BÁO CÁO THỰC TẬP TỐT NGHIỆP: MÔ PHỎNG TẤN CÔNG HỆ THỐNG MẠNG VÀ THỰC HIỆN GIẢI PHÁP PHÒNG VỆ

LỜI NÓI ĐẦU Lý do em chọn đề tài này là mong muốn được nội dung đề tài của em sẽ xuất hiện trong các buổi học về an toàn, an ninh mạng cho các sinh viên khóa sau của trường đại học Điện lực. Với những nội dung về tấn công mạng luôn là một sự hấp dẫn với những sinh viên khoa CNTT chúng em. An ninh mạng là một chiến lược được một công ty sử dụng để bảo vệ tài sản kỹ thuật số khỏi bị tấn công. Các chiến lược có thể bao gồm công nghệ, quy trình và các biện pháp bảo mật khác cho hệ thống, thiết bị và dữ liệu. Trong khi các cơ sở về hạ tầng an ninh mạng đã phát triển để thấy được sự tiến triển của các mối đe dọa công nghệ, triển khai.Tuy nhiên thì các tổ chức tư vấn hệ thống mạng an toàn thông tin phân tích cho thấy rằng số lượng các mối đe dọa đáng kể thì hoàn toàn bỏ qua. Với mục đích làm rõ các kiến thức đã được học và được sự hỗ trợ từ thầy hướng dẫn, em xin thực hiệnmô phỏng các cuộc tấn công hệ thống mạng và sau đó sẽ thực hiện các giải pháp phòng vệ.

TỔNG QUAN VỀ AN NINH MẠNG

Giới thiệu về An ninh mạng

An ninh mạng ngày càng trở nên quan trọng trong bối cảnh điện thoại thông minh, máy tính và máy tính bảng trở thành phần không thể thiếu trong công việc và cuộc sống hàng ngày Sự phụ thuộc vào các công cụ trực tuyến, từ mạng xã hội và tiếp thị qua email đến lưu trữ dữ liệu trên đám mây, tạo ra nhu cầu cấp thiết trong việc bảo vệ thông tin quý giá của doanh nghiệp và cá nhân.

Sự phụ thuộc vào công cụ số làm tăng rủi ro cho doanh nghiệp trước các cuộc tấn công mạng ngày càng tinh vi Kiến thức vững chắc về an ninh mạng là yếu tố quyết định để bảo vệ doanh nghiệp khỏi những mối đe dọa này Các nạn nhân của các cuộc tấn công mạng có thể phải đối mặt với nhiều nguy cơ nghiêm trọng.

 Mất dữ liệu nhạy cảm

 Tổn thất tài chính do trộm cắp dữ liệu

 Chi phí cao cho việc khôi phục dữ liệu bị đánh cắp

 Đóng cửa (trong trường hợp nghiêm trọng)

Với sự gia tăng sử dụng internet và các công cụ trực tuyến, tội phạm mạng đã trở thành mối đe dọa nghiêm trọng đối với doanh nghiệp An ninh mạng không chỉ là vấn đề công nghệ mà còn liên quan đến bảo vệ dữ liệu của bạn và vị trí lưu trữ trực tuyến của nó.

Các loại an ninh mạng quan trọng nhất mà các công ty đang tập trung xây dựng tuyến phòng thủ vững chắc nên là:

Bảo vệ mạng là việc ngăn chặn truy cập trái phép vào hạ tầng nội bộ, thường được thực hiện bởi các quản trị viên mạng thông qua việc áp dụng các chính sách mật khẩu và thông tin đăng nhập mạnh, sử dụng tường lửa, mã hóa và phần mềm chống vi-rút.

 App security – Các bản cập nhật và thử nghiệm thường xuyên có thể bảo vệ ứng dụng của bạn khỏi các mối đe dọa.

 Information and data security – Mạng và ứng dụng lưu trữ dữ liệu cần được bảo vệ bổ sung thêm.

 Endpoint protection – giảm rủi ro khi truy cập từ xa.

 Cloud security – phần mềm giám sát và bảo vệ dữ liệu được lưu trữ trên đám mây.

Mobile security and the Internet of Things (IoT) encompass smartphones, tablets, and various connected devices, each requiring specific safety measures to protect against unique vulnerabilities.

Every business must establish a continuity plan and emergency recovery strategy to safeguard against cyber threats, natural disasters, and other events that could compromise their cybersecurity.

Các nguy cơ ảnh hưởng đến an toàn mạng

Có nhiều loại tấn công mạng, cả công khai lẫn âm thầm, nhằm gián đoạn hoạt động kinh doanh của doanh nghiệp Khi ngày càng nhiều công ty nhận thức được tầm quan trọng của việc bảo vệ tài nguyên và thực hiện đào tạo về an ninh mạng, tin tặc và tội phạm mạng cũng đang phát triển các hình thức tấn công ngày càng tinh vi hơn.

Cập nhật kiến thức về an ninh mạng giúp bạn bảo vệ doanh nghiệp hiệu quả hơn Dưới đây là năm loại tấn công mạng phổ biến nhất mà bạn cần lưu ý.

 Malware là một lỗ hổng trên hệ thống bảo vệ mạng của bạn, chẳng hạn như phần mềm gián điệp, phần mềm tống tiền và vi rút.

Phishing là hình thức lừa đảo trực tuyến thông qua các tin nhắn độc hại, thường là email, chứa liên kết độc hại Khi người dùng nhấp vào những liên kết này, thông tin nhạy cảm của họ sẽ bị truy cập trái phép.

Tấn công từ chối dịch vụ (DoS) là hành vi mà tin tặc gửi một lượng lớn thông tin dư thừa vào mạng hoặc hệ thống của bạn, gây ra tình trạng quá tải và buộc hệ thống phải ngừng hoạt động.

Tội phạm mạng Man in the Middle (MitM) gây gián đoạn kết nối qua việc sử dụng mạng Wi-Fi công cộng không an toàn, từ đó đánh cắp dữ liệu nhạy cảm của người dùng.

 Zero-day attack – một cuộc tấn công ít phổ biến hơn nhưng xảy ra ngày càng nhiều giữa việc công bố bản cập

Các kiểu tấn công mạng hiện nay có thể gây ảnh hưởng nghiêm trọng đến nhiều doanh nghiệp, đặc biệt là quán cà phê với mạng wi-fi không an toàn và các cửa hàng trực tuyến có nguy cơ bị tấn công zero-day.

Các kỹ thuật tấn công mạng

1.3.1.Tấn công bằng phần mềm độc hại (Malware attack)

Tấn công malware là hình thức phổ biến nhất hiện nay, bao gồm các loại như spyware, ransomware, virus và worm Tin tặc thường khai thác lỗ hổng bảo mật hoặc dụ dỗ người dùng nhấp vào liên kết hoặc email giả mạo (phishing) để cài đặt phần mềm độc hại Khi malware được cài đặt thành công, nó sẽ gây ra nhiều thiệt hại cho hệ thống và dữ liệu của người dùng.

 Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng (ransomware)

 Cài đặt thêm những phần mềm độc hại khác

 Lén lút theo dõi người dùng và đánh cắp dữ liệu (spyware)

 Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống.

1.3.2 Tấn công giả mạo (Phishing attack)

Phishing là hình thức giả mạo một tổ chức hoặc cá nhân uy tín nhằm chiếm đoạt lòng tin của người dùng, thường thông qua email Mục tiêu chính của các cuộc tấn công phishing là đánh cắp thông tin nhạy cảm như dữ liệu thẻ tín dụng và mật khẩu Đôi khi, phishing còn được sử dụng như một phương thức để lừa người dùng cài đặt phần mềm độc hại vào thiết bị, trở thành một giai đoạn trong cuộc tấn công malware.

Tấn công trung gian (MITM) là một hình thức tấn công nghe lén, diễn ra khi kẻ tấn công xâm nhập vào giao tiếp giữa hai bên Sau khi đã thành công trong việc chen vào, kẻ tấn công có khả năng đánh cắp dữ liệu từ giao dịch đó.

Loại hình này xảy ra khi:

Khi nạn nhân kết nối vào một mạng Wifi công cộng không an toàn, kẻ tấn công có khả năng can thiệp giữa thiết bị của nạn nhân và mạng Wifi, dẫn đến việc thông tin nhạy cảm mà nạn nhân gửi đi có thể bị rơi vào tay kẻ xấu.

Khi phần mềm độc hại được cài đặt thành công trên thiết bị, kẻ tấn công có khả năng truy cập và thay đổi dữ liệu của nạn nhân một cách dễ dàng.

