Báo cáo: Kỹ năng bảo mật Tấn công mạng và phòng thủ Chương 18: Tấn công mạng và cách phòng chống Page 1 MỤC LỤC Báo cáo: Kỹ năng bảo mật Tấn công mạng và phòng thủ 1 MỤC LỤC 2 C H A P T E R 18 Network Attack and Defense (Tấn Công Mạng Và Cách Phòng Chống) Mọi người đều nghĩ rằng vấn đề bảo mật hệ thống mạng có thể được giải quyết bằng cách sử dụng mật mã học mà không hiểu vấn đề chính trong việc mã hóa là gì! 18.1 Introduction(Giới Thiệu) Bảo mật mạng Internet đang là một lĩnh vực phát triển nhanh chóng , các cuộc tấn công được bắt trên các đường truyền có thể thay đổi ý nghĩa . Bất kể kẻ tấn công đang trực tiếp liên quan đến công việc hay không thì các cuộc tấn công trên mạng như vậy đang trở nên đa dạng nó có thể có để lại một số tác động ngay cả khi kẻ tấn công chỉ sử dụng đánh cắp để lưu giữ những nạn nhân cũng làm gia tăng nghiêm trọng về mối đe dọa về an toàn thông tin. Vấn đề là, một số kiến thức về chủ đề này đang rất cần thiết cho các kỹ sư bảo mật. Một số lĩnh vực mới chẳng hạn như một hệ thống mạng có thể được bảo vệ bởi việc mã hóa và hệ thống tường lửa.Nơi an toàn để bắt đầu những khái niệm có Chương 18: Tấn công mạng và cách phòng chống Page 2 thể được xem xét từ các cuộc tấn công phổ biến nhất.(Tuy nhiên có rất nhiều cuộc tấn công được trình bày trên các phương tiện truyền thông như việc tấn công mạng khi mà kẻ tấn công đang thực sự thực hiện bằng nhiều cách tấn công truyền thống. Một ví dụ như là : bị rò rỉ thông tin của các email từ các văn phòng của thủ tướng Anh, và bước đầu đổ lỗi cho tin tặc. Khi các thông tin đó bị lộ ra, các email đã được tìm ra trong của cuộc thăm dò dư luận bởi một thám tử tư được gọi là Benji the Binman, người đã đạt được nhiều thành tựu nổi tiếng.) 18.1.1 The Most Common Attacks(Các vụ tấn công thường gặp) Nhiều cuộc tấn công thực tế liên quan đến các lỗ hổng của hệ thống mạng .Ví dụ chúng ta có thể nhìn thấy từ đề tài bao gồm các cuộc tấn công tràn bộ nhớ đệm và đoán mật khẩu,cả hai đều được thực hiện bởi các loại virus phát tán trên mạng internet. Một chiến lược phổ biến là để có được một tài khoản của bất kỳ đối tượng nào trên mạng thì kẻ tấn công phải cài đặt một phần mềm password sniffer để có được một tài khoản trên máy tính nạn nhân, sau đó kẻ tấn công sử dụng phương pháp tấn công tràn bộ đệm vào máy nạn nhân và lấy cắp tài khoản gốc. Dưới đây là danh sách 10 lỗ hổng bảo mật hàng đầu: 1. Một tấn công tràn bộ đệm trên chương trình BIND, kẻ tấn công sử dụng nhiều Hệ Điều Hành Unix và Linux làm máy chủ DNS và cho phép truy cập tài khoản máy chủ. 2. Các chương trình CGI trên các máy chủ Web, thường được cung cấp bởi các nhà cung cấp như các chương trình mẫu và không loại bỏ. Lỗ hổng của chương trình CGI đang được tin tặc dễ dàng vượt qua và không đươc bảo vệ cho các máy chủ. 3. Cuộc tấn công tràn bộ đệm sử dụng cơ chế điều khiển từ xa (RPC), kẻ tấn công sử dụng nhiều hệ điều hành Unix and Linux để làm máy chủ và nó cho phép những kẻ xâm nhập truy cập tài khoản ngay lập tức(Các cuộc tấn công này đã được sử dụng bởi hầu hết các tấn công từ chối dịch vụ được đưa ra trong năm 1999 và đầu năm2000). 