Báo cáo Mô tả và phân tích các hình thức Tấn Công Mạng phổ biến hiện nay: Sniffer, Phising, SQL injection, Man in the Middle, DDos... và cách phòng.chống các loại tấn công đó.NỘI DUNG ĐỒ ÁNTìm hiểu và mô tả tổng quát các công nghệkỹ thuật hiện nay được dùng để tấn công mạnghệ thống. Bao gồm: •Tên gọi của công nghệkỹ thuật.•Ngày xuất hiện (nếu có).•Sơ lược về cách thức tấn công.•Mức độ ảnh hưởng (gây thiệt hại).•Kỹ thuật an ninh dùng để chống lại.
Trang 1TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Khoa Mạng máy tính và Truyền thông
ĐỒ ÁN MÔN HỌC
GIỚI THIỆU NGÀNH
ĐỀ TÀI Các hình thức tấn công trong mạng hiện nay
Giáo viên hướng dẫn: Thầy Nguyễn Văn Toàn
Nhóm sinh viên thực hiện:
- Nguyễn Hoài Nam 13520522
Trang 2Thành phố Hồ Chí Minh Tháng 10/2014
Trang 3MỤC LỤC
Nội dung đồ án 3
Bảng phân công công việc 3
1 Kỹ thuật Sniffer 4
1.1 Khái niệm 4
1.2 Sơ lược về cách tấn công 4
1.3 Các loại Sniff và cơ chế hoạt động 4
1.4 Cách phát hiện và phòng chống 5
1.4.1 Đối với active sniff: 5
1.4.2 Đối với passive sniff 7
1.5 Mức độ ảnh hưởng 7
2 Phishing 8
2.1 Khái niệm 8
2.2 Thời gian xuất hiện: 8
2.3 Sơ lược cách tấn công 9
2.4 Cách phòng chống 9
2.5 Mức độ ảnh hưởng 13
3 SQL Injection 14
3.1 Khái niệm 14
3.2 Thời gian xuất hiện: 14
3.3 Cách thức tấn công của SQL injection 14
3.3.1 Dạng tấn công vượt qua kiểm tra lúc đăng nhập 15
3.3.2 Dạng tấn công sử dụng câu lệnh SELECT 16
3.3.3 Dạng tấn công sử dụng câu lệnh INSERT 17
3.3.4 Dạng tấn công sử dụng stored-procedures 18
3.4 Kỹ thuật an ninh dùng để chống lại: 19
3.4.1 Kiểm soát chặt chẽ dữ liệu nhập vào 19
3.4.2 Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu 20
3.4.3 Sử dụng thủ thuật 20
3.5 Mức độ ảnh hưởng: 20
4 Tấn công từ chối Dịch vụ 22
4.1 Khái niệm: 23
4.2 Thời gian xuất hiện: 23
Trang 44.3 Các cách tấn công: 23
4.3.1 SYN Attack 23
4.3.2 Flood attack 24
4.3.3 Smurf attack 24
4.3.4 Tấn công dịch vụ phân tán DDoS 25
4.3.5 Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDOS 25
4.4 Cách thức phòng chống: 26
4.5 Mức độ ảnh hưởng: 26
Tài liệu tham khảo 27
Trang 5NỘI DUNG ĐỒ ÁN
Tìm hiểu và mô tả tổng quát các công nghệ/kỹ thuật hiện nay được dùng để tấn công mạng/hệthống Bao gồm:
Tên gọi của công nghệ/kỹ thuật
Ngày xuất hiện (nếu có)
Sơ lược về cách thức tấn công
Mức độ ảnh hưởng (gây thiệt hại)
Kỹ thuật an ninh dùng để chống lại
BẢNG PHÂN CÔNG CÔNG VIỆC
2 Phishing Trình bày nội dung đồ án Đăng kí và nộp đồ án
4 Tấn công từ chối dịch vụ (Ddos) Kiểm tra và chỉnh sửa đồ án
ĐÁNH GIÁ NHÓM
được giao (%)
Tỷ lệ công việc hoàn thành (%)
Nhận xét Trọng số điểm
13520582 Vũ Minh Nhật 50%
13520522 Nguyễn Hoài Nam 50% 95% Tích cực trong
công việc Hoàn thành phần việc
và có nhiều ý tưởng trong bài
Trang 64.5 điểm
Trang 7Kỹ thuật Sniffer
1.1 Khái niệm
Sniffer là một chương trình nghe trộm gói tin (packet sniffer) (còn gọi là chương trình
phân tích mạng, chương trình phân tích giao thức hay chương trình nghe trộmEthernet) là một phần mềm có khả năng chặn và ghi lại giao thông dữ liệu quamột mạng viễn thông số hoặc một phần của một mạng dựa trên những đặc điểm của
Sniffer ban đầu được sử dụng để các nhà quản trị mạng theo dõi và bảo trì hệ thốngmạng của mình Tuy nhiên sau này các hacker lại sử dụng nó như một công cụ vớimục đích đánh hơi, nghe lén các thông tin trang mạng
1.2 Sơ lược về cách tấn công
Khi các dòng dữ liệu di chuyển qua lại một mạng, chương trình nghe trộm bắt lấytừng gói tin rồi giải mã và phân tích nội dung của nó theo RFC hoặc các đặc tả thíchhợp khác Tùy theo cấu trúc mạng người ta có thể nghe trộm tất cả hoặc chỉ một phầncủa giao thông dữ liệu từ một máy trong mạng Đối với các mục đích theo dõi
dõi (nó lặp lại tất cả các gói tin đi qua tất cả các cổng của thiết bị chuyển mạch)
Những điều kiện để Sniff xảy ra:
- Sniff có thể hoạt động trong mạng LAN, mạng WAN, mạng WLAN
- Điều kiện cần chỉ là dùng cùng Subnet Mark khi Sniffer
- Ngoài ra ta còn cần một công cụ để bắt và phân tích gói tin như: Cain&Abel,Ettercap, HTTP sniffer
1.3 Các loại Sniff và cơ chế hoạt động
Active
1Kevin J Connolly (2003) Law of Internet Security and Privacy
Trang 8 Môi trường: chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạchgói.Phổ biến hiện nay là các dạng mạch sử dụng switch.