1.3.4 Tấn công từ chối dịch vụ (DoS và DDoS)

DoS (Denial of Service) là hình thức tấn công mà tin tặc

Cuộc tấn công "đánh sập tạm thời" nhằm vào hệ thống, máy chủ hoặc mạng nội bộ thường diễn ra bằng cách tạo ra một lượng traffic hoặc request khổng lồ trong cùng một thời điểm Hành động này khiến cho hệ thống bị quá tải, dẫn đến việc người dùng không thể truy cập dịch vụ trong suốt thời gian cuộc tấn công DoS diễn ra.

Một hình thức tấn công từ chối dịch vụ (DoS) phổ biến là DDoS (Distributed Denial of Service), trong đó các máy tính thuộc mạng lưới botnet không biết rằng chúng đang bị lợi dụng để thực hiện các cuộc tấn công Tìm hiểu thêm về sự nguy hiểm của tấn công DDoS để bảo vệ hệ thống của bạn.

1.3.5 Tấn công cơ sở dữ liệu (SQL injection)

Tin tặc thực hiện tấn công SQL injection bằng cách tiêm mã độc vào server thông qua ngôn ngữ truy vấn SQL, nhằm thu thập thông tin nhạy cảm mà không được phép tiết lộ Những cuộc tấn công này thường xuất phát từ các lỗ hổng trên website, và đôi khi chỉ cần chèn một đoạn mã độc vào thanh công cụ "Tìm kiếm" là có thể xâm nhập vào hệ thống.

1.3.6 Khai thác lỗ hổng Zero-day (Zero day attack)

Lỗ hổng Zero-day (0-day vulnerabilities) là những lỗ hổng bảo mật chưa được công bố và chưa được các nhà cung cấp phần mềm phát hiện, do đó chưa có bản vá chính thức Việc khai thác các lỗ hổng này cực kỳ nguy hiểm và khó lường, có thể dẫn đến những hậu quả nghiêm trọng cho người dùng cũng như cho nhà phát hành sản phẩm.

Ngoài tấn công mạng thông thường, còn tồn tại nhiều hình thức tấn công khác như tấn công chuỗi cung ứng, tấn công Email, tấn công vào con người và tấn công nội bộ tổ chức Mỗi loại tấn công mang những đặc điểm riêng và ngày càng trở nên phức tạp, tinh vi, yêu cầu cá nhân và tổ chức phải luôn trong trạng thái cảnh giác.

& cập nhật các công nghệ phòng chống mới.

KỸ THUẬT TẤN CÔNG DOS / DDOS

Định nghĩa về DOS / DDOS

Tấn công DoS (Denial of Service) là một loại tấn công mạng nguy hiểm, nhằm làm gián đoạn hoặc ngăn chặn dịch vụ của một hệ thống hoặc mạng Để hiểu rõ về tấn công DoS, cần nắm bắt định nghĩa và các hình thức khác nhau của nó.

Tấn công DoS (Denial of Service) là một hình thức tấn công nhằm làm cho hệ thống không thể sử dụng hoặc giảm hiệu suất đáng kể, gây khó khăn cho người dùng bình thường Hình thức tấn công này thực hiện bằng cách làm quá tải tài nguyên của hệ thống, và nó được xem là kiểu tấn công đơn giản nhất.

Khi kẻ tấn công không thể xâm nhập vào hệ thống, chúng thường tìm cách làm cho hệ thống đó ngừng hoạt động, dẫn đến việc không thể phục vụ người dùng bình thường Hình thức tấn công này được gọi là tấn công từ chối dịch vụ (DoS).

Mặc dù tấn công DoS không xâm nhập vào dữ liệu thực của hệ thống, nhưng nó có thể gây gián đoạn nghiêm trọng đến các dịch vụ mà hệ thống cung cấp Tấn công DoS khai thác những điểm yếu của hệ thống để thực hiện các mục đích tấn công, nhằm làm giảm hiệu suất hoặc làm ngừng hoạt động của dịch vụ.

Tấn công DDoS (Distributed Denial of Service) là một hình thức tấn công DoS, trong đó kẻ tấn công sử dụng nhiều máy tính, gọi là zombie, để thực hiện cuộc tấn công Những kẻ tin tặc đang ngày càng đầu tư thời gian và công sức để cải thiện các phương thức tấn công, khiến người dùng mạng máy tính phải đối mặt với nhiều kỹ thuật tinh vi hơn so với các cuộc tấn công DDoS truyền thống Các kỹ thuật này cho phép kẻ tấn công kiểm soát một số lượng lớn máy tính bị chiếm quyền điều khiển từ xa chỉ bằng cách sử dụng giao thức IRC.

Khi phát hiện dấu hiệu của DoS, bạn chỉ cần ngắt kết nối từ nguồn tấn công duy nhất Tuy nhiên, với DDoS, có nhiều nguồn tấn công cùng lúc, do đó không thể áp dụng cách trên Một điều quan trọng cần lưu ý là khi bị tấn công DDoS, khả năng chống đỡ là rất hạn chế.

Tìm hiểu về DoS

2.2.1 Mục đích tấn công DoS

Cố gắng chiếm băng thông mạng có thể dẫn đến tình trạng ngập hệ thống mạng, khiến cho các dịch vụ khác không thể đáp ứng nhu cầu của người dùng bình thường.

 Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vào dịch vụ.

 Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào.

 Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như bị:

 Disable Organization - Tổ chức không hoạt động

 Financial Loss – Tài chính bị mất

2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS

Tấn công DoS xảy ra khi kẻ tấn công chiếm dụng toàn bộ tài nguyên của hệ thống, khiến hệ thống không thể phục vụ người dùng hợp pháp Các tài nguyên thường bị sử dụng để thực hiện các cuộc tấn công này bao gồm băng thông, CPU, và bộ nhớ.

 Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên

 Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổ đĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS.

Tấn công vào các hệ thống hỗ trợ mạng máy tính, bao gồm hệ thống điều hòa, điện, làm mát và các tài nguyên khác của doanh nghiệp, có thể gây ra những hậu quả nghiêm trọng Chẳng hạn, khi nguồn điện cung cấp cho máy chủ web bị cắt đứt, người dùng sẽ không thể truy cập vào máy chủ đó, dẫn đến gián đoạn dịch vụ và ảnh hưởng xấu đến hoạt động kinh doanh.

 Phá hoại hoặc thay đổi các thông tin cấu hình.

 Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…

Tấn công Denial of Service chia ra làm hai loại tấn công

 Tấn công DoS: Tấn công từ một cá thể, hay tập hợp các cá thể.

 Tấn công DDoS: Đây là sự tấn công từ một mạng máy tính được thiết kế để tấn công tới một đích cụ thể nào đó.

2.2.4 Các dạng tấn công DoS

Là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công.

Khi thực hiện lệnh ping, quá trình này diễn ra theo hai chiều: máy A gửi tín hiệu tới máy B và máy B phản hồi để hoàn tất quá trình Nếu ping tới địa chỉ Broadcast của một mạng, tất cả máy tính trong mạng đó sẽ trả lời Tuy nhiên, nếu thay đổi địa chỉ nguồn thành máy C và ping tới địa chỉ Broadcast, tất cả máy tính trong mạng sẽ phản hồi về máy C, dẫn đến hiện tượng tấn công Smurf.

Khi một mục tiêu bị tấn công, nó sẽ phải đối mặt với một lượng lớn gói ICMP Reply, dẫn đến tình trạng mạng bị sập hoặc chậm, không thể cung cấp các dịch vụ khác.

Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau (mạng BOTNET).

Tấn công Fraggle, chúng sử dụng UDP echo và tương tự như tấn côngSmurf:

Hình 2.2: Tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác

 Buffer Overflow xảy ra tại bất kỳ thời điểm nào có chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ nhớ.

Kẻ tấn công có khả năng ghi đè dữ liệu, điều khiển các chương trình và đánh cắp quyền điều khiển của một số ứng dụng, từ đó thực thi mã độc hại.

 Quá trình gửi một bức thư điện tử mà file đính kèm dài quá 256 ký tự có thể sẽ xảy ra quá trình tràn bộ nhớ đệm.

2.2.4.3 Tấn công Ping of Death

 Kẻ tấn công gửi những gói tin IP lớn hơn số lương bytes cho phép của tin

 Quá trình chia nhỏ gói tin IP thành những phần nhỏ được thực hiện ở layer II.

Quá trình chia nhỏ gói IP có thể được thực hiện với kích thước lớn hơn 65.536 bytes Tuy nhiên, hệ điều hành không nhận diện được kích thước của gói tin này, dẫn đến việc khởi động lại hoặc gián đoạn giao tiếp.

 Để nhận biết kẻ tấn công gửi gói tin lớn hơn gói tin cho phép thì tương đối dễ dàng.

 Gói tin IP rất lớn khi đến Router sẽ bị chia nhỏ làm nhiều phần nhỏ.

 Kẻ tấn công sử dụng sử dụng gói IP với các thông số rất khó hiểu để chia ra các phần nhỏ (fragment).

Khi hệ điều hành nhận các gói tin đã được chia nhỏ mà không thể hiểu, nó sẽ cố gắng tái tạo lại gói tin, điều này tiêu tốn một phần tài nguyên hệ thống Nếu quá trình này diễn ra liên tục, hệ thống sẽ không còn đủ tài nguyên để phục vụ các ứng dụng và người dùng khác.

Kẻ tấn công gửi các yêu cầu TCP SYN giả mạo đến máy chủ mục tiêu, khiến hệ thống phải tiêu tốn bộ nhớ để xử lý lượng lớn gói tin SYN này.

Hình 2.3 : Mô hình bắt tay ba bước

Khi máy chủ nhận quá nhiều gói SYN ảo, nó sẽ không thể xử lý các yêu cầu kết nối từ người dùng bình thường Điều này dẫn đến việc khi một người dùng thực hiện yêu cầu TCP SYN, máy chủ không còn khả năng đáp ứng và kết nối sẽ không được thiết lập.

- Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình giao tiếp của TCP theo quy tắc bắt tay 3 bước.

Các đoạn mã độc hại có khả năng tạo ra một lượng lớn gói TCP SYN gửi tới máy chủ mục tiêu, với địa chỉ IP nguồn của các gói tin đã bị giả mạo.

Hình ảnh minh họa cho thấy sự giao tiếp bình thường giữa máy chủ và người dùng, trong khi dưới đây là tình huống khi máy chủ bị tấn công bằng gói SYN Lúc này, số lượng gói SYN gửi đến máy chủ tăng đột biến, trong khi khả năng phản hồi của máy chủ lại có giới hạn, dẫn đến việc máy chủ phải từ chối các kết nối hợp pháp.

Quá trình bắt tay TCP diễn ra qua ba bước: Đầu tiên, máy A gửi một gói TCP SYN tới máy B để yêu cầu kết nối Thứ hai, máy B nhận gói SYN và phản hồi bằng gói ACK xác nhận đồng ý kết nối Cuối cùng, máy A gửi lại gói ACK cho máy B, từ đó bắt đầu các giao tiếp dữ liệu.

Máy A và máy B sẽ duy trì kết nối trong ít nhất 75 giây, sau đó thực hiện lại quy trình bắt tay TCP ba bước để thiết lập phiên kết nối tiếp theo cho việc trao đổi dữ liệu.

Kẻ tấn công đã lợi dụng lỗ hổng trong giao thức bắt tay 3 bước để tấn công hệ thống, giảm thời gian yêu cầu xuống mức tối thiểu và không gửi gói ACK, dẫn đến việc gửi liên tục các gói SYN mà không bao giờ phản hồi lại gói SYN&ACK từ máy chủ bị tấn công.

Tấn công DDoS

Tấn công từ chối dịch vụ phân tán (DDoS) trên Internet là một hình thức tấn công sử dụng nhiều máy tính để nhắm đến một mục tiêu cụ thể, gây ra tình trạng từ chối các yêu cầu hợp lệ từ người dùng thông thường Bằng cách gửi một lượng lớn gói tin đến đích, tấn công này có thể khiến hệ thống gặp phải tình trạng tương tự như bị tắt nguồn.

Tấn công DDoS là một hình thức tấn công từ chối dịch vụ, nhằm làm tràn băng thông của mạng đích bằng cách sử dụng BOTNET để gửi một lượng lớn yêu cầu kết nối Một trong những phương pháp phổ biến nhất là tấn công TCP SYN flooding, trong đó kẻ tấn công gửi hàng triệu yêu cầu kết nối TCP đồng thời tới máy chủ web, gây ra tình trạng quá tải tài nguyên và ngăn cản người dùng khác kết nối Phương thức này cũng có thể được thực hiện thông qua giao thức UDP, với hiệu quả tương tự, tạo ra mối nguy hiểm lớn cho các hệ thống mạng.

2.3.1 Các đặc tính của tấn công DDoS.

Botnet là một hệ thống gồm nhiều máy tính lớn trên Internet, thường sử dụng các dịch vụ có sẵn từ các máy tính trong mạng để thực hiện các cuộc tấn công.

Các dịch vụ tấn công thường được điều khiển từ những "nạn nhân chính" (primary victim), trong khi các máy tính bị chiếm quyền sử dụng trong mạng botnet được gọi là "zombie".

 Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet.

Khi một địa chỉ IP tấn công một công ty, việc chặn nó bằng Firewall là khả thi Tuy nhiên, nếu có tới 30.000 địa chỉ IP khác cùng tham gia tấn công, việc ngăn chặn sẽ trở nên cực kỳ khó khăn.

Tấn công từ chối dịch vụ (DoS) có thể gây ra nhiều ảnh hưởng nghiêm trọng, đặc biệt khi kẻ tấn công sử dụng hệ thống BOTNET để thực hiện các cuộc tấn công này, dẫn đến hiện tượng tấn công DDoS.

2.3.2 Tấn công DDoS không thể ngăn chặn hoàn toàn.

Các cuộc tấn công DDoS nhằm tìm kiếm và khai thác các lỗ hổng bảo mật trên máy tính kết nối Internet, từ đó tạo ra mạng BOTNET gồm nhiều thiết bị.

 Một cuộc tấn công DDoS tốt được thực hiện sẽ rất khó để ngăn chặn hoàn toàn.

Các gói tin gửi đến Firewall có khả năng bị chặn, tuy nhiên, phần lớn chúng xuất phát từ các địa chỉ IP không nằm trong các Quy tắc Truy cập của Firewall và đều là những gói tin hợp lệ.

Nếu địa chỉ nguồn của gói tin có khả năng bị giả mạo và bạn không nhận được phản hồi từ các địa chỉ nguồn thật, bạn cần phải chặn giao tiếp với địa chỉ nguồn đó để đảm bảo an toàn.

Một mạng BOTNET có thể bao gồm từ hàng nghìn đến hàng trăm nghìn địa chỉ IP trên Internet, khiến việc ngăn chặn các cuộc tấn công trở nên vô cùng khó khăn.

2.3.3 Kiến trúc tổng quan của DDoS attack-network.

Hiện nay, các kẻ tấn công không còn sử dụng trực tiếp địa chỉ IP để điều khiển mạng BOTNET cho các cuộc tấn công, mà thay vào đó, họ thường sử dụng các đối tượng trung gian Điều này dẫn đến sự phát triển của nhiều mô hình tấn công DDoS khác nhau.

Hình 2.6 : sơ đồ chính phân loại các kiểu tấn công DDoS

CÁC PHẦN MỀM VÀ CÔNG CỤ CẦN CÀI ĐẶT

Vmware Workstation 16.2.1

Workstation 16.2.1 là một phần mềm giả lập hệ điều hành rất nổi tiếng của hãng VMware Inc Workstation cung cấp giải pháp ảo hóa máy tính để bàn được thiết kế cho mọi người sử dụng Windows VMware Workstation có thể thay đổi đáng kể cách thức làm việc với các máy ảo và cực kì hữu ích với các nhà phát triển.

VMware Workstation Pro là giải pháp tối ưu cho các chuyên gia công nghệ, cho phép chạy đồng thời nhiều hệ điều hành x86 trên một máy tính Sau 16 năm phát triển, sản phẩm này đã nhận được nhiều giải thưởng và mang đến cho người dùng trải nghiệm phong phú với hiệu suất hoạt động mượt mà.

Workstation 16.2.1 là một phần mềm giả lập hệ điều hành rất nổi tiếng của hãng VMware Inc Workstation cung cấp giải pháp ảo hóa máy tính để bàn được thiết kế cho mọi người sử dụng Windows VMware Workstation có thể thay đổi đáng kể cách thức làm việc với các máy ảo và cực kì hữu ích với các nhà phát triển.

3.1.2 Tính năng chính của phần mềm tạo máy ảo

Máy ảo cho máy tính Windows và Linux

 Sao chép môi trường máy chủ, desktop, máy tính bảng trong máy ảo.

