HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I TIỀU LUẬN MÔN HỌC “AN NINH MẠNG VIỄN THÔNG” Đề tài : CÁC KIỂU TẤN CÔNG CƠ BẢN TRÊN MẠNG MỤC LỤC PHÂN CÔNG CÔNG VIỆC A MỞ ĐẦU Lý chọn đề tài 2 Mục đích phạm vi phương pháp tiểu luận B NỘI DUNG CHÍNH Tấn công từ chối dịch vụ (Denial of Service Attacks) Tấn công tràn lụt tin đồng (SYN Flood) 3 Gói tin khơng định dạng (Malformed Packet) Tấn công tràn lụt UDP (UDP Floods) Các công khuếch đại (Amplication Attacks) 10 Các công phân tán (Distributed Attacks) 12 Cuộc công tán xạ ngược (Backscatter) 14 Khai thác lỗ hổng bảo mật (Vulnerability Exploits) 16 Mối đe dọa nội (Insider Threats) 19 10 Sự trốn tránh (Evasion) 21 11 Tấn công ứng dụng (Application Attacks) 23 C KẾT LUẬN 27 THUẬT NGỮ VÀ VIẾT TẮT 29 TÀI LIỆU THAM KHẢO 29 BÀI TIỂU LUẬN MÔN ANM BÀI TIỂU LUẬN MÔN ANM A MỞ ĐẦU Lý chọn đề tài Xã hội ngày phát triển, nhu cầu giao tiếp, truyền thông ngày gia tăng Từ điện thoại chuyển mạch thủ công dùng để nghe gọi, đến smartphone mang giới đến gần với người Nhưng song song với hiểm họa khôn lường mang tên “Tấn công mạng” Từ cuối kỷ XX đến nay, có hàng ngàn vụ công vào hệ thống lớn nhỏ nhằm phá hoại, lợi dụng, tước đoạt thông tin quan trọng khơng tổ chức uy tín giới, khiến thiệt hại nhiều mặt an ninh tài giới Về bản, cơng mạng chia thành loại cơng thụ động cơng tích cực Tấn cơng thụ động việc cố gắng lấy lợi dụng thông tin hệ thống không ảnh hưởng đến tài nguyên hệ thống Tấn cơng tích cực hành động cố gắng thay đổi tài nguyên hệ thống gây ảnh hưởng đến hoạt động họ Hầu hết cơng có dấu hiệu nhận biết hướng khắc phục Vì vậy, phạm vi tiểu luận này, nhóm sinh viên chúng em tập trung nêu số công bật mạng dấu hiệu nhận biết cơng Mục đích phạm vi và phương pháp tiểu luận Bằng khái niệm, dấu hiệu ví dụ cơng tìm hiểu qua tài liệu tham khảo nguồn liệu mở, chúng em muốn cho thấy rõ đa dạng cách thức công tin tặc, đồng thời lỗ hổng hệ thống, giao thức mạng Viễn Thông Những biện pháp dừng mức phòng ngừa, khắc phục rủi ro loại hình cơng Phạm vi tiểu luận chủ yếu xoay quanh công “Từ chối dịch vụ” nhằm phá hoại hệ thống công chủ động nhằm chiếm đoạt thông tin người dùng quyền kiểm soát hệ thống BÀI TIỂU LUẬN MƠN ANM B NỘI DUNG CHÍNH Tấn cơng từ chối dịch vụ (Denial of Service Attacks) Một công từ chối dịch vụ tập trung vào việc: làm cho dịch vụ không khả dụng người dùng Cách thức thực chúng đa dạng như: cơng gói SYN, UDP, cơng phân tán… Ví dụ cơng Michael Calce Năm 2000, Michael Calce biệt hiệu MafiaBoy hack vào loạt website lớn giới có “eBay”, “Amazon” “Yahoo!” khoảng thời gian từ 6/2 đến 14/2/2000 Hắn ta chiếm quyền kiểm sốt 75 máy tính 52 mạng khác nhau, tiếp tục lệnh công từ chối dịch vụ vào hệ thống Hắn ta bị bắt năm 2000 Trong có cơng “Rivolta”, có nghĩa “cuộc loạn” tiếng Ý Đó cơng “từ chối dịch vụ phân tán” làm cho máy chủ trở nên tải với loại yêu cầu giao tiếp khác tới mục tiêu, nơi mà chúng phản hồi với mệnh lệnh Ở thời điểm “Yahoo!” công ty web trị giá hàng tỷ la cơng cụ tìm kiếm hàng đầu Cuộc cơng đóng cửa “Yahoo!” gần Mục tiêu công từ chối dịch vụ khiến cho ISP(nhà cung cấp dịch vụ Internet) từ chối dịch vụ yêu cầu gửi đến người dùng bình thường Trong số trường hợp khác, công giống liên lạc thông thường, khác lưu lượng Đó kiểu cơng tràn lụt (flood), mục tiêu tiêu thụ hết tài nguyên có sẵn để khơng khách hàng khác truy cập vào Tuy nhiên, có giải pháp dễ dàng để chống lại - tăng nguồn tài nguyên lưu lượng lên Điều không làm cho cơng biến mất, gây khó khăn cho kẻ cơng Các công tiêu thụ tài nguyên không cách để loại bỏ dịch vụ Một chiến lược khác làm cho dịch vụ bị lỗi gặp cố kích hoạt lỗi ứng dụng khiến ứng dụng bị kiểm soát bị treo Để làm điều này, kẻ công gửi thông tin đầu vào mà ứng dụng không mong đợi Nếu ứng dụng có khả kiểm tra kém, chúng khơng phản hồi với đầu vào tiếp nhận cách bình thường Do đó, ứng dụng khơng biết phải làm kết bị dừng đột ngột Tấn cơng tràn lụt tin đồng bộ (SYN Flood) Một cơng thuộc DoS gửi liên tục tin đồng (SYN) Trong phiên truyền thông TCP, cách bắt tay ba bước hoạt động sau: hệ thống gửi BÀI TIỂU LUẬN MÔN ANM tin TCP với cờ SYN hệ thống nhận gửi lại tin TCP với cờ SYN ACK Giữa chúng, số thứ tự thiết lập, cơng này, điều khơng thực Cuộc cơng đặt số thứ tự thành số đơn giản khơng có ý định thiết lập kết nối Khi kẻ công gửi SYN ban đầu nạn nhân phản hồi SYN/ACK, kết nối trạng thái nửa mở Trong hệ thống chờ ACK cuối để thiết lập kết