Dịch vụ (DoS): Các cuộc tấn công làm hỏng bảng ARP hoặc chuyển hướng/chặn lưu lượng truy cập có thể làm chậm các quy trình, dẫn đến ngừng hoạt động và tấn công từ chối dịch vụ (DoS). Điều này gây ra thời gian ngừng hoạt động kinh doanh, mất năng suất và gián đoạn dịch vụ.2
  6. Chiếm quyền phiên (Session Hijacking): Sau khi đã ở vị trí MitM, kẻ tấn công có thể chiếm quyền các phiên làm việc hợp lệ của người dùng, ví dụ như phiên truy cập vào các ứng dụng web, email, hoặc các dịch vụ mạng khác.
  7. Tấn công DNS Spoofing: Kẻ tấn công có thể kết hợp ARP Spoofing với DNS Spoofing. Sau khi chặn được các yêu cầu DNS từ nạn nhân, kẻ tấn công trả về địa chỉ IP giả mạo, chuyển hướng người dùng đến các trang web độc hại để đánh cắp thông tin hoặc phát tán malware.7

Những hậu quả này cho thấy ARP Spoofing không chỉ là một vấn đề kỹ thuật nhỏ mà là một mối đe dọa bảo mật nghiêm trọng, có khả năng gây ra thiệt hại tài chính và danh tiếng đáng kể.

III. Tìm hiểu về Công cụ Responder và Tấn công Liên quan

A. Giới thiệu về LLMNR, NBT-NS và WPAD

Trước khi đi sâu vào công cụ Responder, cần hiểu về các giao thức mà nó khai thác:

  1. LLMNR (Link-Local Multicast Name Resolution): Đây là một giao thức dựa trên DNS cho phép các máy chủ trên cùng một liên kết cục bộ thực hiện phân giải tên cho các máy chủ khác trên cùng liên kết đó mà không cần máy chủ DNS.8 LLMNR hoạt động trên cả IPv4 và IPv6. Khi một máy tính Windows không thể phân giải tên máy chủ qua DNS (ví dụ, do DNS server không phản hồi hoặc tên miền không tồn tại), nó sẽ gửi một truy vấn LLMNR đến địa chỉ multicast.9
  2. NBT-NS (NetBIOS Name Service): Tương tự như LLMNR, NBT-NS là một phương thức thay thế để nhận dạng các hệ thống trên mạng cục bộ bằng tên NetBIOS của chúng.8 Nếu LLMNR thất bại, hệ thống Windows sẽ sử dụng NBT-NS.10 NBT-NS hoạt động qua các tin nhắn quảng bá trong mạng LAN và chủ yếu cho IPv4.11
  3. WPAD (Web Proxy Auto-Discovery Protocol): Giao thức này cho phép các trình duyệt web tự động phát hiện các cài đặt proxy. Trình duyệt sẽ cố gắng phân giải tên máy chủ “wpad” (ví dụ: wpad.department.company.com, wpad.company.com, wpad.com, và cuối cùng là wpad trên mạng cục bộ) để tải xuống tệp cấu hình proxy tự động (PAC) có tên wpad.dat.11 Nếu DNS không thể phân giải “wpad”, các máy khách Windows cũng có thể sử dụng LLMNR và NBT-NS để tìm kiếm.

Thứ tự phân giải tên trên hệ thống Windows thường diễn ra như sau: kiểm tra tệp Hosts cục bộ, kiểm tra bộ đệm DNS cục bộ, truy vấn DNS, truy vấn LLMNR, và cuối cùng là truy vấn NBT-NS.10 Chính cơ chế dự phòng sang LLMNR và NBT-NS khi DNS thất bại này là điểm yếu mà Responder khai thác.

B. Công cụ Responder: Cơ chế hoạt động và Khai thác

Responder là một công cụ mạnh mẽ được phát triển bởi Trustwave SpiderLabs, chuyên dùng để đầu độc LLMNR, NBT-NS và mDNS.12 Nó hoạt động bằng cách lắng nghe các truy vấn phân giải tên này trên mạng cục bộ. Khi một thiết bị không thể phân giải tên máy chủ bằng các phương pháp tiêu chuẩn (như DNS) và chuyển sang sử dụng LLMNR hoặc NBT-NS, nó sẽ gửi một yêu cầu quảng bá hoặc multicast.12

Cơ chế hoạt động của Responder khi khai thác LLMNR/NBT-NS như sau 8:

  1. Lắng nghe truy vấn: Responder chạy trên máy của kẻ tấn công và lắng nghe các truy vấn LLMNR (UDP port 5355) và NBT-NS (UDP port 137) trên mạng.
  2. Trả lời giả mạo: Khi một máy khách gửi truy vấn LLMNR hoặc NBT-NS cho một tên máy chủ không tồn tại trong DNS (ví dụ, do người dùng gõ nhầm tên máy chủ chia sẻ tệp như \\fielshare thay vì \\fileshare), Responder sẽ nhanh chóng trả lời truy vấn đó, cung cấp địa chỉ IP của chính nó như là đích đến cho tên máy chủ được yêu cầu.11
  3. Nạn nhân kết nối đến Responder: Máy khách, tin rằng Responder là máy chủ hợp pháp mà nó đang tìm kiếm, sẽ cố gắng kết nối đến Responder.
  4. Bắt giữ thông tin xác thực: Nếu máy khách cố gắng truy cập một dịch vụ yêu cầu xác thực, chẳng hạn như chia sẻ tệp SMB, Responder sẽ khởi chạy các máy chủ giả mạo (ví dụ: SMB, HTTP) để nhận yêu cầu xác thực này. Trong quá trình này, máy khách thường tự động gửi thông tin đăng nhập, bao gồm tên người dùng và mật khẩu đã được băm (hash) (thường là NTLMv1/NTLMv2).11 Responder sẽ bắt giữ các hash này.
  5. Sử dụng hash bị bắt giữ: Kẻ tấn công sau đó có thể sử dụng các hash này cho hai mục đích chính:
  • Bẻ khóa mật khẩu ngoại tuyến (Offline password cracking): Sử dụng các công cụ như Hashcat hoặc John the Ripper để cố gắng tìm ra mật khẩu gốc từ hash. Độ thành công phụ thuộc vào độ mạnh của mật khẩu.11
  • Tấn công Pass-the-Hash (PtH) hoặc Relay: Sử dụng hash để xác thực với các dịch vụ khác trong mạng mà không cần biết mật khẩu gốc, nếu các dịch vụ đó chấp nhận cùng một cơ chế xác thực.15

Ví dụ về lệnh Responder cơ bản 11:

Để khởi chạy Responder và lắng nghe trên một giao diện mạng cụ thể (ví dụ eth0):

# responder -I eth0

Để kích hoạt máy chủ proxy WPAD giả mạo và buộc xác thực khi truy xuất tệp wpad.dat (tùy chọn -F có thể gây ra lời nhắc đăng nhập trên một số trình duyệt nhưng thường tự động với IE/Chrome cho các vùng Intranet) 11:

# responder -I eth0 -wF

Responder cũng có các tùy chọn khác như -b để trả về xác thực HTTP Basic (mặc định là NTLM), -r để trả lời các truy vấn hậu tố wredir của NetBIOS (có thể gây lỗi mạng), hoặc -v để tăng mức độ chi tiết của thông báo.11 Các hash bắt được thường được lưu trong thư mục

logs của Responder.11

C. Tấn công đầu độc WPAD bằng Responder

Như đã đề cập, Responder có khả năng phục vụ các yêu cầu WPAD giả mạo.11 Khi một trình duyệt được cấu hình để tự động phát hiện cài đặt proxy, nó sẽ cố gắng phân giải tên “wpad” để tải tệp

wpad.dat. Nếu DNS không giải quyết được, truy vấn sẽ chuyển sang LLMNR/NBT-NS.