 Chạy các ứng dụng trên nhiều hệ điều hành mà không cần phải reboot.

 Đánh giá các hệ điều hành như Windows 10, thử nghiệm phần mềm, ứng dụng, patch và tham chiếu trong môi trường tách biệt và an toàn.

Tạo máy ảo mạnh mẽ

Phân bổ tối ưu lõi vi xử lý, dung lượng bộ nhớ chính và bộ nhớ đồ họa cho từng máy chủ giúp tối đa hóa tài nguyên máy tính, từ đó hỗ trợ chạy các ứng dụng yêu cầu cao trong môi trường ảo.

 Cho phép chạy ESXi host và vSphere, tạo Software

Defined Data Center ngay trên máy tính.

Từ PC tới đám mây

Truy cập tất cả máy ảo cần thiết từ bất kỳ đâu, bao gồm cả PC và đám mây Dễ dàng di chuyển máy ảo giữa PC và đám mây cá nhân với VMware vSphere hoặc đám mây chung qua vCloud Air chỉ bằng thao tác kéo và thả.

Sử dụng đám mây lai giúp bạn nhanh chóng triển khai công việc đến nhiều địa điểm khác nhau, giảm thiểu sự phức tạp và đảm bảo tính tương thích.

Kiểm soát máy ảo của mình

Workstation Pro cung cấp cho các chuyên gia công nghệ khả năng kiểm soát linh hoạt trong việc thiết lập và tương tác với máy ảo Với các tùy chọn cài đặt, bảo vệ, kết nối, chia sẻ và xem máy ảo, người dùng có thể tiết kiệm thời gian và nâng cao hiệu quả công việc.

 Tạo máy ảo được mã hóa, yêu cầu mật khẩu và có thời gian hết hạn.

 Sử dụng công cụ chỉnh sửa mạng ảo để xây dựng tối đa 20 mạng kết nối ảo.

 Tính năng Snapshot giúp giữ lại trạng thái máy ảo để quay lại trong tương lại.

Thiết lập phân chia bộ nhớ cho các máy ảo

 Chia sẻ máy ảo là cách nhanh nhất để chia sẻ, thử nghiệm ứng dụng với các thành viên trong nhóm.

 Chạy VMwareWorkstation Pro như 1 máy chủ để chia sẻ nhà kho (repository) của các máy ảo cùng thiết lập yêu thích.

Giới thiệu EVE-NG

EVE-NG (Emulated Virtual Environment – Next Generation) is one of the most powerful emulation tools available today Building on the features of UnetLab, EVE-NG can simulate a wide range of networking devices that are commonly used, supporting various operating system platforms This includes Cisco routers and switches (utilizing Cisco IOL or IOS on the Dynamip Server), Juniper networking devices, and numerous popular firewalls.

Cisco IOL (Cisco IOS trên Linux) và Cisco IOU (Cisco IOS trên Unix) là các phiên bản IOS chuyên dụng cho việc kiểm tra tính năng của Cisco, được thiết kế để chạy trên hệ điều hành Linux cho kiến trúc i386 và trên hệ điều hành Unix cho kiến trúc Sparc Các hệ điều hành này chỉ được sử dụng nội bộ tại Cisco hoặc cho các khách hàng được ủy quyền và cấp phép Thực tế, hai thuật ngữ IOL và IOU thường được sử dụng thay thế cho nhau.

Giải pháp giả lập thiết bị mạng sử dụng Cisco IOL đang trở nên phổ biến đối với các kỹ sư và sinh viên theo học các khóa học của Cisco như CCNA, CCNP, CCIE Điểm mạnh của Cisco IOL là khả năng hoạt động nhẹ nhàng, tiết kiệm tài nguyên máy tính, cho phép giả lập một số lượng lớn thiết bị mạng với độ chính xác cao, so với giải pháp truyền thống là sử dụng server Dynamip với phần mềm GNS-3.

3.2.2 Một số ưu điểm vượt trội của EVE-NG

Hỗ trợ giao diện người dùng HTML5, EVE triển khai các tính năng Telnet, VNC và RDP kết nối mà không cần mở thêm TCP port mới Điều này giúp dễ dàng chạy EVE trên các máy chủ ở bất kỳ đâu và cung cấp cơ chế remote, cho phép làm việc với nhiều người dùng hơn.

Các node đã tắt giờ đây được phân biệt với các node khác bằng màu sắc, cụ thể là màu xám cho các node đã tắt, thay vì chỉ sử dụng màu xanh cho tất cả Điều này giúp người dùng dễ dàng nhận diện node nào đang hoạt động và node nào đã ngừng hoạt động.

 UKSM được thực hiện và kích hoạt mặc định, làm giảm thiểu đáng kể bộ nhớ khi so sánh với Unetlab.

Nhiều loại hình ảnh được hỗ trợ, cho phép người dùng dễ dàng tìm kiếm và lọc hình ảnh khi thêm node mới Tính năng này rất hữu ích, đặc biệt khi danh sách hình ảnh dài, giúp tiết kiệm thời gian và công sức trong việc tìm kiếm hình ảnh mong muốn.

3.3 Hệ điều hành Kali-Linux

Kali Linux là một bản phân phối Linux dựa trên Debian, được phát triển và tài trợ bởi công ty Offensive Security Ltd, chuyên về bảo mật thông tin và kiểm tra thâm nhập.

Kali Linux là một giải pháp lý tưởng cho những người học và làm việc trong lĩnh vực bảo mật, nhờ vào việc cung cấp đa dạng công cụ hỗ trợ cho các tác vụ như chuẩn bị, phân loại, thu thập và cập nhật công cụ bảo mật.

Năm 2006 năm Mati Aharoni, Devon Kearns and Raphặl Hertzog là những người đã phát hành một bản phân phối Linux dựa trên nền Ubuntu mang tên Backtrack.

Ngày 13 tháng 3 năm 2013 công ty Offensive Security Ltd chính thức phát hành Kali Linux, một bản nâng cấp toàn diện của Backtrack.

3.2.1.3 Tổng quát về Kali Linux

Offensive Security Ltd là một tổ chức uy tín trong lĩnh vực bảo mật, nổi bật với việc cung cấp chứng nhận cho các chứng chỉ bảo mật cao cấp như OSCP, OSCE, OSWP và OSEE.

Kali Linux là một hệ điều hành phổ biến trong lĩnh vực bảo mật, được sử dụng bởi cả hacker nhằm xâm nhập hệ thống và các chuyên gia bảo mật để bảo vệ thông tin.

Kali cung cấp một loạt công cụ kiểm thử thâm nhập và bảo mật, cùng với nhiều công cụ mã nguồn mở, giúp người dùng dễ dàng thực hiện kiểm tra bảo mật và tiết kiệm thời gian.

Kali Linux offers a wide array of tools designed to assist with various information security tasks, including penetration testing, security research, computer forensics, and reverse engineering.

3.3.2 Cách để có thể sử dụng hệ điều hành Kali Linux

Cũng như các hệ điều hành khác, Kali linux có thể được cài đặt trên các thiết bị khác như máy tính, laptop, server,

Hệ điều hành Kali Linux nổi bật với giao diện đồ họa đẹp mắt và khả năng tùy biến cao Ngoài môi trường GNOME, người dùng còn có thể lựa chọn các desktop khác như KDE hoặc XFCE để phù hợp với nhu cầu sử dụng của mình.

3.3.3 Đặc điểm giúp cho Kali Linux nổi bật

Kali cung cấp một loạt các tính năng không thể tìm thấy trên các bản phân phối Linux truyền thống:

 Trên 600 công cụ kiểm thử bảo mật hacking, pentest,

 Các công cụ thu thập thông tin mạng Nmap,

 Các công cụ tập trung tấn công, khai thác vào Wifi như Aircrack-ng, Kismet và Pixie.

 Đối với các nhu cầu kiểm thử tấn công khai thác vào mật khẩu sẽ có Hydra, Crunch, Hashcat và

 Có rất nhiều các công cụ hacking được cập nhật liên tục

3.3.4 Ưu điểm và nhược điểm

Đội ngũ phát triển của Kali Linux bao gồm những cá nhân đáng tin cậy, cam kết đảm bảo tính an toàn cho các gói và tương tác với các kho lưu trữ thông qua nhiều giao thức bảo mật.

Phần hạt nhân của Kali Linux cần được cập nhật thường xuyên với các bản sửa lỗi mới nhất để đảm bảo an toàn và ngăn chặn nguy cơ nhiễm virus.