nối, phải trì kết nối nửa mở Các hệ thống khơng có tài ngun vơ hạn Một hệ thống có khe tài nguyên định cho kết nối nửa mở Khi số lượng khe hết, khơng cố gắng thiết lập kết nối thêm Mục tiêu công tràn lụt SYN lấp đầy khe tài nguyên mà hệ thống đích có sẵn cho kết nối nửa mở Khi kẻ công thực điều này, khơng khác bắt đầu kết nối, có nghĩa khơng hồn thành kết nối có quyền truy cập vào dịch vụ diễn cổng Năm 1997, thời báo New York có đưa tin công vào Panix (Công ty Cổ phần Mạng Truy cập Công cộng) New York Bắt đầu từ ngày tháng năm 1996 tiếp tục đến vào thứ Ba tuần trước, tin tặc có ý định đóng cửa Panix làm điều đó, cách bắn phá máy chủ nhà cung cấp dịch vụ loạt yêu cầu kết nối giả mạo, ngăn chặn yêu cầu thực khách hàng hợp pháp Kẻ công gửi "gói SYN", yêu cầu kết nối với máy, tới máy chủ thư, Web tin tức Panix, máy quản lý thông tin đăng nhập người dùng máy chủ định danh nó, thường xuyên 150 lần giây Ngoài ra, nguồn gốc gói tin giả mạo để khơng thể dễ dàng truy tìm Do đó, khơng có biện pháp phịng thủ chống lại cơng ngắn hạn gói tin khơng xác định nguồn gốc Thơng thường, gặp trường hợp cách đơn giản để giải tăng số lượng khe tài nguyên khả dụng để chứa nhiều kết nối nửa mở hơn, đặc biệt có kết nối nửa mở cuối hết thời gian giải phóng khe giữ Đó cách giải tình huống, khơng hiệu hồn tồn Mặc dù hệ thống có số lượng kết nối nửa mở không giới hạn, để giải vấn đề lâu dài, đáp ứng nhu cầu tài nguyên khả dụng không giới hạn, điều hướng giải thực tế hiệu Tấn cơng tràn lụt SYN dễ dàng bị phát Dấu hiệu bắt đầu xem xét lưu lượng mạng, có nhiều thơng báo SYN thơng báo SYN/ACK tương ứng mà khơng có thơng báo ACK quay lại Khi máy chủ sử dụng biện pháp gửi gói tin ngắt kết nối yêu cầu gửi lại gói ban đầu, RST packet Một ví dụ SYN flood chụp tcpdump Hình Một điều cần lưu ý thời gian giống tất khung hình nhìn thấy ảnh chụp Điều có nghĩa tin nhắn SYN gửi với thời gian tạm dừng micro giây khung hình, gói tin đến nhanh Thời điểm khung BÀI TIỂU LUẬN MÔN ANM đẩy lên đường truyền, cịn lại micro giây trước khung gửi Điều khó để quan sát tin nhận xen kẽ với tin phản hồi gửi Tuy nhiên, thấy rằng, Hình hình ảnh bắt giữ SYN Kẻ công gửi SYN ban đầu đến hệ thống đích phản hồi SYN nó, chữ số xác nhận để nhận tin nhắn SYN kẻ công Khi kẻ công ngẫu nhiên hóa địa nguồn, xảy trường hợp Với địa nguồn ngẫu nhiên hóa, Hình 1: tcpdump cơng tràn lụt SYN kẻ công không lấy lại tin SYN/ACK Một số hệ thống ngẫu nhiên mạng nhận SYN/ACK phản hồi gói RST để SYN/ACK bị lỗi Khơng có gói RST hiển thị phiên chụp Khi sử dụng địa nguồn hoàn toàn ngẫu nhiên, địa nguồn đơn giản khơng thể truy cập SYN/ACK khơng đến đích nó, có nghĩa gói RST không đến Bản tin SYN/ACK tin RST tiếp tục làm tắc nghẽn kết nối mạng Trong trường hợp cố gắng áp đảo hệ điều hành mục tiêu ngăn thực nỗ lực kết nối nào, gói RST vơ nghĩa, cần dành phần nhỏ trình xử lý để xem xét chúng định phải làm Một số lượng lớn tin nhắn RST bị quay trở lại thông qua mạng dấu hiệu cho thấy có điều xảy Tương tự, thấy số lượng lớn thông báo SYN/ACK đường vào mà khơng có thơng báo SYN tương ứng đường ra, có khả địa IP người dùng sử dụng làm nguồn giả mạo nỗ lực gây tràn lụt SYN Liệt kê cho thấy số tin bị giả mạo Bản tin ban đầu đến giống thơng báo SYN bình thường SYN/ACK quay lại gửi đến địa IP Liệt kê 1: Các tin nguồn giả mạo BÀI TIỂU LUẬN MÔN ANM Việc giả mạo địa đường truyền mạng dễ thực Bởi khơng có biện pháp bảo vệ IP chống lại việc giả mạo địa chỉ, nên rơi vào giao thức khác để cung cấp biện pháp bảo vệ Đây phần chức trình bắt tay ba bước Bạn khơng thể tạo kết nối hồn chỉnh với hệ thống khác cách giả vờ người khác cách sử dụng TCP Tuy nhiên, việc bảo vệ chống giả mạo lớp TCP không ngăn chặn công Bên cạnh đó, địa giả mạo khơng phải thao tác gói liệu độc hại gây cố cho hệ thống Gói tin khơng định dạng (Malformed Packet) Mọi giao thức có định nghĩa Định nghĩa giao thức sử dụng để ghi lại hành vi mong đợi thiết bị hỗ trợ cho giao thức Thời điểm người dùng có hành vi ngồi dự đốn(off-book), chương trình (chịu trách nhiệm lấy liệu đầu vào xử lý chúng) có vấn đề Những vấn đề diễn đâu dọc theo hệ thống mạng Trong lịch sử, có vấn đề xảy với gói tin lớn yêu cầu phân mảnh, ví dụ gói khơng định dạng Trong trường hợp phân mảnh che khuất chồng chéo, hệ thống đích khơng thể tập hợp xác gói tin Giả sử kích thước gói 100 byte che khuất phân mảnh cho thấy gói thứ hai bắt đầu byte thứ 90 Gói thứ ba nên đặt byte