Khi Responder chạy với tùy chọn -w (và thường là -F để buộc xác thực), nó sẽ:

  1. Trả lời các truy vấn LLMNR/NBT-NS cho “wpad”, trỏ đến địa chỉ IP của Responder.
  2. Cung cấp một tệp wpad.dat giả mạo.
  3. Nếu tùy chọn -F được sử dụng, Responder sẽ yêu cầu xác thực (thường là NTLM) khi máy khách cố gắng tải tệp wpad.dat. Điều này cho phép Responder bắt giữ hash NTLM của người dùng.11

Phương pháp này đặc biệt hiệu quả vì nhiều trình duyệt (như Internet Explorer và Chrome trên Windows) sẽ tự động gửi thông tin xác thực NTLM mà không cần người dùng tương tác khi tài nguyên được coi là nằm trong vùng Intranet cục bộ.11

D. Các mối đe dọa và tác nhân liên quan

Công cụ Responder không chỉ là một công cụ kiểm thử thâm nhập (pentest) mà còn được sử dụng bởi các tác nhân đe dọa thực sự. Các nhóm APT (Advanced Persistent Threat) như APT28 (Fancy Bear), Lazarus Group, và Ember Bear đã được ghi nhận sử dụng Responder để đánh cắp thông tin xác thực và khai thác mạng.12 Việc chiếm được thông tin xác thực, ngay cả dưới dạng hash, mở ra cánh cửa cho các cuộc tấn công tiếp theo như di chuyển ngang (lateral movement) trong mạng, leo thang đặc quyền và truy cập vào các dữ liệu nhạy cảm.

Việc Responder có thể bắt giữ hash NTLMv1/NTLMv2/LMv2, hỗ trợ Extended Security NTLMSSP, và thậm chí cả mật khẩu dạng clear text trong một số trường hợp (ví dụ, xác thực HTTP Basic) làm cho nó trở thành một công cụ cực kỳ nguy hiểm trong các mạng nội bộ không được bảo vệ đúng cách.13

IV. Phân Tích Rủi Ro Kết Hợp và Chuỗi Tấn Công Tiềm Năng

Các cuộc tấn công ARP Spoofing và Responder, mặc dù có cơ chế kỹ thuật khác nhau, thường dẫn đến những hậu quả tương tự và có thể được sử dụng kết hợp hoặc nối tiếp nhau trong một chuỗi tấn công phức tạp hơn nhằm vào mạng nội bộ.

A. Nguy cơ từ việc chiếm giữ thông tin xác thực

Cả ARP Spoofing (thông qua việc nghe lén lưu lượng không mã hóa chứa thông tin đăng nhập) và Responder (thông qua việc bắt giữ hash NTLM/LM) đều nhằm mục tiêu chính là chiếm đoạt thông tin xác thực của người dùng.2

  • ARP Spoofing: Khi kẻ tấn công đã ở vị trí Man-in-the-Middle, chúng có thể thu thập tên người dùng và mật khẩu được truyền đi dưới dạng văn bản thuần (clear text) qua các giao thức không an toàn như HTTP, FTP, Telnet. Ngay cả khi mật khẩu được băm ở phía ứng dụng nhưng truyền đi qua HTTP, kẻ tấn công vẫn có thể lấy được hash đó.
  • Responder: Công cụ này trực tiếp nhắm vào việc thu thập hash mật khẩu (chủ yếu là NTLMv1/NTLMv2) khi các máy khách Windows cố gắng xác thực với các dịch vụ giả mạo do Responder cung cấp (SMB, HTTP, v.v.).11

Một khi thông tin xác thực (dù là mật khẩu rõ ràng hay hash) bị chiếm đoạt, kẻ tấn công có thể:

  1. Bẻ khóa mật khẩu ngoại tuyến: Sử dụng các công cụ chuyên dụng và danh sách từ (wordlists) hoặc kỹ thuật brute-force để tìm ra mật khẩu gốc từ hash đã thu được.11 Mật khẩu yếu hoặc phổ biến có thể bị bẻ khóa nhanh chóng.
  2. Tái sử dụng thông tin xác thực: Nếu người dùng sử dụng cùng một mật khẩu cho nhiều tài khoản hoặc dịch vụ khác nhau, việc lộ mật khẩu từ một nguồn có thể dẫn đến việc xâm phạm các tài khoản khác.

B. Kịch bản tấn công Man-in-the-Middle (MitM) nâng cao

Sau khi thực hiện thành công ARP Spoofing hoặc Responder (để chuyển hướng lưu lượng DNS/proxy), kẻ tấn công có thể thực hiện các kỹ thuật MitM nâng cao hơn:

  1. SSL Stripping: Nếu một trang web hỗ trợ cả HTTP và HTTPS, kẻ tấn công có thể chặn yêu cầu ban đầu của người dùng đến trang HTTPS, sau đó thiết lập một kết nối HTTP không an toàn với người dùng trong khi vẫn duy trì kết nối HTTPS với máy chủ thực. Người dùng có thể không nhận thấy rằng kết nối của họ không còn được mã hóa, và kẻ tấn công có thể đọc và sửa đổi toàn bộ lưu lượng.16 Bettercap là một công cụ phổ biến có khả năng thực hiện SSL Stripping.18
  2. DNS Spoofing nâng cao: Sau khi trở thành MitM thông qua ARP Spoofing, kẻ tấn công có thể chặn các truy vấn DNS của nạn nhân và trả về các địa chỉ IP giả mạo, hướng nạn nhân đến các trang web lừa đảo hoặc máy chủ độc hại.7 Điều này có thể được sử dụng để phát tán phần mềm độc hại hoặc đánh cắp thông tin đăng nhập chi tiết hơn. Kẻ tấn công có thể làm cho trang web giả mạo trông giống hệt trang thật, nhưng không thể giả mạo chứng chỉ SSL/TLS của trang web hợp lệ, do đó trình duyệt sẽ cảnh báo nếu người dùng truy cập trang HTTPS giả mạo.19
  3. Chèn mã độc (Injecting Malicious Code): Kẻ tấn công có thể chèn JavaScript độc hại, iframe hoặc các payload khác vào các trang web HTTP không được mã hóa mà nạn nhân truy cập. Mã này có thể được sử dụng để khai thác lỗ hổng trình duyệt, đánh cắp cookie phiên, hoặc thực hiện các hành động khác dưới danh nghĩa người dùng.2

C. Di chuyển ngang (Lateral Movement) và Leo thang đặc quyền

Việc thu thập được hash NTLM từ Responder là một bước đệm quan trọng cho các hoạt động di chuyển ngang trong mạng Windows:

  1. Pass-the-Hash (PtH): Đây là một kỹ thuật mà kẻ tấn công sử dụng NTLM hash của người dùng để xác thực với các máy chủ hoặc dịch vụ khác trong mạng mà không cần biết mật khẩu gốc.15 Nếu tài khoản bị xâm phạm có quyền quản trị trên các máy khác, hoặc nếu các máy khác sử dụng cùng thông tin đăng nhập cục bộ, kẻ tấn công có thể dễ dàng truy cập vào các hệ thống đó. Các công cụ như Mimikatz, PsExec (kết hợp với PtH) thường được sử dụng.15
  2. Overpass-the-Hash: Một biến thể của PtH, nơi kẻ tấn công sử dụng NTLM hash bị đánh cắp để yêu cầu một vé Kerberos, sau đó sử dụng vé này để truy cập các tài nguyên khác.21 Điều này đặc biệt nguy hiểm vì nó cho phép kẻ tấn công hoạt động như người dùng hợp pháp trong môi trường Kerberos.
  3. NTLM Relay: Trong một số trường hợp, Responder có thể chuyển tiếp (relay) yêu cầu xác thực NTLM từ máy nạn nhân đến một máy chủ mục tiêu khác. Nếu xác thực thành công, kẻ tấn công có thể thực thi mã trên máy chủ mục tiêu dưới danh nghĩa người dùng nạn nhân. Điều này đặc biệt hiệu quả nếu tính năng SMB signing không được yêu cầu trên máy chủ mục tiêu và tài khoản người dùng có quyền hạn trên máy chủ đó.10 Công cụ
    ntlmrelayx.py thường được sử dụng kết hợp với Responder cho mục đích này.

Việc di chuyển ngang cho phép kẻ tấn công mở rộng phạm vi kiểm soát trong mạng, tìm kiếm các tài sản có giá trị cao hơn (như máy chủ chứa dữ liệu nhạy cảm, Domain Controller) và cuối cùng là đạt được mục tiêu của chúng, có thể là đánh cắp dữ liệu quy mô lớn hoặc phá hoại hệ thống.22 Nếu hash bị bắt giữ thuộc về một tài khoản có đặc quyền cao (ví dụ: Domain Admin), hậu quả có thể là toàn bộ miền Active Directory bị xâm phạm.

Sự kết hợp của các kỹ thuật này cho thấy rằng một lỗ hổng tưởng chừng như nhỏ trong cấu hình mạng nội bộ có thể bị khai thác để dẫn đến những hậu quả nghiêm trọng. Việc không vá lỗi, cấu hình yếu, và thiếu giám sát tạo điều kiện thuận lợi cho kẻ tấn công thực hiện các chuỗi tấn công phức tạp này.