4. Lỗi Internet Information Server (IIS) của hãng Microsoft trên máy chủ Webserver đã cho phép truy cập tới một tài khoản administrator trên máy chủ. 5. Lỗi trong sendmail, các chương trình mail phổ biến nhất trên hệ điều hành Unix và Linux. Rất nhiều lỗi đã được tìm thấy trong sendmail trong những năm qua, và đã có nhiều công bố do CERT năm 1988. Một trong những lỗ hổng gần đây có thể được sử dụng bị sử dụng để làm máy tính nạn nhân gửi tập tin mật khẩu của mình cho những kẻ tấn công, sau đó những kẻ tấn công có thể cố gắng để giai mã nó. Chương 18: Tấn công mạng và cách phòng chống Page 3 6. Một tấn công tràn bộ đệm vào hệ điều hành Sun’s Solaris đã cho phép những kẻ xâm nhập truy cập vào tài khoản admin ngay lập tức. 7. Tấn công trên NFS và tương tự trên các hệ thống máy chủ UNIX và MACINTOSH,và sử dụng các cơ chế để share dữ liệu trong mạng cục bộ. 8. Đoán các usernames and passwords,đặc biệt ở đây các password root và admin không đảm bảo an toàn hoặc là hệ thống đang gửi p a sswords mặc định mà các máy nạn nhân không bận tâm thay đổi nó. 9. Các giao thức IMAP and POP cho phép điều khiển từ xa đến email nhưng nó thường được cấu hình sai cho phép kẻ đột nhập có thể truy cập vào. 10. Sự yếu kém của viec chứng thực trong giao thức SNTP do các nhà quản trị mạng để quản lí tất cả các thiêt bị kết nối đến thiết bị.Giao thức SNTP sử dụng password mặc định và đã bị các tin tặc đánh cắp và thay đổi password. Chú ý rằng các cuộc tấn công không bị dừng lại ở cấp độ mã hóa và không phải tất cả các máy đều sử dụng tường lửa.Ví dụ các lỗ hỗng của máy chủ Web Server có thể được đặt cách xa các hệ thống kinh doanh bằng cách đặt chúng bên ngoài tường lửa nhưng chúng vẫn có thể bị mở để phá hoại và nếu hệ thống tường lửa chạy trên hệ điều hành đã bị lỗ hỗng thì sau đó các kẻ tấn công có thể tìm cách để vượt qua nó. Mặc dù một số các cuộc tấn công có thể đã được sữa lỗi lỗ hổng theo thời gian trong quyển sách Network Attack and Defense này đang được xuất bản , các mô hình cơ bản tương đối ổn định.Hầu hết đều khai thác lỗi trong các chương trình ,trong đó phần lớn là lỗ hổng tràn bộ nhớ đệm .Viêc khai thác lỗ hổng trong các giao thức(giống như NFS) với mật khẩu yếu là nơi thuận lợi cho các tin tặc. Trong thực tế thì lỗ hổng đang là cuộc đua của những cuộc tấn công ,kẻ tấn công thử để tìm thấy sự sơ hở từ lỗ hổng và các nhà cung cấp sẽ phát triển các bản vá lỗi của những tin tặc.Những kẻ tấn công có khả năng có thể tìm thấy những lỗi từ lỗ hổng cho mình và giữ im lặng về chúng,nhưng nhiều bản báo cáo xoáy xung quanh việc khai thác lỗ hổng của tin tặc rằng chùng không chỉ có kiến thức tốt am hiểu về mạng mà còn sử dụng rất nhiều công cụ có sẵn trên mạng. 18.1.2 Skill Issues: Script Kiddies and Packaged Defense Một trong những thay đổi của nền văn minh được truyền tải trên mạng cho đến gần đây các cuộc tấn công tinh vi trên thông tin liên lạc đã cơ bản được chính phủ vệ.Ngày nay chngs ta tìm thấy không phải là các cuộc tấn công đánh hơi password mà còn những cuộc tấn công để tìm thấy sự thích thú trong thiếu niên thời nay .Sự ccaanf thiết ở đây là mọi người nếu khai thác được lỗi trong các phần mềm thì sau đó gửi các lỗi đó vào các trang web như www.rootshell.com, từ đó mọi nguwoowif có thể tải về và sử dụng nó. Những điều khoản này chủ yếu đề cập đến giới trẻ ,những người sử dụng các cuộc tấn công đã chỉnh sửa từ những tin tặc khác,nó cũng có nghĩa là bất kì người nào cũng có thể tải và sử dụng các công cụ tấn công dù không hiểu gì về tấn công.Khi hệ thống càng bảo mật phức tạp thì ngay cả những kẻ tấn công tinh vi hay cá nhân nào cũng theo kịp với sự khai thác các lỗ hổng tù các hệ điều hành và các giao Chương 18: Tấn công mạng và cách phòng chống Page 4 thức mạng.Trong thực tế thì những tin tặc đang bị đào tạo tay nghề cao trong khi việc bảo vệ đang ngày khó khăn cho các nhà quản trị mạng. Kĩ năng cũng là 1 yếu tố quan trọng trong việc bảo vệ.Một số tổ chức như công ty máy tính, trường đại học lớn, và các cơ quan tình báo quân sự, họ có những người biết làm thế nào để theo dõi những gì đang xảy ra và điều chỉnh việc bảo vệ hệ thống một cách thích hợp. Nhưng hầu hết các công ty đều dựa trên sự kết hợp của các tiêu chuẩn sản phẩm và dịch vụ. Các sản phẩm bao gồm tường lửa, quét virus, và các hệ thống phát hiện xâm nhập, các dịch vụ thường được cung cấp dưới dạng tập tin cấu hình mới cho các sản phẩm này. Theo những cách này, lỗ hổng sẽ trở nên tập trung. Một kẻ tấn công có thể làm việc trong một hệ thống bị đánh sụp được bán rộng rãi, có một loạt các mục tiêu để hướng đến hệ thống Bây giờ chúng ta sẽ xem xét một số cuộc tấn công cụ thể và cơ chế bảo vệ. Hãy nhớ rằng đây là cuộc tấn công quan trọng nhất là tấn công ghi đè lên bộ nhớ đệm và quan trọng thứ hai là đoán mật khẩu, nhưng vì đã được giới thiệu trong chương 4 và trong các chương 2-3 nên sẽ giới thiệu tiếp theo: lỗ hổng trong giao thức mạng. 18.2 Vulnerabilities in Network Protocols ( Lỗ hổng trong giao thức mạng) Các điều hành thường được sử dụng như Unix và NT được vận hành với phạm vi rất lớn của các dịch vụ mạng, nhiều hệ điều hành trong số đó đang cho phép kích hoạt mặc định, hoặc vận hành với các cấu hình sẵn làm cho "plug and play" dễ dàng cho những kẻ tấn công giống như người dùng hượp pháp. Chúng ta sẽ xem xét ở cả hai mạng cục bộ và các vấn đề Internet; một chủ đề chung đó là các phương pháp ánh xạ (giữa các địa chỉ IP, tên tập tin, vv) cung cấp rất nhiều các điểm yếu. Cuốn sách này không phải là một nơi thích hợp để giải thích các giao thức mạng, vì vậy chúng tôi cung cấp một bản tóm tắt điện tín, như sau: các giao thức mạng Internet (IP) là một giao thức truyền dữ liệu không điều kiện mà nó vận chuyển gói tin từ một máy khác, nó sử dụng địa chỉ IP gồm 32-bit ,nó thường được viết giống bốn số thập phân trong khoảng từ 0-255 , như 172.16.8.93. Hầu hết các dịch vụ mạng đều sử dụng một giao thức được gọi là giao thức TCP, nằm trên phân lớp trên IP, và cung cấp đường giao thông trên mạng bằng cách phân chia luồng dữ liệu vào các gói IP và ghép nó vào cuối gói dữ liệu, yêu cầu này lặp đi lặp lại của bất kỳ các gói dữ liệu bị mất.Địa chỉ IP phục được chuyển đổi thành địa chỉ quen thuộc bằng cách sử dụng các hệ thống tên miền(DNS), dich vụ DNS phân phối tên miền cho các server cao cấp đến các server cục bộ của hệ thống tên miền đặc biệt.Mạng cục bộ chủ yếu là sử dụng chuẩn Ethernet, trong đó thiết bị của mạng cục bộ có địa chỉ mạng duy nhất, nó ánh xạ tới các địa chỉ IP sử dụng giao thức phân giải địa chỉ (ARP). Chương 18: Tấn công mạng và cách phòng chống Page 5 Có nhiều thành phần khác trong bộ giao thức sử dụng để quản lý thông tin liên lạc và cung cấp dịch vụ cao cấp hơn. Hầu hết trong số các bộ giao thức đã được phát triển trong những ngày trước thì chỉ tin cậy vào hệ thống máy chủ, và mối quan tâm không phải là vấn đề về an ninh. Vì vậy, có rất ít các hệ thống chứng thực được xây dựng và nỗ lực để khắc phục lỗi này với việc giới thiệu thế hệ tiếp theo của IP (IPv6) có thể sẽ mất nhiều năm. 18.2.1 Attacks on Local Networks(Tấn Công Trên mạng cục bộ) Hãy giả sử