thứ 150, tất nhiên gói thứ ba thực bắt đầu byte thứ 201 Cuộc công đặc biệt gọi công Giọt nước mắt (Teardrop attack) Một số hệ điều hành khơng có khả lắp ráp xác gói từ khung nhận, chúng bị lỗi (một số phiên Linux Windows dễ bị cơng này) Hình cho thấy ảnh chụp công Giọt nước mắt BÀI TIỂU LUẬN MƠN ANM Hình Q trình bắt gói tin cơng Giọt nước mắt Việc bắt giữ gói tin Hình cho thấy số đoạn gói tin Có thể thấy khung 380 byte khung thứ hai offset 376 Điều tạo chồng chéo khung bị phân mảnh phải offset 380, offset 376 Một gói bắt đầu byte bao gồm 380 byte kết thúc byte 379 Wireshark thường giỏi việc xác định lỗi trình bắt gói, trường hợp này, khơng nhận gói khơng thể ráp lại với thơng tin cung cấp khung có nhận Một công khác tập trung vào phần cuối ngăn xếp mạng công từ chối mạng cục (LAND) Để kích hoạt lỗ hổng này, kẻ công giả mạo địa nguồn đặt giống với địa đích, sau gửi tin SYN đến mục tiêu Điều làm cho hệ thống gửi thơng điệp cho khơng thể nhận xảy ra, tự phản hồi lại Điều khiến hệ điều hành đích bị khóa Một số cơng khác phát triển qua nhiều năm Những kẻ công luôn khai thác điểm yếu việc kiểm tra ranh giới khơng xác khả xác nhận đầu vào hệ thống Các ngăn xếp IP hầu hết sửa chữa để chống lại công vào mạng giao thức truyền tải Tuy nhiên, điều khiến lớp ứng dụng mở để cơng Để nhận cơng xảy địi hỏi hiểu biết giao thức cách hoạt động Có thể nhiều cơng sức để hiểu dù số lượng nhỏ giao thức lớp ứng dụng Tuy nhiên, số trường hợp, cơng dễ dàng phát Hãy xem xét trường hợp Giao thức truyền siêu văn (HTTP) Một thông báo HTTP đơn giản đến máy chủ giống yêu cầu GET hiển thị Liệt kê Liệt kê 2: Yêu cầu nhận HTTP đơn giản Sau tất thông tin kết nối, yêu cầu GET/HTTP/1.1 thể hệ thống cố gắng tiếp nhận trang mục mặc định cấp cao Dấu “/” cấp cao máy chủ BÀI TIỂU LUẬN MÔN ANM web khơng có u cầu trang cụ thể, máy chủ web trả lời với trang mặc định thư mục Sau Mã định danh tài nguyên đồng (URI) giao thức phiên Trong trường hợp này, HTTP/1.1.Version 1.1 yêu cầu định máy chủ lưu trữ có nhiều máy chủ ảo địa IP cụ thể Trên dòng tiếp theo, Máy chủ (Host): trường định yêu cầu giải máy chủ cụ thể Một dịng trống thơng báo cho máy chủ u cầu hồn tất phản hồi Sau dịng trống đây, bạn thấy hai dịng tiêu đề gửi lại từ máy chủ đề cập Ngược lại, xem yêu cầu HTTP không định dạng Đây cơng phổ biến nhiều thơng tin quan trọng có sẵn máy chủ web Các máy chủ web sử dụng HTTP để giao tiếp với khách hàng họ, cho dù ứng dụng di động hay trình duyệt web Các yêu cầu sai định dạng (Malformed Requests) lúc độc hại Các chương trình khách viết tạo yêu cầu không tốt Trong hầu hết trường hợp, phần mềm ứng dụng xử lý khơng xác tạo lỗi tin Tuy nhiên, có trường hợp phần mềm máy chủ, chí phần mềm máy khách, không phát triển tốt Yêu cầu không hợp lệ gây điều kiện bị xử lý Dù có chủ định hay khơng, lỗi xử lý khiến phần mềm gặp cố phần mềm gặp cố, người dùng có điều kiện từ chối dịch vụ Dựa vào giao thức lớp truyền tải sử dụng, ứng dụng cần xử lý khía cạnh điều khiển máy khách Trong TCP xử lý việc điều khiển đăng nhập (điều không thực UDP) dẫn đến nhiều mã bị sai phía máy chủ Ngồi ra, mở cánh cửa để ứng dụng xử lý nhiều (Thụ động) Tấn công tràn lụt UDP (UDP Floods) Mục đích cơng tràn lụt UDP tiêu thụ tất băng thơng mạng có sẵn Bởi hệ điều hành khơng thực kiểm sốt truy nhập với TCP, ứng dụng thực nhiều công việc cách sử dụng UDP Điều làm cạn kiệt lượng tài nguyên xử lý sử dụng Gửi lượng lớn yêu cầu giả mạo vào ứng dụng ứng dụng lãng phí chu kỳ CPU cố gắng xác định xem yêu cầu có ý nghĩa đống rác Do đó, UDP Floods có khả trở thành vấn đề dịch vụ Ở cấp độ hệ điều hành, xem xét giao thức nhị phân tiêu đề TCP số bit byte ghép lại với theo cách xác định rõ ràng Các giao thức nhị phân yêu cầu xử lý đáng kể Theo nguyên tắc chung, ứng dụng BÀI TIỂU LUẬN MÔN ANM Vật liệu ngược quan sát kính viễn vọng mạng, đơi gọi lỗ đen Điều hệ thống thiết kế để quan sát lưu lượng mạng Đặc biệt, thứ mà tìm kiếm traac đến địa IP không sử dụng Nhiều địa IP không sử dụng từ không gian chưa phân bổ dành riêng Nếu lưu lượng truy cập dành cho không gian chưa phân bổ dành riêng, coi đáng ngờ theo mặc định Với khơng có đầu bên để nhận tin nhắn, khơng có lý để bắt đầu gửi Phần lớn cố đến từ cơng giả mạo, vậy, hữu ích thiết lập hệ thống để quan sát loại giao thông Backscatter loại hoạt động mạng thấy tốt mạng lớn thấy nhiều hoạt động kiểm sốt nơi Tuy nhiên, mạng cục bắt đầu thấy nhiều tin nhắn đến