![an toàn và bảo mật hệ thống thông tin tìm hiểu về tấn công xen giữaman in the middle](https://123docz.net/image/doc_normal.png)
Đang tải... (xem toàn văn)
Thông tin tài liệu
TỔNG QUAN VỀ MAN IN THE MIDDLE1.1.Tấn công Man in the Middle là gì?Tấn công Man in the Middle Tấn công xen giữa là một thuật ngữchung để chỉ những cuộc tấn công mà hacker sẽ đứng ở giữa
Trang 1TRƯỜNG ĐẠI HỌC KINH TẾ
KHOA THƯƠNG MẠI ĐIỆN TỬ
Đà Nẵng, 11/10/2022
Trang 2MỤC LỤC
MỤC LỤC ii
DANH MỤC CÁC TỪ VIẾT TẮT iv
LỜI MỞ ĐẦU 1
Tổng quan về Man in the Middle 2
1.1 Tấn công Man in the Middle là gì? 2
1.1.1 Tìm hiểu về tấn công Man in the Middle 2
1.1.2 Ví dụ tổng quát về tấn công Man in the Middle 2
1.2 Phương thức hoạt động của việc tấn công Man in the Middle 3
1.3 Mục đích thực hiện tấn công Man in the Middle 3
1.4 Những đối tượng thường bị tấn công Man in the Middle 4
1.5 Những hình thức tấn công Man in the Middle phổ biến 4
1.5.1 Phương thức tấn công Attack on Encryption (tấn công mã hoá) 4
1.5.2 Phương thức tấn công Interception (tấn công đánh chặn) 6
1.6 Những công cụ dùng để thực hiện tấn công Man in the Middle 8
Trang 32.2 Những bước cụ thể khi muốn thao tác tấn công Man in the Middle 13
2.3 Tìm hiểu kỹ hơn về việc giả mạo ARP Cache trong tấn công Man in the Middle 15
2.2.1 Định nghĩa của giả mạo ARP Cache: 15
2.2.2 Việc truyền thông ARP thông thường: 15
2.2.3 Cụ thể về việc giả mạo Cache: 16
Mô phỏng quy trình tấn công Man in the Middle 17
3.1 Quy trình chung nhất của một cuộc tấn công mạng 17
3.2 Quy trình thực hiện tấn công Man in the Middle 18
3.2.1 Giai đoạn đầu tiên của quy trình tấn công MitM - Đánh chặn 18
3.2.2 Giai đoạn thứ hai của quy trình tấn công MitM - Giải mã 18
Thực hành tấn công Man in the Middle 20
Hậu quả khi bị tấn công Man in the Middle 21
5.1 Thiệt hại về dữ liệu 21
5.2 Thiệt hại về tài chính 21
5.3 Thiệt hại về uy tín thương hiệu 22
Cách phát hiện và phòng chống các cuộc tấn công Man in the Middle 23
6.1 Cách phát hiện các cuộc tấn công MitM 23
6.2 Cách đề phòng khỏi các cuộc tấn công MitM 23
6.3 Cách ngăn chặn các cuộc tấn công MitM 25
Một số vụ tấn công Man in the Middle nổi tiếng trên thế giới27Phụ lục 28
Trang 4DANH MỤC CÁC TỪ VIẾT TẮT
MitM : Man in the Middle
HSTS : HTTP Strict Transport Security
HTTP : HyperText Transfer Protocol
HTTPS : Hyper Text Transfer Protocol Secure
IP : Internet Protocol
WPAD : Web Proxy Autodiscovery Protocol
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name System
UDP : User Datagram Protocol
BGP : Border Gateway Protocol
POP : Post Office Protocol
IMAP : Internet Message Access Protocol
SMTP : Simple Mail Transfer Protocol
FTP : File Transfer Protocol
URL : Uniform Resource Locator
RAM : Random Access Memory
TLS : Transport Layer Security
SSL : Secure Sockets Layer
GUI : Graphical User Interface
MAC : Media Access Control
RAT : Remote Administration Tools
WiFi : Wireless Fidelity
DPI : Deep Packet Inspection
Too long to read onyour phone? Save
to read later onyour computer
Save to a Studylist
Trang 5IDPS : Intrusion Detection and Preventation System
IoT : Internet of Things
VPN : Virtual Private Network
Trang 6LỜI MỞ ĐẦU
1 Mục tiêu nghiên cứu của đề tài
- Đề tài này nghiên cứu về những cuộc tấn công mà hacker là người xâmnhập vào quá trình tương tác giữa người dugnf và ứng dụng/ trang web/ trong quá trình giao tiếp
- Bên cạnh đó đề tài cũng chỉ ra rõ những kỹ thuật tấn công cũng như cáchbạn phòng chống những cuộc tấn công đó.
