TRƯỜNG ĐẠI HỌC SÀI GÒN KHOA CÔNG NGHỆ THÔNG TIN TẤN CÔNG VÀ PHÒNG CHỐNG TẤN CÔNG MẠNG LAN SVTH : Ngô Văn Chơn Hà Minh Thắng Phan Thị Liêm Bùi Quốc Thái GVHD: ThS. Lê Ngọc Kim Khánh TP.Hồ Chí Minh, ngày 25 tháng 4 năm 2012 Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 1 Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 2 Nhận xét của giảng viên: ……………………………………………………………………………………………… ………… ………………………………………………………………………………… ……………………… …………………………………………………………………… …………………………………… ……………………………………………………… ………………………………………………… ………………………………………… ……………………………………………………………… …………………………… …………………………………………………………………………… ……………… ………………………………………………………………………………………… … ……………………………………………………………………………………………… ……… …………………………………………………………………………………… …………………… ……………………………………………………………………… ………………………………… ………………………………………………………… ……………………………………………… …………………………………………… …………………………………………………………… ……………………………… ………………………………………………………………………… ………………… ……………………………………………………………………………………… …… ……………………………………………………………………………………………… …… ……………………………………………………………………………………… ………………… ………………………………………………………………………… ……………………………… …………………………………………………………… …………………………………………… ……………………………………………… ………………………………………………………… ………………………………… ……………………………………………………………………… …………………… …………………………………………………………………………………… ……… ……………………………………………………………………………………………… … ………………………………………………………………………………………… ……………… …………………………………………………………………………… …………………………… ……………………………………………………………… ………………………………………… ………………………………………………… ……………………………………………………… …………………………………… …………………………………………………………………… ……………………… ………………………………………………………………………………… ………… ………………………………………………………………………………………………. ……………………………………………………………………………………………… ………… ………………………………………………………………………………… ……………………… …………………………………………………………………… …………………………………… ……………………………………………………… ………………………………………………… ………………………………………… ……………………………………………………………… …………………………… …………………………………………………………………………… ……………… ………………………………………………………………………………………… … ……………………………………………………………………………………………… ……… …………………………………………………………………………………… …………………… ……………………………………………………………………… ………………………………… ………………………………………………………… ……………………………………………… …………………………………………… …………………………………………………………… ……………………………… ………………………………………………………………………… ………………… ……………………………………………………………………………………… …… Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 3 MỤC LỤC Phần 1: Tổng quan về mạng máy tính 4 1. Local Area Network - LAN (Mạng cục bộ) 4 2. Phạm vi ứng dụng của mạng LAN 4 Phần 2: Tấn công và các biện pháp phòng 5 1. Kĩ thuật tấn công Man In The Middle 5 1.1 Giả mạo ARP 6 1.1.1 Truyền thông ARP thông thường 6 1.1.2 Giả mạo Cache 7 1.1.3 Phòng chống 8 1.2 Giả danh DNS 9 1.2.1 Truyền Thông DNS 9 1.2.2 Nguyên lý giả mạo DNS: 10 1.2.3 Phòng chống tấn công giả mạo DNS 10 1.2.4 Kết luận: 11 1.3 Chiếm quyền điều khiển session 11 1.3.1 Nguyên lý 11 1.3.2 Cách chống tấn công chiếm quyền điều khiển Session 12 1.4 Giả mạo SSL 14 1.5 SSL và HTTPS 14 1.5.1 Phá hủy HTTPS 15 1.5.2 Biện pháp phòng chống 16 1.5.3 Kết luận 17 2 Khai thác lỗ hỗng bảo mật 17 2.1 Khai thác lỗ hổng 17 Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 4 2.2 Phòng chống 18 3 Tài liệu tham khảo 18 Phần 1: Tổng quan về mạng máy tính 1. Local Area Network - LAN (Mạng cục bộ) Các máy tính cá nhân và các máy tính khác trong phạm vi một khu vực hạn chế được nối với nhau bằng các dây cáp chất lượng tốt sao cho những người sử dụng có thể trao đổi thông tin, dùng chung các thiết bị