Đang tải... (xem toàn văn)
Các kỹ thuật tấn công, xâm nhập hệ thống, phân loại tấn công mạng, security Attacks, các hình thức tấn công mạng và cách phòng tránh, hạn chế tấn công, toàn tập về các quá trình tấn công mạng.
PGS. TSKH. Hoàng Đăng Hải Học viện Công nghệ Bưu chính Viễn thông (PTIT) Email: hoangdanghai@hn.vnn.vn 2012 C C á á c k c k ỹ ỹ thu thu ậ ậ t t t t ấ ấ n công, n công, xâm nh xâm nh ậ ậ p h p h ệ ệ th th ố ố ng ng Sự phát triển của tấn công mạng Xu thế Kết hợp worms, viruses và DDoS Tống tiền, Tin tặc Các tấn công trên 10 Gbps, tập đoàn Botnet với 150,000+ node Thiếu trí tuệ trong quản lý mạng “cloud” khiến chi phí tăng nhanh Từ bỏ băng thông khi giải quyết vấn đề là quá lãng phí và tốn kém Một số khái niệm Kẻ xâm nhập (Intruder) Thường gọi là tin tặc (hacker), cracker /buglar (đạo chích) Kẻ trộm/đánh cắp thông tin (Information Theft) Cybercrime (tội phạm mạng), Compromiser (kẻ gây hại) Lỗ hổng an ninh (Security hole), điểm yếu (Vulnerability), khiếm khuyết (Flaw) Rủi ro (risk) Đe dọa (Threat), Tấn công (Attack) Lỗi khi thiết kế: không lường trước khả năng Điểm yếu tiềm ẩn: luôn có trong mọi hệ thống Lỗi khai thác: cấu hình không chặt chẽ, lỗi khi hoạt động Thường dùng để chỉ cùng 1 hành vi xâm hại đến an ninh hệ thống Biện pháp an ninh (Security measure), cơ chế an ninh (security mechanism) Dịch vụ an ninh (Security service) Biện pháp/cơ chế để phát hiện, ngăn ngừa, phòng chống, sửa chữa Dịch vụ tăng cường an ninh cho hệ thống xử lý và truyền tải thông tin thông qua các biện pháp an ninh risk = threat x vulnerability x asset value Phân lo Phân lo ạ ạ i t i t ấ ấ n công m n công m ạ ạ ng ng Joking Hacker: data stealing / spy / military spy Company Competition: business plan/strategy. Competitor destruction Product Advertisement Avenger Terrorism Account hacking / Bank robber … M M ụ ụ c tiêu t c tiêu t ấ ấ n công n công • Giả mạo (fabrication) - destroys authenticity of source • (Sửa đổi) modification - destroys integrity of information • Ngăn chặn (interception) - of information (traffic), breaches confidentiality • Gián đoạn (interruption) - of service Lo Lo ạ ạ i t i t ấ ấ n công n công Examples Examples Happy Christmas 1987: in IBM network. Email sent to everybody with addresses found in addressbook ⇒ Network deadlock Internet Worm 1989: in Security Center of DoD. Unix Shell Attack. Security Attacks Security Attacks ấy nội dung bản tin ượng: theo dõi chu kỳ, chiều dài bản tin, đoán mã kênh truyền ệ thống Passive Passive Nghe lén (Eavesdropping): lén l Phân tích lưu l kể cả phỏng Phân tích thông tin h Active Active Giả danh (Masquerade): Darth giả danh Bob Replay: bắt giữ, giả mạo và chuyển tiếp bản tin Sửa đổi bản tin Ngăn chặn dịch vụ 5 giai đoạn của quá