โจมตีคอมพิวเตอร์และเครือข่ายด้วย ARP Spoof

การใช้งานในเครือข่ายคอมพิวเตอร์ ที่ใช้ TCP/IP โดยผ่าน Ethernet หรือสาย Lan ที่เราใช้กันทั่วๆ ไปนั้น ข้อดีของการใช้งานในรูปแบบนี้คือ การ์ด Lan ราคาถูก สายราคาถูก อุปกรณ์ เครือข่ายราคาไม่แพงนัก เทคโนโลยี หลายคนก็เข้าใจ ทำให้ได้รับความนิยมใช้งาน แต่เนื่องจากความสะดวกในการใช้งานนี้เอง ทำให้มีคนหาช่องโหว่ของเครือข่าย และ Protocol ที่เราใช้งานกัน ดังนั้น ผมจึงเอาเรื่องใกล้ๆ ตัวมาเล่าให้ฟัง โดยทดสอบในเครือข่ายของผมเอง เพื่อให้เห็นภาพ หากอยากทราบว่ามีอะไร ตามมาเลยครับ ก่อนอื่น ขอปูพื้นอีกนิดครั้ง ในเครือข่ายที่เราใช้งานกันผ่านระบบ Lan นั้น เรามีการเชื่อมต่อแบบ Star นั่นคือ เราไปซื้อ Hub, Switch มาแล้วเดินสาย กระจายเหมือนรูปดาว ไปยังเครื่องคอมพิวเตอร์แต่ละเครื่อง ดูแล้วก็เหมือนดาวนะครับ แต่หากเข้าใจหลักการทำงานของ Hub, Switch และโปรโตคอลเครือข่ายที่ใช้คือ CSMA/CD โดยหากท่านใช้ อุปกรณ์เครือข่าย เช่น     * Hub ราคาถูกครับ แต่ไม่แนะนำ เนื่องจากไม่มี CSMA/CD นั่นหมายถึงการส่งข้อมูลก็แย่งกันส่ง หากชนกัน ก็ต้องมา Exponential backoff ซึ่งเสียเวลา เท่ากับเอาจำนวนผู้ส่งไปหารจาก Bandwidth     * Switch ราคาแพงขึ้นมาอีกนิด มี CSMA/CD มี MAC Table สามารถ Forward ไปยัง Port ได้โดยไม่มีการชนกัน (แต่ในความเป็นจริง ยังมีการชนกันอยู่บ้าง) เล่า มายืดยาว มาดูการโจมตีกันบ้างนะครับ     * Hub อันนี้ไม่ต้องบอกครับ ใครส่งอะไรถึงใคร เครื่องเราเห็นหมด เพียงแต่ว่าไม่เปิดมาอ่านเท่านั้น เพราะฉะนั้น หากผมลงโปรแกรมประเภท Packet Capture ก็เรียบร้อยครับ ผมเห็นทุกคนว่าทำอะไร พิมพ์อะไร หากใครพิมพ์ Username/ Password หรือเลขที่บัตรเครดิต ผมก็เห็นด้วย     * Switch อันนี้ยากหน่อยครับ หากจะจับ Packet แบบ Hub ผมต้องไปเสียบสาย Lan ที่ Mirror Port ก็จะเห็นเหมือน Hub ครับ แต่หากผมไม่ใช่ผู้ดูแบบระบบเครือข่าย ผมจะไปเสียยัง Mirror Port ได้อย่างไร เพราะฉะนั้น Switch ดูเหมือนจะปลอดภัย แต่ยังครับ เนื่องจากจุดอ่อนของ Protocol ใน Layer ที่ 2 (Datalink Layer) มาดูสิ่งที่ผมจะสาธิตให้ดูก่อนครับ จากภาพทางด้าน บน ครับ เครื่องเหยื่อ (Victim) เวลาทำงานจะมี Arp table เป็น mac ของ Gateway วิธีคือพิมพ์คำสั่งใน Command คือ arp -a จะได้ดังภาพ ซึ่ง ก็จะพบว่า IP กับ MAC ของ Gateway นั้นถูกต้อง หลังจากนั้น เครื่อง Ejeepss ซึ่งเป็นเครื่อง Client เครื่องข้าง ๆ อยู่ใน Network เดียวกัน ต้องการโจมตีโดยใช้เทคนิค Arp Spoof โดยการโจมตีแบบนี้ คือการหลอกให้เครื่องเหยื่อย (Victim) เปลี่ยน Mac ของ Gateway ไปเป็น Mac ของเครื่อง ejeepss เพื่อให้เครื่องเหยื่อ หลงเชื่อว่าเป็น Gateway และส่งข้อมูลต่างๆ มายังเครื่อง Ejeepss โดยโปรแกรมที่ผมลองใช้ชื่อ Switch Sniff รุ่นทดลองใช้ ซึ่งยังมีความสามารถน้อยหน่อย แต่ก็พอให้เห็นภาพนะครับ โดยเปิดโปรแกรม Switch Sniff ตามภาพนะครับ โดยเลือก IP เครื่องเหยื่อ (192.168.100.19) แล้วกด Start เท่านั้นครับ ไปดูผลลัพท์ ที่เครื่องเหยื่อนะครับ ให้ arp -a ดูความแรกต่างครับ ให้สังเกตุบรรทัดแรกครับ ว่า IP ของ Gateway ถูกเปลี่ยน Mac ไปเป็น 00-0A-E4-2D-AB-CE ซึ่งก็คือ IP ของเครื่อง ejeepss เพียงเท่านี้ครับไม่ว่าเครื่องเหยื่อจะทำอะไร Packet จะถูกส่งไปยังเครื่อง ejeepss ทั้งหมด เครื่องเหยื่อก็เล่น NET ได้ตามปกติ โดยที่ยังไม่รู้ตัวเลยว่าตัวเองถูก Arp Spoof เรียบร้อยแล้ว ? มาดู ภาพสรุปกันนะครับ เพราะ ฉะนั้น หากใครกำลังจะคีย์เลขบัตรเครดิต กำลังจะคีย์ Username / Password เพื่อเข้าธนาคารออนไลน์ อย่าลืมตรวจสอบก่อนนะครับ ว่าเครื่องท่านถูกโจมตีแบบ Arp Spoof หรือเปล่านะครับ นี่ขนาดเป็น Software Trial Version นะครับ ยังมีความสามารถขนาดนี้ ยังมีโปรแกรมตัวเด็ด ๆ กว่านี้ครับ ในโลกนี้ ทางป้องกัน ก่อนจะคีย์บัตรเครดิต หรืออะไรสำคัญ อาจต้องหาโปรแกรมพวก Anti Sniff มาลง เพื่อป้องกันอีกชั้นนะครับ เนื่อง หาเรื่องนี้ไม่ได้เป็นการส่งเสริมให้เกิดการโจมตีครับ เป็นเพียงเพื่อเตือน ให้ทราบถึงอันตราย หรือเทคนิคการโจมตีในรูปแบบนี้ ผมไม่สนับสนุนให้โจมตีคนอื่นนะครับ เพราะ พรบ. กระทำความผิดทางคอมพิวเตอร์ออกมาแล้วครับ มีผลบังคับใช้ จะทำอะไรก็คิดดีๆ ก่อนนะครับ เดี๋ยวจะหาว่าผมไม่เตือนครับ Reference:     * Arp Spoof Wiki : http://en.wikipedia.org/wiki/ARP_poisoning Credit: http://catadmin.cattelecom.com/k ... rp-spoof-technique/