rằng kẻ tấn công là một trong những nhân viên của bạn, kẻ tấn công đã có một máy thuộc mạng LAN của bạn, và muốn vượt qua một tài khoản bằng tên của người khác để lấy cắp thông tin. Sau khi thu thập dữ liệu cần thiết để truy cập vào mạng, kẻ tấn công có thể cài đặt gói phần mềm đánh hơi (sniffer) để thu thập mật khẩu , nhận được mật khẩu admin, và tạo mới một tài khoản hợp lệ. Tuy nhiên, nếu nhân viên của bạn sử dụng chương trình tạo mật khẩu hay cẩn thận chỉ sử dụng một mật khẩu root tại bàn phím của máy đó được phép áp dụng ,thì sau đó nó sẽ dễ bị tin tặc tấn công. Một cách để tin tặc tiếp cận mạng cục bộ là cố gắng thử giả mạo như là một người dùng máy tính hợp lệ mà đối tượng người sử dụng dùng để đăng nhập. Hệ thống ARP là một trong những mục tiêu tốt bằng cách tin tặc sẽ chạy những đoạn mã lệnh phù hợp, những kẻ tấn công có thể đưa ra câu trả lời sai cho thông báo của hệ thống ARP và xin thông tin yêu cầu từ phía các máy nạn nhân. Các máy tính người dùng có thể nhận thấy nếu cảnh báo trước ,nhưng các kẻ tấn công luôn có thể chờ đợi cho đến khi là tải dữ liệu hoặc lấy nó xuống bằng cách sử dụng một cuộc tấn công khác. Một khả năng là các kẻ tấn công sẽ sử dụng mặt nạ mạng con. Ban đầu, địa chỉ IP đã sử dụng 3 byte đầu tiên để xác định phân chia giữa các địa chỉ mạng và địa chỉ máy chủ . Bây giờ IP được hiểu là địa chỉ mạng,mạng con, và địa chỉ máy chủ , với địa chỉ mạng con là 1 hằng số. Máy cục bộ khi khởi động sẽ gửi một yêu cầu nhận subnet mask,và nó sẽ nhận bất kỳ địa chỉ subnet mask nhận được .Vì vậy bằng cách gửi một subnet mask phù hợp thì máy cục bộ có thể bị kẻ tấn công triệt tiêu. Một phương pháp khác, nếu một công ty sử dụng hệ thống Unix,thì hệ thống tệp tin mạng (NFS) sẽ là các chuẩn phổ biến để chia sẻ tập tin trên hệ thống Unix. Điều này cho phép một số máy cục bộ sử dụng một ổ đĩa mạng như là một ổ đĩa cục bộ,vì vậy nó sẽ có một số lỗ hổng bảo mật để tin tăc tấn công những máy cục bộ đang trên cùng một mạng LAN. Khi một ổ đĩa đang được xác lập, thì các máy client gửi một file yêu cầu đến máy chủ xử lí, trong đó client đề cập đến đường dẫn các thư mục gốc của hệ thống tập tin đang xác lập. Yêu cầu này không phụ thuộc vào thời gian, hoặc số lượng máy chủ và không thể bị hủy bỏ. Nó không có cơ chế cho mỗi người dùng truy cập hay chứng thực do vậy các máy chủ phải tin tưởng một máy client hoàn toàn hoặc không tin tất cả. Ngoài ra,máy chủ Chương 18: Tấn công mạng và cách phòng chống Page 6 NFS thường trả lời yêu cầu từ một card mạng khác để một card mạng trong chúng có nhiệm vụ trả lời các yêu cầu đến tiếp theo. Vì vậy nó có thể đợi cho đến khi một quản trị mạng có đăng nhập vào một tập tin của máy chủ, sau đó sẽ ghi đè lên các tập tin password. Vì lý do này, nhiều trang web sử dụng phương án thay thế hệ thống tập tin , chẳng hạn như NFS. 18.2.2 Attacks Using Internet Protocols and Mechanisms (Tấn công sử dụng giao thức mạng và các cơ chế) Vấn đề cơ bản chuyển giao thức đến trang web là giống nhau ,chúng không có việc chứng thực hay bảo vệ bí mật trong hầu hết các cơ chế. Điều này thể hiện đặc biệt ở giao thức TCP / IP. Xét ví dụ : Cách bắt tay ba bước được sử dụng bởi Alice để bắt đầu một kết nối TCP đến Bob và để thiết lập các số thứ tự thể hiện trong hình 18.1. Giao thức này có thể bị khai thác trong một số ngẫu nhiên bằng nhiều cách khác nhau. Bây giờ việc tấn công chối dịch vụ(DOS) ngày càng trở nên