trình phá hoại • Trinh sát (Reconnaissance) Tin tặc khảo sát máy nạn nhân và các dịch vụ trong một khoảng thời gian dài sử dụng các lưu lượng như hoạt động bình thường của máy. Tìm cách thiết lập kết nối, khai thác thông tin máy tính, dịch vụ Dò tìm điểm yếu trong hệ thống và các ứng dụng. • Khai thác (Exploitation) Quá trình lợi dụng, biến đổi, làm sai lệch hoạt động của các dịch vụ trên máy nạn nhân. Biến đổi dịch vụ kéo theo thay đổi chế độ hoạt động và điều kiện truy nhập. • Tăng cường (Reinforcement) Giai đoạn tin tặc giành quyền truy nhập trái phép, tăng cường khả năng truy nhập, sử dụng công cụ để truy xét nạn nhân, che dấu hành vi • Củng cố (Consolidation) Tin tặc tạo ra cửa hậu, trao đổi thông tin qua cửa hậu, giành toàn bộ quyền điều khiển. • Tàn phá (Pillage) Giai đoạn thực hiện kế hoạch phá hoại: đánh cắp thông tin nhạy cảm, tạo bàn đạp tiến sâu vào mạng người dùng, thực hiện các ý đồ định sẵn Ph Ph ầ ầ n m n m ề ề m mã đ m mã đ ộ ộ c (Malicious Software) c (Malicious Software) • Các nguy cơ/điểm yếu: được khởi động bởi 1 trigger (không lây lan) • Các phần mềm tự sinh (tự tạo các bản copy = lây lan) C C ử ử a sau ho a sau ho ặ ặ c c c c ử ử a s a s ậ ậ p (Backdoor or Trapdoor) p (Backdoor or Trapdoor) • • Xu Xu ấ ấ t ph t ph á á t đi t đi ể ể m v m v à à o b o b í í m m ậ ậ t t t t ớ ớ i m i m ộ ộ t chương tr t chương tr ì ì nh nh • • Cho ph Cho ph é é p m p m ộ ộ t k t k ỹ ỹ thu thu ậ ậ t viên th t viên th à à nh th nh th ạ ạ o truy c o truy c ậ ậ p v p v à à o h o h ệ ệ th th ố ố ng m ng m à à không c không c ầ ầ n n th th ự ự c hi c hi ệ ệ n c n c á á c th c th ủ ủ t t ụ ụ c an to c an to à à n thông thư n thông thư ờ ờ ng. ng. • • Thư Thư ờ ờ ng s ng s ử ử d d ụ ụ ng cho m ng cho m ụ ụ c đ c đ í í ch g ch g ỡ ỡ r r ố ố i, ki i, ki ể ể m th m th ử ử ph ph ầ ầ n m n m ề ề m khi ph m khi ph á á t tri t tri ể ể n. n. • • Tr Tr ở ở th th à à nh nguy cơ khi v nh nguy cơ khi v ẫ ẫ n đ n đ ể ể t t ồ ồ n t n t ạ ạ i l i l ạ ạ i trong s i trong s ả ả n ph n ph ẩ ẩ m ph m ph ầ ầ n m n m ề ề m. m. Bom Bom logic logic • • M M ộ ộ t t trong trong nh nh ữ ữ ng ng ph ph ầ ầ n n m m ề ề m m c c ó ó h h ạ ạ i i ki ki ể ể u u c c ổ ổ đi đi ể ể n n • • Code Code đư đư ợ ợ c c nh nh ú ú ng ng trong trong chương chương tr tr ì ì nh nh h h ợ ợ p p ph ph á á p, p, đư đư ợ ợ c c k k í í ch ch ho ho ạ ạ t t khi khi g g ặ ặ p p đi đi ề ề u u ki ki ệ ệ n n x x á á c c đ đ ị ị nh nh – – C C ó ó m m ặ ặ t t ho ho ặ ặ c c v v ắ ắ ng ng m m ặ ặ t t m m ộ ộ t t s s ố ố file file – – Ng Ng à à y y th th á á ng/th ng/th ờ ờ i i gian gian c c ụ ụ th th ể ể – – Ngư Ngư ờ ờ i i s s ử ử d d ụ ụ ng ng n n à à o o đ đ ó ó • • Khi Khi k k í í ch ch ho ho ạ ạ t t thông thông thư thư ờ ờ ng ng l l à à m m h