MÔ PHỎNG CÁC KỸ THUẬT TẤN CÔNG HỆ THỐNG MẠNG VÀ GIẢI PHÁP PHÒNG VỆ

SYN-Flood

4.1.1 Phương thức tấn công SYN-Flood

 Tải và cài đặt máy ảo Eve-Ng trên Vmware https://drive.google.com/drive/folders/1LROqv-

Irpqt_Hr3QEZacaIc2LxRc9qcq

- Màn hình sau khi đăng nhập vào eve với user : root và password : eve

Hình 3.1 : Demo tấn công DoS

- Truy cập http://192.168.244.133/ bằng trình duyệt đăng nhập vào eve bằng

Username : admin và password : eve.

- Sau khi đăng nhập vào Eve, import file Lab đã dựng sẵn https://drive.google.com/drive/u/0/folders/

- Mô hình mạng được sử dụng trong demo Dos attack

- Tại đây với vị trí là attacker ta sẽ sử dụng Kali Linux để tấn công tới 1 trong 2 Server Với địa chỉ ip Kali là : 192.168.244.130.

- Ta đóng vai attacker dùng kali tấn công từ bên ngoài vào Public-Server 1 có địa chỉ IP là : 1.1.1.251

Để xác định địa chỉ của cổng e0/0 và e0/1 trên thiết bị, bạn có thể truy cập vào địa chỉ telnet://192.168.244.133:32769, đây là địa chỉ của máy ảo Eve Mỗi thiết bị trong bài lab sẽ tương ứng với số hiệu nằm sau dấu hai chấm.

- Dùng Putty để truy cập vào thiết bị GATE

 Để truy cập vào chế độ cấu hình của router ta nhập lệnh : Enable với password : Cisco

Sau đó nhập lệnh : Show ip interface brief để xem được địa chỉ các cổng của thiết bị GATE Ở đây ta thấy cổng e0/0 :

 Ta dùng trình duyệt truy cập vào địa chỉ 1.1.1.251 để vào website của server Với username : admin và password : admin@123.

 Ta tiếp tục kiểm tra tình trạng của CPU giao động khoảng dưới 10%.

 Tại máy kali ta nhập lệnh : ip route add 1.1.1.0/24 via 192.168.229.128 dev eth0 để có thể ping được đến địa chỉ của Server là 1.1.1.251.

- Tiến hành ping tới 1.1.1.251 và thành công.

- Tại kali truy cập website với địa chỉ là : 1.1.1.251 truy cập các mục một cách bình thường, service hoạt động tốt.

Để thực hiện cuộc tấn công SYN flood, chúng ta sử dụng lệnh: hping3 -S -p 80 1.1.1.251 flood Trong đó, -S có nghĩa là gửi gói tin TCP với cờ SYN, -p 80 chỉ định cổng 80, và 1.1.1.251 là địa chỉ IP của nạn nhân Tham số flood cho phép gửi gói tin với tốc độ tối đa mà không hiển thị phản hồi.

 Dùng Wireshark ta có thể thấy được có hàng ngàn gói tin được gửi từ địa chỉ của máy kali là 192.168.244.130 đến địa chỉ server là 1.1.1.251 qua port 80.

 Ta có thể thấy CPU lúc này phải hoạt động 82%.

 Tất nhiên là khi truy cập vào website sẽ xảy ra tình trạng delay hoặc là không thể kết nối được tới máy chủ.

 Mở Putty để truy cập đến route GATE

Hình 3.20 : Giải pháp đối với tấn công DoS

 tại giao diện của GATE nhập: enable với password : cisco để vào chế độ Privilege

 Tiếp tục nhập configure terminal để vào chế độ cấu hình.

 Nhập access-list 101 permit tcp any host

1.1.1.251 eq 80 khởi tạo ACL 101 cho phép các gói tin TCP đủ điều kiện đi qua cổng 80 đến địa chỉ 1.1.1.251.

 Nhập ip tcp intercept list 101

Bật tính năng TCP intercept với access-list vừa tạo

 Nhập ip tcp intercept mode intercept

Chuyển sang chế độ intercept mode

 Nhập ip tcp intercept drop-mode random

Bật chế độ drop mode random

Xác định khoảng thời gian chờ là 20 trước khi gửi kết nối mới tới máy chủ

 Nhập ip tcp intercept finrst-timeout 20

Thay đổi thời gian giữa nhận, kết thúc, gửi lại và thay đổi hoặc hủy kết nối là 20 giây

 Nhập ip tcp intercept connection-timeout 180

Khởi tạo thời gian chờ kết nối là 180s

 Nhập ip tcp intercept max-incomplete low 400 high 500

Thiết lập ngưỡng kết nối thấp nhất là 400 và cao nhất là 500 nếu vượt quá 500 kết nối sẽ tự động hủy để đạt còn 400 kết nối.

 Nhập ip tcp intercept one-minute low 200 high

300 Đặt ngưỡng cho số lượng yêu cầu kết nối nhận được trong một phút cuối cùng.

 Nhập End để kết thúc quá trình cấu hình.

 Nhập Write để lưu lại cấu hình.

Giải pháp này sử dụng Router để thực hiện quy trình bắt tay ba bước với Kali, đảm bảo rằng chỉ những kết nối hợp lệ mới được chuyển tới server Điều này giúp giảm thiểu tình trạng server phải xử lý các kết nối không thành công liên tục.

MAC-Overflow

4.2.1 Định nghĩa về địa chỉ MAC Địa chỉ MAC - Media Access Control: Là kiểu địa chỉ vật lí,đặc trưng cho một thiết bị hoặc một nhóm các thiết bị trongLAN Địa chỉ này được dùng để nhận diện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích.

4.2.2 Cấu trúc địa chỉ IP, MAC

Địa chỉ MAC bao gồm 6 byte, thường được viết dưới dạng hexa, và được nhà sản xuất gán sẵn cho mỗi thiết bị như card mạng, modem, hay router Địa chỉ này thường có hai định dạng: MM:MM:MM:SS:SS:SS (cách nhau bởi dấu :) hoặc MM-MM-MM-SS-SS-SS (cách nhau bởi dấu -) Địa chỉ MAC là một số 48 bit, với 24 bit đầu (MM:MM:MM) là mã số của nhà sản xuất (NSX) như Linksys hay 3COM, và 24 bit sau (SS:SS:SS) là số seri của từng card mạng Do đó, không có hai thiết bị nào có địa chỉ vật lý trùng nhau, vì ID này đã được lưu trong chip ROM trong quá trình sản xuất và không thể thay đổi Tóm lại, địa chỉ MAC là địa chỉ vật lý hay số nhận dạng (Identification number) của thiết bị, và được phân loại thành ba loại khác nhau.

 Unicast: đây là loại địa chỉ dùng để đại diện cho một thiết bị duy nhất.

Multicast là loại địa chỉ đại diện cho một nhóm thiết bị trong mạng LAN, cho phép một ứng dụng trao đổi thông tin với nhiều thiết bị cùng lúc Khi gửi một bản tin với địa chỉ multicast, tất cả các thiết bị trong nhóm sẽ nhận và xử lý gói tin, trong khi các thiết bị khác trong mạng sẽ bỏ qua Giao thức IP hỗ trợ truyền tải multicast, với địa chỉ MAC multicast tương ứng là 0100.5exxx.xxxx khi gói tin IP multicast được truyền qua LAN.

Địa chỉ Broadcast đại diện cho tất cả thiết bị trong cùng một mạng LAN, nghĩa là khi một gói tin với địa chỉ MAC FFFF.FFFF.FFFF được gửi, tất cả thiết bị trong LAN sẽ nhận và xử lý gói tin đó.

4.2.3 Tấn công làm tràn bảng CAM

Kiểu tấn công tràn bảng CAM khai thác điểm yếu của thiết bị chuyển mạch, khi bảng CAM chỉ có khả năng lưu trữ một số lượng ánh xạ hữu hạn, như switch Catalysh 6000 với tối đa 128.000 ánh xạ Các ánh xạ này không tồn tại mãi mãi và sẽ bị xóa sau khoảng 300 giây nếu không được sử dụng Khi bảng CAM đầy, tất cả thông tin đến sẽ được gửi tới tất cả các cổng ngoại trừ cổng nhận, khiến chức năng của switch trở nên giống như một hub.