thực sự quan trọng, chúng ta hãy bắt đầu với các cuộc tấn công từ chối dịch vụ đơn giản: SYN Flooding 18.2.2.1 SYN Flooding(Tấn công từ chối dich vụ SYN) Các cuộc tấn công từ chối dịch vụ SYN chỉ đơn giản là sẽ gửi một số lượng lớn các gói tin SYN và không bao giờ thừa biết bất kỳ câu trả lời nào . Điều này dẫn đến người nhận (Bob, trong hình 18,1) sẽ nhận nhiều gói tin SYN hơn phần mềm của mình có thể xử lý các gói tin đó. Kiểu tấn công này đã được biết đến là về mặt lý thuyết có thể từ những năm 1980, nhưng tấn công này được sự chú ý của công chúng rất nhiều vào năm 1996. Figure 18.1 TCP/IP handshake. B1. The client requests a connection by sending a SYN ( synchronize ) message to the server (Client yêu cầu kết nối bằng cách gửi 1 gói SYN đến server) B2. The server acknowledges this request by sending SYN ACK back to the client. (Server gởi lại gói SYN ACK chấp nhận cho client) B3. The client responds with an ACK , and the connection is established. (client trả lời gói ACK và kết nối) Chương 18: Tấn công mạng và cách phòng chống Page 7 18.2.2.2 Smurfing Một kiểu tấn công khác được biết đến đó là tấn công từ chối dịch vụ Smurfing. Phương pháp tấn công này được khai thác tù giao thức mạng ICMP cho phép người dùng gửi một gói tin ICMP echo request đến một máy chủ từ xa để kiểm tra xem nó còn sống hay không Vấn đề phát sinh với các địa chỉ phát sóng được chia sẻ bởi một số máy. Một số triển khai của các giao thức Internet trả lời ping đến địa chỉcủa cả hai và phát địa chỉ địa phương của họ (ý tưởng là để thử nghiệm một mạng LAN để xem những gì còn sống). Vì vậy, cácgiao thức cho phép cả hai loại havior- được trong các bộ định tuyến. Một bộ sưu tập của chủ nhà ở một địa chỉ phát sóng phản ứng theo cách này được gọi là bộ khuếch đại smurf Kẻ tấn công đang xây dựng một gói tin với địa chỉ IP nguồn giả mạo là địa chỉ IP của máy nạn nhân , và gửi đến một số các bộ khuếch đại smurf. Các máy nạn nhân sẽ trả lời lại (nếu còn sống) bằng cách gửi một gói tin cho kẻ tấn công và máy nạn nhân có thể bị sụp bẫy của kẻ tấn công bằng các gói dữ liệu hơn là nó có thể tự bảo vệ . Smurfing thường được sử dụng bởi một số kẻ tấn công muốn vượt qua hệ thống máy chủ Internet relay chat(IRC) ,vì vậy kẻ tấn công có thể nắm quyền kiểm soát trong phòng chat. Việc đổi mới đã được tự động khai thác một số lượng lớn từ các máy "vô haị " trên mạng để tấn công đến các nạn nhân Một phần của biện pháp đối phó là kỹ thuật: Thay đổi các tiêu chuẩn giao thức trong Tháng 8 năm 1999 để các gói tin ping được gửi đến một địa chỉ quảng bá trong toàn mạng mà không cần trả lời [691]. Cách thực hiện như vậy làm cho số lượng các bộ khuếch đại smurf trên mạng Internet là liên tục giảm xuống. Phần khác là kinh tế xã hội: các trang web như www.netscan.org sản xuất một danh mục các bộ khuếch đại smurf. Các nhà quản trị mạng giỏi sẽ đưa thiết bị mạng của họ vào đó và sửa chữa chúng trong khic đó các nhà quản trị yếu kém biếng sẽ thấy rằng những kẻ xấu đã chiếm sử dụng băng thông của mình quá nhiều vì vậy họ sẽ bị ép vào các vấn đề phải sửa chữa 18.2.2.3 Distributed Denial-of-service Attacks: Tấn Công Từ Chối dich vụ Một sự phát triển cùng với sự xuất hiện của nó vào tháng 10 năm 1999.