h ỏ ỏ ng ng h h ệ ệ th th ố ố ng, ng, Bi Bi ế ế n n đ đ ổ ổ i/xo i/xo á á file/ file/ đ đ ĩ ĩ a a , , l l à à m m d d ừ ừ ng ng m m á á y y , , … … Ng Ng ự ự a a th th à à nh nh Tơ Tơ roa roa (Trojan (Trojan Horse) Horse) • • Chương Chương tr tr ì ì nh nh h h ữ ữ u u í í ch, h ch, h ấ ấ p d p d ẫ ẫ n ( n ( trò chơi trò chơi , ti , ti ệ ệ n n í í ch, nâng c ch, nâng c ấ ấ p ph p ph ầ ầ n m n m ề ề m, m, … … ) ) • • Ch Ch ứ ứ a c a c á á c đo c đo ạ ạ n mã n mã ẩ ẩ n v n v ớ ớ i i c c á á c c t t á á c c đ đ ộ ộ ng ng ph ph ụ ụ đư đư ợ ợ c c d d ấ ấ u u k k í í n n • • Khi Khi ch ch ạ ạ y y th th ự ự c c hi hi ệ ệ n n nh nh ữ ữ ng ng nhi nhi ệ ệ m m v v ụ ụ b b ổ ổ sung: Cho sung: Cho ph ph é é p p k k ẻ ẻ t t ấ ấ n n công công gi gi á á n n ti ti ế ế p p d d à à nh nh quy quy ề ề n n truy truy c c ậ ậ p p nh nh ữ ữ ng g ng g ì ì không không th th ể ể tr tr ự ự c c ti ti ế ế p p • • Thư Thư ờ ờ ng ng s s ử ử d d ụ ụ ng ng lan lan truy truy ề ề n n virrus/sâu virrus/sâu (worm) (worm) ho ho ặ ặ c c c c à à i i đ đ ặ ặ t t c c ử ử a a sau, ho sau, ho ặ ặ c c đơn đơn gi gi ả ả n n ph ph á á ho ho ạ ạ i i d d ữ ữ li li ệ ệ u. u. Zombie Zombie • • L L à à chương chương tr tr ì ì nh nh b b í í m m ậ ậ t t đi đi ề ề u u khi khi ể ể n n m m á á y y t t í í nh nh kh kh á á c c c c ủ ủ a a m m ạ ạ ng ng Internet, s Internet, s ử ử d d ụ ụ ng ng n n ó ó đ đ ể ể gi gi á á n n ti ti ế ế p p ti ti ế ế n n h h à à nh nh c c á á c c t t ấ ấ n n công, che d công, che d ấ ấ u m u m á á y t y t ạ ạ o ra Zombie. o ra Zombie. • • Thư Thư ờ ờ ng ng đư đư ợ ợ c s c s ử ử d d ụ ụ ng ng đ đ ể ể t t ấ ấ n n công công t t ừ ừ ch ch ố ố i i d d ị ị ch ch v v ụ ụ (DDoS). (DDoS). Thư Thư ờ ờ ng t ng t ạ ạ o o th th à à nh m nh m ạ ạ ng g ng g ồ ồ m h m h à à ng trăm m ng trăm m á á y không b y không b ị ị nghi v nghi v ấ ấ n, t n, t ấ ấ n công d n công d ồ ồ n d n d ậ ậ p p website m website m ụ ụ c tiêu qua vi c tiêu qua vi ệ ệ c g c g ử ử i d i d ồ ồ n d n d ậ ậ p yêu c p yêu c ầ ầ u lưu lư u lưu lư ợ ợ ng. ng. • • Thư Thư ờ ờ ng khai ng khai th th á á c c c c á á c c l l ỗ ỗ h h ổ ổ ng ng trong trong c c á á c c h h ệ ệ th th ố ố ng n ng n ố ố i m i m ạ ạ ng. ng. Viruses Viruses • • L L à à đo đo ạ ạ n mã ph n mã ph ầ ầ n m n m ề ề m c m c ó ó th th ể ể “ “ lây nhi lây nhi ễ ễ m m ” ” sang c sang c á á c ph c ph ầ ầ n m n m ề ề m kh m kh á á c qua c qua vi vi ệ ệ c s c s ử ử a đ a đ ổ ổ i ch i ch ú ú ng. ng. • • S S ử ử a đ a đ ổ ổ i ph i ph ầ ầ n m n m ề ề m kh m kh á á c bao g c bao g ồ ồ m vi m vi ệ ệ c copy đo c copy đo ạ ạ n mã virus v n mã virus v à à o v o v à à lây lây nhi nhi ễ ễ m sang c m sang c á á c chương tr c chương tr ì ì nh kh nh kh á á c. c. • • Gi Gi ố ố ng virus sinh h ng virus sinh h ọ ọ c, virus m c, virus m á á y t y t í í nh c nh c ó ó th th ể ể s s ự ự s s ả ả n sinh (replicated). n sinh (replicated). • • Lan Lan truy truy ề ề n, th n, th ự ự c hi c hi ệ ệ n m n m ọ ọ i ch i ch ứ ứ c năng c c năng c ó ó th th ể ể (v (v í í d d ụ ụ ph ph á á ho ho ạ ạ i i d d ữ ữ li li ệ ệ u). u). Ho Ho ạ ạ t đ t đ ộ ộ ng c ng c ủ ủ a virus a virus • • Giai đo Giai đo ạ ạ n n n n ằ ằ m ch m ch ờ ờ : n : n ằ ằ m im ch m im ch ờ ờ s s ự ự ki ki ệ ệ n k n k í í ch ho ch ho ạ ạ t (v t (v í í d d ụ ụ ng ng à à y, y, chương chương tr tr ì ì nh, d nh, d ung lư ung lư ợ ợ ng đ ng đ ĩ ĩ a a … … ). ). • • Giai đo Giai đo ạ ạ n lây lan: sao ch n lây lan: sao ch é é p ch p ch í í nh n nh n ó ó sang c sang c á á c chương tr c chương tr ì ì nh kh nh kh á á c /ph c /ph ầ ầ n n kh kh á á c c c c ủ ủ a h a h ệ ệ th th ố ố ng. ng. • • Giai đo Giai đo ạ ạ n k n k í í ch ho ch ho ạ ạ t: th t: th ự ự c hi c hi ệ ệ n ch n ch ứ ứ c năng g c năng g à à i s i s ẵ ẵ n khi c n khi c ó ó s s ự ự ki ki ệ ệ n x n x ả ả y ra. y ra. • • Giai đo Giai đo ạ ạ n th n th ự ự c thi: th c thi: th ự ự c hi c hi ệ ệ n h n h à à nh vi mong mu nh vi mong mu ố ố n. n. Đa s Đa s ố ố khai th khai th á á c c c c á á c đ c đ ặ ặ c c trưng trưng , , đi đi ể ể m y m y ế ế u ch u ch ủ ủ y y ế ế u c u c ủ ủ a h a h ệ ệ th th ố ố ng c ng c ụ ụ th th ể ể đang ch đang ch ạ ạ y. y. [...]... tấn công DDoS A Một lượng lớn máy tính bị hại B Tin tặc xác định được các máy có thể lợi dụng với các kỹ thuật dò quét (scanners), etc C Tin tặc truy nhập hệ thống với các công cụ từ xa: exploits, sniffers, password cracking, worms, trojans D Tin tặc cài đặt các công cụ tấn công E Tin tặc ra lệnh từ xa cho các máy bị hại được tập hợp để tấn công vào mục tiêu Distributed DoS Attack (DDoS) Phối hợp tấn. .. lượng hợp pháp Tất cả các kỹ thuật này nhằm bẻ gẫy mọi phương pháp theo dấu vết kiểu thủ công và tránh các IDS thông dụng Xu thế mới của DoS Attacks Tấn công tràn dựa vào mạng – Khi các lỗ hổng được vá, khó lòng tìm ra các host xung yếu Nhái các mạng con cục bộ – Các bộ lọc ingress / egress phổ biến hơn Tấn công đường lưu lượng lên – Nhắm tới các upstream routers & links Đánh và chạy (Hit-and-run) –... Các kỹ thuật gây rối của tấn công DDoS Distributed attacks – Điều khiển từ xa đội quân zombies Các thử nghiệm mới đây cho thấy, một máy tính không có bảo vệ trên Internet có thể bị tấn công trong vòng < 8 phút – Phản xạ IP Gây rối trong vết kiểm chứng mạng – Giả mạo/Nhái lại (Forged/”spoofed”) địa chỉ IP gốc – Thay đổi tần suất tấn công (on/off) – Nghi binh (Decoys) Gây rối trong dấu hiệu tấn công. .. zombie theo chu kỳ Kỹ thuật phân tán – Phân tán rộng khắp, các đội quân zombie rộng khắp Xu thế mới của DoS Attacks (2) Gây rối trong dấu vết