Nguyên tắc truyền thông tin Mô tả thông tin • SYN SYN--SENT SENT đang đợi TCP ở xa gửi một gói tin TCP với đang đợi TCP ở xa gửi một gói tin TCP với các cờ SYN và ACK được bật • • SYN
Trang 1of Service (DoSDoS//DDoSDDoS) Attacks) Attacks
CácCác loạiloại tấntấn côngcông phầnphần mềmmềm
1
Trang 2Nguyên tắc truyền thông tin
Cấu tạo gói tin TCP
Phần giữa IP và ứng dụng
2
Trang 3Cấu tạo gói tin IP
Nguyên tắc truyền thông tin
3
Trang 4Nguyên tắc truyền thông tin
Các gói tin chỉ ra địa chỉ, cổng đến từ
đó hệ thống mạng sẽ định hướng
chuyển gói tin
Các gói tin chỉ ra nguồn gửi để nơi
Trang 5Nguyên tắc truyền thông tin
Trang 6Nguyên tắc truyền thông tin
CácCác trạngtrạng tháithái kếtkết nốinối
LISTEN
SYN SYN SENT SENT
SYN SYN RECEIVED RECEIVED
ESTABLISHED
FIN
FIN WAIT WAIT 1 1
FIN FIN WAIT WAIT 1 1
FIN FIN WAIT WAIT 2 2
CLOSE CLOSE WAIT WAIT
CLOSING
LAST LAST ACK ACK
TIME TIME WAIT WAIT
CLOSED
6
Trang 7Nguyên tắc truyền thông tin
Mô tả thông tin
• SYN SYN SENT SENT
đang đợi TCP ở xa gửi một gói tin TCP với
đang đợi TCP ở xa gửi một gói tin TCP với các cờ SYN và ACK được bật
•
• SYN SYN RECEIVED RECEIVED
đang đợi TCP ở xa gửi lại một tin báo nhận sau khi đã gửi cho TCP ở xa đó một tin báo nhận kết nối
7
Trang 8Nguyên tắc truyền thông tin
Mô tả thông tin
•
• ESTABLISHED ESTABLISHED
cổng đã sẵn sàng nhận/gửi dữ liệu với TCP ở
xa (đặt bởi TCP client và server)
•
• TIME TIME WAIT WAIT
đang đợi qua đủ thời gian để chắc chắn là
đang đợi qua đủ thời gian để chắc chắn là TCP ở xa đã nhận được tin báo nhận về yêu cầu kết thúc kết nối của nó Theo
cầu kết thúc kết nối của nó Theo RFC RFC 793 793, , một kết nối có thể ở tại trạng thái TIME
một kết nối có thể ở tại trạng thái WAIT trong vòng tối đa
TIME WAIT trong vòng tối đa 4 4 phút phút.
8
Trang 9Kết nối
Client: gửi gói tin SYN, tham số Client: gửi gói tin SYN, tham số sequence number sequence number
được gán cho một giá trị ngẫu nhiên
được gán cho một giá trị ngẫu nhiên X X
Server: gửi lại SYN Server: gửi lại SYN ACK, tham số ACK, tham số acknowledgment acknowledgment
Trang 10Kết thúc phiên
+ Bước I: Client gửi đến FIN ACK
+ Bước II: Server gửi lại c ACK
+ Bước III: Server lại gửi FIN ACK
+ Bước IV: Client gửi lại ACK
10
Trang 11Gói tin UDP
Cấu trúc UDP
11
Trang 12Gói tin UDP
IPv4 UDP
12
Trang 13Nguyên tắc Port scan
11 TCP Scan TCP Scan
Trên gói TCP/UDP có Trên gói TCP/UDP có 16 16 bit dành cho bit dành cho
Port Number điều đó có nghĩa nó có
từ
từ 1 1 –– 65535 65535 port port
Thường chỉ scan từ Thường chỉ scan từ 1 1 10241024
Thường chỉ scan từ Thường chỉ scan từ 1 1 10241024
Một số phương pháp:
13
Trang 14Nguyên tắc Port scan
SYN Scan:
•
• Gửi SYN với một thông số Port Gửi SYN với một thông số Port
•
• Nhận SYN/ACK thì Client biết Port đó Nhận SYN/ACK thì Client biết Port đó
trên Server được mở
Trang 15Nguyên tắc Port scan
NULL Scan Sure:
•
• Client gửi tới Server những gói TCP với Client gửi tới Server những gói TCP với
số port cần Scan không chứa thông số
• Client gửi gói TCP với số Port nhất định Client gửi gói TCP với số Port nhất định
cần Scan chứa nhiều Flag như: FIN,
URG, PSH
•
• Nếu Server trả về gói RST tôi biết port Nếu Server trả về gói RST tôi biết port
đó trên Server bị đóng 15
Trang 16Nguyên tắc Port scan
TCP Connect:
•• gửi đến Server những gói tin yêu cầu kết nối gửi đến Server những gói tin yêu cầu kết nối
port cụ thể trên server
•• Nếu server trả về gói SYN/ACK thì mở cổng Nếu server trả về gói SYN/ACK thì mở cổng
đó.
