Phòng chống nghe lén trên Windows

Thủ thuật Windows
Chống các phần mềm nghe lén và “cắt mạng” (netcut)
Giao thức phân giải địa chỉ (Address Resolution Protocol hay ARP) là một giao thức truyền thông được sử dụng để chuyển địa chỉ từ tầng mạng (Internet layer) sang tầng liên kết dữ liệu theo mô hình OSI. Đây là một chức năng quan trọng trong giao thức IP của mạng máy tính.
ARP được sử dụng để từ một địa chỉ mạng (ví dụ một địa chỉ IPv4) tìm ra địa chỉ vật lý như một địa chỉ Ethernet (địa chỉ MAC), hay còn có thể nói là phân giải địa chỉ IP sang địa chỉ máy. ARP đã được thực hiện với nhiều kết hợp của công nghệ mạng và tầng liên kết dữ liệu, như IPv4, Chaosnet,..
Một điểm yếu trong giao thức phân giải địa chỉ ARP là có thể bị chỉnh sửa và can thiệp nhằm đánh lừa các máy tính trong mạng, do đó các phần mềm độc hại thường hay lợi dụng yếu điểm này để thực hiện các hành vi nghe lén (Man-in-the-midle).
Các phần mềm nghe lén trong mạng thường sử dụng kỹ thuật ARP-poisoning, kỹ thuật này sẽ gửi các gói tin giả mạo địa chỉ IP và MAC address đến các máy tính nạn nhân, nhằm chuyển hướng luồng dữ liệu của máy tính nạn nhân đi qua máy tính của hacker.
Kỹ thuật ARP-poisoning còn được tận dụng để thực hiện hành vi DoS, kẻ phá hoại sẽ liên tục gửi các gói APR giả mạo đến nạn nhân với thông số IP và MAC không có thật, khiến cho máy tính nạn nhân không thể kết nối đến internet.
chong nghe len
Để phòng chống nghe lén hoặc phá hoại bởi kỹ thuật này, ta cần cố định thông số địa chỉ IP và MAC trên bảng định danh.
Gõ lệnh để xem thông tin bảng định danh:

arp -a

chong nghe len 1

Trong đó 192.168.202.254 là địa chỉ của Gateway. Thông số này đang được đặt ở chế độ “dynamic”. Ta sẽ cố định cặp thông tin này lại (chế độ static).
Gõ lệnh:

netsh interface ipv4 add neighbors “Ethernet” 192.168.202.254 74-4d-28-dc-2e-90

chong nghe len 2
Lúc này giá trị IP và MAC address sẽ được cố định (Static).
Cần lưu ý quan trọng:
Khi thiết lập ARP static bằng lệnh này, Windows sẽ lưu trữ vĩnh viễn, do đó trong trường hợp bạn thay đổi mạng khác, có cùng IP nhưng khác MAC thì máy tính đó không kết nối đến Gateway được và không có mạng internet.
Đối với các máy tính cố định trong một mạng cố định (Sử dụng thường xuyên một thiết bị router duy nhất) thì cách thức này rất hữu dụng. Tuy nhiên đối với các máy tính di động và chỉ muốn thiết lập giá trị ARP static tạm thời, bạn cần xóa thông số static để có thể quay lại chế độ dynamic.
Gõ lệnh:

netsh interface ipv4 delete neighbors

chong nghe len 3
Như vậy ta có thể chống nghe lén và bị cắt mạng thông qua hình thức đầu độc bảng định danh ARP-poisoning bằng lệnh Netsh trên Windows khá đơn giản. Quản trị viên các hệ thống lớn và cố định có thể áp dụng lệnh này như một “logon script” trong GroupPolicy để triển khai hàng loạt cho các máy Client trong miền.