từ khơng gian mạng chưa phân bổ, có cơng xảy Bảng cho thấy địa chỉ, nhìn thấy, cho biết có điều độc hại xảy mạng bạn Địa multicast địa đích khơng nguồn địa Nếu bạn sử dụng mạng sử dụng địa riêng RFC1918, tất nhiên bạn thấy địa IP từ phạm vi mạng cục bạn Bởi lưu lượng truy cập RFC1918, theo quy ước, định tuyến Internet, bạn khơng thấy thơng báo đến từ Internet bạn kết nối Ngay tin nhắn từ bên mạng bạn đưa bên địa riêng tư vị trí nguồn, khơng có cách để người nhận trả lại tin nhắn bạn khơng thấy quay trở lại Bảng 1: Các địa khơng xác định (Martian Addresses) NHĨM 15 BÀI TIỂU LUẬN MƠN ANM Mặc dù khơng có địa số xuất dạng địa nguồn vào mạng bạn, khơng phải tồn bộ sưu tập thơng báo khó nhìn thấy Vẫn cịn sưu tập địa chưa phân bổ nằm rải rác Internet kiểm soát số lượng lớn tổ chức Mặc dù tất địa IP phân bổ quan đăng ký Internet khu vực, có cơng ty có khối địa IP khơng sử dụng Do đó, thật khó để tạo danh sách đầy đủ tất địa mà từ bạn khơng thấy tin nhắn, địa vừa hiển thị khởi đầu tốt Để nắm bắt thơng báo này, định tuyến mạng định cấu hình để gửi tất lưu lượng dành cho địa Hỏa đến máy chủ cụ thể để nắm bắt Khối lượng lớn ngày tăng chuyển đến thiết bị giám sát bạn cung cấp cho bạn cảnh báo công từ chối dịch vụ xảy Trong số trường hợp, tường lửa định tuyến định cấu hình để cần thả loại bỏ tin nhắn Xác minh đường dẫn ngược thuật ngữ để định tuyến đảm bảo gói phải đến giao diện cụ thể Mặc dù điều giúp ngăn chặn tình trạng xấu xa mạng đường dẫn, việc loại bỏ thông báo khơng cung cấp cách để phân tích kiện Cisco phát triển tính định tuyến có tên NetFlow Sử dụng NetFlow, triển khai thiết bị khơng phải Cisco, bạn xem dịng traac mạng trơng Đây cách để quan sát hành tinh Hỏa tốt siêu liệu tin nhắn tổng hợp Bạn thấy giao diện mà traac đến, nguồn địa IP đích, cổng nguồn cổng đích giao thức IP (ví dụ: TCP, ICMP, UDP, v.v.) loại dịch vụ IP Bạn nhận ngày mà luồng bắt đầu thời lượng giao tiếp Khai thác lỗ hổng bảo mật (Vulnerability Exploits) NHĨM 16 BÀI TIỂU LUẬN MƠN ANM Các công từ chối dịch vụ dễ dàng phổ biến, chúng chủ yếu gây khó chịu Chúng gây cố, dẫn đến việc kinh doanh bị thua lỗ thời gian xảy công tiến hành Tuy nhiên, điều tồi tệ thỏa hiệp hệ thống Mặc dù phổ biến xâm nhập hệ thống xảy cách gửi cho người dùng phần mềm độc hại, cịn cơng khác điều dẫn đến thỏa hiệp hệ thống Với dịch vụ mạng cho phép kẻ công gửi liệu vào ứng dụng, kẻ cơng gửi tin nhắn chế tạo đặc biệt cho phép chúng truy cập vào hệ thống, thường khơng có loại xác thực Ví dụ, Hình cho thấy cơngchống lại dịch vụ biên dịch chương trình phân tán gọi distcc Hình 8: Tấn cơng distcc Đây chụp gói cho thấy cơng Wireshark gắn cờ có cố Nếu bạn nhìn vào phần giải mã ASCII cùng, bạn thấy chương trình ngắn gửi đến máy chủ distcc Máy chủ phân phối cụ thể có lỗ hổng kẻ cơng gửi lệnh giao diện dịng lệnh yêu cầu chúng thực thi trình máy chủ Kết là, đặc biệt payload (phần công thực chạy máy chủ) chứa lệnh máy chủ để bắt đầu kết nối mạng trở lại kẻ công cách sử dụng máy khách telnet Kẻ cơng có q trình chạy chờ kết nối trở lại từ máy chủ nạn nhân Một ngược lại kết nối thực hiện, kẻ cơng có kết nối trực tiếp đến máy chủ mục tiêu Sử dụng kết nối đó, kẻ cơng đưa lệnh shell, giống thể mở phiên dòng lệnh mặt vật lý hệ thống đích Mặc dù cơng dễ dàng nhận thấy dạng rõ, khơng phải tất cơng Có lẽ phổ biến hơn, công khai thác lỗ hổng bảo mật sử dụng ngơn ngữ mà máy móc sử dụng Thay lệnh dựa văn bản, máy tính bạn sử dụng mã hoạt động nhị phân mà xử lý hiểu NHĨM 17 BÀI TIỂU LUẬN MÔN ANM Một kỹ thuật cơng tràn buber Chương trình thu nhận liệu thành phần nhỏ khối nhớ gọi bubers Buber có kích thước cố định kẻ cơng đẩy thêm liệu vào buber dự định giữ, vị trí nhớ liên tiếp vượt kích thước cố định buber bị ghi đè Điều cho phép kẻ công đưa mã mà xử lý thực thi Mã mã nhị phân, có nghĩa khơng phải giá trị biểu diễn dạng in nhân vật Bạn xem ví dụ cơng tràn Hình Hình 9: Tấn cơng vượt đệm Cuộc công cụ thể công tràn việc nhập mật vào Giao thức truyền tệp (Máy chủ ftp PASS lệnh gửi đến máy chủ FTP tham số mật cho tên người dùng gửi trước Cuộc cơng làm tràn buber thiết lập dành cho trường mật Những bạn thấy ảnh chụp hình liệu nhị phân biểu diễn ký tự ASCII Hầu hết chúng in ký tự biểu diễn dạng dấu chấm ký tự dễ nhận biết Có số ký tự dễ nhận biết đó, đơi liệu nhị phân cần thiết để thực công phù hợp với ASCII giá trị cho ký tự in Cuộc cơng cụ thể dễ thấy FTP giao thức dựa văn Thông tin mà