V. Giải Pháp Phòng Chống và Giảm Thiểu Rủi Ro

Để đối phó hiệu quả với các mối đe dọa từ ARP Spoofing và Responder, cần áp dụng một chiến lược phòng thủ theo chiều sâu, kết hợp nhiều biện pháp kỹ thuật và quy trình.

A. Biện pháp phòng chống ARP Spoofing

1. Giải pháp dựa trên hạ tầng mạng

  • Dynamic ARP Inspection (DAI):
  • Nguyên lý hoạt động: DAI là một tính năng bảo mật trên các switch mạng (chủ yếu là switch Layer 2) có khả năng xác thực các gói tin ARP trong mạng.6 Nó hoạt động bằng cách chặn tất cả các gói tin ARP trên các cổng không tin cậy (untrusted ports) và kiểm tra chúng dựa trên một cơ sở dữ liệu các ánh xạ IP-MAC hợp lệ.23 Cơ sở dữ liệu này thường được xây dựng và duy trì bởi DHCP Snooping.6
  • Cấu hình: Để DAI hoạt động hiệu quả, DHCP Snooping phải được kích hoạt trên VLAN và trên switch.6 Các cổng kết nối đến người dùng cuối thường được cấu hình là “untrusted”, trong khi các cổng kết nối đến các switch khác hoặc router đáng tin cậy được cấu hình là “trusted”.6 Các gói tin ARP nhận được trên cổng untrusted sẽ bị kiểm tra. Nếu thông tin IP-MAC trong gói tin ARP không khớp với thông tin trong bảng DHCP Snooping binding, gói tin đó sẽ bị loại bỏ.23
  • Ưu điểm: DAI cung cấp khả năng bảo vệ tự động và linh hoạt chống lại ARP Spoofing, đặc biệt trong các mạng sử dụng DHCP. Nó ngăn chặn việc đầu độc ARP cache bằng cách chỉ cho phép các gói tin ARP hợp lệ đi qua.
  • Nhược điểm/Lưu ý: DAI phụ thuộc vào DHCP Snooping. Trong các mạng có thiết bị sử dụng IP tĩnh, cần phải cấu hình các mục ARP ACL (Access Control List) tĩnh để cho phép các gói tin ARP từ các thiết bị này. Việc cấu hình sai các cổng trusted/untrusted có thể dẫn đến mất kết nối.6 Switch cũng có thể giới hạn tốc độ các gói tin ARP trên các cổng untrusted để chống tấn công DoS.6
  • DHCP Snooping:
  • Nguyên lý hoạt động: DHCP Snooping là một tính năng bảo mật giúp xây dựng và duy trì bảng ánh xạ IP-MAC đáng tin cậy (DHCP Snooping binding table) bằng cách theo dõi các thông điệp DHCP (như DHCPREQUEST, DHCPACK) giữa máy khách và máy chủ DHCP.23 Nó phân biệt giữa các cổng tin cậy (trusted ports – nơi máy chủ DHCP hợp lệ kết nối) và các cổng không tin cậy (untrusted ports – nơi máy khách kết nối).
  • Vai trò trong chống ARP Spoofing: Bảng binding được tạo bởi DHCP Snooping chính là cơ sở dữ liệu mà DAI sử dụng để xác thực các gói tin ARP.6 Do đó, DHCP Snooping là một thành phần quan trọng để DAI hoạt động hiệu quả.
  • Phân đoạn mạng bằng VLAN (Virtual Local Area Networks):
  • Lợi ích: VLAN chia một mạng vật lý thành nhiều mạng logic riêng biệt.26 Điều này giúp hạn chế phạm vi của các gói tin quảng bá ARP, do đó giới hạn phạm vi ảnh hưởng của một cuộc tấn công ARP Spoofing trong một VLAN cụ thể thay vì toàn bộ mạng.3 Kẻ tấn công trong một VLAN sẽ không thể dễ dàng đầu độc ARP cache của các thiết bị trong VLAN khác nếu không có sự can thiệp của router.
  • Tính linh hoạt và bảo mật: VLAN tăng cường tính bảo mật bằng cách cô lập các nhóm máy tính vào các mạng riêng của chúng, giúp kiểm soát luồng lưu lượng và giảm bề mặt tấn công.26
  • Sử dụng bảng ARP tĩnh (Static ARP Entries):
  • Nguyên lý hoạt động: Quản trị viên mạng cấu hình thủ công các ánh xạ IP-MAC tĩnh trên các thiết bị quan trọng như router, máy chủ, và thậm chí cả máy trạm.3 Khi một mục ARP tĩnh được thiết lập, thiết bị sẽ không gửi yêu cầu ARP để phân giải địa chỉ IP đó nữa và sẽ không cập nhật mục đó dựa trên các gói ARP reply nhận được.
  • Ưu điểm: Đây là một biện pháp rất hiệu quả để ngăn chặn ARP Spoofing cho các thiết bị được cấu hình tĩnh, vì nó loại bỏ sự phụ thuộc vào các gói ARP động.28
  • Nhược điểm: Việc quản lý bảng ARP tĩnh trong các mạng lớn rất tốn công và không linh hoạt, đặc biệt khi có sự thay đổi về phần cứng (thay card mạng) hoặc địa chỉ IP.27 Nó không phù hợp với các môi trường có nhiều thiết bị di động hoặc thường xuyên thay đổi.
  • So sánh với DAI: DAI linh hoạt hơn và dễ quản lý hơn trong các mạng động sử dụng DHCP. Bảng ARP tĩnh phù hợp hơn cho các máy chủ, router và các thiết bị hạ tầng mạng quan trọng có địa chỉ IP ít thay đổi. Trong nhiều trường hợp, sự kết hợp của cả hai phương pháp mang lại hiệu quả cao nhất: DAI cho các máy trạm người dùng và ARP tĩnh cho các thiết bị lõi.

2. Giải pháp dựa trên máy chủ và máy trạm (Host-based)

  • Mã hóa lưu lượng: Sử dụng các giao thức mã hóa mạnh như HTTPS cho duyệt web, SSH cho truy cập từ xa, VPN cho kết nối mạng từ xa hoặc giữa các segment mạng, và FTPS/SFTP cho truyền tệp.3 Ngay cả khi kẻ tấn công thực hiện MitM thành công, dữ liệu được mã hóa sẽ không thể đọc được nếu chúng không có khóa giải mã.29 Việc triển khai TLS 1.2 trở lên là rất quan trọng.30
  • Phần mềm phát hiện ARP Spoofing: Cài đặt các công cụ trên máy trạm hoặc máy chủ để theo dõi ARP cache và phát hiện các thay đổi đáng ngờ hoặc các gói tin ARP bất thường. Một số phần mềm diệt virus hoặc giải pháp bảo mật điểm cuối (EDR) có thể tích hợp tính năng này.7
  • Cấu hình tường lửa cá nhân: Tường lửa trên máy trạm có thể được cấu hình để hạn chế các kết nối không mong muốn và có thể giúp phát hiện một số hoạt động đáng ngờ liên quan đến ARP Spoofing.

B. Biện pháp phòng chống tấn công bằng Responder

1. Vô hiệu hóa các giao thức dễ bị khai thác

  • Vô hiệu hóa LLMNR:
  • Qua Group Policy (GPO): Đây là phương pháp được khuyến nghị cho các môi trường Active Directory. Quản trị viên có thể tạo một GPO và áp dụng cho toàn bộ miền hoặc các OU cụ thể để tắt LLMNR.14
  • Đường dẫn cấu hình: Computer Configuration -> Administrative Templates -> Network -> DNS Client -> Turn off multicast name resolution. Đặt chính sách này thành Enabled.14
  • Lợi ích: Vô hiệu hóa LLMNR trên diện rộng giúp loại bỏ một trong những vector tấn công chính của Responder.
  • Vô hiệu hóa NetBIOS qua TCP/IP (NBT-NS):
  • Qua cài đặt giao diện mạng: Trên từng máy trạm, có thể tắt NetBIOS qua TCP/IP trong phần cài đặt nâng cao của IPv4.31
  • Qua DHCP Scope Options: Máy chủ DHCP có thể được cấu hình để gửi tùy chọn vô hiệu hóa NetBIOS cho các máy khách. Ví dụ, trên máy chủ DHCP của Microsoft, chọn tùy chọn “001 Microsoft Disable Netbios Option” và đặt giá trị thành “0x2”.11
  • Lợi ích: Ngăn chặn Responder khai thác NBT-NS để bắt giữ hash.
  • Cấu hình DNS cho WPAD:
  • Tạo bản ghi DNS cho “wpad”: Để ngăn chặn Responder đầu độc các yêu cầu WPAD, hãy tạo một bản ghi DNS (ví dụ, A record hoặc CNAME) cho tên “wpad” trong vùng DNS nội bộ của bạn.11 Bản ghi này không nhất thiết phải trỏ đến một máy chủ WPAD hợp lệ; miễn là tên “wpad” có thể được phân giải qua DNS, các máy khách sẽ không chuyển sang sử dụng LLMNR/NBT-NS để tìm kiếm, từ đó vô hiệu hóa tấn công WPAD của Responder.11
  • Lưu ý: Đảm bảo rằng bản ghi DNS này được phân giải bởi tất cả các máy khách trong mạng.