kiểm chứng mạng – Thay đổi đặc tính một số giao thức ứng dụng – Tái lập các truy vấn DNS, etc Biến đổi dấu hiệu tấn công – Dùng address, protocol, port ngẫu nhiên Tấn công định tuyến hạ tầng mạng – Chặn cướp tuyến BGP route phục vụ khởi động tấn công Tự động tuyển... hình thái tấn công DDoS (2) Từ chối dịch vụ trên toàn mạng – Nhắm tới các links sơ hở hoặc cơ sở hạ tầng thông tin trọng yếu Điều khiển ngừng mạng từ xa – Tấn công routers, DNS servers – Lái tuyến – Giả mạo thông tin định tuyến Gây nghẽn mạng từ xa – Giả danh broadcasts – smurf, fraggle – Điều khiển từ xa các máy tính gây hại – máy tính ma (“zombies”) để phối hợp gây tràn - DDoS Các tấn công chuyển... worms, trojans D Tin tặc cài đặt các công cụ tấn công E Tin tặc ra lệnh từ xa cho các máy bị hại được tập hợp để tấn công vào mục tiêu Distributed DoS Attack (DDoS) Phối hợp tấn công vào các Links và tài nguyên trọng yếu Tấn công vào hạ tầng định tuyến DNS Example: Smurf Attack ICMP Echo Request SRC DST 3.3.3.100 2.2.2.255 Attacker 1.1.1.100 2.2.2.* Reflector Network ICMP Echo Replies SRC DST 2.2.2.* 3.3.3.100... gây ra memory overflow, khiến server crash hoặc không thể chấp nhận mọi kết nối mới cho đến khi xóa hết bảng dữ liệu Vị trí giả danh IP trong hệ thống bị tấn công được che đậy, vì các địa chỉ nguồn trong các gói tin SYN thường đều không rõ ràng Khi gói tin đến hệ thống máy chủ nạn nhân, không có cách gì để xác định ra nguồn gửi thực sự Các biện pháp phòng chống DDoS Ingress / Egress filtering ( anti-spoofing... lượng bình thường Thường do tấn công gây ra Hành vi này cần được xem xét tiếp để xác định mức độ nguy hại Hành vi bất thường không định trước có thể xảy ra khi một máy nào đó không tuân thủ các quy ước truyền thông Lỗi xảy ra có thể do tấn công, hoặc do lỗi mạng Do đó cần truy xét để tìm đúng nguyên nhân Các hành vi bất thường không định trước • • • Đa số tin tặc sử dụng để tấn công một máy đích nào đó... thời Các mạng này thường được dùng làm trung gian cho các cuộc tấn công Dictionary Attack – cracking of authentication passwords • Các mật mã xác thực được chứa trong một file (trên Unix / Windows), thường được mã hóa với một thuật toán chống phá khóa (ví dụ MD5) (Thuật toán một chiều) • Người dùng đăng nhập mật khẩu, mật khẩu được mã hóa và so sánh với bản mã hóa ghi sẵn trong máy • Brute force attack:... TCP High severity incoming anomalies towards a single host Botnets • Tin tặc phát triển các công cụ phát tán tự động (sử dụng botnets,…) cho phép chúng gửi các tấn công tới các máy trung gian trong cùng 1 thời gian, làm tất cả các máy trung gian gửi phản hồi trực tiếp tới 1 máy nạn nhân • Tin tặc phát triển các công cụ để quan sát các router trên mạng không sử dụng các bộ lọc để lọc broadcast traffic,