✨ARP spoofing

right|thumb|Một tấn công ARP spoofing (poisoning) thành công cho phép kẻ xâm nhập thay đổi việc chuyển giao dữ liệu trên một mạng, đưa tới một cuộc tấn công man-in-the-middle. Trong mạng máy tính, ARP spoofing, ARP cache poisoning, hay ARP poison routing, là một kỹ thuật qua đó kẻ tấn công giả thông điệp ARP trong mạng cục bộ. Nói chung, mục tiêu là kết hợp địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy chủ khác, chẳng hạn như cổng mặc định (default gateway), làm cho bất kỳ lưu lượng truy cập nào dành cho địa chỉ IP đó được gửi đến kẻ tấn công.

ARP spoofing có thể cho phép kẻ tấn công chặn các khung dữ liệu trên mạng, sửa đổi lưu lượng, hoặc dừng tất cả lưu lượng. Thông thường cuộc tấn công này được sử dụng như là một sự mở đầu cho các cuộc tấn công khác, chẳng hạn như tấn công từ chối dịch vụ, tấn công Man-in-the-middle attack, hoặc các cuộc tấn công cướp liên lạc dữ liệu.

Cuộc tấn công này chỉ có thể dùng trong các mạng mà dùng Address Resolution Protocol, và giới hạn trong các mạng cục bộ.

Lỗ hổng của ARP

Address Resolution Protocol là một giao thức truyền thông được sử dụng rộng rãi để tìm ra các địa chỉ tầng liên kết dữ liệu từ các địa chỉ tầng mạng.

Khi một gói tin (datagram) Giao thức Internet (IP) được gửi từ một máy đến máy khác trong mạng cục bộ, địa chỉ IP đích phải được giải quyết thành địa chỉ MAC để truyền qua tầng liên kết dữ liệu. Khi biết được địa chỉ IP của máy đích, và địa chỉ MAC của nó cần truy cập, một gói tin broadcast được gửi đi trên mạng nội bộ. Gói này được gọi là ARP request. Máy đích với IP trong ARP request sẽ trả lời với ARP reply, nó chứa địa chỉ MAC cho IP đó. Trong khi các từ mục tĩnh cung cấp một số an toàn chống lại giả mạo nếu hệ điều hành xử lý chúng một cách chính xác, chúng sẽ dẫn đến những nỗ lực bảo trì vì gán địa chỉ của tất cả các hệ thống trong mạng phải được phân phối.