Đây là 1 cuộc tấn công từ chối dịch vụ (DDOS).Thay vì ket tấn công khai thác lỗi cấu hình ở các chương trình giống Smurfing thì kẻ tấn công đồng loạt tấn công từ nhiều nơi trên mạng kẻ tấn công đã cài đặt sẵn các phần mềm tấn công và tại 1 thời điểm hứa hẹn trước đồng loạt cùng tấn công vào trang web bằng cách gửi liên tục các tin nhắn đến máy chủ nên rất khó chống đỡ.Do vậy hệ thống bị tấn công sẽ qua tải và không thể hoạt động được nữa. Cho đến nay, các cuộc tấn công DDoS đã được triển khai tấn công tại một số các trang web cao cấp bao gồm trang Amazon và Yahoo. Kẻ tấn công có thể làm gây gián đoạn nhiều hơn là chúng ăn cắp thông tin vì kẻ tấn công có thể nhắm vào mục tiêu là dịch Chương 18: Tấn công mạng và cách phòng chống Page 8 vụ như DNS do đó làm hệ thống mạng Internet tại các web này không thể hoạt động được nữa.Giống như một cuộc chiến tranh thông tin có thể được dự kiến từ trước và nó cũng có thể là một hành động phá hoại của một cá nhân nào đó.Các máy thường được sử dụng phần mềm như là máy chủ cho các cuộc tấn công vào đầu năm 2000 đã được đưa lên các trang website của Mỹ. Mỗi tran web có các lỗ hổng bảo mật nhất định vì FDA đã nhấn mạnh rằng hệ thống Unix được chứng thực cho các mục đích nhất định và cấu hình sẵn bên trong. Một khi lỗi đã được phát hiện tại hệ thống thì hệ thống sẽ tự động gửi đến máy chủ phần mềm đang tấn công này. Tại thời điểm này thì các ý tưởng chống lại cuộc tấn công DDOS đang được tiến hành bằng cách thêm giao thức thông báo điều khiển mạng internet (ICMP)vào thông điệp trong kiến trúc hạ tầng mạng Ý tưởng là bất cứ khi nào một router gửi một gói tin IP thì hệ thống cũng sẽ gửi một gói tin ICMP đến đích với một khả năng xác suất trong khoảng 1 trong 20.000 gói tin. Các gói tin sẽ bao gồm chi tiết của các đường truyền trước đây,các đường truyền kế tiếp, và càng nhiều các gói dữ liệu sẽ khớp nhau. Nhà quản trị hệ thống mạng sau đó sẽ có trách nhiệm theo dõi các cuộc tấn công từ chối dịch vụ trở lại . Ngay cả khi những kẻ tấn công sử dụng địa chỉ IP nguồn giả mạo để bao phủ máy tính của kẻ tấn công [93]. Hệ thống cũng có thể giúp bắt giữ kẻ tấn công gửi thư rác với quy mô lớn ,thông điệp không phải được gửi từ địa chỉ email và do giao thức SMTP được thiết kế để cung cấp dịch vụ. 18.2.2.4 Spam and Address Forgery (Tấn công bằn thư rác và giả mạo địa chỉ) Các dịch vụ như email và Web (SMTP và HTTP) thường kém độ an toàn về bảo mật. Cách tốt nhất để tìm tên máy với một địa chỉ IP thì sử dung dịch vụ phân giải tên miền DNS Vì vậy kẻ tấn công có thể lạm dụng lỗ hổng này để giả mạo địa chỉ IP . Ví dụ phổ biến nhất là thư giả mạo bằng cách gửi thư rác còn có nhiều cách khác. Ví dụ: nếu 1 kẻ tấn có thể cung cấp thông tin không chính xác về dich vụ DNS cho trang website của công ty bạn thì trang web này có thể bị chuyển hướng đến 1 trang web khác mà bạn không thể làm gì đượcVì vậy kẻ tấn công thường cung cấp các thông tin sai lệch trong bảng bộ nhớ DNS sau đó kẻ tấn công sẽ làm dich vụ DNS bị nhiễm độc. 18.2.2.5 Spoofing Attacks ( Tấn công giả mạo) Chúng ta có thể kết hợp một số ý tưởng trước vào các cuộc tấn công giả mạo hoạt động ở phạm vi lớn (có nghĩa bảo là từ bên ngoài mạng cục bộ hoặc miền) Charlie nói rằng Alice và Bob đang là một mục tiêu trên mạng LAN và Charlie muốn Nói chuyện như Alice với Bob. Charlie có thể làm Alice rớt khỏi mạng với một cuộc tấn công từ chối dịch vụ của một số loại phần mềm tấn công, sau đó bắt đầu một kết nối mới với Bob [559, 90]. Điều này đòi hỏi phải đoán một dãy số Y, mà Bob sẽ chỉ định trong phiên giao dịch theo giao thức thể hiện trong