- Thực hành được tấn công Man in the Middle và đưa ra những phươngpháp phòng chống hiệu quả
2 Phương pháp nghiên cứu
- Nghiên cứu lý thuyết- Nghiên cứu thực hành
3 Kết cấu của đề tài
Đề tài được tổ chức gồm phần mở đầu, 7 phần nội dung - Tổng quan về Man in the Middle
- Tìm hiểu kỹ hơn về kỹ thuật tấn công Man in the Middle- Mô phỏng quy trình thực hiện tấn công Man in the Middle- Thực hành tấn công Man in the Middle
- Hậu quả khi bị tấn công Man in the Middle
- Cách phát hiện và phòng chóng các cuộc tấn công Man in the Middle- Một số vụ tấn công Man in the Middle nổi tiếng trên thế giới
Trang 7TỔNG QUAN VỀ MAN IN THE MIDDLE
1.1.Tấn công Man in the Middle là gì?
Tấn công Man in the Middle (Tấn công xen giữa) là một thuật ngữchung để chỉ những cuộc tấn công mà hacker sẽ đứng ở giữa ngườidùng và ứng dụng trong quá trình giao tiếp, nhằm nghe trộm hoặcmạo danh một trong các bên.
Các thông tin thu thập được sau khi tấn công có thể dùng để đánhcắp danh tính, chuyển tiền hay thay đổi mật khẩu bất hợp pháp Bêncạnh đó, các hacker có thể sử dụng kiểu tấn công MitM để thuận lợithực hiện các cuộc tấn công liên tục nâng cao (APT) khác.
MitM là một phần không thể thiếu trong cách một bộ phận rất lớntội phạm mạng hoạt động Trong trường hợp xảy ra cuộc tấn côngBusiness Email Compromise (BEC), chúng thực hiện bằng cáchxâm nhập vào mạng của nạn nhân, giành quyền truy cập vào thư từ,theo dõi các yêu cầu thanh toán của bên thứ ba và cuối cùng hướngdẫn nạn nhân gửi khoản thanh toán đến tài khoản ngân hàng màchúng kiểm soát.
Kẻ tấn công đang mạo danh cả hai bên của cuộc trò chuyện để cóquyền truy cập vào tài khoản Điều này tương ứng với một cuộc tròchuyện giữa khách hàng và máy chủ hay các cuộc trò chuyện giữangười với người.
Kẻ tấn công chặn một public key và với key này có thể giả mạothông tin đăng nhập của một trong hai bên để lừa người dùng ở haibên rằng họ đang nói chuyện với nhau một cách an toàn.
Trang 81.2.Phương thức hoạt động của việc tấn công Man in the Middle
Ở các cuộc tấn công MitM, hacker sẽ tự chèn vào giữa các giaodịch dữ liệu hoặc giao tiếp trực tuyến Phần mềm độc hại sẽ đượchacker phân phối vào thiết bị của người dùng để dễ dàng truy cậpvào trình duyệt web Hiện tại, ngân hàng trực tuyến hoặc websitethương mại điện tử chính là mục tiêu của MitM bởi chúng yêu cầuxác thực danh tính bằng những code hoặc thông tin mật của cánhân.