truyền phải dạng văn rõ ràng người dễ dàng đọc Trong trường hợp này, chúng tơi có hỗn hợp rõ liệu nhị phân Điều cho thấy có lẽ có điều khơng nên diễn Tuy nhiên, lần nữa, điều đòi hỏi số quen thuộc với giao thức sử dụng Để biết điều khơng nên xảy ra, điều quan trọng phải biết điều xảy Các cơng khác xảy dịch vụ dễ bị cơng Có thể xảy tràn Buber, chúng vectơ công tiếng khoảng ba mươi năm ghi chép đầy đủ cách đột nhập vào hệ thống khoảng hai mươi cuối Một kiểu công khác mà bạn gặp phải gọi kiểu cơng chuỗi định dạng Khi máy tính chương trình viết ngơn ngữ lập trình C, người lập NHĨM 18 BÀI TIỂU LUẬN MƠN ANM trình sử dụng tập hợp đầu vào / đầu hàm sử dụng thứ gọi chuỗi định dạng Chuỗi định dạng cho phép số lượng biến tham số liệu Ví dụ: chuỗi định dạng “% d% d% s% f” cho biết hai giá trị thập phân, theo sau chuỗi giá trị dấu phẩy động, cách đầu vào đầu ranên định dạng Các tham số liệu có khoảng trống chúng Một giá trị định dạng khác rìu Nếu người dùng có quyền kiểm sốt đầu vào mà sau gửi lại cho người dùng theo cách đó, đơi cách mà chuỗi định dạng nhập Trong số trường hợp, lập trình viên thực sử dụng hàm xuất printf mà không định chuỗi định dạng Trong trường hợp đó, kẻ cơng có định chuỗi định dạng, hàm printf sau phải tìm giá trị thực nơi khác Kiểu cơng nhắm vào nhóm hàm — fprintf, printf sprintf Thay cho đầu vào dự kiến người dùng cung cấp, người dùng trình bày sử dụng làm chuỗi định dạng, hàm printf sử dụng giá trị nhớ Sử dụng kỹ thuật này, kẻ công trích xuất nội dung nhớ cách sử dụng đầu vào chế tạo đặc biệt May mắn thay, trường hợp này, cơng dạng văn rõ ràng chuỗi định dạng cung cấp giống hiển thị đoạn trước Nếu bạn thấy tập hợp giá trị chuyển đến dịch vụ chữ đứng sau phần trăm biểu tượng, bạn xem chuỗi định dạng Trong hầu hết trường hợp, chuỗi định dạng cách để lấy thơng tin sử dụng để công dịch vụ Tuy nhiên, giá trị chuỗi định dạng % n cho phép người dùng đặt giá trị vào nhớ cách định địa để ghi liệu vào Mối đe dọa nợi bợ (Insider Threats) Từ lâu, coi sai lệch không gian an tồn thơng tin mà phần lớn tổn thất xảy cách người Điều thay đổi cơng tổ chức tội phạm tìm kiếm để đánh cắp thơng tin doanh nghiệp lưu giữ Ngồi ra, có số kẻ cơng từ các quốc gia muốn có tài sản trí tuệ Tuy nhiên, trường hợp gì, khơng phải tất công bắt nguồn từ bên ngồi tổ chức Khi nói đến mối đe dọa công nội gián, kiểu công đề cập trước xảy ra, có kiểu cơng khác Khơng có lạ người dùng tổ chức tiếp tục thu thập quyền cho nhiều tài nguyên mạng mà không bỏ quyền họ thay đổi công việc cần quyền truy cập vào ứng dụng chia sẻ tệp bổ sung Mặc dù nhân viên NHÓM 19 BÀI TIỂU LUẬN MƠN ANM thường thơng qua kiểm tra lý lịch, hoàn cảnh thay đổi số nhân viên sử dụng thơng tin giao phối mà họ khơng nên có quyền truy cập Họ bán thơng tin họ làm hỏng thơng tin họ khơng hài lịng với cơng ty Một thách thức hành vi trộm cắp liệu khó xác định xảy khơng giống tệp biến Ai đánh cắp thông tin nhạy cảm để lại thông tin chỗ lúc Một kỹ thuật số tốt gốc chúng giống hệt Việc liệu vấn đề nghiêm trọng doanh nghiệp Ngay liệu bảo vệ tốt tổ chức người dùng phù hợp có quyền truy cập, khơng người dùng nhận liệu Khi hệ thống người dùng bị phần mềm độc hại xâm nhập, kẻ công có quyền kiểm sốt phần mềm độc hại truy cập vào thông tin Phần mềm độc hại chạy với quyền giống người dùng hệ thống bị nhiễm Nếu phần mềm độc hại trojan truy cập từ xa (RAT), chủ sở hữu phần mềm độc hại có quyền truy cập vào hệ thống chia sẻ tệp mà người dùng có quyền truy cập Một kẻ cơng có chỗ đứng mạng, bắt đầu lấy liệu có sẵn gửi đến hệ thống khác mạng nơi kẻ cơng lưu trữ, sàng lọc, tổ chức sau bán sử dụng RAT gọi Cơng cụ quản trị từ xa Bởi loại cơng hợp pháp, nên việc xác định chúng khó nhiều Hiện tại, phần mềm ngăn liệu (DLP) có sẵn Những kẻ cơng bên cố gắng chuyển tiếp liệu hệ thống bên ngồi quan sát Tìm kiếm từ khóa cụ thể truyền liệu nhiệm vụ "bí mật" "nhạy cảm" chí mẫu giống nhiệm vụ phổ biến thẻ tín dụng Số An sinh xã hội giúp phát xâm nhập, q trình gửi liệu ngồi tổ chức Trong trường hợp xảy công thực sự, chẳng hạn từ chối dịch vụ khai thác lỗ hổng, doanh nghiệp khơng nhìn vào bên mạng họ Tường lửa hệ thống phát xâm nhập phổ biến bên tổ chức Tùy thuộc vào doanh nghiệp kiến trúc mà có, doanh nghiệp khơng ý đến xảy mạng nội bộ, cục Trong trường hợp khai thác lỗ hổng bảo mật, điều đến từ địa IP nội Điều làm cho dễ dàng để theo dõi, giả sử sở đặt để phát chí xảy Các cơng từ chối dịch vụ từ bên mạng có vấn đề chút đơn giản chúng khơng qua kết nối mạng bên ngồi Thay vào đó, họ qua chuyển mạch bên mạng liên kết vật lý thường có dung lượng băng thơng lớn kết nối bên ngồi Mặc dù giả mạo phổ biến cơng từ chối dịch vụ, hiệu công nội Nếu NHĨM 20 BÀI TIỂU LUẬN MƠN ANM công chống lại hệ thống mạng, có nghĩa qua thiết bị chuyển mạch qua định tuyến, khung có địa MAC nguồn Bất kỳ mạng truy cập thơng qua địa lớp gọi miền quảng bá Nó tất máy chủ mạng truy cập lớp thông điệp truyền thông Trong mạng không sử dụng thiết bị chuyển mạch, gọi miền xung đột (mặc dù thiết bị chuyển mạch nói chung loại bỏ khả xảy xung đột, thuật ngữ "miền xung đột" lỗi thời) Bởi địa MAC liên kết với giao diện vật lý thường không thay đổi, vị trí có khả theo dõi thư trở lại nguồn cách xác định chủ sở hữu địa MAC Có thể khơng có sở liệu đâu ánh xạ địa MAC với tên vị trí hệ thống, xác định cổng chuyển mạch mà địa MAC kết nối Điều nói chung cho phép bạn xác định vị trí thực hệ thống tham gia vào công Tuy nhiên, khung truy cập vào định tuyến, tiêu đề lớp với địa MAC bị loại bỏ gói tin chuyển tiếp qua giao diện khác Điều làm cho khó chút, không thể, theo dõi công trở lại thông qua mạng đến nguồn 10 Sự trốn tránh (Evasion) Những kẻ công thường muốn trốn tránh phát ngăn chặn Một cơng khơng thành cơngnếu dễ dàng bị phát Một số kỹ thuật né tránh khiến việc xác định vị trí cơng trở nên khó khăn chí xác định cơng sau thực tế Ví dụ, xem xét lại công distcc Điều thời gian, số phương pháp né tránh sử dụng Có thể thấy hình 5-10, phân mảnh gói tin vào khung nhỏ Hình 10 Sự trốn tránh cơng cách sử dụng phân mảnh Khung liên kết với gói bị phân mảnh có phần lệnh shell gửi với công Tuy nhiên, công phân mảnh cụ thể sử dụng đoạn 40 byte kẻ cơng chia nhỏ gói tin thành mảnh nhỏ hơn, điều khiến việc phát Khi nói đến việc phát tổ chức điện tử NHĨM 21 BÀI TIỂU LUẬN MƠN ANM diễn thời gian thực, hệ thống phải tập hợp lại tồn gói trước thực phát Vì chờ đợi tất mảnh vỡ tốn thời gian ảnh hưởng đến độ trễ liên quan đến việc trao đổi, tất công cụ phát dành ebort để biên dịch lại Điều đặc biệt trình phát diễn dịng, nghĩa nằm người dùng máy chủ mà giao tiếp Kẻ công lấy lợi việc khơng muốn ảnh hưởng đến trải nghiệm người dùng cách chờ đợi tất phần Ngồi phân mảnh, kẻ cơng xếp lại thứ tự phân mảnh làm chậm trình di chuyển mảnh vỡ Kẻ cơng khơng thực quan tâm tồn công diễn nói đến kiểm tra, chậm trễ thường khơng chấp nhận Mọi tác động đến trải nghiệm người dùng hoạt động kinh doanh phụ thuộc vào tốc độ hiệu giao tiếp điều không nên Do đó, kiểu cơng trốn tránh thành cơng Tất cần phần mềm có khả chia nhỏ gói tin trước gửi-nhập chúng vào mạng Trong trường hợp hiển thị Hình 10, việc trốn tránh thực Metasploit, phần mềm sử dụng để tạo công Các tùy chọn trốn tránh cung cấp Metasploit Nếu công không thực từ công cụ Metasploit xử lý việc trốn tránh nguyên bản, khác cơng cụ fragroute thực phân mảnh sau công cụ công gửi thông điệp Các kiểu trốn tránh khác dựa việc mã hóa liệu theo cách khác lạ số công cụ người để đọc cách xác Ví dụ: Base64 loại mã hóa mà loại liệu chuyển đổi thành chuỗi văn mà người đọc Đây cách lấy liệu khơng in làm cho in để thao tác Dữ liệu nhị phân, tùy thuộc vào cách biểu diễn, chẳng hạn chép dán Tuy nhiên, liệu nhị phân chuyển đổi thành Base64, chép dán từ nơi sang nơi khác sau chuyển đổi trở lại liệu nhị phân mà có nguồn gốc Tồn chương trình chuyển đổi sang Base64 truyền Chỉ cho bạn, Liệt kê 5-5 chuỗi văn chuyển đổi thành Base64 Liệt kê 5: Dữ liệu mã hóa Base64 Chuỗi ban đầu có nội dung “Đây mã hóa base64” khơng có dấu ngoặc kép Một số tồn loại mã hóa khác Mã hóa URL sử dụng ký tự chữ số chuyển đổi chúng thành giá trị thập lục phân liên kết với số ASCII cho ký tự Để xác định ký tự mã hóa URL, đứng trước dấu phần NHÓM 22 BÀI TIỂU LUẬN MƠN ANM trăm Bạn thường thấy % 20, ví dụ, chuỗi mã hóa URL Giá trị thập lục phân 20 32 hệ thập phân 32 ký tự khoảng trắng ASCII bạn nhìn thấy % 20, bạn nhìn khoảng trắng Bạn chạy mã hóa HTML, lấy số ký tự chuyển đổi chúng thành ký hiệu HTML chúng Ví dụ, < trở thành & lt; ký hiệu nhỏ Một loại mã hóa khác khơng dễ đọc dễ xác định giải mã mã hóa thập phân-ing Chuỗi hiển thị Liệt kê 5-6 có nội dung "Đây mã hóa thập phân mã hóa thập phân" Liệt kê 6: Giá trị mã hóa thập phân Trong mã hóa thập phân, ký tự bắt đầu dấu (&) dấu thăng (#) để ký tự mã hóa thập phân Giá trị số số thập phân cho ký tự ASCII đại diện Ký tự Liệt kê 