Việc vô hiệu hóa LLMNR và NBT-NS là biện pháp phòng thủ hiệu quả nhất chống lại các cuộc tấn công Responder dựa trên các giao thức này. Nếu hệ thống DNS nội bộ hoạt động tốt và có thể phân giải tất cả các tên cần thiết, LLMNR và NBT-NS thường không cần thiết và việc tắt chúng sẽ làm giảm đáng kể bề mặt tấn công.

2. Các biện pháp bổ sung

  • Sử dụng mật khẩu mạnh và duy nhất: Điều này làm cho việc bẻ khóa hash NTLM bị bắt giữ trở nên khó khăn hơn và tốn thời gian hơn.10 Ngay cả khi hash bị lộ, mật khẩu mạnh có thể chống lại các cuộc tấn công bẻ khóa dựa trên từ điển và brute-force.
  • Phân đoạn mạng (Network Segmentation): Tương tự như với ARP Spoofing, việc sử dụng VLAN hoặc các kỹ thuật phân đoạn mạng khác có thể hạn chế phạm vi lan truyền của các truy vấn LLMNR/NBT-NS và giới hạn tác động của Responder trong một segment mạng cụ thể.12
  • Giám sát mạng: Theo dõi lưu lượng LLMNR, NBT-NS và các dấu hiệu của máy chủ xác thực giả mạo (ví dụ: nhiều yêu cầu xác thực SMB/HTTP đến một máy trạm không phải là máy chủ). Các hệ thống phát hiện xâm nhập (IDS/IPS) có thể được cấu hình để cảnh báo về hoạt động đáng ngờ này.12
  • Hạn chế quyền người dùng: Đảm bảo người dùng hoạt động với quyền hạn tối thiểu cần thiết (Principle of Least Privilege). Nếu Responder bắt được hash của một tài khoản người dùng tiêu chuẩn, thiệt hại sẽ ít nghiêm trọng hơn so với hash của tài khoản quản trị viên miền.10
  • Yêu cầu SMB Signing: Kích hoạt và yêu cầu SMB signing trên tất cả các máy khách và máy chủ. Điều này giúp ngăn chặn các cuộc tấn công NTLM relay, vì nó đảm bảo tính toàn vẹn và xác thực của các thông điệp SMB, khiến kẻ tấn công không thể chuyển tiếp các phiên xác thực một cách dễ dàng.

C. Các biện pháp chung và nâng cao nhận thức người dùng

  • Đào tạo nhận thức bảo mật: Người dùng cần được đào tạo về các nguy cơ của tấn công MitM, cách nhận biết các dấu hiệu đáng ngờ (ví dụ: cảnh báo chứng chỉ SSL/TLS không hợp lệ, trang web trông khác thường) và tầm quan trọng của việc không kết nối vào các mạng Wi-Fi không tin cậy.7
  • Sử dụng VPN trên các mạng không tin cậy: Khi kết nối vào mạng Wi-Fi công cộng hoặc các mạng không đáng tin cậy khác, việc sử dụng VPN sẽ mã hóa toàn bộ lưu lượng truy cập, bảo vệ dữ liệu khỏi bị nghe lén ngay cả khi có tấn công MitM.7
  • Cập nhật phần mềm và bản vá lỗi thường xuyên: Giữ cho hệ điều hành, trình duyệt và các ứng dụng khác được cập nhật để vá các lỗ hổng bảo mật đã biết có thể bị khai thác trong các cuộc tấn công phức tạp hơn sau khi MitM được thiết lập.
  • Triển khai xác thực đa yếu tố (MFA): MFA bổ sung một lớp bảo mật quan trọng. Ngay cả khi kẻ tấn công có được mật khẩu (hoặc hash), chúng vẫn cần yếu tố thứ hai để đăng nhập, điều này làm giảm đáng kể nguy cơ từ việc lộ thông tin xác thực.7

Bằng cách kết hợp các biện pháp phòng thủ này, các tổ chức có thể tạo ra một môi trường mạng nội bộ vững chắc hơn, giảm thiểu đáng kể rủi ro từ các cuộc tấn công ARP Spoofing và Responder. Không có một giải pháp duy nhất nào là hoàn hảo, nhưng việc áp dụng nhiều lớp bảo vệ sẽ tăng cường khả năng phục hồi và bảo vệ tổng thể.

VI. Kỹ Thuật Phát Hiện Tấn Công

Việc phát hiện sớm các cuộc tấn công ARP Spoofing và Responder là rất quan trọng để giảm thiểu thiệt hại. Có nhiều công cụ và kỹ thuật có thể được sử dụng.

A. Phát hiện ARP Spoofing

1. Sử dụng Wireshark

Wireshark là một công cụ phân tích gói tin mạng mạnh mẽ, có thể được sử dụng để phát hiện các dấu hiệu của ARP Spoofing.5

  • Bộ lọc cơ bản: Sử dụng bộ lọc hiển thị arp để chỉ xem các gói tin ARP.33
  • Phân tích gói tin ARP:
  • Kiểm tra các gói ARP Reply không được yêu cầu (Gratuitous ARP): Gói tin Gratuitous ARP là các gói ARP reply được gửi mà không có ARP request tương ứng. Mặc dù chúng có thể hợp lệ trong một số trường hợp (ví dụ: khi một thiết bị thay đổi địa chỉ IP hoặc khởi động), một số lượng lớn hoặc các gói Gratuitous ARP đáng ngờ có thể chỉ ra một cuộc tấn công.2 Wireshark có thể gắn cờ các gói này.34
  • Tìm kiếm xung đột IP-MAC: Dấu hiệu rõ ràng nhất của ARP Spoofing là khi cùng một địa chỉ IP được liên kết với nhiều địa chỉ MAC khác nhau, hoặc khi địa chỉ MAC của một IP đã biết (ví dụ: gateway) đột ngột thay đổi thành một địa chỉ MAC khác không mong muốn.
  • Bộ lọc Wireshark arp.duplicate-address-detected hoặc arp.duplicate-address-frame có thể giúp xác định các trường hợp một địa chỉ IP được quảng bá bởi nhiều địa chỉ MAC khác nhau.34
  • Theo dõi tần suất gói tin ARP: Một lượng lớn bất thường các gói tin ARP request hoặc reply có thể là dấu hiệu của một cuộc tấn công ARP flooding hoặc một nỗ lực đầu độc ARP cache trên diện rộng.34
  • Cách phát hiện cụ thể:
  1. Chạy Wireshark và bắt gói tin trên giao diện mạng cần theo dõi.
  2. Áp dụng bộ lọc arp.
  3. Quan sát các gói ARP reply. Tìm kiếm các gói tin mà địa chỉ MAC của người gửi (Sender MAC address) cho một địa chỉ IP cụ thể (Sender IP address) thay đổi bất thường hoặc không khớp với bản ghi đã biết. Ví dụ, nếu bạn biết MAC của gateway là AA:BB:CC:DD:EE:FF và IP là 192.168.1.1, nhưng bạn thấy một gói ARP reply từ IP 192.168.1.1 với MAC là XX:YY:ZZ:AA:BB:CC (MAC của kẻ tấn công), đó là một dấu hiệu mạnh mẽ của ARP Spoofing.
  4. Sử dụng lệnh arp -a trên máy tính của bạn để xem bảng ARP cache hiện tại và so sánh với những gì Wireshark hiển thị.5 Nếu có sự không nhất quán, đó có thể là dấu hiệu của việc ARP cache đã bị đầu độc.