Tấn công Man in the Middle thường được thực hiện qua hai bướclà chặn và giải mã dữ liệu Khi hacker chặn việc truyền dữ liệu,khách hàng và ứng dụng vẫn cứ tin họ đang trao đổi với nhau Thựcchất lúc đó, hacker sẽ đóng vai trò như một proxy đọc và chènthông tin sai vào quá trình giao tiếp nói trên.
Sau khi chặn thành công thì hacker sẽ giải mã dữ liệu để sử dụngvào những mục đích có lợi cho chúng Thường thì thông tin cóđược sẽ dùng để đánh cắp danh tính và gây ra những bất lợi chohoạt động kinh doanh.
1.3.Mục đích thực hiện tấn công Man in the Middle
Mục đích của việc thực hiện tấn công xen giữa là theo dõi và đánhcắp thông tin cá nhân của nạn nhân Ví dụ như thông tin đăng nhậphay số thẻ tín dụng…
Các thông tin thu thập được sau khi tấn công có thể dùng để đánhcắp danh tính, chuyển tiền hay thay đổi mật khẩu bất hợp pháp, tấncông các tổ chức tài chính.
Một số doanh nghiệp sử dụng tấn công xen giữa để giám sát nhânviên và hiển thị quảng cáo rộng rãi.
Mục đích cuối cùng chính là thu lợi nhuận từ những thông tin cóđược từ việc thực hiện tấn công MitM.
Trang 91.4.Những đối tượng thường bị tấn công Man in the Middle
Những đối tượng tiêu biểu có thể kể đến như:Các doanh nghiệp và trang web thương mại điện tửCác trang điện toán đám mây
Người dùng các ứng dụng tài chính
Các kết nối công dộng, miễn phí, bảo mật kémCác trang web có yêu cầu thông tin đăng nhập nói chungMột số đối tượng khác có thể kể đến như:
Một số tổ chức thực hiện 1 hệ thống để giám sát nhân viên củahọ bằng chiến thuật MitM (nhưng không thừa nhận rõ ràng).Khách hàng cũng là mục tiêu doanh nghiệp nhắm tới nhằm mụcđích hiển thị quảng cáo (Đây chính là trường hợp của nhà sảnxuất máy tính xách tay Lenovo của Trung Quốc).
Một nhân tố khác được biết đến với việc sử dụng Mitm là chínhphủ luôn tổ chức theo dõi công dân, vượt qua bảo mật côngnghệ, theo dõi các quốc gia thù địch, đánh cắp các dữ liệu nhạycảm hoặc tấn công các tổ chức tài chính của các tổ chức tàichính các quốc gia khác để lấy tiền cho dự án của họ (Nhưtrường hợp thường xảy ra với Bắc Hàn là một ví dụ).
1.5.Những hình thức tấn công Man in the Middle phổ biến
a) HTTPS Spoofing (Giả mạo HTTPS)
Tội phạm tạo ra một trang web HTTPS giả bằng cách giả mạo địachỉ của một trang web hợp pháp Sau đó, họ sẽ gửi một liên kết củatrang web giả mạo đến nạn nhân Nạn nhân sẽ bị tấn công khi truycập vào trang web giả mạo đó.
Trang 10b) SSL Hijacking (Chiếm quyền điều khiển SSL)
Tội phạm chiếm đoạt phiên hợp pháp của người dùng và giả mạothành người dùng đó Máy chủ sẽ không biết rằng người đang thựchiện giao dịch không phải là người dùng đã định.
Sau khi tội phạm giành được quyền kiểm soát phiên, họ có thể làmmọi thứ mà người dùng được phép làm trên tài khoản của họ nhưchuyển hoặc rút tiền, mua đồ, thậm chí thay đổi thông tin tài khoảncủa nạn nhân.
Một số sai lầm mà chủ sở hữu và người dùng trang web mắc phảikhiến phiên dễ bị tấn công:
Sử dụng các thông tin, ký tự dễ đoán để tạo ID.
