TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT HÀN MÔN AN NINH MẠNG CHƯƠNG 8 : NGHE LÉN Nhóm thực hiện : 5 SVTH : Lê Long Bảo Lớp : MM03A GVHD : Lê Tự Thanh Mục tiêu bài học    Nghe lén là gì Lỗ hổng các giao thức Các kiểu tấn công - Tấn công DHCP - Tấn công DNS - Tấn công ARP Nghe lén (Sniffer)   Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc hội thoại internet bởi thành phần thứ ba. Kẻ tấn công để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Kiểu nghe lén Chủ động Chỉ giám sát và ghi lại thông tin lưu lượng Bị động Giám sát và ghi lại tất cả thông tin lưu lượng Nghe lén hoạt động như thế nào   Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu chuyển đi trên mạng Sniffer có thể đọc các thông tin trên máy tính thông qua card NIC bằng cách giải mã các thông tin được đóng gói trong gói tin Các lỗ hổng của giao thức để Sniffing Dữ liệu được gửi dưới dạng clear text Telnet RLogin Tổ hợp phím bao gồm username và pasword HTTP Password và dữ liệu được gửi dưới dạng clear text SMTP Password và dữ liệu được gửi dưới dạng clear text NNTP Password và dữ liệu được gửi dưới dạng clear text POP Password và dữ liệu được gửi dưới dạng clear text FTP IMAP Password và dữ liệu được gửi dưới dạng clear text Ngập lụt MAC Ngập lụt MAC là làm ngập lụt switch với một số lượng lớn yêu cầu . Lúc này switch hoạt động như một hub và các gói tin sẽ được gửi ra tất cả các máy trên cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén Switch có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC và port vật lý trên switch Ngập lụt MAC làm cho bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau và gửi đến switch Địa chỉ MAC và Bảng CAM   Bảng CAM của switch thì có kích thước giới hạn. Nó lưu trữ thông tin như địa chỉ MAC address gắn với cổng tương ứng trên switch cùng với các tham số miền mạng vlan 48Bit Hexadecimal 1258.3582.8DAB 24 bit đầu tiên là mã nhà sản xuất được gán bởi IEEE 24 bit thứ hai là giao diện đặt biệt được gán bởi nhà sản xuất 0000.0aXX.XXXX 0000.0aXX.XXXX Địa chỉ Broadcast FFFF.FFFF.FFFF Bảng CAM làm việc như thế nào Chuyện gì xảy ra khi bảng CAM đầy    Một khi bảng CAM trên Switch đầy thì các lưu lượng ARP request sẽ làm ngập lụt mỗi cổng của switch Lúc này cơ bản switch hoạt động như hub Tấn công lúc này sẽ làm đầy bảng CAM của switch DHCP làm việc như thế nào   DHCP server duy trì các thông tin cấu hình TCP/IP trong cơ sở dữ liệu như là các tham số cấu hình TCP/IP, địa chỉ ip hợp lệ Nó cung cấp các địa chỉ đã được cấu hình đến máy trạm trong suốt quá trình thuê Tấn công tước quyền DHCP   Kẻ tấn công gửi các gói tin để khám phá máy chủ cấp phát DHCP và phạm vi cấp phát và sau đó kẻ tấn công cố gắng thuê tất cả dãy địa chỉ IP cấp phát này. Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa chỉ cấp phát của máy chủ DHCP Tấn công giả mạo DHCP  Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng và cung cấp địa chỉ để cấp phát cho user Bằng cách giả mạo máy chủ DHCP,kẻ tấn công có thể gửi các thông tin cấu hình TCP/IP sai - Default Gate  default gateway giả mạo - Địa chỉ IP  IP giả mạo Ngăn chặn tấn công DHCP Kích hoạt bảo mật port để ngăn chặn tấn công tước quyền DHCP Kích hoạt DHCP Snooping để ngăn chặn giả mạo DCHP lúc này switch sẽ phân loại thành cổng tin cậy và không tin cậy Tấn công giả mạo ARP Gói tin ARP có thể bị giả mạo để gửi dữ liệu đến máy của kẻ tấn công Giả mạo ARP liên quan đến việc xây dựng một số lượng lớn ARP request giả mạo và gói ARP reply liên tục được phản hồi dẫn đến tình trạng quá tải switch C Cuối cùng thì sau khi bảng ARP bị đầy thì switch sẽ hoạt động ở chế độ forwarding, lúc này thì kẻ tấn công có thể dễ dàng nghe lén mọi hoạt động trong mạng Kẻ tấn công làm ngập lụt bộ nhớ cache chứa địa chỉ ARP của máy mục tiêu bằng các địa chỉ ARP giả mạo, phương thức này còn được gọi là đầu độc . Cách thức giả mạo ARP Khi user A muốn thiết lập một phiên đến user B , một gói tin ARP request được quảng bá ra toàn miền mạng, lúc này user A chờ phản hồi từ user B Switch broadcast ARP trên đường truyền Sau khi bắt được gói ARP Request và ARP Reply, attacker có thể giả mạo ARP Reply của user B và gửi đến user A User B phản hồi ARP Reply thật Kẻ tấn công nghe gói các gói tin ARP Request và ARP Reply và giả mạo mình chính là user hợp pháp Mối đe dọa về đầu độc ARP  Giả mạo gói tin ARP giúp kẻ tấn công có thể chuyển hướng tất cả giao tiếp giữa hai máy, khi đó tất cả lưu lượng được gửi thông qua máy của kẻ tấn công  Tấn công từ chối dịch vụ Ăn cắp thông tin dữ liệu Nghe lén cuộc gọi Ăn cắp