2. Sử dụng Arpwatch

Arpwatch là một công cụ dòng lệnh giám sát hoạt động Ethernet/IP trên mạng và duy trì một cơ sở dữ liệu về các cặp địa chỉ IP-MAC.36

  • Nguyên lý hoạt động: Arpwatch lắng nghe các gói tin ARP trên mạng. Nó ghi lại các cặp địa chỉ IP và MAC mà nó quan sát được. Khi phát hiện một thay đổi, chẳng hạn như một địa chỉ IP được liên kết với một địa chỉ MAC mới, hoặc một địa chỉ MAC mới xuất hiện với một địa chỉ IP đã biết, Arpwatch sẽ ghi lại sự kiện và có thể gửi cảnh báo qua email cho quản trị viên.36
  • Cài đặt và cấu hình cơ bản (trên Linux, ví dụ Ubuntu) 36:
  1. Cài đặt: sudo apt-get update && sudo apt-get install arpwatch
  2. Chỉnh sửa tệp cấu hình (thường là /etc/arpwatch.conf hoặc /etc/default/arpwatch để chỉ định giao diện mạng cần theo dõi và địa chỉ email nhận cảnh báo. Ví dụ, trong /etc/arpwatch.conf, bạn có thể bỏ ghi chú và chỉnh sửa dòng EMAIL_ADDRESS=root thành địa chỉ email của bạn.36
  3. Khởi động dịch vụ: sudo systemctl start arpwatch hoặc sudo service arpwatch start.
  • Đọc và diễn giải cảnh báo:
  • Arpwatch thường ghi log vào /var/log/syslog hoặc một tệp log riêng như /var/log/arpwatch.log.38
  • Các loại cảnh báo phổ biến:
  • new station: Một địa chỉ IP/MAC mới được phát hiện trên mạng.
  • changed ethernet address: Một địa chỉ IP đã biết giờ đây được liên kết với một địa chỉ MAC khác. Đây là dấu hiệu mạnh mẽ nhất của ARP Spoofing.
  • flip flop: Địa chỉ IP liên tục thay đổi giữa hai địa chỉ MAC khác nhau. Điều này cũng có thể chỉ ra một cuộc tấn công đang diễn ra hoặc một vấn đề cấu hình mạng.37
  • Email cảnh báo thường chứa thông tin về địa chỉ IP, địa chỉ MAC cũ (nếu có), địa chỉ MAC mới, tên máy chủ (nếu phân giải được) và thời gian xảy ra sự kiện. Quản trị viên cần điều tra ngay các cảnh báo “changed ethernet address” hoặc “flip flop”.
  • Ưu điểm: Arpwatch cung cấp khả năng giám sát liên tục và tự động cảnh báo, giúp phát hiện sớm các hoạt động đáng ngờ.
  • Hạn chế: Arpwatch có thể tạo ra cảnh báo giả (false positives) trong các mạng động nơi các thiết bị thường xuyên thay đổi địa chỉ IP hoặc MAC. Cần có sự tinh chỉnh và có thể cần danh sách trắng (whitelisting) các thiết bị quen thuộc.37

Các công cụ khác tương tự Arpwatch bao gồm addrwatch (hỗ trợ cả IPv4 và IPv6) và arpobserver (một nhánh của addrwatch).39

B. Phát hiện hoạt động của Responder

Việc phát hiện Responder phức tạp hơn một chút vì nó liên quan đến việc giám sát các giao thức phân giải tên và các nỗ lực xác thực tiếp theo.

  • Giám sát lưu lượng LLMNR/NBT-NS/mDNS:
  • Sử dụng Wireshark với các bộ lọc như udp.port == 5355 (LLMNR), udp.port == 137 or udp.port == 138 (NBT-NS), udp.port == 5353 (mDNS).
  • Tìm kiếm các phản hồi LLMNR/NBT-NS đến từ các máy trạm không phải là máy chủ DNS hoặc không được ủy quyền để trả lời các truy vấn này. Responder sẽ trả lời các truy vấn cho nhiều tên máy chủ khác nhau, thường là các tên không tồn tại hoặc các tên mà máy khách gõ nhầm.11
  • Một máy chủ Responder thường sẽ trả lời với cùng một địa chỉ IP (địa chỉ IP của nó) cho nhiều truy vấn tên khác nhau.
  • Theo dõi các yêu cầu xác thực đáng ngờ:
  • Sau khi Responder đầu độc thành công một truy vấn tên, máy nạn nhân sẽ cố gắng kết nối và xác thực với máy chủ giả mạo của Responder (thường qua SMB hoặc HTTP).
  • Giám sát các nỗ lực kết nối SMB (TCP port 445) hoặc HTTP (TCP port 80) đến các máy trạm thông thường mà không phải là máy chủ tệp hoặc máy chủ web.
  • Các công cụ IDS/IPS hoặc SIEM có thể được cấu hình để cảnh báo về các mẫu hành vi này.
  • Phân tích log của Responder (nếu có quyền truy cập vào máy tấn công):
  • Responder ghi lại các hash bị bắt giữ và các hoạt động của nó vào các tệp log, thường trong thư mục logs.11 Việc phân tích các log này (trong một kịch bản kiểm thử thâm nhập hoặc điều tra sau sự cố) có thể tiết lộ phạm vi của cuộc tấn công.
  • Kiểm tra cấu hình WPAD: Nếu nghi ngờ tấn công WPAD, kiểm tra xem máy khách có đang nhận tệp wpad.dat từ một nguồn không mong muốn hay không.

C. Công cụ và Kỹ thuật Giám sát Nâng cao

  • Hệ thống Phát hiện Xâm nhập (IDS) / Hệ thống Ngăn chặn Xâm nhập (IPS): Nhiều giải pháp IDS/IPS thương mại và mã nguồn mở (ví dụ: Snort, Suricata) có các quy tắc (signatures) để phát hiện các mẫu ARP Spoofing và các hoạt động liên quan đến Responder.
  • Giải pháp Giám sát An ninh Mạng (Network Security Monitoring – NSM) và SIEM: Các giải pháp này thu thập log từ nhiều nguồn (switch, router, máy chủ, Arpwatch, IDS) và tương quan các sự kiện để phát hiện các chuỗi tấn công phức tạp. Ví dụ, một cảnh báo từ Arpwatch về việc thay đổi MAC của gateway, theo sau là các nỗ lực đăng nhập NTLM không thành công vào nhiều máy chủ, có thể chỉ ra một cuộc tấn công Responder đang diễn ra sau ARP Spoofing. EventSentry là một ví dụ về công cụ có thể giám sát ARP và tích hợp với SIEM.41
  • Phân tích hành vi mạng (Network Behavior Analysis – NBA) / Phân tích lưu lượng mạng (Network Traffic Analysis – NTA): Các công cụ này sử dụng học máy và phân tích thống kê để xác định các hành vi bất thường trong mạng, có thể bao gồm các thay đổi đột ngột trong mẫu lưu lượng ARP hoặc các kết nối xác thực không điển hình.

Việc kết hợp nhiều lớp phát hiện, từ phân tích gói tin thủ công đến các hệ thống giám sát tự động, sẽ cung cấp khả năng phát hiện toàn diện nhất. Quan trọng là phải có một quy trình ứng phó sự cố (Incident Response Plan) rõ ràng để hành động khi phát hiện tấn công.42

D. Cân nhắc khi giám sát hoạt động tương tự Responder

Phát hiện hoạt động tương tự Responder bằng Scapy phức tạp hơn đáng kể so với phát hiện ARP Spoofing. Điều này là do cần phải phân tích các giao thức ở tầng cao hơn (LLMNR, NBT-NS, và có thể cả SMB/HTTP để phân tích ) và duy trì trạng thái phức tạp hơn.

  • Lắng nghe LLMNR/NBT-NS/mDNS: Scapy có thể bắt các gói UDP trên các cổng cụ thể được sử dụng bởi các giao thức này (LLMNR: UDP 5355; NBT-NS: UDP 137, 138; mDNS: UDP 5353).
  • Xác định Responder bất thường:
  • Theo dõi máy chủ nào trả lời các truy vấn LLMNR/NBT-NS/mDNS.
  • Đánh dấu một máy chủ nếu nó trả lời các truy vấn cho nhiều loại tên mà nó không nên phân giải, đặc biệt nếu những tên đó không tồn tại hoặc nên được xử lý bởi máy chủ DNS có thẩm quyền.
  • Tìm kiếm các phản hồi cố gắng chuyển hướng máy khách đến cùng một địa chỉ IP cho nhiều tên được truy vấn khác nhau.

Do sự phức tạp này, việc dựa vào việc vô hiệu hóa các giao thức dễ bị tấn công (LLMNR/NBT-NS) trên các máy chủ thường là một biện pháp phòng thủ chính thực tế hơn là xây dựng một công cụ giám sát mạng tùy chỉnh phức tạp cho các giao thức này.

