1. Trang chủ
  2. » Công Nghệ Thông Tin

tấn công mạng máy tính

109 349 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 109
Dung lượng 2,31 MB

Nội dung

Nguyên tắc truyền thông tin Mô tả thông tin • SYN SYN--SENT SENT đang đợi TCP ở xa gửi một gói tin TCP với đang đợi TCP ở xa gửi một gói tin TCP với các cờ SYN và ACK được bật • • SYN

Trang 1

of Service (DoSDoS//DDoSDDoS) Attacks) Attacks

 CácCác loạiloại tấntấn côngcông phầnphần mềmmềm

1

Trang 2

Nguyên tắc truyền thông tin

 Cấu tạo gói tin TCP

 Phần giữa IP và ứng dụng

2

Trang 3

 Cấu tạo gói tin IP

Nguyên tắc truyền thông tin

3

Trang 4

Nguyên tắc truyền thông tin

 Các gói tin chỉ ra địa chỉ, cổng đến từ

đó hệ thống mạng sẽ định hướng

chuyển gói tin

 Các gói tin chỉ ra nguồn gửi để nơi

Trang 5

Nguyên tắc truyền thông tin

Trang 6

Nguyên tắc truyền thông tin

 CácCác trạngtrạng tháithái kếtkết nốinối

 LISTEN

 SYN SYN SENT SENT

 SYN SYN RECEIVED RECEIVED

 ESTABLISHED

FIN

FIN WAIT WAIT 1 1

 FIN FIN WAIT WAIT 1 1

 FIN FIN WAIT WAIT 2 2

 CLOSE CLOSE WAIT WAIT

 CLOSING

 LAST LAST ACK ACK

 TIME TIME WAIT WAIT

 CLOSED

6

Trang 7

Nguyên tắc truyền thông tin

 Mô tả thông tin

• SYN SYN SENT SENT

đang đợi TCP ở xa gửi một gói tin TCP với

 đang đợi TCP ở xa gửi một gói tin TCP với các cờ SYN và ACK được bật

• SYN SYN RECEIVED RECEIVED

 đang đợi TCP ở xa gửi lại một tin báo nhận sau khi đã gửi cho TCP ở xa đó một tin báo nhận kết nối

7

Trang 8

Nguyên tắc truyền thông tin

 Mô tả thông tin

• ESTABLISHED ESTABLISHED

 cổng đã sẵn sàng nhận/gửi dữ liệu với TCP ở

xa (đặt bởi TCP client và server)

• TIME TIME WAIT WAIT

đang đợi qua đủ thời gian để chắc chắn là

 đang đợi qua đủ thời gian để chắc chắn là TCP ở xa đã nhận được tin báo nhận về yêu cầu kết thúc kết nối của nó Theo

cầu kết thúc kết nối của nó Theo RFC RFC 793 793, , một kết nối có thể ở tại trạng thái TIME

một kết nối có thể ở tại trạng thái WAIT trong vòng tối đa

TIME WAIT trong vòng tối đa 4 4 phút phút.

8

Trang 9

Kết nối

 Client: gửi gói tin SYN, tham số Client: gửi gói tin SYN, tham số sequence number sequence number

được gán cho một giá trị ngẫu nhiên

được gán cho một giá trị ngẫu nhiên X X

 Server: gửi lại SYN Server: gửi lại SYN ACK, tham số ACK, tham số acknowledgment acknowledgment

Trang 10

Kết thúc phiên

 + Bước I: Client gửi đến FIN ACK

+ Bước II: Server gửi lại c ACK

+ Bước III: Server lại gửi FIN ACK

+ Bước IV: Client gửi lại ACK

10

Trang 11

Gói tin UDP

 Cấu trúc UDP

11

Trang 12

Gói tin UDP

 IPv4 UDP

12

Trang 13

Nguyên tắc Port scan

 11 TCP Scan TCP Scan

 Trên gói TCP/UDP có Trên gói TCP/UDP có 16 16 bit dành cho bit dành cho

Port Number điều đó có nghĩa nó có

từ

từ 1 1 –– 65535 65535 port port

 Thường chỉ scan từ Thường chỉ scan từ 1 1 10241024

 Thường chỉ scan từ Thường chỉ scan từ 1 1 10241024

 Một số phương pháp:

13

Trang 14

Nguyên tắc Port scan

 SYN Scan:

• Gửi SYN với một thông số Port Gửi SYN với một thông số Port

• Nhận SYN/ACK thì Client biết Port đó Nhận SYN/ACK thì Client biết Port đó

trên Server được mở

Trang 15

Nguyên tắc Port scan

 NULL Scan Sure:

• Client gửi tới Server những gói TCP với Client gửi tới Server những gói TCP với

số port cần Scan không chứa thông số

• Client gửi gói TCP với số Port nhất định Client gửi gói TCP với số Port nhất định

cần Scan chứa nhiều Flag như: FIN,

URG, PSH

• Nếu Server trả về gói RST tôi biết port Nếu Server trả về gói RST tôi biết port

đó trên Server bị đóng 15

Trang 16

Nguyên tắc Port scan

 TCP Connect:

•• gửi đến Server những gói tin yêu cầu kết nối gửi đến Server những gói tin yêu cầu kết nối

port cụ thể trên server

•• Nếu server trả về gói SYN/ACK thì mở cổng Nếu server trả về gói SYN/ACK thì mở cổng

đó.

 ACK Scan:

•• Scan này nhằm mục đích tìm những Access Scan này nhằm mục đích tìm những Access

Controll List trên Server Client cố gắng kết

nối tới Server bằng gói ICMP

•• nhận được gói tin là Host Unreachable thì nhận được gói tin là Host Unreachable thì

client sẽ hiểu port đó trên server đã bị lọc.

16

Trang 17

Công cụ portscan

 Tự xây dựng dựa trên cấu mô tả

 RPC Scan: Kiểm tra dịch vụ RPC

 Windows Scan: tương tự như ACK

Scan, nhưng nó có thể chỉ thực hiện

trên một số port nhất định

 FTP Scan: Có thể sử dụng để xem

dịch vụ FTP có được sử dụng trên

Server hay không

 IDLE: cho phép kiểm tra tình trạng

của máy chủ

17

Trang 19

• Nếu mạng sử dụng là switch thì cần Nếu mạng sử dụng là switch thì cần

phải sử dụng phương pháp man

phải sử dụng phương pháp man – – in in – –

the

the middle middle

 Nghe lén bằng phần mềm gián điệp 19

Trang 21

Eavesdropping attack

 Một số phương pháp phòng chống:

 Sử dụng switch thay cho hub

 Giám sát địa chỉ MAC

 Sử dụng cơ chế mã hóa truyền tin,

và mã hóa theo thời gian

21

Trang 22

Eavesdropping attack

 Sử dụng các dịch vụ mã hóa trong

liên kết: SSL (Secure Sockets Layer), thiết lập IPSec và mạng riêng ảo VNP (Virtual Private Network),… sử dụng

SSH (Secure Shell Host) thay cho

Telnet, Rlogin; dùng SFTP (secure

FTP) thay vì FTP; dùng giao thức

https thay cho http v.v…

22

Trang 23

Eavesdropping attack

 Sử dụng các phần mềm phát hiện sự hoạt động của các chương trình nghe lén trên mạng như AntiSniff,

PromiScan, Promqry and PromqryUI,

ARPwatch, Ettercap, v.v… Riêng với

Trang 24

Eavesdropping attack

 Tạo ra các gói tin có địa chỉ IP giả

mạo không là địa chỉ máy gửi gói tin

 Vượt qua các kiểm soát về nguồn góc địa chỉ ip

Trang 26

TCP sequence

 Ta có 2 loại giả mạo địa chỉ Ta có 2 loại giả mạo địa chỉ IP:IP:

 Giả mạo bằng cách bắt gói (nonGiả mạo bằng cách bắt gói

(non blind spoofing

blind spoofing)), , phânphân tíchtích sốsố thứthứ tựtự, ,

cho

cho máymáy cùngcùng mạngmạng

 Giả mạo địa chỉ IP từ xa (blind

 Giả mạo địa chỉ IP từ xa (blind

spoofing ):

spoofing ): kháckhác mạngmạng, , có có đượcđược số số

TCP sequence chính xác là rất

khó.Tuy nhiên ,

khó.Tuy nhiên , với một số kĩ thuật,với một số kĩ thuật,

chẳng hạn như định tuyến theo địa

chỉ nguồn,máy tấn công cũng có thể

xác định chính xác

xác định chính xác đượcđược chỉ số đó.chỉ số đó 26

Trang 27

ĐỊNH

ĐỊNH TUYẾN THEO TUYẾN THEO NGUỒN NGUỒN

 IP source routing là một cơ chế cho

phép một máy nguồn chỉ ra đường đi một cách cụ thể và không phụ thuộc

vào bảng định tuyến của các router

 KẻKẻ tấntấn côngcông gửigửi góigói tin tin vàvà đưađưa rara

 KẻKẻ tấntấn côngcông gửigửi góigói tin tin vàvà đưađưa rara

Trang 29

MAN IN IN THE THE MIDDLE IP MIDDLE IP Cục Cục bộ bộ

 Nếu một máy tấn công có cùng

subnet với máy nạn

subnet với máy nạn nhânnhân

 YêuYêu cầucầu máymáy nạnnạn nhậnnhận gửigửi tin tin thôngthông

ARP giảgiả địa địa chỉ MAC của attacker là chỉ MAC của attacker là

địa chỉ MAC của router kế tiếp (next

địa chỉ MAC của router kế tiếp

(next hop

hop).)

29

Trang 31

CHỐNG GIẢ

CHỐNG GIẢ MẠO ĐỊA CHỈ IP MẠO ĐỊA CHỈ IP

 Để làm giảm nguy cơ tấn công giả

mạo địa chỉ IP cho một hệ thống

mạng,ta có thể sử dụng các phương

pháp sau:

Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập

Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập

(Access Control List

(Access Control List ACL) trên các ACL) trên các

interface

interface của routercủa router Một Một ACL có thể ACL có thể

dc dùng để loại bỏ những traffic từ

bên ngoài mà lại

bên ngoài mà lại đượcđược đóng đóng gói bởi gói bởi

một địa chỉ trong mạng cục bộ khi bị

lôi cuốn vào một cuộc tấn công Ddos

lôi cuốn vào một cuộc tấn công Ddos



31

Trang 32

CHỐNG GIẢ

CHỐNG GIẢ MẠO ĐỊA CHỈ IP MẠO ĐỊA CHỈ IP

 DùngDùng mật mật mã xác thực.Nếu cả hai mã xác thực.Nếu cả hai

đầu của cuộc nói chuyện đã

đầu của cuộc nói chuyện đã đượcđược xác xác thực,

thực, khả năng tấn công theo kiểu khả năng tấn công theo kiểu

M

Manan inin thethe middle có thể middle có thể đượcđược ngăn ngăn

cản

Mã hoá traffic giữa các thiết bị (giữa Mã hoá traffic giữa các thiết bị (giữa

2 router,hoặc giữa 2 hệ thống cuối

và router) bằng một IPSec

và router) bằng một IPSec tunneltunnel

32

Trang 34

cấu trúctrúc góigói tin IP tin IP

 MặcMặc dùdù khôngkhông cócó giảigiải pháppháp dễdễ dàngdàng

Trang 35

Man in in the the middle Attack middle Attack

35

Trang 36

1 1.Khái niệm Khái niệm

 Tấn công khi làm cho hai bên kết

nối, hiểu nhầm người thứ 3 là đối tác của mình

 Tấn công bằng bộ phát sống giả mạo (AP)