5-4 chữ T, deci-mal 84 bảng ASCII Khi nói đến giá trị mã hóa này, có số cách để thực giải mã Một số trình duyệt cho phép tiện ích mở rộng plugin cung cấp giải mã khả trực tiếp thông qua công cụ Một số trang web thực mã hóa giải mã — tìm kiếm nhanh Google hiển thị số trang Nếu bạn thấy điều mạng tra c dường mã hóa, bạn trích xuất ASCII q trình truyền cố gắng thực giải mã Mỗi loại mã hóa khác nhau, bạn thấy đủ chúng, bạn đào tạo chúng cách dễ dàng 11 Tấn công ứng dụng (Application Attacks) Các công tầng ứng dụng khác lỗ hổng bảo mật không định dạng tồn công ứng dụng khác Trình duyệt web ứng dụng phổ biến bị cơng Trong nhiều trường hợp, kẻ cơng cố gắng khiến trình duyệt mở ứng dụng Java Flash độc hại Cũng tận dụng lợi tràn đệm trình duyệt các tiện ích bổ sung, trình xử lý cho PDF Flash Trong hình 11, bạn thấy công máy chủ giả mạo máy khách Có thể thấy u cầu HTTP ban đầu từ trình duyệt đến máy chủ web Mặc dù yêu cầu GET tiêu chuẩn Nó xuất chuỗi ngẫu nhiên Trên hết, nhìn vào dịng Host, thấy cổng yêu cầu đến cổng 8080 Mặc dù khơng nằm ngồi khả NHĨM 23 BÀI TIỂU LUẬN MƠN ANM số máy chủ web máy chủ proxy cially, lắng nghe cổng 8080, khơng phổ biến Cổng mặc định cho máy chủ web cổng 80 Có thể thấy số JavaScript sử dụng cho mã hóa Base64 Tại số điểm, trình duyệt chạy chức để mã hóa số liệu Xem xét phổ biến ứng dụng web việc sử dụng trình duyệt web Ngơn ngữ ngơn ngữ truy vấn có cấu trúc (SQL), sử dụng để giao diện với máy chủ sở liệu Bởi ứng dụng web thường cần lưu trữ liệu, từ tên người dùng mật vào thẻ tín dụng sản phẩm bán lẻ nhiều loại liệu giữa, ứng dụng web cần có khả tương tác với máy chủ sở liệu Điều xảy với câu lệnh SQL thực thi máy chủ sở liệu Các câu lệnh thường gọi truy vấn Thông thường, SQL phân mảnh để tận dụng thực tế bên ứng dụng phân đoạn SQL khác mà đầu vào người dùng nhằm mục đích hợp với để tạo truy vấn SQL đầy đủ chức Hình 11: Tấn cơng trình duyệt Firefox Một công đưa vào SQL công kẻ cơng tạo số SQL dự kiến gửi đến đến máy chủ ứng dụng sau chuyển qua máy chủ sở liệu Trong Hình 12, thấy công chèn SQL sử dụng để đưa danh sách người dùng khỏi sở liệu ban đầu Câu lệnh SQL nhằm so sánh ID người dùng với ID từ sở liệu để in thông tin người dùng Bằng cách thêm vào 'hoặc' a '=' a, mà đánh lừa máy chủ SQL đóng phần truy vấn có, có lẽ kiểm tra cột ID người dùng so với giá trị cho vào Sau truy vấn ban đầu đóng lại NHĨM 24 BÀI TIỂU LUẬN MƠN ANM với ' nối thêm đoạn SQL riêng Những làm nói ID người dùng '', nghĩa trống miễn 'a' 'a' , hàng sở liệu coi khớp in Hình 12: Tấn cơng chèn SQL Vì u cầu gửi phần URL, xem ví dụ mã hóa URL Các ký tự đặc biệt khoảng trắng khơng phép URL Vì truy vấn SQL bao gồm số ký tự này, URL phải mã hóa để chuyển đến máy chủ Bạn xem cơng SQL ảnh chụp hình dịng GET Một cơng khác mà bạn thấy công kịch chéo trang web (XSS) Đây nơi mà kẻ công gửi JavaScript vào máy chủ để thực thi trình duyệt hệ thống người dùng khơng nghi ngờ Lý gọi tập lệnh nhiều trang web khơng phải JavaScript lan truyền trang web, sử dụng JavaScript, kẻ cơng lấy thơng tin trang web mà người dùng truy cập ngồi trang web mà JavaScript đến từ Có hai loại công tập lệnh chéo trang web (XSS) Đầu tiên công phản ánh Điều có nghĩa cơng phải phần URL Với URL tạo đặc biệt, gửi cho người dùng khiến họ nhấp vào liên kết Loại khác công công XSS dai dẳng Với công này,kẻ công gửi JavaScript vào môt trang web ứng dụng JavaScript sau lưu trữ sở liệu cho ứng dụng web Một sở liệu, có sẵn để công khách truy cập Hãy xem xét lưu bút trang web, trường hợp hình 5-13 Kẻ cơng gửi số JavaScript lưu trữ để khách đến truy cập vào sổ lưu bút khiến JavaScript thực thi NHÓM 25 BÀI TIỂU LUẬN MƠN ANM Hình 13: Tấn cơng XSS Sổ lưu bút loại ứng dụng web bị cơng Bất kỳ ứng dụng web lấy liệu người dùng lưu trữ, sau hiển thị lại cho người dùng khác mục tiêu tốt cho XSS công Bất kỳ trang nhận đầu vào từ người dùng gửi vào máy chủ phần URL bị cơng cách sử dụng kiểu phản ánh XSS Một công ứng dụng web khác tiêm lệnh, kẻ cơng gửi lệnh vào máy chủ web chạy hệ điều hành Trong công này, bạn thấy hệ điều hành-lệnh shell tem gửi với HTTP Các công XML sử dụng đánh dấu mở rộng tạo thủ công Thông báo ngôn ngữ (XML) để gửi vào ứng dụng web sau phân tích cú pháp XML Đây cách lấy liệu chí thực thay đổi từ hệ điều hành Các ứng dụng web dễ bị công mờ Bất kỳ ứng dụng lấy đầu vào từ người dùng hành động liệu bị thao túng để làm điều với liệu Nếu ứng dụng mong đợi loại