Trong hình dưới, kẻ tấn công (host C) liên tục gửi các bản tin với địa chỉ MAC giả mạo từ host X và host Y Switch cập nhật những địa chỉ giả mạo này vào bảng CAM Khi host A gửi tin đến host B, vì địa chỉ của B không có trong bảng, switch sẽ phát gói tin ra tất cả các cổng, dẫn đến việc bản tin A gửi riêng cho B cũng bị chuyển đến host C.

Hình 4.2 : Sơ đồ bảng MAC

4.2.4 Phương thức tấn công MAC-Overflow

Attacker nằm bên trong sau khi đã chiếm quyền hoặc nhân viên đã bị mua chuộc , gián điệp trực tiếp tấn công từ bên trong vùng inside:

Hình 4.3 : Demo tấn công MAC Flooding

MAC size của thiết bị switch:

 Gửi liên tục MAC giả mạo khiến treo switch

 Switch cũng sẽ bị tấn công từ chối dịch vụ

Khi bảng MAC bị đầy, các địa chỉ MAC hợp lệ không thể được thêm vào, dẫn đến việc switch hoạt động theo kiểu flooding Điều này khiến cho dữ liệu giữa các PC được gửi đến tất cả các cổng thay vì đến cổng chính xác, do switch không tìm thấy địa chỉ MAC của các PC đó Hệ quả là kẻ tấn công có thể dễ dàng nghe lén thông tin truyền tải.

Bảng MAC trước khi bị tấn công :

Bên Kali thực hiện tấn công Mac-overflow:

 Sử dụng câu lệnh macof –I eth0

Xuất hiện các MAC giả mạo được Kali gửi liên tục :

Bên SW4 ta chạy lại câu lệnh show mac table để xem MAC address từ các cổng:

Ta thấy xuất hiện rất nhiều MAC giả mạo traffic từ cổng E0/1:

 Sử dụng câu lệnh clear dể xoá các MAC giả mạo

Giải pháp ta sử dụng port security bằng câu lệnh cho SW4 :

 switchport port-security mac-address sticky

 switchport port-security violation shutdown

Giải pháp port security trên một cổng này chúng ta chỉ cho

1 số lượng MAC nhất định nào đó đẻ kết nối vào và nếu có nhiều mac gửi kết nối vào sẽ shutdown cổng:

Hình 4.9 : Giải pháp với tấn công MAC Flooding

Sau đó bên kali ta gửi lại MAC địa chỉ giả mạo lần nữa :

Sau đó kiểm tra thấy cổng E 0/1 cua SW4 đã shutdown sau khi nhận quá nhiều địa chỉ MAC giả mạo :

Kiểm tra lại địa chỉ MAC thấy không có thay đổi bất thường.

Kiểu tấn công này có 2 hậu quả :

Khi có quá nhiều lưu lượng truy cập, bảng MAC sẽ bị đầy, dẫn đến việc tiêu tốn nhiều ô nhớ RAM và gây ra tình trạng treo switch Nếu hiện tượng này xảy ra trên hệ thống thực, bạn sẽ thấy đèn trên switch nhấp nháy liên tục và switch có thể tự khởi động lại do cạn kiệt tài nguyên.

Do đầy bảng MAC nhiều PC hợp lệ kết nối với nhau và khi trao đổi data với nhau thì switch sẽ flooding.

DHCP Starvation and Rogue Server Attack

DHCP, viết tắt của Dynamic Host Configuration Protocol, là giao thức quản lý phân phối địa chỉ IP tự động và tập trung trong mạng Nó không chỉ giúp phân phối địa chỉ IP nhanh chóng mà còn cung cấp thông tin cần thiết cho các thiết bị, bao gồm cấu hình subnet mask và cổng mặc định.

4.3.2 Cách thức hoạt động của DHCP Được giải thích một cách ngắn gọn nhất về cách thức hoạt động của DHCP chính là khi một thiết bị yêu cầu địa chỉ IP từ một router thì ngay sau đó router sẽ gán một địa chỉ IP khả dụng cho phép thiết bị đó có thể giao tiếp trên mạng.

Trong các hộ gia đình và doanh nghiệp nhỏ, router thường hoạt động như một máy chủ DHCP Tuy nhiên, trong các mạng lớn hơn, DHCP chỉ đóng vai trò như một máy tính.

Khi một thiết bị muốn kết nối với mạng, nó sẽ gửi yêu cầu DHCP DISCOVER tới máy chủ DHCP Sau khi nhận yêu cầu, máy chủ sẽ tìm một địa chỉ IP khả dụng và cung cấp cho thiết bị thông qua gói DHCPOFFER.

Khi thiết bị nhận được địa chỉ IP, nó sẽ gửi phản hồi đến máy chủ DHCP bằng gói DHCPREQUEST Nếu yêu cầu được chấp nhận, máy chủ sẽ gửi tín hiệu xác nhận (ACK) để xác nhận rằng thiết bị đã được cấp IP, đồng thời thông báo thời gian sử dụng địa chỉ IP cho đến khi có địa chỉ mới.

4.3.3 Phương thức tấn công DHCP Starvation and Rogue

Phần này chúng ta sẽ sử dụng 1 phương thức tấn công Tấn công này sẽ sử dụng đầy đủ quy trình cấp phát IP của DHCP:

 Đầu tiên Attacker gửi liên tục nhiều gói tin DHCP Discover lên cho DHCP server

 DHCP server cũng trả lời lại cho Attacker với gói DHCP Offer

 Attacker tiếp tục gửi gói DHCP Request để chấp nhận IP mà DHCP cấp trong gói DHCP Offer.

 DHCP Server gửi gói tin DHCP ACK để chấp nhận và kết thúc quá trình cấp IP cho Attacker.

Kẻ tấn công liên tục gửi gói tin DHCP Offer với một địa chỉ MAC đến máy chủ DHCP, lặp lại quá trình này cho đến khi máy chủ DHCP không còn địa chỉ IP để cung cấp cho kẻ tấn công.

 Cuối cùng sau khi máy chủ không còn IP để cung cấp, Attacker giả mạo thành máy chủ DHCP và cấp phát IP cho các thiết bị mới.

Sơ đồ bài lab Rogue DHCP Server with DHCP Starvation and Rogue

Hình 4.13 Sơ đồ bài lab tấn công DHCP Đầu tiên cấu hình IP cho cổng e0/0 và dịch vụ DHCP cho R1:

Hình 4.14 Demo tấn công DHCP

Sau đó từ cổng e0/0 của R2 ta gửi yêu cầu cấp phát IP đến máy chủ:

Tương tự với máy Kali ta cũng sẽ nhận được IP từ máy chủ:

Sau khi nhận được địa chỉ IP từ máy chủ Kali, quá trình tấn công bằng Yersinia được khởi động bằng cách gửi liên tục các gói tin DHCP Discover tới máy chủ DHCP.

Ta kiểm tra các địa chỉ IP đã cấp phát của R1 để thấy được cuộc tấn công(show ip dhcp binding):

Sau đó nhập lệnh show ip dhcp pool để xem các thông số về IP đã cấp phát và còn lại:

Máy chủ DHCP đã hết địa chỉ IP, do đó, máy Kali sẽ tiến hành tấn công giả mạo máy chủ DHCP nhằm mục tiêu vào các thiết bị mới khi chúng tham gia vào mạng để nhận địa chỉ IP.

Sau khi thực hiện giả mạo ta thử lắp một thiết bị mới là R3 và xin cấp phát IP động đến Server và xem kết quả :

R3 đã nhận được địa chỉ IP động từ máy Kali, điều này cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị, dẫn đến những hậu quả nghiêm trọng.

Bằng cách áp dụng tính năng port-security trên switch, người quản trị có thể ngăn chặn các cuộc tấn công bằng cách chặn các gói DHCP Discover liên tục, từ đó bảo vệ máy chủ DHCP khỏi tình trạng hết địa chỉ IP để phân phối cho các thiết bị Để thực hiện điều này, hãy sử dụng các câu lệnh phù hợp trên switch.

Hình 4.23 Giải pháp phòng vệ

Sau khi cấu hình port-security ta thử tiến hành lại cuộc tấn công từ máy kali gửi DHCP Discover:

Từ bên Switch ta thấy dòng thông báo ngắt cổng e0/3 cho thấy có cuộc tấn công từ cổng này:

Kiểm tra thông tin về DHCP bên R1 ta thấy chỉ có 5 địa chỉ ip được cấp phát và không còn bị tràn bảng, hết IP:

VLAN Hopping

LAN, viết tắt của cụm từ Local Area Network, chỉ một mạng cục bộ bao gồm tất cả các máy tính hoạt động trong cùng một miền quảng bá Trong khi Router (bộ định tuyến) có chức năng chặn tin quảng bá, Switch (bộ chuyển mạch) lại đảm nhiệm việc chuyển tiếp dữ liệu giữa các thiết bị trong mạng.