Chỉ bảo mật một phần của trang web thay vì toàn bộ trang web.Nhấp vào liên kết trong các email lừa đảo.
Mua phần cứng từ các nguồn không đáng tin cậy.
c) SSL Stripping (Tước đoạt SSL)
Tội phạm làm giảm tính bảo mật của trang web để họ có thể truycập thông tin liên lạc giữa máy khách và máy chủ mà nó kết nối.
Khi người dùng yêu cầu một trang web HTTPS, kẻ tấn công sẽ hạcấp HTTPS xuống phiên bản HTTP của cùng một trang web Phiênbản HTTP không an toàn và kẻ tấn công có thể đọc mọi thứ giữamáy khách và máy chủ Họ cũng có thể thay đổi và điều khiển toànbộ cuộc trò chuyện.
Một cuộc tấn công tước đoạt SSL như sau:
Bước 1: Người dùng yêu cầu quyền truy cập vàohttps://example.com
Bước 2: MitM chuyển yêu cầu của người dùng đến máy chủ
Trang 11Bước 3: Máy chủ phản hồi với trang web an toànhttps://example.com
Bước 4: MitM khai thác lỗ hổng bảo mật và gửi trang webkhông an toàn “http://example.com” cho người dùng.
Tội phạm có thể tấn công bằng một trong ba cách:
Đặt proxy của trình duyệt theo cách thủ công để định tuyến tấtcả lưu lượng truy cập
IP Spoofing (Giả mạo IP): Hacker sẽ giả mạo thành một ứng dụng
bằng cách thay đổi packet header trong địa chỉ IP Khi người dùngtruy cập vào một URL được kết nối với ứng dụng, họ sẽ đượcchuyển hướng đến trang web của hacker.
Trang 12ARP Spoofing (Giả mạo ARP): là quá trình liên kết địa chỉ MAC
của kẻ tấn công với địa chỉ IP của người dùng hợp pháp trên mạngcục bộ Cụ thể, các hacker sẽ sử dụng các thông báo ARP giả mạo.Khi đó, dữ liệu do người dùng gửi đến địa chỉ IP của server sẽ đượctruyền đến hacker.
Automatic Proxy Discovery Attack (Tấn công khám phá proxytự động): là một giao thức được thiết kế để hỗ trợ người dùng tự
động phát hiện proxy Mặc dù tính năng tự động phát hiện proxygiúp tiết kiệm thời gian cho lập trình viên vì họ không phải cấuhình mọi thiết bị, nhưng WPAD dễ bị tấn công MitM Có 2 cách đểtấn công WPAD:
DHCP (dynamic host configuration protocol): Trình duyệt web
trước tiên sẽ tìm kiếm cấu hình proxy trên máy chủ DHCP trướckhi chuyển sang DNS DHCP được xây dựng trên UDP và IP.Tội phạm mạng có thể thiết lập một máy chủ DHCP độc hại vàgửi một gói UDP giả mạo với thông tin chi tiết về cấu hìnhproxy tới trình duyệt để khởi động một cuộc tấn công DHCP.Nên cài đặt tường lửa thích hợp để tránh gặp phải loại tấn côngnày.
DNS (domain name system): DNS cũng sử dụng UDP; do đó,
tội phạm mạng có thể chặn liên lạc bằng cách thay đổi gói cấuhình proxy Ngoài ra, khi một tổ chức sử dụng cấp cao nhất củamiền để kích hoạt WPAD, những kẻ tấn công có thể hưởng lợibằng cách giả mạo miền phụ trong miền chính.
DNS Spoofing (Giả mạo DNS): Hacker sẽ xâm nhập vào DNS
server, sau đó thay đổi record của địa chỉ trang web Khi ngườidùng truy cập vào trang web, DNS record đó sẽ đưa họ đến trangweb của hacker.