password Thao tác dữ liệu     Kỹ thuật đầu độc DNS   Là kỹ thuật lừa DNS Server tin rằng nó nhận một thông tin chứng thực đúng đó là thật nhưng thực sự thì thông tin đó không tồn tại Kết quả là tên miền sẽ trỏ sang ip giả,ip mà DNS Server tưởng là thật, thay vì trỏ sang ip thật Giả mạo DNS Intranet   Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà có thể nghe lén được các gói tin Nó làm việc tốt trong môi trường switches với kiểu đầu độc ARP Giả mạo DNS Internet  Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân con trojan và con này sẽ thay đổi IP DNS của nạn nhân đến máy kẻ tấn công Giả mạo Proxy DNS  Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ thay đổi Proxy server trong trình duyệt internet của nạn nhân Ngăn chặn giả mạo DNS Giải quyết tất cả truy vấn DNS đến DNS Server cục bộ Khóa các truy vấn DNS từ server bên ngoài Thực hiện DNSSec Cấu hình DNS Resolv dùng port nguồn ngẫu nhiên từ dãy port có sẵn cho mỗi truy vấn Cấu hình tường lửa để hạn chế truy vấn DNS từ bên ngoài Hạn chế các dịch vụ DNS, cấp quyền user Dùng NXDOMAIN Kết luận  Bằng cách đặt các gói tin nghe lén trong mạng, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng mạng  Kẻ tấn công có thể nghe lén các thông tin chứng thực như là email, hội thoại chat, password, lưu lượng web  Nghe lén có 2 kiểu là chủ động và bị động. Bị động liên quan đến việc nghe lén trong môi trường hub, còn chủ động thì môi trường switch Kết luận  Nghe lén hoạt động tại lớp Data Link trong mô hình OSI và không có luật nào quản lý giống như lớp Ứng dụng  Kẻ tấn công có thể, tấn công MAC, DHCP, đầu độc ARP, tấn công giả mạo, đầu độc DNS, để nghe lén trong mạng  Các biện pháp ngăn chặn bao gồm: đặt IP và ARP tĩnh, dùng phiên mã hóa như SSH thay Telnet, dùng SCP thay cho FTP, dùng SSL để chuyển dữ liệu [...]... luận  Bằng cách đặt các gói tin nghe lén trong mạng, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng mạng  Kẻ tấn công có thể nghe lén các thông tin chứng thực như là email, hội thoại chat, password, lưu lượng web  Nghe lén có 2 kiểu là chủ động và bị động Bị động liên quan đến việc nghe lén trong môi trường hub, còn chủ động thì môi trường switch Kết luận  Nghe lén hoạt động tại lớp Data Link... tin dữ liệu Nghe lén cuộc gọi Ăn cắp password Thao tác dữ liệu     Kỹ thuật đầu độc DNS   Là kỹ thuật lừa DNS Server tin rằng nó nhận một thông tin chứng thực đúng đó là thật nhưng thực sự thì thông tin đó không tồn tại Kết quả là tên miền sẽ trỏ sang ip giả,ip mà DNS Server tưởng là thật, thay vì trỏ sang ip thật Giả mạo DNS Intranet   Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà... tin ARP có thể bị giả mạo để gửi dữ liệu đến máy của kẻ tấn công Giả mạo ARP liên quan đến việc xây dựng một số lượng lớn ARP request giả mạo và gói ARP reply liên tục được phản hồi dẫn đến tình trạng quá tải switch C Cuối cùng thì sau khi bảng ARP bị đầy thì switch sẽ hoạt động ở chế độ forwarding, lúc này thì kẻ tấn công có thể dễ dàng nghe lén mọi hoạt động trong mạng Kẻ tấn công làm ngập lụt bộ nhớ... kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà có thể nghe lén được các gói tin Nó làm việc tốt trong môi trường switches với kiểu đầu độc ARP Giả mạo DNS Internet  Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân con trojan và con này sẽ thay đổi IP DNS của nạn nhân đến máy kẻ tấn công Giả mạo Proxy DNS  Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ thay đổi Proxy server trong... nào quản lý giống như lớp Ứng dụng  Kẻ tấn công có thể, tấn công MAC, DHCP, đầu độc ARP, tấn công giả mạo, đầu độc DNS, để nghe lén trong mạng  Các biện pháp ngăn chặn bao gồm: đặt IP và ARP tĩnh, dùng phiên mã hóa như SSH thay Telnet, dùng SCP thay cho FTP, dùng SSL để chuyển dữ liệu ... thiết lập một phiên đến user B , một gói tin ARP request được quảng bá ra toàn miền mạng, lúc này user A chờ phản hồi từ user B Switch broadcast ARP trên đường truyền Sau khi bắt được gói ARP Request và ARP Reply, attacker có thể giả mạo ARP Reply của user B và gửi đến user A User B phản hồi ARP Reply thật Kẻ tấn công nghe gói các gói tin ARP Request và ARP Reply và giả mạo mình chính là user hợp pháp... tất cả dãy địa chỉ IP cấp phát này Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa chỉ cấp phát của máy chủ DHCP Tấn công giả mạo DHCP  Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng và cung cấp địa chỉ để cấp phát cho user Bằng cách giả mạo máy chủ DHCP,kẻ tấn công có thể gửi các thông tin cấu hình TCP/IP sai - Default Gate  default gateway giả mạo - Địa chỉ IP  IP giả mạo