• Sử dụng bộ phát có sóng mạnh hơn Sử dụng bộ phát có sóng mạnh hơn

• Máy kết nối nhầm, hoặc xác thực nhầm Máy kết nối nhầm, hoặc xác thực nhầm

 Tấn công bằng làm giả tín hiệu tính

hiệu ARP

• Gửi các thông điệp map giữa IP và MAC Gửi các thông điệp map giữa IP và MAC

36

Trang 37

1.Khái niệm

37

Trang 38

1.Khái 1.Khái niệm niệm

 Tấn công vào DNS

• Dựa trên cơ chế gửi và nhận địa chỉ IP Dựa trên cơ chế gửi và nhận địa chỉ IP

thông qua tên miền

• Gửi một địa chỉ IP khác với địa chỉ tên Gửi một địa chỉ IP khác với địa chỉ tên

miền

38

Trang 39

1.Khái niệm

 Tấn công vào DNS

39

Trang 40

4 Công cụ MITM tấn công

 Có một số công cụ để nhận ra một

cuộc tấn công MITM

cuộc tấn công MITM Những công cụ Những công cụ

này đặc biệt hiệu quả trong môi

trường mạng LAN, bởi vì họ thực hiện các chức năng thêm, như khả năng

giả mạo arp cho phép đánh chặn của

giao tiếp giữa các máy

 PacketCreator

 Ettercap

 Dsniff

Trang 41

5 Cách chống lại tấn công MITM Cách chống lại tấn công MITM

 BảoBảo mậtmật vậtvật lýlý (Physical security) (Physical security) làlà

phương

phương pháppháp tốttốt nhấtnhất đểđể chốngchống lạilại

kiểu

kiểu tấntấn côngcông nàynày

 NgoàiNgoài rara, , tata cócó thểthể ngănngăn chặnchặn hìnhhình

Trang 42

6

6 hình hình thức thức tấn tấn công công MITM: MITM:

 GiảGiả mạomạo ARP CacheARP Cache

 ChiếmChiếm quyềnquyền điểuđiểu khiểnkhiển SSLSSL

 DNS SpoofingDNS Spoofing

42

Trang 43

a Phương thức tấn công giả mạo

truyền tin.tin

 a.2 a.2 TruyềnTruyền thôngthông AR AR GiaoGiao thứcthức ARP ARP

hai vàvà thứthứ baba củacủa mômô hìnhhình OSI OSI

 ////LớpLớp thứthứ haihai ((lớplớp datadata link) link) sửsử dụngdụng

Trang 46

 Giả mạo AP, ARP đưa ra trang web

trung gian để giả các giao thức SSL,

46

Trang 47

Replay attack

((tấn công phát lại tấn công phát lại))

47

Trang 48

• Sử dụng phương pháp xác thực lại theo Sử dụng phương pháp xác thực lại theo

thời gian (sau thời gian kết nối)

48

Trang 49

Kẻ tấn công chiếm quyền điều

khiển

49

Trang 50

I Thế nào là một kẻ tấn công

chiếm quyền điều khiển?

 NgheNghe lénlén thôngthông tin tin liênliên lạclạc

 ĐợiĐợi kếtkết thúcthúc quáquá trìnhtrình xácxác thựcthực

 GửiGửi tíntín hiệuhiệu yêuyêu cầucầu kếtkết thúcthúc

 TiếpTiếp tụctục liênliên kếtkết vớivới máymáy còncòn lạilại

50

Trang 51

II Giải pháp

 Tiến hành mã hóa phiên

 Xác thực phiên theo thời gian

51

Trang 52

V Công cụ kẻ tấn công chiếm

quyền điều khiển sử dụng:

 Có một vài chương trình có sẵn có

thể thực hiện được việc chiếm quyền

điều khiển

 Dưới đây là một vài chương trình

thuộc loại này:

Trang 53

Tấn công

từ chối dịch vụ

(DoS Attacks)