BGP Misdirection (Chuyển hướng BGP): giao thức BGP chịu
trách nhiệm tìm ra con đường tốt nhất cho các yêu cầu do thiết bị
Trang 13đưa ra Giao thức này truy cập các bản ghi DNS của trang web đểhướng các truy vấn từ máy khách đến địa chỉ IP chính xác Tộiphạm mạng chuyển hướng lưu lượng truy cập internet đến mộtđường đi khác độc hại bằng cách giả mạo các tiền tố IP.
1.6.Những công cụ dùng để thực hiện tấn công Man in the Middle
Hetty là một bộ công cụ HTTP mã nguồn mở nhanh với các tínhnăng mạnh mẽ để hỗ trợ các nhà nghiên cứu bảo mật, nhóm vàcộng đồng tiền thưởng lỗi.
Các tính năng chính:
Cho phép bạn thực hiện tìm kiếm toàn văn bản.
Nó có một mô-đun người gửi cho phép bạn gửi các yêu cầuHTTP theo cách thủ công dựa trên các yêu cầu tắt từ nhật kýproxy hoặc bằng cách tạo chúng từ đầu.
Mô-đun kẻ tấn công cho phép bạn gửi các yêu cầu HTTP tựđộng.
Cài đặt đơn giản và giao diện dễ sử dụng.
Gửi yêu cầu HTTP theo cách thủ công bằng cách bắt đầu từđầu, tạo yêu cầu hoặc chỉ cần sao chép từ nhật ký Proxy.
Bettercap là một công cụ tấn công và trinh sát mạng toàn diện và cóthể mở rộng.
Các tính năng chính:
Một trình kiểm tra mạng sẵn có mạnh mẽ để xác định dữ liệuxác thực và thu thập thông tin xác thực.
Mạnh mẽ, có thể mở rộng.
Trang 14Chủ động và thụ động thăm dò và kiểm tra các máy chủ mạngIP để tìm các lỗ hổng MitM tiềm ẩn.
Giao diện người dùng dựa trên web dễ sử dụng và tương tác chophép bạn tiến hành một loạt các cuộc tấn công MitM, đánh hơithông tin xác thực, kiểm soát lưu lượng HTTP và HTTP, v.v.Trích xuất tất cả dữ liệu mà nó thu thập được như thông tin xácthực POP, IMAP, SMTP và FTP, các URL đã truy cập và máychủ HTTPS, cookie HTTP, dữ liệu được đăng HTTP, v.v Sauđó, nó trình bày nó trong một tệp bên ngoài.
Thao tác hoặc sửa đổi lưu lượng TCP, HTTP và HTTPS trongthời gian thực.
Proxy.py là một máy chủ proxy WebSockets, HTTP, HTTPS vàHTTP2 mã nguồn mở nhẹ Có sẵn trong một tệp python duy nhất,công cụ nhanh này cho phép các nhà nghiên cứu kiểm tra lưu lượngtruy cập web, bao gồm các ứng dụng được mã hóa TLS, trong khitiêu thụ tài nguyên tối thiểu.
Trang tổng quan có thể tùy chỉnh theo thời gian thực mà bạn cóthể mở rộng bằng cách sử dụng các plugin Nó cũng cung cấp
Trang 15cho bạn tùy chọn để kiểm tra, giám sát, định cấu hình và kiểmsoát proxy.py trong thời gian chạy.
Công cụ bảo mật sử dụng TLS để cung cấp mã hóa đầu cuốigiữa proxy.py và ứng dụng khách.
MitMproxy là một giải pháp proxy HTTPS mã nguồn mở dễ sửdụng.
Burp là một công cụ quét lỗ hổng bảo mật tự động và có thể mởrộng Công cụ này là một lựa chọn tốt cho nhiều chuyên gia bảomật Nói chung, nó cho phép các nhà nghiên cứu kiểm tra các ứngdụng web và xác định các lỗ hổng mà tội phạm có thể khai thác vàkhởi chạy các cuộc tấn công MitM.
Các tính năng chính:
Trang 16Chặn và kiểm tra lưu lượng mạng thô theo cả hai hướng giữatrình duyệt web và máy chủ.