Việc cấu hình VLAN thường được thực hiện khi mạng máy tính của người dùng trở nên quá lớn và lưu lượng truy cập tăng cao VLAN giúp quản lý và tối ưu hóa mạng, đảm bảo hiệu suất và bảo mật cho các thiết bị kết nối.

Mạng VLAN sẽ được ứng dụng trong những trường hợp dưới đây:

 Hệ thống máy tính trong mạng LAN đạt hơn 200 máy.

 Bên trong mạng LAN lưu lượng quảng bá của người dùng đã đạt mức quá lớn.

 Người dùng có nhu cầu gia tăng bảo mật các dữ liệu trong quá trình làm việc nhóm.

 Hệ thống máy tính kết nối chậm vì có quá nhiều bảng tin quảng bá.

 Nhóm làm việc sử dụng chung các ứng dụng cần phải thuộc cùng một miền quảng bá.

 Người dùng có nhu cầu chuyển đổi Switch đơn thành nhiều Switch ảo.

Static VLAN là loại VLAN được thiết lập thông qua việc gán các cổng Switch vào một VLAN cụ thể Phương pháp này tương tự như việc một thiết bị kết nối vào mạng và tự động nhận diện mình thuộc về VLAN của cổng đó.

Trong trường hợp người dùng cần thay đổi cổng và truy cập vào một VLAN chung, quản trị viên cần khai báo cổng cho VLAN trong lần kết nối tiếp theo.

Dynamic VLAN là loại VLAN được tạo ra thông qua phần mềm như Ciscowork 2000 Người dùng sử dụng VLAN Management Policy Server (VMPS) để tự động đăng ký các cổng Switch kết nối với VLAN Quá trình kết nối này dựa vào địa chỉ MAC nguồn của thiết bị kết nối với cổng.

 Tương tự như mô hình thiết bị mạng, Dynamic VLAN hoạt động truy vấn một cơ sở dữ liệu dựa trên VMPS của các VLAN thành viên còn lại.

4.4.2 Phương thức tấn công VLAN Hopping

Tấn công VLAN hopping cho phép lưu lượng từ một VLAN truy cập vào các VLAN khác mà không cần định tuyến, giúp kẻ tấn công nghe trộm traffic trên các VLAN khác Hai kiểu tấn công VLAN hopping phổ biến là switch spoofing và double tagging.

Hình 4.27 Sơ dồ bài lab tấn công VLAN Hopping Đầu tiên ta cấu hình SW14 :

Hình 4.28 Demo tấn công VLAN Hopping

Sau đó cấu hình hiển thị vlan:

Cấu hình cổng e0/2 SW15 access vlan 192:

Từ máy Local-Server-3 hiển thị debug ip icmp để xem đã liên thông với PC-2 hay chưa:

Máy kali thực hiện tấn công bằng DTP để tạo đường trunk cổng e0/1 của SW14:

Sau khi thực hiện enabling trunking máy kali ta sang kiểm tra SW14 thấy cổng e0/1 đã trở thành trunk:

Tiếp theo máy kali thực hiện thêm cuộc tấn công sử dụng 802.1q gửi 2 gói enc:

Sau đó sử dụng Wireshark để nghe lén thông tin về icmp của vlan 192:

Sau khi biết được thông tin ID của vlan là 192 máy kali tiến hành thay đổi địa chỉ ip theo vlan để xâm nhập :

Sau đó tạo địa chỉ ip tĩnh theo ip của các thiết bị đã nghe lén được là

Sau khi thiết lập ip tĩnh thành công:

Tiếp theo ping thử đến máy Local-Server-3 đẻ xem kết quả:

Như vậy máy Kali đã thành công việc truy cập vào Vlan khác mặc dù không hề định tuyến trên thiết bị Switch.

Giải pháp cho cuộc tấn công này là ta cấu hình trên SW14 và SW15 sử dụng native vlan như sau :

Hình 4.41 Giải pháp phòng vệ VLAN Hopping

Hình 4.42 Giải pháp phòng vệ VLAN Hopping

STP Attack

Giao thức Spanning Tree Protocol (STP) được thiết kế để ngăn chặn sự lặp vòng trong mạng, cho phép các bridge giao tiếp và phát hiện vòng lặp vật lý STP sử dụng một thuật toán để xác định một topology logic không có vòng lặp, tạo ra một cấu trúc cây free-loop với các nhánh và lá kết nối tất cả các mạng lớp 2.

When a frame is received, the source MAC address is learned and added to the MAC address table Initially, with an empty MAC address table, the switch will flood the frame out of all ports.

The phenomenon known as Broadcast Storm Instability occurs when there are multiple frame copies in a network due to loops created by interconnected switches For instance, this can happen when a switch connects one port back to itself or when two switches are linked by two cables across four ports To combat this issue, IEEE established the 802.1D standard, also known as the Spanning Tree Protocol, which logically blocks one port to identify and eliminate loops in the network.

Khi các Switch được đấu nối khởi động nó sẽ gửi gói tin

BPDU(bridge protocol data unit) trên các port của Switch.

Thông số quyết định Sw nào được làm Root Sw là Bridge-ID(8 byte) gồm có các thông số :

 Priority(của switch): o Dài 2 byte, default = 32768. o Switch nào có chỉ số priority có chỉ số nhỏ nhất sẽ được chọn làm Root-switch

 MAC Address Switch: o Dài 6 byte. o Xét từ trái sang phải từng giá trị hexa thì switch nào có MAC nhỏ nhất làm Root-switch

Khi bầu xong Root-switch thì chỉ có Root-switch được gửi

Theo nguyên tắc đánh số MAC của nhà sản xuất, khi bầu chọn root-switch, thiết bị sẽ ưu tiên chọn switch đời đầu Do đó, trong thực tế, chúng ta không nên để bầu chọn dựa vào MAC mà nên điều chỉnh priority để đảm bảo lựa chọn chính xác hơn.

- Là port cung cấp đường về Root-switch mà có tổng path-cost là nhỏ nhất

- Khi bầu chọn Root-port thì Root-Switch không tham gia quá

- Mỗi non-Rootswitch chỉ có 1 Root-port

- Path-cost là giá trị cost trên từng cổng của Switch.

- Nguyên tắc tính tổng path-cost: tính từ Root-switch > switch đang muốn tính

 Cổng nào kết nối switch mà switch đó có bridge ID nhỏ nhất -> port đó sẽ được chọn làm Root-port.

Khi xác định root-port trong mạng, nếu Port ID của switch bên kia có giá trị nhỏ hơn, ta sẽ chọn port trên switch của mình kết nối với port ID nhỏ hơn đó Priority của port nằm trong khoảng từ 0 đến 255, với giá trị mặc định là 8; port nào có priority nhỏ hơn sẽ có Port ID nhỏ hơn Cuối cùng, vị trí của port cũng được xem xét theo thứ tự, trong đó port số 1 sẽ được ưu tiên hơn port số 2, dẫn đến port số 1 trở thành root-port.

Khi các luật trên không giải quyết được thì nó sẽ xét đến Port ID trên chính nó o Priority và vị trí của port

- Tất cả các port của Root-sw đều là Designated port

- Trên 1 phân đoạn nếu port đối diện là Root-port thì mình là Designated port(không có ý nghĩa ngược lại).

- Là port cung cấp đường về Root-sw trên phân đoạn mạng đang xét mà có tổng path-cost là nhỏ nhất.

Port còn lại là Alternated Port

- Khi 1 trong các phân đoạn khác bị đứt thì phân đoạn port block sẽ được mở ra để chạy.

- Khi phân đoạn trên có lại thì phân đoạn block sẽ tiếp tục bị block lại

Tuy port block không nhận được dữ liệu nhưng nó vẫn nhận gói tin BPDU từ Root-switch để duy trì cây spanning-tree.

4.5.2 Phương thức tấn công STP

Tấn công STP cho phép kẻ tấn công can thiệp vào quá trình bầu chọn cổng root trong giao thức STP, khiến các switch khác tin rằng có một đường dẫn tốt hơn đến switch gốc thông qua thiết bị của kẻ tấn công Điều này dẫn đến việc kẻ tấn công có thể thực hiện cuộc tấn công từ chối dịch vụ bằng cách gửi nhiều gói BPDUs, gây rối loạn mạng.

