Network Attacks and Defense KỶ NGHÊ BẢO MẬT GVHD: TS. Huỳnh Công Pháp SVTH: Nguyễn Vương Nghị Huỳnh Bá Thành Hiếu ĐH Duy Tân – Khoa Công Nghệ Thông Tin NỘI DUNG 7/31/14Network Attacks and Defense 2 1. The Most Common Attacks 2. Lỗ hỗng trong giao thức mạng 3. Distributed Denial-of-service Attacks 3.1 SYN Flooding 3.2 Smurfing Attack 4. Malicious Code 4.1 Worm (Sâu máy tính) 4.2 Trojan 4.3 Phishing (Lừa đảo) 5. Bảo vệ, chống lại Tấn công mạng 1. The Most Common Attacks 7/31/14Network Attacks and Defense 3 1. Một lỗi trong Microsoft Internet Information Server (IIS) phần mềm máy chủ Web, cho phép truy cập ngay tới một tài khoản quản trị trên máy chủ. 2. Đoán tên người dùng và mật khẩu, đặc biệt là độ phức tạp của các mật khẩu root kém, hoặc khi hệ thống hoăc nhà cung cấp đặt mật khẩu mặc định mà mọi người không bận tâm thay đổi. - VD: Mật khẩu là: 123456, admin, root, password 3. Tấn công tràn bộ đệm vào hệ điều hành Solaris của Sun, cho phép người dùng có quyền root ngay lập tức. 4. Tấn công DNS chiếm quyền kiểm soát domain. 5. Các cuộc tấn công DoS làm hệ thống trở nên trì truệ hoặc sụp đổ. 2. Lỗ hỗng trong giao thức mạng 7/31/14Network Attacks and Defense 4 - Một giao thức mạng được sử dụng rộng rãi trên toàn cầu, nếu giao thức kém bảo mật có thể gây nên thiêt hại rất nặng nề cho người sử dụng, công ty hoăc các tập đoàn lớn. - Lỗ hỗng trong giao thức mạng được đánh giá là một trong các lỗ hỗng nguy hiểm nhất. - Vào giữa năm 2007: Lỗi bảo mật trong dịch vụ tên miền DNS các phiên bản Windows Server của Microsoft có thể bị hackers chiếm toàn quyền điểu khiển hê thống. - VD: Pavietnam.vn , matbao.net, microsoft.com Bị chiếm quyền 3. Distributed Denial-of-service Attacks 7/31/14Network Attacks and Defense 5 - Đây là cách thức tấn công rất nguy hiểm. Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu và làm hết băng thông của mục tiêu hoặc làm sụp đổ hệ thống trong nháy mắt. - Mục đích của tấn công DoS: + Ngốn băng thông, sụp hệ thống (không thể truy cập được). + Tê liệt firewall để tiến hành khai thác bước tiếp theo. - Các dạng tấn công DoS + SYN Flooding + Smurf Attack + Buffer Overflow Attack + Ping of Death + Botnet 3.1 SYN Flooding 7/31/14Network Attacks and Defense 6 SYN Flooding là phương thức tấn công ngập lụt theo giao thức TCP. - VD: A muốn làm viêc với B theo giao thức TCP thì thủ tuc đầu tiên phải bắt tay «handshaking». - A gởi yêu cầu tới B gói «SYN». - B nhận đc sẽ gởi lại gói «SYN/ACK», cấp phát tài nguyên để làm việc với A và chờ A trả lời - A trả lời bằng gói “ACK” => Phiên giao dịch bắt đầu - Hacker sẽ khai thác lỗ hổng như sau: + Hacker(A) gởi gói SYN nặc danh A’ với IP không có thực đến B. + B nhận đc sẽ gởi lại gói «SYN/ACK» và cấp phát tài nguyên dể làm việc với A’. Nhưng trên thực tế A’ không có thực và B phải chờ sự đồng ý của A’. + Nếu A gửi liên tiếp gói tin giả mạo thì B sẽ phải dành hết tài nguyên này đến tài nguyên khác của mình ra để đối thoại, cuối cùng B sẽ hết sạch tài nguyên và không thể đáp ứng được các yêu cầu khác nữa, nghĩa là B bị "ngập lụt" bởi các yêu cầu đồng bộ và phải "từ chối phục vụ" chỉ vì bận "bắt tay". 3.2 Smurfing Attack 7/31/14Network Attacks and Defense 7 - Khi hackers ping tới địa chỉ Broadcast của mạng nào đó thì toàn bộ các máy tính trong mạng đó sẽ Reply lại. - Nhưng hackers thay đổi địa chỉ nguồn là địa chỉ máy C và hacker ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply trả lại về máy C -> là tấn công Smurf. - Kết quả đích tấn công sẽ phải chịu nhận một đợt reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác 7/31/14Network Attacks and Defense 8 Ví dụ một mô hình tường lửa nhiều lớp. 5. Malicious Code 7/31/14Network Attacks and Defense 9 Malicious Code (Mã độc