E. Hạn chế và Thực tiễn Tốt nhất cho Công cụ Tùy chỉnh

  • Hiệu suất: Python với Scapy có thể gặp hạn chế về hiệu suất trên các mạng có lưu lượng rất cao so với các công cụ dựa trên C đã được biên dịch hoặc phần cứng chuyên dụng.
  • Độ chính xác của Bảng Ánh Xạ Tin Cậy: Như đã thảo luận, việc duy trì một bảng ánh xạ tin cậy chính xác là rất quan trọng và đầy thách thức.
  • Cảnh báo Giả/Bỏ sót: Cấu hình sai hoặc thay đổi mạng có thể dẫn đến cảnh báo giả. Kẻ tấn công tinh vi có thể cố gắng tránh bị phát hiện.
  • Thực tiễn Tốt nhất:
  • Chạy công cụ trên một giao diện giám sát chuyên dụng nếu có thể.
  • Bảo mật máy chạy công cụ.
  • Tích hợp cảnh báo với một hệ thống ghi log/SIEM tập trung.
  • Thường xuyên xem xét và cập nhật bảng ánh xạ tin cậy và logic của công cụ.
  • Kết hợp công cụ tùy chỉnh với các biện pháp bảo mật khác (DAI, IDS, v.v.); không nên dựa vào nó như là biện pháp phòng thủ duy nhất.

Các công cụ Python/Scapy tùy chỉnh nên được xem là bổ sung, chứ không phải thay thế cho các giải pháp bảo mật đã được thiết lập như IDS/IPS thương mại, DAI trên switch, hoặc các công cụ mã nguồn mở trưởng thành như Arpwatch.27 Chúng có thể được điều chỉnh cho các nhu cầu cụ thể hoặc mục đích học tập, nhưng khó có thể sánh được với tính mạnh mẽ hoặc bộ tính năng của các giải pháp đã được kiểm chứng rộng rãi ngay lập tức.

VIII. Các Chủ Đề Nâng Cao và Triển Vọng Tương Lai

Ngoài các kỹ thuật tấn công và phòng thủ cơ bản, có một số chủ đề nâng cao và xu hướng phát triển liên quan đến ARP Spoofing và các cuộc tấn công tương tự trong mạng nội bộ.

A. Các đối tác IPv6

Khi thế giới chuyển dần sang IPv6, các kỹ thuật tấn công tương tự cũng xuất hiện, nhắm vào các giao thức tương đương trong IPv6.

  • Tấn công Giả mạo Giao thức Khám phá Láng giềng (NDP Spoofing): IPv6 sử dụng Giao thức Khám phá Láng giềng (NDP – RFC 4861) thay vì ARP.47 Tương tự ARP, NDP ban đầu cũng dễ bị tấn công giả mạo do thiếu cơ chế xác thực mạnh mẽ:
  • Giả mạo Neighbor Solicitation/Advertisement (NS/NA): Tương tự như ARP spoofing, kẻ tấn công gửi các thông điệp NA giả mạo để liên kết địa chỉ MAC của chúng với một địa chỉ IPv6 hợp pháp, hoặc gửi các thông điệp NS giả mạo.48 Điều này có thể dẫn đến việc đầu độc bộ đệm NDP (NDP cache poisoning).50
  • Quảng bá Router Giả mạo (Rogue Router Advertisements – RA): Kẻ tấn công gửi các thông điệp RA giả mạo để đóng giả một router hợp pháp. Điều này có thể được sử dụng để chuyển hướng lưu lượng truy cập, gán các máy chủ DNS độc hại, hoặc gây ra từ chối dịch vụ (DoS) bằng cách quảng bá thông tin định tuyến không chính xác.47
  • Tấn công Phát hiện Địa chỉ Trùng lặp (Duplicate Address Detection – DAD): Kẻ tấn công can thiệp vào quá trình DAD bằng cách tuyên bố sai rằng một địa chỉ đang được sử dụng, ngăn cản một máy chủ hợp pháp lấy được địa chỉ đó.48
  • Giao thức Khám phá Láng giềng An toàn (Secure Neighbor Discovery – SEND) (RFC 3971, RFC 6494): SEND là một phần mở rộng bảo mật cho NDP, sử dụng Địa chỉ được Tạo bằng Mật mã (Cryptographically Generated Addresses – CGAs) và Cơ sở hạ tầng Khóa Công khai Tài nguyên (Resource Public Key Infrastructure – RPKI) để cung cấp bằng chứng về quyền sở hữu địa chỉ và tính toàn vẹn của thông điệp.47
  • Thách thức với SEND: Mặc dù cung cấp một giải pháp bảo mật mạnh mẽ, SEND gặp nhiều rào cản trong việc triển khai rộng rãi, bao gồm sự phức tạp, chi phí, thiếu sự hỗ trợ từ các thiết bị và hệ điều hành, vấn đề tương thích ngược, và tác động đến hiệu suất mạng.55 Những yếu tố này tương tự như việc ARP ban đầu thiếu bảo mật và sau đó cần các giải pháp “vá lỗi” được thêm vào.
  • Các giải pháp thay thế/bổ sung thực tế cho SEND:
  • RA Guard: Một tính năng trên switch giúp lọc các thông điệp RA không được ủy quyền, thường chỉ cho phép RA từ các cổng/router đáng tin cậy.51
  • DHCPv6 Guard: Tương tự như DHCP Snooping cho IPv4, tính năng này lọc các thông điệp từ máy chủ DHCPv6 không được ủy quyền.51
  • NDP Inspection/Snooping: Các switch kiểm tra các thông điệp ND và xác minh chúng dựa trên các bảng DHCPv6 snooping.49
  • Các công cụ như mitm6 có thể thực hiện các cuộc tấn công MitM IPv6 bằng cách hoạt động như một máy chủ DHCPv6 và DNS giả mạo.51 Bettercap cũng hỗ trợ
    ndp.spoof.57

Sự gia tăng của IPv6 đòi hỏi việc bảo mật NDP trở nên ngày càng quan trọng. Với những thách thức trong việc triển khai SEND, các giải pháp như RA Guard và DHCPv6 Guard trên hạ tầng mạng có khả năng sẽ là những biện pháp phòng thủ thực tế phổ biến hơn trong tương lai gần.

B. Tận dụng Học máy (Machine Learning) để Tăng cường Phát hiện (Tổng quan ngắn gọn)

Các thuật toán học máy (ML) như Random Forest, LSTM (Long Short-Term Memory), CNN (Convolutional Neural Network), và SVM (Support Vector Machine) đang được nghiên cứu và áp dụng để phát hiện các cuộc tấn công ARP spoofing và các loại tấn công MitM khác.58

  • Nguyên lý: Các mô hình ML được huấn luyện trên các bộ dữ liệu lưu lượng mạng lớn (ví dụ: IoTID20 58) để học các đặc trưng của lưu lượng bình thường và lưu lượng độc hại. Sau đó, chúng có thể phân loại lưu lượng mới để xác định các dấu hiệu tấn công.
  • Ưu điểm tiềm năng: ML có khả năng thích ứng với các biến thể tấn công mới nếu được huấn luyện trên các bộ dữ liệu đa dạng và cập nhật.59 Nó có thể phát hiện các mẫu tinh vi mà các quy tắc dựa trên chữ ký đơn giản có thể bỏ sót.
  • Thách thức: Việc triển khai ML hiệu quả đòi hỏi lượng lớn dữ liệu huấn luyện được gán nhãn chính xác, kỹ thuật đặc trưng (feature engineering) phức tạp, và tài nguyên tính toán đáng kể.58 Có sự đánh đổi giữa độ chính xác và tốc độ xử lý; ví dụ, Random Forest có thể cho độ chính xác cao, trong khi Decision Tree có thể nhanh hơn nhưng độ chính xác thấp hơn một chút.58

Mặc dù vẫn là một lĩnh vực đang phát triển cho các loại tấn công cụ thể này, việc phát hiện dựa trên ML có khả năng sẽ ngày càng được tích hợp vào các giải pháp Phát hiện và Phản hồi Mạng (Network Detection and Response – NDR) tiên tiến.

C. Liên quan đến các Khuôn khổ Tuân thủ (Đề cập ngắn gọn)

Mặc dù các kiểm soát cụ thể cho “ARP Spoofing” có thể không được nêu rõ ràng, các yêu cầu chung về an ninh mạng, kiểm soát truy cập và bảo vệ dữ liệu trong các khuôn khổ tuân thủ như PCI DSS, HIPAA và ISO 27001 đều đòi hỏi các biện pháp phòng thủ chống lại các mối đe dọa nội bộ như vậy.

