IRDP Spoofing là một lỗ hổng nằm trên các hệ điều hành khá cũ kỹ như win 98 win 2000... hầu hết các máy tính dùng hệ điều hành mới hiện nay thì điều này sẽ không làm được vì lỗ hổng này đã được đánh chặn từ win 2003
IRDP là viết tắt cho ICMP Router Discovery Protocol. Nó là một phần mở rộng cho ICMP. Đây là một giao thức giúp để khám phá tất cả các bộ định tuyến trong mạng bằng cách lắng nghe với router advertisements messages. Bất kỳ thiết bị được kết nối với các mạng đã IRDP có thể nghe giao thức đó nhưng khi họ nghe có một xác suất của sự thay đổi trong bảng định tuyến.
IRDP sẽ không sử dụng bất kỳ xác thực nào nên vì vậy bất kỳ kẻ tấn công có thể giả mạo các gói advertisements và thay đổi tuyến đường luồng dữ liệu của sự lựa chọn của mình.
Các cuộc tấn công có thể đạt được
Tấn công từ chối dịch vụ (DoS)
Man-in-the-middle (MITM)
Làm thế nào để tấn công làm việc?
Những kẻ tấn công tạo ra một router giả sử dụng máy tính của mình và sau đó gửi các gói quảng cáo IRDP cho tất cả các thiết bị kết nối. Điều này thay đổi bảng định tuyến mặc định của thiết bị kết nối trong mạng con. Sau đó, kẻ tấn công bắt đầu đánh ăn cắp dữ liệu.
ICMP Router Discovery Protocol (IRDP, RFC 1256) đi kèm kích hoạt mặc định trên DHCP khách hàng đang chạy MS Windows95 (với Winsock 2), Windows 98 / 98SE, Windows ME, và máy Windows2000. Sử dụng phát hiện router, khách hàng tự động khám phá các bộ định tuyến và có thể chuyển sang các bộ định tuyến dự phòng nếu một lỗi mạng cần thiết. Tuy nhiên, bằng cách giả mạo các quảng cáo IRDP Router, một kẻ tấn công tiềm năng có thể điều khiển từ xa thêm mục tuyến đường mặc định trên hệ thống từ xa. Các mục tuyến đường mặc định thêm bởi những kẻ tấn công sẽ được ưa thích hơn các tuyến đường mặc định thu được từ máy chủ DHCP trên Windows 9x / ME hệ thống. Vấn đề không phải là ở IRDP chính nó, mà đúng hơn là MS nền tảng sử dụng nó ngay cả khi DHCP được kích hoạt và cài đặt DHCP xác định thông tin định tuyến. Để vô hiệu hóa lỗ hổng này, bạn cần phải thêm các mục sau đây đối với Registry. Điều này là để dành cho người dùng cao cấp, xin vui lòng sao lưu Registry của bạn trước khi thực hiện bất kỳ thay đổi.
Windows 9x / ME:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans\000n (Where "000n" is your TCP/IP protocol. It contains "TCP/IP" assigned to the "DriverDesc" Value)
PerformRouterDiscovery = "0" (giá trị DWORD)
Lưu ý: Mặc dù theo tài liệu của Microsoft đã tăng giá trị DWORD nên, họ đã chuyển đến các giá trị chuỗi cho hầu hết các giao thức TCP / Registry liên quan đến IP trong Windows 98, do đó, các tài liệu về các loại giá trị có thể là sai.
Windows 2000:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
Per formRouterDiscovery="0" (REG_DWORD, range 0,1,2, 0=disabled, 1=enabled, 2=enable only if DHCP sends the router discover option)
IRDP là viết tắt cho ICMP Router Discovery Protocol. Nó là một phần mở rộng cho ICMP. Đây là một giao thức giúp để khám phá tất cả các bộ định tuyến trong mạng bằng cách lắng nghe với router advertisements messages. Bất kỳ thiết bị được kết nối với các mạng đã IRDP có thể nghe giao thức đó nhưng khi họ nghe có một xác suất của sự thay đổi trong bảng định tuyến.
IRDP sẽ không sử dụng bất kỳ xác thực nào nên vì vậy bất kỳ kẻ tấn công có thể giả mạo các gói advertisements và thay đổi tuyến đường luồng dữ liệu của sự lựa chọn của mình.
Các cuộc tấn công có thể đạt được
Tấn công từ chối dịch vụ (DoS)
Man-in-the-middle (MITM)
Làm thế nào để tấn công làm việc?
Những kẻ tấn công tạo ra một router giả sử dụng máy tính của mình và sau đó gửi các gói quảng cáo IRDP cho tất cả các thiết bị kết nối. Điều này thay đổi bảng định tuyến mặc định của thiết bị kết nối trong mạng con. Sau đó, kẻ tấn công bắt đầu đánh ăn cắp dữ liệu.
ICMP Router Discovery Protocol (IRDP, RFC 1256) đi kèm kích hoạt mặc định trên DHCP khách hàng đang chạy MS Windows95 (với Winsock 2), Windows 98 / 98SE, Windows ME, và máy Windows2000. Sử dụng phát hiện router, khách hàng tự động khám phá các bộ định tuyến và có thể chuyển sang các bộ định tuyến dự phòng nếu một lỗi mạng cần thiết. Tuy nhiên, bằng cách giả mạo các quảng cáo IRDP Router, một kẻ tấn công tiềm năng có thể điều khiển từ xa thêm mục tuyến đường mặc định trên hệ thống từ xa. Các mục tuyến đường mặc định thêm bởi những kẻ tấn công sẽ được ưa thích hơn các tuyến đường mặc định thu được từ máy chủ DHCP trên Windows 9x / ME hệ thống. Vấn đề không phải là ở IRDP chính nó, mà đúng hơn là MS nền tảng sử dụng nó ngay cả khi DHCP được kích hoạt và cài đặt DHCP xác định thông tin định tuyến. Để vô hiệu hóa lỗ hổng này, bạn cần phải thêm các mục sau đây đối với Registry. Điều này là để dành cho người dùng cao cấp, xin vui lòng sao lưu Registry của bạn trước khi thực hiện bất kỳ thay đổi.
Windows 9x / ME:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans\000n (Where "000n" is your TCP/IP protocol. It contains "TCP/IP" assigned to the "DriverDesc" Value)
PerformRouterDiscovery = "0" (giá trị DWORD)
Lưu ý: Mặc dù theo tài liệu của Microsoft đã tăng giá trị DWORD nên, họ đã chuyển đến các giá trị chuỗi cho hầu hết các giao thức TCP / Registry liên quan đến IP trong Windows 98, do đó, các tài liệu về các loại giá trị có thể là sai.
Windows 2000:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
Per formRouterDiscovery="0" (REG_DWORD, range 0,1,2, 0=disabled, 1=enabled, 2=enable only if DHCP sends the router discover option)
0 nhận xét:
Post a Comment