ngoại vi, và sử dụng các chương trình cũng như các dữ liệu đã được lưu trữ trong một máy tính dành riêng gọi là máy dịch vụ tệp (file). Mạng LAN có nhiều quy mô và mức độ phức tạp khác nhau, nó có thể chỉ liên kết vài ba máy tính cá nhân và dùng chung một thiết bị ngoại vi đắt tiền như máy in lazer chẳng hạn. Các hệ thống phức tạp hơn thì có máy tính trung tâm (Máy chủ Server) cho phép những người dùng trao đổi thông tin với nhau và thâm nhập vào các cơ sở dữ liệu dùng chung. Hình 1. Mạng LAN kết nối nhiều thiết bị 2. Phạm vi ứng dụng của mạng LAN Mạng LAN thường được sử dụng để kết nối các máy tính trong gia đình, trong một phòng Game, phòng NET, trong một toà nhà của Cơ quan, Trường học Cự ly của mạng LAN giới hạn trong phạm vi có bán kính khoảng 100m- Các máy tính có cự ly xa hơn thông thường người ta sử dụng mạng Internet để trao đổi thông tin. Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 5 Phần 2: Tấn công và các biện pháp phòng chống tấn công mạng LAN 1. Kĩ thuật tấn công Man In The Middle Hình thức tấn công Man In The Middle tức là người ở giữa sử dụng hình thức Arp Poison trong mạng LAN cho phép đánh lừa máy tính nạn nhân truyền một bản dữ liệu qua máy tính của hacker. Kiểu tấn công MITM có hiệu suất cao bởi vì giao thức HTTP và Data Tranfer truyền tải dữ liệu theo chuẩn ASCII. Hay ngay cả các giao thức bảo mật như SSL hay HTTPS đều có thể bị nghe trộm. Khi bị tấn công, cả victim và server đều không biết dữ liệu trao đổi giữa họ sẽ đi qua máy của attacker. Do vậy attacker không chỉ đọc được cuộc trò chuyện này mà còn có thể thay đổi được nội dung của nó. Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 6 Hình 2. Tấn công MITM - Có các kiểu tấn công MITM: + Giả mạo ARP (ARP spoofing /ARP poisoning) + Giả danh DNS (DNS spoofing) + Chiếm quyền điều khiển Session.( Session hijacking) + Giả mạo SSL ( SSL hijacking) 1.1 Giả mạo ARP Đây là một hình thức tấn công MITM hiện đại có xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân.Đây là một trong những hình thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công. Truyền thông ARP thông thường Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI. Lớp thứ hai (lớp data-link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp. Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu. Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp. Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng truyền thông. Với lý do đó, ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”. Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 7 Hình 3. Truyền thông ARP thông thường Giả mạo Cache Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 8 Hình 4. Giả mạo ARP Công cụ để tấn công ARP Spoofing: Windows: Cain & Abel. Linux: Ettercap, Arpspoof, Phòng chống Phòng chống tấn công ARP cache gp một số bất lợi vì quá trình ARP xảy ra trong chế độ background nên có rất ít khả năng có thể điều khiển trực tiếp được chúng. Không có một giải pháp cụ thể nào để phòng thủ hữu hiệu nhưng tùy tình huống ta có thể sử dụng một số phương pháp sau:  M ha ARP cache: Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache. Ta có thể xem ARP cache của máy tính Windows bằng cách mở cmd và đánh vào đó lệnh arp –a. Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh : arp –s <IP ADDRESS> <MAC ADDRESS>. Trong các trường hợp, cấu hình mạng ít có sự thay đổi, ta có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các client thông qua một kịch bản tự động. Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 9 Điều này sẽ bảo đảm được các thiết bị sẽ luôn dựa vào ARP cache nội bộ của chúng thay vì các ARP request và ARP reply.  Kim tra lưu lưng ARP cache vi chương trnh của hng thứ 3: Một biện pháp phòng chống lại việc giả mạo ARP cache là phương pháp kiểm tra lưu lượng mạng của các thiết bị. Ta có thể thực hiện điều này với một vài hệ thống phát hiện xâm phạm (chẳng hạn như Snort) hoc thông qua các tiện ích được thiết kế đc biệt cho mục đích này (như xARP). Điều này có thể khả thi khi ta chỉ quan tâm đến một thiết bị nào đó, tuy nhiên nó vẫn khá cồng kềnh và vướng mắc trong việc giải quyết với toàn bộ phân đoạn mạng. 1.2 Giả danh DNS Truyền Thông DNS Giao thức Domain Naming System (DNS) được định nghĩa trong RFC 1034/1035 có thể được xem như là một trong những giao thức quan trọng nhất được sử dụng trong Internet. Nói ngắn ngọn để dễ hiểu, bất cứ khi nào ta đánh một địa chỉ web chẳng hạn như http://www.google.com vào trình duyệt, yêu cầu DNS sẽ được đưa đến máy chủ DNS để tìm ra địa chỉ IP tương xứng với tên miền mà ta vừa nhập. Các router và các thiết bị kết nối Internet sẽ không hiểu google.com là gì, chúng chỉ hiểu các địa chỉ chẳng hạn như 74.125.95.103. Máy chủ DNS làm việc bằng cách lưu một cơ sở dữ liệu các entry (được gọi là bản ghi tài nguyên) địa chỉ IP để bản đồ hóa tên DNS, truyền thông các bản ghi tài nguyên đó đến máy khách và đến máy chủ DNS khác.  đây ta sẽ không đi vào giới thiệu các khía cạnh về kiến trúc hay thậm chí các kiểu lưu lượng DNS khác nhau, mà chỉ giới thiệu một phiên giao dịch DNS cơ bản. Hình 5. Truy vấn và hồi đáp DNS DNS hoạt động theo hình thức truy vấn và đáp trả (query/response). Một máy khách cần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến máy chủ DNS, máy chủ DNS này sẽ gửi thông tin được yêu cầu trong gói đáp trả của nó. Đứng ở góc độ máy khách , chỉ có hai gói xuất hiện lúc này là truy vấn và đáp trả. Hình 6. Truy vấn và hồi đáp DNS bằng đệ quy [...]... mình vào một website giả mạo Sau đây là một số phương pháp phòng thủ tấn công giả mạo DNS: [Type text] Trang 10 Tấn công và phòng chống tấn công mạng LAN * Bảo vệ các máy tính bên trong của mạng: Các tấn công giống như trên thường được thực thi từ bên trong mạng Nếu các thiết bị mạng an toàn thì ta sẽ giảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công giả mạo * Không dựa vào... khiển Cách chống tấn công chiếm quyền điều khiển Session [Type text] Trang 12 Tấn công và phòng chống tấn công mạng LAN Do có nhiều hình thức chiếm quyền điều khiển session khác nhau nên cách thức phòng chống cũng cần thay đổi theo chúng Giống như các tấn công MITM khác mà chúng ta đã đánh giá, tấn công chiếm quyền điều khiển session khó phát hiện và thậm chí còn khó khăn hơn trong việc phòng chống vì... mạng của bạn an toàn thì cơ hội cho kẻ tấn công thỏa hiệp được các host bên trong mạng của bạn sẽ ít đi, và từ đó giảm được nguy cơ tấn công chiếm quyền điều khiển session [Type text] Trang 13 Tấn công và phòng chống tấn công mạng LAN Kết luận Cho đến đây chúng tôi đã giới thiệu cho các bạn ba kiểu tấn công MITM rất nguy hiểm có thể gây ra những hậu quả nghiêm trọng nếu chúng được thực hiện thành công. .. hoặc họ kích vào liên kết direct họ đến một site HTTPS, chẳng hạn như nút đăng nhập Ý tưởng ở đây là rằng nếu bạn tấn công một phiên giao dịch từ một kết nối không an toàn đến một kết nối an toàn, trong trường hợp này là từ HTTP vào HTTPS, bạn sẽ tấn công cầu nối và có thể “man-in-the-middle” kết nối SSL trước khi nó xuất hiện Để [Type text] Trang 15 Tấn công và phòng chống tấn công mạng LAN thực hiện... phải lúc nào cũng nhận ra [Type text] Trang 11 Tấn công và phòng chống tấn công mạng LAN nó, các session sẽ xuất hiện liên tục và hầu hết sự truyền thông đều dựa vào một số hình thức của session hoặc hành động dựa trên trạng thái Hình 8 Một Session bình thường Như những gì chúng ta thấy trong các tấn công trước, không có thứ gì khi đi qua mạng được an toàn, và dữ liệu session cũng không có gì khác biệt.. .Tấn công và phòng chống tấn công mạng LAN Nguyên lý giả mạo DNS: Có nhiều cách để có thể thực hiện vấn đề giả mạo DNS Ở đây ta sẽ tìm hiểu kỹ thuật giả mạo DNS ID Mỗi truy vấn DNS được gửi qua mạng đều có chứa một số nhận dạng duy nhất, mục đích của số nhận dạng này là để phân biệt các truy vấn và đáp trả chúng Điều này có nghĩa rằng nếu một máy tính đang tấn công của chúng ta có... việc phân phối các chứng chỉ giữa máy chủ, máy khách và hãng thứ ba được tin cậy Lấy một ví dụ về trường hợp có một người dùng đang cố gắng kết nối đến một tài khoản email của Gmail Quá trình này sẽ gồm có một vài bước dễ nhận thấy, các bước này đã được đơn giản hóa trong hình 1 bên dưới [Type text] Trang 14 Tấn công và phòng chống tấn công mạng LAN Hình 10 Quá trình truyền thông HTTPS Quá trình được... hoặc trong văn phòng chi nhánh cách đó 200 dặm, vì vậy nguồn tấn công tiềm ẩn là rất nhiều Cần biết rằng một trong những mục tiêu lớn nhất của tấn công chiếm quyền điều khiển session là tài khoản ngân hàng trực tuyến, tuy nhiên ngoài ra nó còn được áp dụng cho mọi thứ  Cần có sự hiểu biết về tấn công - Những kẻ tấn công tinh vi, kể cả đến các hacker dày dạn nhất cũng vẫn có thể mắc lỗi và để lại... lưu lượng của bạn trên mạng gia đình sẽ ít hơn nhiều so với mạng ở nơi làm việc của bạn Điều này không phải vì máy tính gia đình của bạn an toàn hơn (mà sự thật có lẽ là kém an toàn hơn), nhưng sự thật nếu chỉ có một hoặc hai máy tính ở nhà thì các bạn chỉ phải quan tâm đến việc chiếm quyền điều khiển session nếu có ai  [Type text] Trang 16 Tấn công và phòng chống tấn công mạng LAN đó trong nhà bạn... một công cụ đơn giản Đầu tiên, chúng ta cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu lượng của nó qua host đang tấn công của mình, từ đó có thể chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo Mục đích của kịch bản này là lừa người dùng trong mạng mục tiêu truy cập vào website độc thay vì website mà họ đang cố gắng truy cập Hình 7 Tấn công giả mạo DNS bằng cách giả mạo DNS ID Phòng chống . dụng mạng Internet để trao đổi thông tin. Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 5 Phần 2: Tấn công và các biện pháp phòng chống tấn công mạng LAN 1. Kĩ thuật tấn. TP.Hồ Chí Minh, ngày 25 tháng 4 năm 2012 Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 1 Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 2 Nhận xét của. Tấn công và phòng chống tấn công mạng LAN [Type text] Trang 3 MỤC LỤC Phần 1: Tổng quan về mạng máy tính 4 1. Local Area Network - LAN (Mạng cục bộ) 4 2. Phạm vi ứng dụng của mạng LAN