  • PCI DSS (Payment Card Industry Data Security Standard): Yêu cầu 4 nhấn mạnh việc mã hóa dữ liệu chủ thẻ khi truyền tải, bao gồm cả qua các mạng nội bộ nếu chúng không đáng tin cậy.30 Các cuộc tấn công MitM như ARP spoofing có thể làm suy yếu yêu cầu này.
  • HIPAA (Health Insurance Portability and Accountability Act) Security Rule: Yêu cầu các biện pháp bảo vệ kỹ thuật để bảo vệ thông tin sức khỏe điện tử được bảo vệ (ePHI), bao gồm kiểm soát truy cập và bảo mật truyền tải.62 ARP spoofing có thể xâm phạm các biện pháp này.
  • ISO 27001: Các kiểm soát trong Phụ lục A bao gồm kiểm soát truy cập (A.5.15), an ninh mạng và quản lý sự cố (A.5.29), tất cả đều liên quan đến việc giảm thiểu tác động của ARP spoofing và Responder.64

Việc không giải quyết các lỗ hổng ARP spoofing và Responder có thể dẫn đến việc không tuân thủ các quy định này nếu chúng gây ra rò rỉ hoặc xâm phạm dữ liệu nhạy cảm. Do đó, việc ngăn chặn các cuộc tấn công này là một yêu cầu ngầm để duy trì tuân thủ.

IX. Kết luận và Khuyến nghị Chiến lược

Các cuộc tấn công ARP Spoofing và tấn công bằng công cụ Responder đại diện cho hai mối đe dọa nghiêm trọng đối với an ninh mạng nội bộ. ARP Spoofing khai thác sự tin cậy vốn có của giao thức ARP ở Lớp 2, trong khi Responder lợi dụng các cơ chế phân giải tên dự phòng như LLMNR và NBT-NS. Cả hai kỹ thuật này thường dẫn đến việc đánh cắp thông tin xác thực và tạo điều kiện cho các cuộc tấn công Man-in-the-Middle, gây ra những hậu quả khôn lường như rò rỉ dữ liệu, gián đoạn dịch vụ và xâm phạm toàn bộ hệ thống.

Để đối phó hiệu quả, một chiến lược phòng thủ theo chiều sâu là tối cần thiết. Chiến lược này phải kết hợp các biện pháp kiểm soát trên hạ tầng mạng (như DAI, DHCP Snooping, phân đoạn mạng), củng cố bảo mật tại máy chủ và máy trạm (vô hiệu hóa LLMNR/NBT-NS, cấu hình WPAD an toàn), áp dụng các giao thức bảo mật (mã hóa mạnh mẽ), và duy trì việc giám sát cảnh giác cùng với một kế hoạch ứng phó sự cố hiệu quả. Nhiều biện pháp phòng thủ hiệu quả nhất là các biện pháp chủ động củng cố hệ thống, một khi được triển khai đúng cách, sẽ nâng cao đáng kể ngưỡng kháng cự trước kẻ tấn công.

Dưới đây là danh sách các hành động ưu tiên mà các tổ chức nên xem xét triển khai:

  1. Triển khai DHCP Snooping và Dynamic ARP Inspection (DAI) trên tất cả các switch truy cập có khả năng. Đây là biện pháp phòng thủ mạnh mẽ ở cấp độ mạng chống lại ARP spoofing.6
  2. Vô hiệu hóa LLMNR và NBT-NS trên toàn mạng thông qua Group Policy. Đây là bước quan trọng để vô hiệu hóa các cuộc tấn công Responder.14
  3. Cấu hình một bản ghi DNS cho ‘wpad’ để ngăn chặn việc Responder lạm dụng WPAD.11
  4. Thực thi mã hóa mạnh (HTTPS, VPN, SSH) cho tất cả việc truyền tải dữ liệu nhạy cảm.7
  5. Phân đoạn mạng bằng VLAN để hạn chế phạm vi ảnh hưởng của bất kỳ cuộc tấn công nội bộ nào.3
  6. Triển khai các công cụ giám sát mạng (ví dụ: Arpwatch hoặc IDS/IPS thương mại) để phát hiện hoạt động ARP và phân giải tên đáng ngờ.36
  7. Tiến hành đào tạo nhận thức bảo mật thường xuyên tập trung vào việc nhận biết các chỉ dấu MitM và các thực hành duyệt web/xác thực an toàn.7
  8. Phát triển và kiểm thử kế hoạch ứng phó sự cố đặc biệt giải quyết các kịch bản MitM và xâm phạm thông tin xác thực.42
  9. Xem xét việc sử dụng các mục ARP tĩnh cho các máy chủ và thành phần hạ tầng mạng cực kỳ quan trọng, nơi các thay đổi động là hiếm khi xảy ra.3
  10. Đối với các nhà phát triển/nghiên cứu, khám phá các kịch bản phát hiện tùy chỉnh (như các khái niệm Python/Scapy đã thảo luận) để hiểu sâu hơn và giám sát phù hợp, nhưng đảm bảo chúng bổ sung chứ không thay thế các giải pháp mạnh mẽ đã có.

Việc giải quyết các lỗ hổng mạng nội bộ này không chỉ là ngăn chặn các cuộc tấn công cụ thể mà còn là xây dựng một cơ sở hạ tầng mạng linh hoạt và đáng tin cậy hơn, điều này là nền tảng cho tư thế bảo mật của một tổ chức. Cuộc chiến chống lại các mối đe dọa mạng là một quá trình liên tục, đòi hỏi sự cảnh giác và khả năng thích ứng không ngừng khi kẻ tấn công tiếp tục tìm cách khai thác các giao thức mạng cơ bản.