Hình 4.43 Sơ đồ bài lab tấn công STP Đầu tiên trên SW16 ta hiển thị show spanning-tree để xem cổng root thực:

Hình 4.44 Demo tấn công STP

Ta có thể thấy cổng e0/1 là công root và SW14 tương ứng là root switch, tiếp theo thực hiện ping từ PC4(192.168.200.4) đến PC-2(192.168.200.4):

Tiếp theo từ máy ảo Kali-linux ta thực hiện cuộc tấn công chọn kiểu tấn công Claiming root role:

Kiểm tra root port trên SW16 sau khi thực hiện tấn công:

Root port đã chuyển sang cổng E1/0, tương ứng với máy của kẻ tấn công Tiếp theo, máy ảo Kali liên tục gửi các gói BPDUs để thực hiện cuộc tấn công từ chối dịch vụ.

Sau khi gửi hàng triệu gói BPDUs từ máy PC-4 không thể ping được đến má PC-2 như trước:

Thực hiện cấu hình trên Switch với các lệnh sau:

Access-Cracking

4.6.1 Phương thức tấn công Access-Cracking

Kiểu tấn công này nhằm mục đích do thám các thiết bị trong hệ thống mạng bằng cách sử dụng kỹ thuật Nmap, đồng thời dò tìm tài khoản mật khẩu thông qua công cụ Hydra.

Hình 4.51 Sơ dồ bài lab tấn công Access-Cracking

Máy kali từ vùng ngoài outside có địa chỉ ip 192.168.229.140:

Hình 4.52 Demo tấn công Access-Cracking

Sau đó thực hiện câu lệnh sử dụng nmap(nmap -O -v

192.168.229.130) để thực hiện xem chi tiết thiết bị của địa chỉ tìm thấy như hệ điều hành, cồng đang mở,…

Phát hiện được router mở cổng 23 telnet máy kali thực hiện dò tài khoản mật khẩu để xâm nhập(hydra -l admin -P

/usr/share/wordlists/rockyou.txt.gz telnet://192.168.229.130) :

Sau khi dò được tài khoản và mật khẩu đăng nhập attacker thực hiện telnet vào router :

Telnet thành công attacker tiếp tục thực hiện câu lệnh show để xem các cổng của thiết bị có thiết bị nào kết nối đến:

Sau khi hiển thị được thông tin địa chỉ ip của các cổng router attacker tiếp tục sử dụng câu lệnh “ip route add

192.168.200.0/24 via 192.168.229.130” để dẫn đường cho máy attacker vào trong được vùng ip 192.168.200.0/24:

Sau đó tiếp tục làm lại việc ping –b đến gateway

192.168.200.255 để xem thiết bị nào trả lời:

Tiếp tục thực hiện do thám sử dụng nmap với 1 trong những địa chỉ ip đã trả lời để xem chi tiết thông tin (nmap -O -v

Hệ điều hành của thiết bị mới cho phép chúng ta xác định số cổng đang mở, từ đó thực hiện các bước xâm nhập tiếp theo theo hướng dẫn đã được cung cấp.

Giải pháp hiệu quả cho kiểu tấn công này là lắp đặt thiết bị tường lửa và cấu hình chính xác các luật để ngăn chặn lưu lượng truy cập trái phép vào hệ thống mạng.

ARP-Poisoning

ARP (Address Resolution Protocol) là giao thức phổ biến dùng để xác định địa chỉ MAC từ địa chỉ IP trong mạng cục bộ Khi một gói tin được gửi đi, địa chỉ IP đích cần được chuyển đổi thành địa chỉ MAC để có thể truyền qua tầng liên kết mạng Quá trình này bắt đầu với một ARP request, và máy đích sẽ phản hồi bằng một ARP reply, cung cấp địa chỉ MAC tương ứng với địa chỉ IP đã yêu cầu ARP hoạt động theo cơ chế phi trạng thái.

Máy chủ mạng tự động lưu trữ mọi ARP reply mà nó nhận được, bất kể có yêu cầu từ máy khác hay không Các mục ARP chưa hết hạn cũng sẽ bị ghi đè khi nhận gói tin ARP reply mới Giao thức ARP không cung cấp phương pháp nào để xác nhận nguồn gốc của gói tin, tạo ra lỗ hổng cho phép xảy ra hiện tượng ARP spoofing.

4.7.2 Phương thức tấn công ARP-Poisoning

ARP spoofing, hay còn gọi là ARP poisoning, là một kỹ thuật tấn công trong mạng máy tính, nơi kẻ tấn công giả mạo thông điệp ARP để kết hợp địa chỉ MAC của mình với địa chỉ IP của máy chủ khác, như cổng mặc định Điều này dẫn đến việc lưu lượng truy cập hướng đến địa chỉ IP đó sẽ bị chuyển hướng đến kẻ tấn công, cho phép họ chặn, sửa đổi hoặc ngăn chặn lưu lượng mạng Kỹ thuật này thường được sử dụng như một bước khởi đầu cho các cuộc tấn công khác, bao gồm tấn công từ chối dịch vụ, tấn công Man-in-the-middle, hoặc các cuộc tấn công cướp liên lạc dữ liệu, và chỉ xảy ra trong mạng cục bộ.

Hình 4.61 Sơ dồ bài lab tấn công ARP-Poisoning

Theo sơ đồ trên ta tập trung cho 2 thiết bị là PC-2, Local-Server-

The GATE device and Local-SERVER-3, with the IP address 192.168.200.5, serve as the DHCP server, while PC-2 is assigned the IP address 192.168.200.6 Subsequently, an ARP poisoning attack is executed from the Kali machine using the Ettercap tool.

Hình 4.62 Demo tấn công ARP-Poisoning

Sau khi thực hiện tấn công, thông tin ARP của hai thiết bị nạn nhân cho thấy chúng đều sử dụng chung một địa chỉ MAC, đó chính là địa chỉ MAC của máy Kali.

Sau đó thực hiện máy PC-2 telnet đến máy Local-Server-3:

Từ đây máy kali có thể thực hiện nghe lén tài khoản và mật khẩu sử dụng công cụ WireShark:

Ta có thể thấy hiện tài khoản và mật khẩu để telnet đến Local- Server-3:

Giải pháp hiệu quả để ngăn chặn các gói ARP giả mạo từ kẻ tấn công là sử dụng tính năng IP snooping trên Switch14 Dưới đây là cấu hình cần thiết cho SW14 để thực hiện biện pháp này.

Hình 4.68 Giải pháp tấn công ARP-Poisoning

Sau khi cấu hình máy kali thực hiện tấn công lại sẽ xuất hiện các dòng thông báo chặn gói ARP của cổng e0/1 SW14:

Và địa chỉ MAC của 2 thiết bị PC-2 và Local-SERVER-3 không bị thay đổi

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

Những kết quả đạt được trong đề tài:

 Mô phỏng được mô hình mạng thiết kế trên công cụ EVE- NG.

 Tìm hiểu được các lỗ hổng về mặt cấu hình cũng như các kiểu tấn công phổ biến.

 Thành thạo một số công cụ có sẵn trên hệ điều hành Kali Linux.

 Đưa ra được các giải pháp ngăn chặn các cuộc tấn công. Những hạn chế:

Kinh nghiệm thực tế trong lĩnh vực an ninh mạng còn hạn chế, cùng với kiến thức về các lỗ hổng bảo mật chưa đầy đủ, dẫn đến việc chưa khai thác được nhiều kiểu tấn công mới.

 Chưa vận dụng được nhiều công cụ để tạo ra mã khai thác hoặc công cụ không có sẵn để thực hiện tấn công và phòng chống.

Hướng phát triển tương lai:

Sau khi thành thạo các công cụ trên Kali Linux và nâng cao kỹ năng lập trình với Python, bạn có thể phát triển một ứng dụng hoặc trang web riêng để thực hiện kiểm tra xâm nhập (pentest) cho hệ thống Bên cạnh đó, bạn cũng có thể tập hợp các công cụ đánh giá an toàn thông tin, giúp người dùng dễ dàng học tập và sử dụng.

Qua đây em xin được gửi lời cảm ơn thầy đã tận tình giúp đỡ, hướng dẫn em hoàn thành đề tài này

Em Xin Chân Thành Cảm Ơn!

Định dạng
Số trang	116
Dung lượng	8,47 MB
File đính kèm	Bảo vệ tốt nghiệp.rar (8 MB)