Ngắt kết nối TLS trong lưu lượng HTTPS giữa trình duyệt vàmáy chủ đích, do đó cho phép kẻ tấn công xem và sửa đổi dữliệu được mã hóa.
Lựa chọn sử dụng trình duyệt nhúng Burps hoặc trình duyệtweb tiêu chuẩn bên ngoài.
Giải pháp quét lỗ hổng bảo mật tự động, nhanh chóng và có khảnăng mở rộng, Nó cho phép bạn quét và kiểm tra các ứng dụngweb nhanh hơn và hiệu quả, do đó xác định một loạt các lỗhổng.
Hiển thị các yêu cầu và phản hồi HTTP riêng lẻ bị chặn.Xem xét thủ công lưu lượng truy cập bị chặn để hiểu chi tiết vềmột cuộc tấn công.
Ettercap là một công cụ đánh chặn và phân tích lưu lượng mạng mãnguồn mở.
Các tính năng chính:
Chặn lưu lượng mạng và nắm bắt thông tin xác thực chẳng hạnnhư mật khẩu Ngoài ra, nó có thể giải mã dữ liệu được mã hóavà trích xuất thông tin đăng nhập như tên người dùng và mậtkhẩu Thích hợp cho việc dò tìm gói tin sâu, kiểm tra, giám sátlưu lượng mạng và cung cấp khả năng lọc nội dung theo thờigian thực.
Hỗ trợ nghe trộm chủ động và thụ động, mổ xẻ và phân tích cácgiao thức mạng, bao gồm cả những giao thức có mã hóa.Phân tích cấu trúc liên kết mạng và thiết lập hệ điều hành đượccài đặt.
Trang 17Giao diện người dùng đồ họa thân thiện với người dùng với cáctùy chọn hoạt động GUI tương tác và không tương tác.Sử dụng các kỹ thuật phân tích như đánh chặn ARP, lọc IP vàMAC, và các kỹ thuật khác để chặn và phân tích lưu lượng.
Trang 18TÌM HIỂU KỸ HƠN VỀ KỸ THUẬT TẤN CÔNG MAN INTHE MIDDLE
2.1 Những bước cụ thể khi muốn thao tác tấn công Man in the Middle
Bước 1: Hacker cài đặt trình kiểm tra để đánh giá những websitekhông an toàn.
Bước 2: Khi người dùng đăng nhập vào website không an toàn,hacker đánh cắp thông tin của họ và chuyển họ sang website giảmạo.
Bước 3: Website giả mạo sẽ bắt chước website gốc để thu thập vàtổng hợp mọi dữ liệu trong quá trình người dùng tương tác.
Bước 4: Hacker dùng những thông tin có được để truy cập và lấycắp tài nguyên của người dùng trên website gốc.
2.2 Những bước cụ thể khi muốn thao tác tấn công Man in the Middle
Giả mạo Giao thức Internet Giống như đánh cắp danh tính, giảmạo IP diễn ra khi tội phạm mạng thay đổi địa chỉ IP nguồn củatrang web, địa chỉ email hoặc thiết bị nhằm mục đích che giấu nó.Điều này đánh lừa người dùng tin rằng họ đang tương tác với mộtnguồn hợp pháp và thông tin nhạy cảm mà họ chia sẻ trong quátrình giao dịch sẽ được chuyển cho tội phạm mạng.
Giả mạo hệ thống tên miền Đây là một kiểu tấn công trung giantrong đó tội phạm mạng thay đổi tên miền để chuyển hướng lưulượng truy cập đến các trang web giả mạo Người dùng có thể nghĩrằng họ đang truy cập một trang web an toàn và đáng tin cậy, nhưngthay vào đó, họ truy cập vào một trang web do tội phạm mạng điềuhành Mục đích chính đằng sau việc giả mạo DNS là định tuyến lạilưu lượng truy cập đến một trang web giả mạo hoặc để lấy thông tinđăng nhập của người dùng.
Ngày đăng: 27/05/2024, 10:05
Xem thêm:
Tài liệu cùng người dùng
Tài liệu liên quan