53

Trang 54

Tấn công từ chối dịch vụ

 Tấn công làm cho một hệ thống nào

đó bị quá tải không thể cung cấp

dịch vụ hoặc phải ngưng hoạt động

 Tấn công kiểu này chỉ làm gián đoạn

hoạt động của hệ thống chứ rất ít có

khả năng thâm nhập hay chiếm được thông tin dữ liệu của nó

54

Trang 55

Các loại tấn công từ chối dịch vụ

 Tấn công từ chối dịch vụ cổ điển

DoS (Denial of Service)

 Tấn công từ chối dịch vụ phân tán

DDoS (Distributed Denial of

Trang 56

Biến thể của tấn công DoS

Trang 57

Mục tiêu tấn công DoS

 Mục tiêu nhằm chiếm dụng các tài

nguyên của hệ thống (máy chủ) như: Bandwidth, Kernel Table, Swap

Space, Cache, Hardisk, RAM, CPU,…

 Làm hoạt động của hệ thống bị quá

 Làm hoạt động của hệ thống bị quá

tải dẫn đến không thể đáp ứng được

các yêu cầu (request) hợp lệ nữa

57

Trang 58

Tấn công từ chối dịch vụ cổ điển

 Là phương thức xuất hiện đầu tiên,

giản đơn nhất trong kiểu tấn công từ

chối dịch vụ.Các kiểu tấn công thuộc

phương thức này rất đa dạng

 Ví dụ một dạng tấn công tiêu biểu:

 Ví dụ một dạng tấn công tiêu biểu:

• SYN Attack SYN Attack

58

Trang 59

Bắt tay ba chiều trong kết nối TCP

59

Trang 60

Bắt tay ba chiều trong kết nối TCP

 BướcBước 1: Client (1: Client (máymáy kháchkhách) ) sẽsẽ gửigửi

các

các góigói tin (packet tin (packet chứachứa SYN=1).SYN=1)

 BướcBước 2: Server 2: Server sẽsẽ gửigửi lạilại góigói tin tin

việc yêuyêu cầucầu nàynày

 BướcBước 3: 3: CuốiCuối cùngcùng, client , client hoànhoàn tấttất

Trang 61

DoS dùng kỹ thuật SYN Flood

61

Trang 62

DoS dùng kỹ thuật SYN Flood

 Hacker cài một chương trình phá

hoại (malicious code) vào client

 Client không hồi đáp tín hiệu ACK

(bước

(bước 33) về cho server.) về cho server

 Server không còn tài nguyên phục vụ

 Server không còn tài nguyên phục vụ cho những yêu cầu truy cập hợp lệ

62

Trang 63

DoS dùng kỹ thuật SYN Flood

63

Trang 64

Tấn công từ chối dịch vụ kiểu phân tán

(DDoS)

 Xuất hiện vào mùa thu 1999

 So với tấn công DoS cổ điển, sức

mạnh của DDoS cao hơn gấp nhiều

lần

 Hầu hết các cuộc tấn công DDoS

 Hầu hết các cuộc tấn công DDoS

nhằm vào việc chiếm dụng băng

thông (bandwidth) gây nghẽn mạch

hệ thống dẫn đến hệ thống ngưng

hoạt động

64

Trang 66

Tấn công từ chối dịch vụ kiểu phân tán

(DDoS)

66

Trang 67

Tấn công từ chối dịch vụ kiểu phân tán

 để đồng loạt gửi ào ạt các gói tin

 để đồng loạt gửi ào ạt các gói tin

(packet) với số lượng rất lớn

 nhằm chiếm dụng tài nguyên và làm

tràn ngập đường truyền của một mục tiêu xác định nào đó

67

Trang 68

Tấn công từ chối dịch vụ kiểu phân tán

(DDoS)

68

Trang 69

Tấn công từ chối dịch vụ phản xạ nhiều

vùng DRDoS

 Xuất hiện vào đầu năm 2002, là kiểu

tấn công mới nhất, mạnh nhất trong họ DoS

 Nếu được thực hiện bởi kẻ tấn công có

tay nghề thì nó có thể hạ gục bất cứ hệ

thống nào trên thế giới trong phút

chốc.