thông tin cụ thể, chẳng hạn mật cơng FTP hiển thị trước đó, nhận thứ khác, ứng dụng xử lý sai Điều với ứng dụng web với chương trình truyền thống Các cơng Fuzzing cố gắng làm cho ứng dụng web gặp cố cung cấp thơng tin cho phép kẻ công công máy chủ ứng dụng theo cách khác NHÓM 26 BÀI TIỂU LUẬN MÔN ANM C KẾT LUẬN Khi tiếp xúc với giới mạng, kẻ công thường tổ chức công theo cách khác Một số giống công từ chối dịch vụ (DoS), khơng u cầu tinh vi chí nhiều kiến thức chun mơn, kịch thường tạo lượng lớn lưu lượng gửi đến mục tiêu Bất kỳ loại lũ nào, cho dù lũ SYN, lũ UDP hay lũ ICMP,… ngun nhân đáng lo ngại kiểu công yêu cầu trợ giúp từ Nhà cung cấp dịch vụ Internet (ISP) để giảm thiểu rủi ro Khi người dùng muốn truy cập vào thiết bị mạng doanh nghiệp muộn kết nối mạng đầy Tất băng thông đầu vào bị tiêu hao công Để tạo hệ thống kết nối mạng đại nhiều thời gian, khơng hệ thống đơn lẻ tự tạo đủ lưu lượng để có nhiều tác động Vì vậy, kẻ cơng chọn chiến lược Tấn cơng khuếch đại Ví dụ, công Smurf sử dụng mạng tin nhắn ICMP định cấu hình sai để tạo số lượng lớn tin nhắn trùng lặp nhằm vào nạn nhân Các yêu cầu DNS sử dụng để tạo công khuếch đại Với công cơng Smurf, cơng khuếch đại DNS chí lũ SYN, kẻ công giả mạo địa nguồn Bất kỳ phản hồi địa nguồn giả mạo không trả lại cho kẻ cơng, mà thay vào trở lại chủ sở hữu địa Trong số trường hợp, địa khơng phân bổ khơng sử dụng Nó phần khối địa dành riêng Khi phản hồi quay trở lại hệ thống không tồn tại, điều gọi tán xạ ngược Phân tích Backscatter sử dụng để thu thập chứng cho thấy công từ chối dịch vụ tiến hành Việc khai thác lỗ hổng dẫn đến xâm nhập hệ thống, đặt hệ thống kiểm sốt kẻ cơng Điều dẫn đến liệu bị trộm cắp tham nhũng Bảo vệ chống lại loại công thách thức mà doanh nghiệp đồng minh với xem xét cách nghiêm túc Họ giới thiệu hệ thống phát ngăn chặn để chống lại công Những kẻ công phản ứng cách sử dụng kỹ thuật trốn tránh bao gồm mã hóa phân mảnh phép công thành công không bị phát Việc khai thác lỗ hổng bảo mật chống lại chương trình vấn đề, cho phép kẻ cơng kiểm sốt luồng thực thi chương trình Tuy nhiên, có nhiều cách khác để công ứng dụng Mặc dù lỗ hổng khơng giống việc cơng mã ứng dụng để kiểm sốt luồng thực thi nhằm truy cập trực tiếp vào vỏ hệ thống, mục tiêu chung Ứng dụng web cách phổ biến để cung cấp chức cho người dùng Tấn cơng ứng dụng web địi hỏi kỹ năng, không giống cách mà NHĨM 27 BÀI TIỂU LUẬN MƠN ANM cơng khác làm Mặc dù cơng sử dụng kỹ thuật mã hóa, chúng chủ yếu cơng văn rõ ràng, điều giúp phát công Việc phát cơng địi hỏi phải hiểu kỹ thuật mã hóa khác hiểu rõ số thông tin giao thức để biết có điều khơng ổn May mắn thay, nhiều giao thức ứng dụng SMTP, FTP HTTP dựa văn bản, chí hiểu cách nhìn vào lệnh, chúng thường số dạng từ tiếng Anh NHĨM 28 BÀI TIỂU LUẬN MƠN ANM THUẬT NGỮ VÀ VIẾT TẮT ACK Acknowledgment Bản tin báo nhận DNS Domain Name Server Máy chủ tên miền FTP File Transfer Protocol Giao thức truyền tập tin HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn ICMP Internet Control Message Protocol Giao thức gói tin điều khiển Internet ISP Internet Service Provider Nhà cung cấp dịch vụ Internet RST Reset TCP Bản tin yêu cầu gửi lại SYN Synchronization Bản tin yêu cầu đồng SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản TCP Transmition Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Gao thức truyền gói liệu ngắn người dùng TÀI LIỆU THAM KHẢO [1] Ric Messier, Network Forensics, Attack Types (113-140), John Wiley & Sons Inc, Canada (2017) [2] Linda Rosencrance, Teen hacker 'Mafiaboy' sentenced (2001) https://www.computerworld.com/article/2583318/teen-hacker mafiaboy sentenced.html [3] Robert E Calem, New York's Panix Service Is Crippled by Hacker Attack (1996) https://archive.nytimes.com/www.nytimes.com/library/cyber/week/0914panix.html NHÓM 29 ... tài giới Về bản, công mạng chia thành loại cơng thụ động cơng tích cực Tấn cơng thụ động việc cố gắng lấy lợi dụng thông tin hệ thống không ảnh hưởng đến tài nguyên hệ thống Tấn cơng tích cực... dụng để tạo công Các tùy chọn trốn tránh cung cấp Metasploit Nếu công không thực từ cơng cụ Metasploit xử lý việc trốn tránh nguyên bản, khác công cụ fragroute thực phân mảnh sau cơng cụ công gửi... điều xảy Các cơng khác xảy dịch vụ dễ bị cơng Có thể xảy tràn Buber, chúng vectơ công tiếng khoảng ba mươi năm ghi chép đầy đủ cách đột nhập vào hệ thống khoảng hai mươi cuối Một kiểu cơng khác