ACK Scan:
•• Scan này nhằm mục đích tìm những Access Scan này nhằm mục đích tìm những Access
Controll List trên Server Client cố gắng kết
nối tới Server bằng gói ICMP
•• nhận được gói tin là Host Unreachable thì nhận được gói tin là Host Unreachable thì
client sẽ hiểu port đó trên server đã bị lọc.
16
Trang 17Công cụ portscan
Tự xây dựng dựa trên cấu mô tả
RPC Scan: Kiểm tra dịch vụ RPC
Windows Scan: tương tự như ACK
Scan, nhưng nó có thể chỉ thực hiện
trên một số port nhất định
FTP Scan: Có thể sử dụng để xem
dịch vụ FTP có được sử dụng trên
Server hay không
IDLE: cho phép kiểm tra tình trạng
của máy chủ
17
Trang 19• Nếu mạng sử dụng là switch thì cần Nếu mạng sử dụng là switch thì cần
phải sử dụng phương pháp man
phải sử dụng phương pháp man – – in in – –
the
the middle middle
Nghe lén bằng phần mềm gián điệp 19
Trang 21Eavesdropping attack
Một số phương pháp phòng chống:
Sử dụng switch thay cho hub
Giám sát địa chỉ MAC
Sử dụng cơ chế mã hóa truyền tin,
và mã hóa theo thời gian
21
Trang 22Eavesdropping attack
Sử dụng các dịch vụ mã hóa trong
liên kết: SSL (Secure Sockets Layer), thiết lập IPSec và mạng riêng ảo VNP (Virtual Private Network),… sử dụng
SSH (Secure Shell Host) thay cho
Telnet, Rlogin; dùng SFTP (secure
FTP) thay vì FTP; dùng giao thức
https thay cho http v.v…
22
Trang 23Eavesdropping attack
Sử dụng các phần mềm phát hiện sự hoạt động của các chương trình nghe lén trên mạng như AntiSniff,
PromiScan, Promqry and PromqryUI,
ARPwatch, Ettercap, v.v… Riêng với
Trang 24Eavesdropping attack
Tạo ra các gói tin có địa chỉ IP giả
mạo không là địa chỉ máy gửi gói tin
Vượt qua các kiểm soát về nguồn góc địa chỉ ip
Trang 26TCP sequence
Ta có 2 loại giả mạo địa chỉ Ta có 2 loại giả mạo địa chỉ IP:IP:
Giả mạo bằng cách bắt gói (nonGiả mạo bằng cách bắt gói
(non blind spoofing
blind spoofing)), , phânphân tíchtích sốsố thứthứ tựtự, ,
cho
cho máymáy cùngcùng mạngmạng
Giả mạo địa chỉ IP từ xa (blind
Giả mạo địa chỉ IP từ xa (blind
spoofing ):
spoofing ): kháckhác mạngmạng, , có có đượcđược số số
TCP sequence chính xác là rất
khó.Tuy nhiên ,
khó.Tuy nhiên , với một số kĩ thuật,với một số kĩ thuật,
chẳng hạn như định tuyến theo địa
chỉ nguồn,máy tấn công cũng có thể
xác định chính xác
xác định chính xác đượcđược chỉ số đó.chỉ số đó 26
Trang 27ĐỊNH
ĐỊNH TUYẾN THEO TUYẾN THEO NGUỒN NGUỒN
IP source routing là một cơ chế cho
phép một máy nguồn chỉ ra đường đi một cách cụ thể và không phụ thuộc
vào bảng định tuyến của các router
KẻKẻ tấntấn côngcông gửigửi góigói tin tin vàvà đưađưa rara
KẻKẻ tấntấn côngcông gửigửi góigói tin tin vàvà đưađưa rara
Trang 29MAN IN IN THE THE MIDDLE IP MIDDLE IP Cục Cục bộ bộ
Nếu một máy tấn công có cùng
subnet với máy nạn
subnet với máy nạn nhânnhân
YêuYêu cầucầu máymáy nạnnạn nhậnnhận gửigửi tin tin thôngthông
ARP giảgiả địa địa chỉ MAC của attacker là chỉ MAC của attacker là
địa chỉ MAC của router kế tiếp (next
địa chỉ MAC của router kế tiếp
(next hop
hop).)