hình 18.1. Một cách đơn giản Chương 18: Tấn công mạng và cách phòng chống Page 9 để đoán dãy số Y là phải làm việc trong một thời gian dài, sau đó Charlie kết nối thưc sự đến Alice ngay trước khi sử dụng và trong thực tế lthì giá trị của dãy số Y thay đổi một cách có thể dự đoán được từ một kết nối tiếp theo. Ngăn xếp sử dụng hệ thống các dãy số ngẫu nhiên và các kỹ thuật khác để tránh kẻ tấn công dự đoán đươc dãy số, nhưng hệ thống cấp số ngẫu nhiên thường cấp ít các dãy số ngẫu nhiên hơn so với với dự kiến để chờ đợi một dãy số lớn từ các lỗi bảo mật [774]. Nếu số thứ tự dự đoán là khả thi thì sau đó Charlie sẽ có thể gửi tin nhắn cho Bob, mà Bob sẽ tin tưởng tin nhắn đó đến từ Alice (mặc dù Charlie sẽ không thể đọc được trả lời của Bob ). Trong một số trường hợp, Charlie sẽ không có thể tấn công được Alice khi Alice bỏ qua câu trả lời ngẫu nhiên từ Charlie. Đây là một cuộc tấn công phức tạp nhưng không có vấn đề gì vì đã có những kịch bản có sẵn trên mạng để làm điều đó. 18.2.2.6 Routing Attacks Tấn công định tuyến là các cuộc tấn công đa dạng. Vụ tấn công cơ bản liên quan đến Charlie nói với Alice và Bob bằng một đường truyền đã định tuyến thuận tiện cho sự trao đổi tín hiệu qua lại giữa hai người. Tấn công định tuyến đã được sắp xếp vào giao thức TCP để làm hệ thống nhận được các bộ định tuyến sẵn từ môi trường xung quanh không tốt. Các hạ tầng cơ sở giả định rằng" server đang trung thực" và đây là đường đinh tuyến trở lại tốt nhất và chỉ có một giải pháp ngăn chặn định tuyến là khóa bảng định tuyến. Tuy nhiên,giải pháp vẫn tiếp tục được sử dụng cho chẩn đoán mạng. Một phương pháp khác liên quan đến việc chuyển hướng thông điệp là dựa trên cùng một tiền đề. Những ứng dụng nói rằng, "Bạn đã gửi thông điệp này thay vì đến các cổng khác " và thường phương pháp này không được áp dụng để kiểm tra. Chúng có thể được sử dụng để làm các việc lật đổ tương tự như cấp bảng định tuyến. Việc gửi thư rác đã làm cho gần như tất cả kẻ tấn công giả mạo thư đang bị coi thường. Việc định tuyến lại là rất khó khăn hơn, vì việc định tuyến hoàn toàn dựa trên nhà cung cấp dịch vụ . Nhiễm độc bộ nhớ cache DNS chỉ là một trong những thủ thuật mà có thể được sử dụng. 18.3 Defense against Network Attack: (Bảo vệ chống lại tấn công mạng) Việc chống lại tấn công có vẻ hợp lý để hy vọng rằng hầu hết các cuộc tấn công được những người đưa ra kịch bản có thể bị cản trở bởi một quản trị hệ thống cần cù theo dõi bản thông tin bảo mật và áp dụng tất cả các bản vá lỗi phần mềm của mình kịp thời cho nhà cung cấp . Đây là một phần của các chủ đề rộng hơn về quản lý cấu hình 18.3.1 Configuration Management : (Quản trị cấu hình) Chương 18: Tấn công mạng và cách phòng chống Page 10 [...]... phần mềm không an toàn, và thường xuyên không có người quản trij hệ thống và các đoạn mã để tấn công đã trở thành những sản phẩm phần mềm phổ biến và bắt đầu được phân phối rộng rãi.Hầu hết những cuộc tấn công đều xảy ra giống như những lịch bản đã xảy ra ở các cuộc tấn công từ trước Các cuộc tấn công mới nổi lên là các Chương 18: Tấn công mạng và cách phòng chống Page 26 cuộc tấn công từ chối dịch vụ... tương lai có thể loại bỏ được chúng 18.6 Summary Ngăn chặn và phát hiện các cuộc tấn công được đưa ra trên mạng và đặc biệt là qua Internet, có lẽ là khía cạnh đáng giá nhất của kỹ sư bảo mật Vấn đề là không thể được giải quyết trong thời gian tới, như có rất nhiều loại