Nguồn tham khảo

  1. Address Resolution Protocol – Wikipedia, Security365 https://en.wikipedia.org/wiki/Address_Resolution_Protocol
  2. What is ARP Spoofing? Risks, Detection, and Prevention – SentinelOne, Security365 https://www.sentinelone.com/cybersecurity-101/threat-intelligence/arp-spoofing/
  3. Man in the Middle (MitM) Attacks & Security Best Practices – Vaadata, Security365 https://www.vaadata.com/blog/what-is-a-man-in-the-middle-mitm-attack-types-and-security-best-practices/
  4. What is ARP Spoofing and how does it work? – IONOS, Security365 https://www.ionos.com/digitalguide/server/security/arp-spoofing-attacks-from-the-internal-network/
  5. Use Wireshark to Detect ARP Spoofing | How To | OSFY, Security365 https://www.opensourceforu.com/2014/10/use-wireshark-to-detect-arp-spoofing/
  6. Configuring Dynamic ARP Inspection: Understanding DAI | PDF | Network Switch – Scribd, Security365 https://www.scribd.com/document/17906682/dynarp
  7. Tìm hiểu về tấn công Man In The Middle và Cách phòng tránh – NTT SuperCare365, Security365 https://ntt-supercare365.com/man-in-the-middle-attack/
  8. LLMNR/NBT-NS Poisoning in Windows environment – Network Intelligence, Security365 https://www.networkintelligence.ai/blogs/llmnr-nbt-ns-poisoning-in-windows-environment/
  9. LLMNR & NBT-NS, what it is and how to disable it, Security365 https://blogs.dsu.edu/digforce/2023/08/04/llmnr-nbt-ns-what-it-is-and-how-to-disable-it/
  10. LLMNR Poisoning, NTLM Relay and More – Cobalt, Security365 https://www.cobalt.io/blog/llmnr-poisoning-ntlm-relay
  11. LLMNR and NBT-NS Poisoning Using Responder – 4ARMED, Security365 https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
  12. Responder: Tool for Network Exploitation – Hunt.io, Security365 https://hunt.io/malware-families/responder
  13. SpiderLabs/Responder: Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication. – GitHub, Security365 https://github.com/SpiderLabs/Responder
  14. How To Protect Against LLMNR And NBT-NS Poisoning, Security365 https://informer.io/resources/llmnr-and-nbt-ns-poisoning
  15. Pass The Hash Attack – Netwrix, Security365 https://www.netwrix.com/pass_the_hash_attack_explained.html
  16. SSL Stripping Attacks – CyberArk, Security365 https://www.cyberark.com/what-is/ssl-stripping-attacks/
  17. SSL Man in the Middle Attack using SSLStrip – YouTube, Security365 https://www.youtube.com/watch?v=l7kMpZFgrE4
  18. BetterCAP stable documentation, Security365 https://www.bettercap.org/legacy/
  19. What is DNS spoofing Man in The Middle Attack?- Security Wiki – Secret Double Octopus, Security365 https://doubleoctopus.com/security-wiki/threats-and-tools/dns-spoofing/
  20. Passing the Hash Tutorial | Metasploit Documentation – Docs @ Rapid7, Security365 https://docs.rapid7.com/metasploit/passing-the-hash-tutorial/
  21. How to Defend Against an Overpass the Hash Attack – Semperis, Security365 https://www.semperis.com/blog/how-to-defend-against-overpass-the-hash-attack/
  22. What is Lateral Movement? – CrowdStrike.com, Security365 https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/lateral-movement/
  23. Dynamic ARP Inspection – Cisco Meraki Documentation, Security365 https://documentation.meraki.com/MS/Other_Topics/Dynamic_ARP_Inspection
  24. ARP spoofing: what it is and how to protect yourself – negg Blog, Security365 https://negg.blog/en/arp-spoofing-what-it-is-and-how-to-protect-yourself/
  25. Example: Protecting Against ARP Spoofing Attacks | Junos OS – Juniper Networks, Security365 https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/example/port-security-protect-from-arp-spoofing.html
  26. VLAN là gì? Có cần thiết sử dụng không? Làm thế nào để tạo VLAN? – Điện máy XANH, Security365 https://www.dienmayxanh.com/kinh-nghiem-hay/vlan-la-gi-co-can-thiet-su-dung-khong-lam-the-nao-1137273
  27. Detecting ARP Spoofing with Wireshark | Hands-On Network Security Lab – YouTube, Security365 https://www.youtube.com/watch?v=MqSV0_jM2KQ
  28. What is an ARP Attack? Prevention & Examples – Xcitium, Security365 https://www.xcitium.com/blog/malware/arp-attack/
  29. How to Spy on Any Device’s Network using ARP Spoofing in Kali Linux? – YouTube, Security365 https://www.youtube.com/watch?v=YtLsI-wHv2U
  30. PCI DSS 4.0 Requirement 4: How to Protect Cardholder Data in Transit – HeroDevs Blog, Security365 https://www.herodevs.com/blog-posts/pci-dss-4-0-requirement-4-how-to-protect-cardholder-data-in-transit
  31. How to disable LLMNR and NBNS – Vonahi Security, Security365 https://www.vonahi.io/knowledgebase-articles/how-to/how-to-disable-llmnr-and-nbns
  32. 10 Essential Security Awareness Training Topics (And How We Make Them Stick) – Hoxhunt, Security365 https://hoxhunt.com/blog/security-awareness-topics-employees
  33. Hướng dẫn lọc gói tin ARP và sử dụng phần mềm Wireshark – SunCloud.vn, Security365 https://suncloud.vn/phan-mem-wireshark
  34. AddressResolutionProtocol – Wireshark Wiki, Security365 https://wiki.wireshark.org/AddressResolutionProtocol
  35. Tip | Using Wireshark To Detect Duplicate IP Addresses On Your Network. – Q-SYS, Security365 https://support.qsys.com/en_US/tips/tip-using-wireshark-to-detect-duplicate-ip-addresses-on-your-network
  36. Arpwatch Tool to Monitor Ethernet Activity in Linux – Tutorialspoint, Security365 https://www.tutorialspoint.com/arpwatch-tool-to-monitor-ethernet-activity-in-linux
  37. Arpwatch on Kali Linux: A Comprehensive Guide to Network Monitoring and Security, Security365 https://www.siberoloji.com/arpwatch-on-kali-linux-a-comprehensive-guide-to-network-monitoring-and-security/
  38. arpwatch Command in Linux – TIDADIGI, Security365 https://tidadigi.com/en-us/linux-commands/arpwatch-command-in-linux/
  39. ArpON alternatives – Linux Security Expert, Security365 https://linuxsecurity.expert/tools/arpon/alternatives/
  40. cgzones/arpobserver: A tool to monitor IPv4/IPv6 and Ethernet address pairings. – GitHub, Security365 https://github.com/cgzones/arpobserver
  41. Network Monitoring with Ping, TCP, Arp, Syslog, SNMP & NetFlow | EventSentry, Security365 https://www.eventsentry.com/features/network-monitoring
  42. What Is ARP Spoofing? – JumpCloud, Security365 https://jumpcloud.com/it-index/what-is-arp-spoofing
  43. Guide for Incident Response Playbook for Faster Threat Containment – SIRP, Security365 https://sirp.io/blog/how-to-build-a-comprehensive-incident-response-playbook-for-faster-threat-containment/
  44. Xây dựng scan port với python và thư viện scapy – Viblo, Security365 https://viblo.asia/p/xay-dung-scan-port-voi-python-va-thu-vien-scapy-MkNLrZyWLgA
  45. Scapy: the Python-based interactive packet manipulation program & library. – GitHub, Security365 https://github.com/secdev/scapy
  46. Implementing ARP Spoofing Attacks with Python – Ethical Hacking – TOPS Technologies, Security365 https://www.tops-int.com/blog/arp-spoofing-attacks-with-python-ethical-hacking
  47. Neighbor Discovery Protocol in IPv6 – UniNets, Security365 https://www.uninets.com/blog/neighbor-discovery-protocol
  48. Overview of IPv6 Neighbor Discovery – Huawei Technical Support, Security365 https://info.support.huawei.com/hedex/api/pages/EDOC1100149308/AEJ0713J/18/resources/admin/sec_admin_network_ipv6nd_0001.html
  49. IPv6 Neighbor Discovery Inspection | Junos OS – Juniper Networks, Security365 https://www.juniper.net/documentation/us/en/software/junos/security-services/topics/concept/port-security-nd-inspection.html
  50. Neighbor Discovery Protocol – Computer Network Analysis, Security365 https://cna-public-preview-cted-tech-college-cbtc-34a92c8f0f6ffe6386997.cybbh.io/01_Packet_Analysis/07_Defense_Packet_Analysis/05_09.4_Neighbor_Discovery_Protocol.html
  51. IPv6 – Man in the Middle | We explain attack and defense – ProSec, Security365 https://www.prosec-networks.com/en/blog/ipv6-mitm/
  52. IPv6 Routing Security, Security365 https://ipv6now.com.au/primers/IPv6RoutingSecurity.php
  53. Secure Neighbor Discovery – Wikipedia, Security365 https://en.wikipedia.org/wiki/Secure_Neighbor_Discovery
  54. RFC 3971 – SEcure Neighbor Discovery (SEND) – IETF Datatracker, Security365 https://datatracker.ietf.org/doc/html/rfc3971
  55. An Analysis of Neighbor Discovery Protocol Attacks – MDPI, Security365 https://www.mdpi.com/2073-431X/12/6/125
  56. Secure Neighbor Discovery (SEND) Protocol challenges and approaches – ResearchGate, Security365 https://www.researchgate.net/publication/309777000_Secure_Neighbor_Discovery_SEND_Protocol_challenges_and_approaches
  57. Spoofers – :: bettercap, Security365 https://www.bettercap.org/modules/ethernet/spoofers/
  58. ARP Spoofing Attack Detection Model in IoT Networks Using Machine Learning: Complexity vs. Accuracy – Bright Publisher, Security365 https://bright-journal.org/Journal/index.php/JADS/article/download/374/277
  59. (PDF) Detecting and Preventing ARP Spoofing Attacks Using Real- Time Data Analysis and Machine Learning – ResearchGate, Security365 https://www.researchgate.net/publication/384296277_Detecting_and_Preventing_ARP_Spoofing_Attacks_Using_Real-_Time_Data_Analysis_and_Machine_Learning/download
  60. Man in the Middle Attack Detection for MQTT based IoT devices using different Machine Learning Algorithms – ResearchGate, Security365 https://www.researchgate.net/publication/360662260_Man_in_the_Middle_Attack_Detection_for_MQTT_based_IoT_devices_using_different_Machine_Learning_Algorithms
  61. PCI DSS Compliance Requirements & Checklist (2024 Guide) – Sucuri, Security365 https://sucuri.net/guides/pci-compliance-requirements-checklist/
  62. HIPAA security rule & risk analysis | American Medical Association, Security365 https://www.ama-assn.org/practice-management/hipaa/hipaa-security-rule-risk-analysis
  63. What Is the HIPAA Security Rule? – Check Point Software, Security365 https://www.checkpoint.com/cyber-hub/cyber-security/what-is-hipaa-compliance/what-is-the-hipaa-security-rule/
  64. ISO 27001 Controls Cheat Sheet – Wiz, Security365 https://www.wiz.io/academy/iso-27001-controls
  65. What is Address Resolution Protocol (ARP)? – Portnox, Security365 https://www.portnox.com/cybersecurity-101/what-is-address-resolution-protocol/

Bình luận về bài viết này

Thịnh hành