29
Trang 31CHỐNG GIẢ
CHỐNG GIẢ MẠO ĐỊA CHỈ IP MẠO ĐỊA CHỈ IP
Để làm giảm nguy cơ tấn công giả
mạo địa chỉ IP cho một hệ thống
mạng,ta có thể sử dụng các phương
pháp sau:
Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập
Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập
(Access Control List
(Access Control List ACL) trên các ACL) trên các
interface
interface của routercủa router Một Một ACL có thể ACL có thể
dc dùng để loại bỏ những traffic từ
bên ngoài mà lại
bên ngoài mà lại đượcđược đóng đóng gói bởi gói bởi
một địa chỉ trong mạng cục bộ khi bị
lôi cuốn vào một cuộc tấn công Ddos
lôi cuốn vào một cuộc tấn công Ddos
31
Trang 32CHỐNG GIẢ
CHỐNG GIẢ MẠO ĐỊA CHỈ IP MẠO ĐỊA CHỈ IP
DùngDùng mật mật mã xác thực.Nếu cả hai mã xác thực.Nếu cả hai
đầu của cuộc nói chuyện đã
đầu của cuộc nói chuyện đã đượcđược xác xác thực,
thực, khả năng tấn công theo kiểu khả năng tấn công theo kiểu
M
Manan inin thethe middle có thể middle có thể đượcđược ngăn ngăn
cản
Mã hoá traffic giữa các thiết bị (giữa Mã hoá traffic giữa các thiết bị (giữa
2 router,hoặc giữa 2 hệ thống cuối
và router) bằng một IPSec
và router) bằng một IPSec tunneltunnel
32
Trang 34cấu trúctrúc góigói tin IP tin IP
MặcMặc dùdù khôngkhông cócó giảigiải pháppháp dễdễ dàngdàng
Trang 35Man in in the the middle Attack middle Attack
35
Trang 361 1.Khái niệm Khái niệm
Tấn công khi làm cho hai bên kết
nối, hiểu nhầm người thứ 3 là đối tác của mình
Tấn công bằng bộ phát sống giả mạo (AP)
•
• Sử dụng bộ phát có sóng mạnh hơn Sử dụng bộ phát có sóng mạnh hơn
•
• Máy kết nối nhầm, hoặc xác thực nhầm Máy kết nối nhầm, hoặc xác thực nhầm
Tấn công bằng làm giả tín hiệu tính
hiệu ARP
•
• Gửi các thông điệp map giữa IP và MAC Gửi các thông điệp map giữa IP và MAC
36
Trang 371.Khái niệm
37
Trang 381.Khái 1.Khái niệm niệm
Tấn công vào DNS
•
• Dựa trên cơ chế gửi và nhận địa chỉ IP Dựa trên cơ chế gửi và nhận địa chỉ IP
thông qua tên miền
•
• Gửi một địa chỉ IP khác với địa chỉ tên Gửi một địa chỉ IP khác với địa chỉ tên
miền
38
Trang 391.Khái niệm
Tấn công vào DNS
39
Trang 404 Công cụ MITM tấn công
Có một số công cụ để nhận ra một
cuộc tấn công MITM
cuộc tấn công MITM Những công cụ Những công cụ
này đặc biệt hiệu quả trong môi
trường mạng LAN, bởi vì họ thực hiện các chức năng thêm, như khả năng
giả mạo arp cho phép đánh chặn của
giao tiếp giữa các máy
PacketCreator
Ettercap
Dsniff
Trang 415 Cách chống lại tấn công MITM Cách chống lại tấn công MITM
BảoBảo mậtmật vậtvật lýlý (Physical security) (Physical security) làlà
phương
phương pháppháp tốttốt nhấtnhất đểđể chốngchống lạilại
kiểu
kiểu tấntấn côngcông nàynày
NgoàiNgoài rara, , tata cócó thểthể ngănngăn chặnchặn hìnhhình
Trang 426
6 hình hình thức thức tấn tấn công công MITM: MITM:
GiảGiả mạomạo ARP CacheARP Cache
ChiếmChiếm quyềnquyền điểuđiểu khiểnkhiển SSLSSL
DNS SpoofingDNS Spoofing
42
Trang 43a Phương thức tấn công giả mạo
truyền tin.tin
a.2 a.2 TruyềnTruyền thôngthông AR AR GiaoGiao thứcthức ARP ARP
hai vàvà thứthứ baba củacủa mômô hìnhhình OSI OSI
////LớpLớp thứthứ haihai ((lớplớp datadata link) link) sửsử dụngdụng
Trang 46Giả mạo AP, ARP đưa ra trang web
trung gian để giả các giao thức SSL,
…
46
Trang 47Replay attack
((tấn công phát lại tấn công phát lại))
47
Trang 48• Sử dụng phương pháp xác thực lại theo Sử dụng phương pháp xác thực lại theo
thời gian (sau thời gian kết nối)
48
Trang 49Kẻ tấn công chiếm quyền điều
khiển
49
Trang 50I Thế nào là một kẻ tấn công
chiếm quyền điều khiển?