DRDoS là sự phối hợp giữa hai kiểu DoS

 DRDoS là sự phối hợp giữa hai kiểu DoS

và DDoS.

 Mục tiêu chính của DRDoS là chiếm

đoạt toàn bộ băng thông của máy chủ,

tức là làm tắc nghẽn hoàn toàn đường

kết nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy

chủ.

69

Trang 71

Tấn công từ chối dịch vụ phản xạ nhiều

vùng DRDoS

 Với nhiều server lớn tham gia nên

server mục tiêu nhanh chóng bị quá

tải, bandwidth bị chiếm dụng bởi

server lớn

 Tính “nghệ thuật” là ở chỗ chỉ cần với

 Tính “nghệ thuật” là ở chỗ chỉ cần với một máy tính với modem 56kbps,

một hacker lành nghề có thể đánh

bại bất cứ máy chủ nào trong giây lát

mà không cần chiếm đoạt bất cứ

máy nào để làm phương tiện thực

hiện tấn công

71

Trang 73

 Tấn công reset mật khẩu

 Nghe lén mật khẩu

 Tấn công dò mật khẩu

73

Trang 74

 Tấn công reset mật khẩu

Trang 75

 Nghe lén

• Nghe lén, trộm mật khẩu lưu trữ vật lý Nghe lén, trộm mật khẩu lưu trữ vật lý

• Nghe lén thông tin từ đó nhận được được Nghe lén thông tin từ đó nhận được được

mật khẩu không mã hóa

• Nghe lén và lưu nhận mật khẩu đã mã hóa Nghe lén và lưu nhận mật khẩu đã mã hóa

từ đó tiến hành gửi lại xác thực sau

75

Trang 77

login không thành công không thành công

o Không dùng Không dùng passwordspasswords ddạạng clear textng clear text

o Dùng Dùng strong passwordsstrong passwords

77

Trang 78

 Định nghnh nghĩĩaa

Misuse of Privilege Attack ( Cu Misuse of Privilege Attack ( Cuộ ộc t c tấ ấn công s n công sử

dụ ụng sai các ng sai các đặ đặc quy c quyề ền) là m n) là mộ ột lo t loạ ại ph i phầ ần m n mề ềm m ttấ ấn công, trong n công, trong đ đó k ó kẻ ẻ ttấ ấn công s n công sử ử d dụ ụng ng đặ đặc c

quyề ền qu n quả ản tr n trịị h hệ ệ th thố ống ng để để truy c truy cậ ập d p dữ ữ liliệ ệu u

nhạ ạy c y cả ảm m Lo Loạ ại t i tấ ấn công này th n công này thườ ường liên quan ng liên quan

nhạ ạy c y cả ảm m Lo Loạ ại t i tấ ấn công này th n công này thườ ường liên quan ng liên quan đế

đến m n mộ ột nhân viên, v t nhân viên, vớ ới m i mộ ột s t số ố quy quyề ền qu n quả ản tr n trịị

trên mộ ột máy tính, m t máy tính, mộ ột nhóm các máy móc hay t nhóm các máy móc hay

mộ ột s t số ố ph phầ ần c n củ ủa h a hệ ệ th thố ống m ng mạ ạng ng

78

Ngày đăng: 23/10/2014, 09:26

HÌNH ẢNH LIÊN QUAN

Bảng định định tuyến tuyến theo theo đường đường cố cố định định.  . - tấn công mạng máy tính
ng định định tuyến tuyến theo theo đường đường cố cố định định. (Trang 27)
6. hình hình thức thức tấn tấn công công MITM: MITM: - tấn công mạng máy tính
6. hình hình thức thức tấn tấn công công MITM: MITM: (Trang 42)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w