hại) là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ nghịch ngợm tạo ra nhằm gây hại cho các máy tính. Tùy theo cách thức mà tin tặc dùng, sự nguy hại của các lọai phần mềm ác tính có khác nhau từ chỗ chỉ hiển thị các cửa sổ hù dọa cho đến việc tấn công chiếm máy và lây lan sang các máy khác. Phần mềm độc hại bao gồm các phần mềm sau: Virus (máy tính): Các dạng mã độc nhiễm nhiễm trực tiếp vào file. Worm - Sâu máy tính: Lây nhiễm qua internet, USB, mạng LAN Trojan - Spyware: Tự động ghi lại các thông tin của máy tính bị xâm nhập - Adware: Tự động hiện các bản quảng cáo - Keyloger: Ghi nhận lại toàn bộ thao tác của bàn phím - Backdoor: Mở cửa hậu cho kẻ khác xâm nhập Rootkit: Dạng mã độc "tàng hình" trước các chương trình kiểm soát file, tiến trình (process) 5.1 Worm (Sâu máy tính) 7/31/14Network Attacks and Defense 10 - Sâu máy tính (Worm) là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử). Ngoài tác hại lên nhiễm lên máy tính, nhiệm vụ chính của worm là phá các mạng thông tin, làm giảm khả năng hoạt động hay ngay cả hủy hoại các mạng này. - Năm 1988: Sâu Morris là loại Worm đầu tiên được thả lên mạng và người ta thống kê rằng có 6.000 máy tính chay Unix bị nhiễm và riêng Nước Mỹ bị thiệt hại khoảng 10 đến 100 triệu USD. [...]... công mạng - Để bảo vệ và ngăn chặn tấn công mạng có nhiều phương pháp, phần mềm, phần cứng Có một số biện pháp phòng chống thông dụng hiện nay như: - Thường xuyên cập nhập bản vá lỗi phần mềm, hệ điều hành mới nhất - Kết hợp cài đặt firewall phần mềm, phần cứng tốt nhất hoăc cài đặt firewall nhiều lớp - Cài đặt các chương trình diệt virus bản quyền tốt như: Kaspersky, Norton, Bitdefender - Packet Filtering:... Defense 7/31/14 5.3 Phishing (Lừa đảo) - Phishing là một hoạt động phạm tội dùng các kỹ thuật lừa đảo Kẻ lừa đảo cố gắng lừa lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một người hoặc một doanh nghi p đáng tin cậy trong một giao dịch điện tử - Phishing thường được thực hiện bằng cách sử dụng thư điện tử, tin nhắn - Hoăc hacker có thể coding website,...5.2 Trojan - Trojan cũng là một phần mềm độc hại, tuy không có chức năng lây lan, nhân bản như virus nhưng nó có chức năng hủy hoại tương tự như virus - Đặc điểm: + Chứa đựng các phần mềm gián điệp để thân chủ có thể điều khiển máy nạn nhân + Gây những phiền toái cho người dùng - Các biến dạng của Trojan như: + Spyware: Tự động ghi lại các thông... firewall nhiều lớp - Cài đặt các chương trình diệt virus bản quyền tốt như: Kaspersky, Norton, Bitdefender - Packet Filtering: Lọc các gói tin IP, Port - Mã hóa các thông tin, gói tin quan trọng được gửi đi 15 Network Attacks and Defense 7/31/14 6 TÓM LẠI - Bảo mật là một đòi hỏi thiết yếu bởi vì những máy tính mang tính toàn cầu đang ngày càng trở nên kém an toàn Thử tưởng tượng một gói dữ liệu khi di... này có thể đi qua nhiều điểm trên mạng và nếu như tại một máy nào đó người sử dụng có thể lấy thông tin trên gói dữ liệu này và biết các thông tin chi tiết của máy gửi, họ có thể sử dụng các kỹ thuật cao để truy nhập bất hợp pháp và có thể phá hỏng máy này hoặc toàn bộ hệ thống tùy theo mức độ thao tác 16 Network Attacks and Defense 7/31/14 . là B bị "ngập lụt" bởi các yêu cầu đồng bộ và phải "từ chối phục vụ" chỉ vì bận "bắt tay". 3.2 Smurfing Attack 7/31/14Network Attacks and Defense 7 - Khi hackers. xâm nhập - Adware: Tự động hiện các bản quảng cáo - Keyloger: Ghi nhận lại toàn bộ thao tác của bàn phím - Backdoor: Mở cửa hậu cho kẻ khác xâm nhập Rootkit: Dạng mã độc "tàng hình" trước. nhất. - Vào giữa năm 2007: Lỗi bảo mật trong dịch vụ tên miền DNS các phiên bản Windows Server của Microsoft có thể bị hackers chiếm toàn quyền điểu khiển hê thống. - VD: Pavietnam.vn , matbao.net,