NgheNghe lénlén thôngthông tin tin liênliên lạclạc
ĐợiĐợi kếtkết thúcthúc quáquá trìnhtrình xácxác thựcthực
GửiGửi tíntín hiệuhiệu yêuyêu cầucầu kếtkết thúcthúc
TiếpTiếp tụctục liênliên kếtkết vớivới máymáy còncòn lạilại
50
Trang 51II Giải pháp
Tiến hành mã hóa phiên
Xác thực phiên theo thời gian
51
Trang 52V Công cụ kẻ tấn công chiếm
quyền điều khiển sử dụng:
Có một vài chương trình có sẵn có
thể thực hiện được việc chiếm quyền
điều khiển
Dưới đây là một vài chương trình
thuộc loại này:
Trang 53Tấn công
từ chối dịch vụ
(DoS Attacks)
53
Trang 54Tấn công từ chối dịch vụ
Tấn công làm cho một hệ thống nào
đó bị quá tải không thể cung cấp
dịch vụ hoặc phải ngưng hoạt động
Tấn công kiểu này chỉ làm gián đoạn
hoạt động của hệ thống chứ rất ít có
khả năng thâm nhập hay chiếm được thông tin dữ liệu của nó
54
Trang 55Các loại tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ cổ điển
DoS (Denial of Service)
Tấn công từ chối dịch vụ phân tán
DDoS (Distributed Denial of
Trang 56Biến thể của tấn công DoS
Trang 57Mục tiêu tấn công DoS
Mục tiêu nhằm chiếm dụng các tài
nguyên của hệ thống (máy chủ) như: Bandwidth, Kernel Table, Swap
Space, Cache, Hardisk, RAM, CPU,…
Làm hoạt động của hệ thống bị quá
Làm hoạt động của hệ thống bị quá
tải dẫn đến không thể đáp ứng được
các yêu cầu (request) hợp lệ nữa
57
Trang 58Tấn công từ chối dịch vụ cổ điển
Là phương thức xuất hiện đầu tiên,
giản đơn nhất trong kiểu tấn công từ
chối dịch vụ.Các kiểu tấn công thuộc
phương thức này rất đa dạng
Ví dụ một dạng tấn công tiêu biểu:
Ví dụ một dạng tấn công tiêu biểu:
•
• SYN Attack SYN Attack
58
Trang 59Bắt tay ba chiều trong kết nối TCP
59
Trang 60Bắt tay ba chiều trong kết nối TCP
BướcBước 1: Client (1: Client (máymáy kháchkhách) ) sẽsẽ gửigửi
các
các góigói tin (packet tin (packet chứachứa SYN=1).SYN=1)
BướcBước 2: Server 2: Server sẽsẽ gửigửi lạilại góigói tin tin
việc yêuyêu cầucầu nàynày
BướcBước 3: 3: CuốiCuối cùngcùng, client , client hoànhoàn tấttất
Trang 61DoS dùng kỹ thuật SYN Flood
61
Trang 62DoS dùng kỹ thuật SYN Flood
Hacker cài một chương trình phá
hoại (malicious code) vào client
Client không hồi đáp tín hiệu ACK
(bước
(bước 33) về cho server.) về cho server
Server không còn tài nguyên phục vụ
Server không còn tài nguyên phục vụ cho những yêu cầu truy cập hợp lệ
62
Trang 63DoS dùng kỹ thuật SYN Flood
63
Trang 64Tấn công từ chối dịch vụ kiểu phân tán
(DDoS)
Xuất hiện vào mùa thu 1999
So với tấn công DoS cổ điển, sức
mạnh của DDoS cao hơn gấp nhiều
lần
Hầu hết các cuộc tấn công DDoS
Hầu hết các cuộc tấn công DDoS
nhằm vào việc chiếm dụng băng
thông (bandwidth) gây nghẽn mạch
hệ thống dẫn đến hệ thống ngưng
hoạt động
64
Trang 66Tấn công từ chối dịch vụ kiểu phân tán
(DDoS)
66
Trang 67Tấn công từ chối dịch vụ kiểu phân tán
để đồng loạt gửi ào ạt các gói tin
để đồng loạt gửi ào ạt các gói tin
(packet) với số lượng rất lớn
nhằm chiếm dụng tài nguyên và làm
tràn ngập đường truyền của một mục tiêu xác định nào đó
67
Trang 68Tấn công từ chối dịch vụ kiểu phân tán
(DDoS)
68
Trang 69Tấn công từ chối dịch vụ phản xạ nhiều
vùng DRDoS
Xuất hiện vào đầu năm 2002, là kiểu
tấn công mới nhất, mạnh nhất trong họ DoS
Nếu được thực hiện bởi kẻ tấn công có
tay nghề thì nó có thể hạ gục bất cứ hệ
thống nào trên thế giới trong phút
chốc.