công cụ tấn công các lỗ hổng khác nhau đã đóng góp vào bộ công cụ của kẻ tấn công Một yw tưởng rằng mọi người sẽ chạy ccs đoạn mã cẩn... cuộc tấn công, mà cẩn thận cấu hình quản lý có thể chặn hầu hết các phần còn lại, và phát hiện xâm nhập có thể bắt hầu hết các dư lượng mà làm cho kẻ tấn công thông qua Bởi vì các kỹ thuật tấn công phụ thuộc rất nhiều vào việc khai thác các lỗ hổng cơ hội giới thiệu vô tình của các nhà cung cấp phần mềm lớn và kẻ tấn công thường xuyên thay đổi các kĩ thuật Trong chương này chúng tôi tập trung vào giải... hành và các bản vá lỗi vì sợ mất dịch vụ.Điều này dẫn chúng ta đến việc sử dụng tường lửa 18.3.2 Firewalls(Tường lửa) Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật Chương 18: Tấn công mạng và cách phòng chống Page 11 được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo. .. đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là: Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích Chương 18: Tấn công mạng và cách phòng chống Page 13 chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall... thông điệp cần phải thường được kiểm tra và thông qua bằng tay Điều này có thể có được thực hiện bằng nhiều cách mà nhà quản tri mạng cài đặt cấp phép ra vào mạng, chẳng hạn như thiết bị quay số (dial -up) có thể thực hiện được công việc bảo mật thực hiện nếu nhà quản trị mạng cài đặt là nhằm ngăn chặn thông tin bị rò rỉ ra Chương 18: Tấn công mạng và cách phòng chống Page 14 bên ngoài thì có thể dùng... Chương 18: Tấn công mạng và cách phòng chống Page 23 - Không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước hiểm hoạ virus và các phần mềm hiểm độc, nhưng chúng ta có thể hạn chế đến tối đa có thể và có các biện pháp bảo vệ dữ liệu của mình Sử dụng phần mềm diệt virus - Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều loại virus máy tính và liên tục... lây lan nhanh, rộng và phổ biến nhất hiện nay Không giống với virus thời "nguyên thủy", worm không cần đến các tập Chương 18: Tấn công mạng và cách phòng chống Page 19 tin "mồi" để lây nhiễm Chúng tự nhân bản và phát tán qua môi trường Internet, mạng ngang hàng, dịch vụ chia sẻ Worm làm việc đó một cách tự động bằng cách nắm quyền kiểm soát các tính năng trong máy tính, mà các tính năng này có thể truyền... có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đoạn khác của phần mềm gián điệp (spyware) Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu của... [192] Chương 18: Tấn công mạng và cách phòng chống Page 27 mặc dù nó đã được viết trước khi virus macro đã trở thành vấn đề về an ninh trên hệ thống mạng toàn cầu Việc bảo mật Java được thảo luận bởi GaryMcGraw , Ed Felten [537] và Li Gong (1 kiến trúc sư ) [346] Một cuộc điều tra sự cố bảo mật trên mạng Internet xuất hiện trong một luận án của John Howard [392].Tư vấn từ CERT [199] và BugTraq [144] . Báo cáo: Kỹ năng bảo mật Tấn công mạng và phòng thủ Chương 18: Tấn công mạng và cách phòng chống Page 1 MỤC LỤC Báo cáo: Kỹ năng bảo mật Tấn công mạng và phòng thủ 1 MỤC LỤC 2 C . tập tin mật khẩu của mình cho những kẻ tấn công, sau đó những kẻ tấn công có thể cố gắng để giai mã nó. Chương 18: Tấn công mạng và cách phòng chống Page 3 6. Một tấn công tràn bộ đệm vào hệ. Smurfing thì kẻ tấn công đồng loạt tấn công từ nhiều nơi trên mạng kẻ tấn công đã cài đặt sẵn các phần mềm tấn công và tại 1 thời điểm hứa hẹn trước đồng loạt cùng tấn công vào trang web bằng