DRDoS là sự phối hợp giữa hai kiểu DoS
DRDoS là sự phối hợp giữa hai kiểu DoS
và DDoS.
Mục tiêu chính của DRDoS là chiếm
đoạt toàn bộ băng thông của máy chủ,
tức là làm tắc nghẽn hoàn toàn đường
kết nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy
chủ.
69
Trang 71Tấn công từ chối dịch vụ phản xạ nhiều
vùng DRDoS
Với nhiều server lớn tham gia nên
server mục tiêu nhanh chóng bị quá
tải, bandwidth bị chiếm dụng bởi
server lớn
Tính “nghệ thuật” là ở chỗ chỉ cần với
Tính “nghệ thuật” là ở chỗ chỉ cần với một máy tính với modem 56kbps,
một hacker lành nghề có thể đánh
bại bất cứ máy chủ nào trong giây lát
mà không cần chiếm đoạt bất cứ
máy nào để làm phương tiện thực
hiện tấn công
71
Trang 73Tấn công reset mật khẩu
Nghe lén mật khẩu
Tấn công dò mật khẩu
73
Trang 74Tấn công reset mật khẩu
Trang 75Nghe lén
•
• Nghe lén, trộm mật khẩu lưu trữ vật lý Nghe lén, trộm mật khẩu lưu trữ vật lý
•
• Nghe lén thông tin từ đó nhận được được Nghe lén thông tin từ đó nhận được được
mật khẩu không mã hóa
•
• Nghe lén và lưu nhận mật khẩu đã mã hóa Nghe lén và lưu nhận mật khẩu đã mã hóa
từ đó tiến hành gửi lại xác thực sau
75
Trang 77login không thành công không thành công
o Không dùng Không dùng passwordspasswords ddạạng clear textng clear text
o Dùng Dùng strong passwordsstrong passwords
77
Trang 78Định nghnh nghĩĩaa
Misuse of Privilege Attack ( Cu Misuse of Privilege Attack ( Cuộ ộc t c tấ ấn công s n công sử
dụ ụng sai các ng sai các đặ đặc quy c quyề ền) là m n) là mộ ột lo t loạ ại ph i phầ ần m n mề ềm m ttấ ấn công, trong n công, trong đ đó k ó kẻ ẻ ttấ ấn công s n công sử ử d dụ ụng ng đặ đặc c
quyề ền qu n quả ản tr n trịị h hệ ệ th thố ống ng để để truy c truy cậ ập d p dữ ữ liliệ ệu u
nhạ ạy c y cả ảm m Lo Loạ ại t i tấ ấn công này th n công này thườ ường liên quan ng liên quan
nhạ ạy c y cả ảm m Lo Loạ ại t i tấ ấn công này th n công này thườ ường liên quan ng liên quan đế
đến m n mộ ột nhân viên, v t nhân viên, vớ ới m i mộ ột s t số ố quy quyề ền qu n quả ản tr n trịị
trên mộ ột máy tính, m t máy tính, mộ ột nhóm các máy móc hay t nhóm các máy móc hay
mộ ột s t số ố ph phầ ần c n củ ủa h a hệ ệ th thố ống m ng mạ ạng ng
78