Cơ chế hoạt động: Chủ yếu hiện nay thường dùng cơ chế ARP và RARP (2 cơchế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi các góitin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gởi gói tin là
“tôi là người nhận” mặc không phải là “người nhận”
Đặc điểm: do phải gởi gói tin đi nên có thể chiếm băng thông mạng Nếu sniffquá nhiều máy trong mạng thì lượng gói gởi đi sẽ rất lớn (do liên tục gởi đi cácgói tin giả mạo) có thể dẫn đến nghẽn mạng hay gây quá tải trên chính NIC củamáy đang dùng sniff (thắt nút cổ chai)
Hacker sử dụng các loại tấn công:
- MAC flooding: Hacker sẽ gởi những gói ARP reply giả tạo với số lượngkhổng lồ nhằm làm tràn bộ nhớ switch từ đó switch sẽ chạy chế độforwarding mà không chuyển mạch gói
- Giả MAC: Các sniffer sẽ thay đổi MAC của mình thành MAC của một máyhợp lệ và qua được chức năng lọc MAC của thiết bị
- Đầu độc DHCP: Hacker giả mạo địa chỉ IP của mình là địa chỉ củagateway, từ đó mọi host trong mạng đều gửi gói tin đến gateway nhưngthực chất là đến máy của hacker
Passive
Môi trường: chủ yếu hoạt động trong môi trường không có các thiết bị chuyểnmạch gói.Phổ biến hiện nay là các dạng mạng sử dụng hub, hay các mạngkhông dây
Cơ chế hoạt động: do không có các thiết bị chuyển mạch gói nên các host phải
bị broadcast các gói tin đi trong mạng từ đó có thể bắt gói tin lại xem (dù hostnhận gói tin không phải là nơi đến của gói tin đó)
Đặc điểm: do các máy tự broadcast các gói nên hình thức sniff này rất khó pháthiện
Trang 91.4 Cách phát hiện và phòng chống
1.4.1 Đối với active sniff:
a) Cách phát hiện
Dựa vào quá trình đầu độc arp của sniffer để phát hiện:
- Vì phải đầu độc ARP nên sniffer sẽ liên tục gởi các gói tin đầu độc tới cácvictim Do đó, ta có thể dùng một số công cụ bắt gói trong mạng để có thểphát hiện
- Một cách khác ta có thể kiểm tra bảng ARP của host Nếu ta thấy trongbảng ARP này có hai MAC giống nhau thì lúc này có khả năng mạng đang
bị sniffer
Dựa trên băng thông:
- Do quá trình gởi gói tin đầu độc của sniffer nên quá trình này có thể chiếmbăng thông, từ đây ta có thể dùng một số công cụ kiểm tra băng thông đểphát hiện
- Tuy nhiên cách này không hiệu quả và chính xác cũng không cao
Một số công cụ phát hiện sniff hay phát hiện đầu độc ARP:
- Xarp
- Arpwatch
- Symantec EndPointb) Cách phòng chống
- Công cụ kiểm tra băng thông: Như đã nêu trên các sniffer có thể gây nghẽnmạng do đó có thể dùng các công cụ kiểm tra băng thông Tuy nhiên, cách làmnày không hiệu quả
- Công cụ bắt gói tin: Các sniffer phải đầu độc ARP nên sẽ gởi arp đi liên tục,nếu dùng các công cụ này ta có thể thấy được ai đang sniff trong mạng Cáchnày tương đối hiệu quả hơn, nhưng có một vài công cụ sniff có thể giả IP vàMAC để đánh lừa
- Thiết bị: Đối với thiết bị ta có thể dùng các loại có chức năng lọc MAC đểphòng chống Riêng với switch có thể dùng thêm chức năng VLAN trunking,
Trang 10có thể kết hợp thêm chức năng port security (tương đối hiệu quả do dùngVLAN và kết hợp thêm các chức năng bảo mật).
- Cách khác: Ngoài ra ta có thể cấu hình SSL, tuy hiệu quả, nhưng chưa cao vẫn
có khả năng bị lấy thông tin
1.4.2 Đối với passive sniff
b) Cách phòng chốngThay thế các hub bằng các switch, lúc này các gói tin sẽ không còn broadcast
đi nữa , nhưng lúc này ta lại đứng trước nguy cơ bị sniff dạng active
1.5 Mức độ ảnh hưởng
Sniff là hình thức nghe lén thông tin trên mạng nhằm khai thác hiệu quả hơn tàinguyên mạng, theo dõi thông tin bất hợp pháp Tuy nhiên, sau này các hacker dùngsniff để lấy các thông tin nhạy cảm như password, thông tin cá nhân Do đó, sniffcũng là một cách hack
Sniff thường tác động đến các gói tin, ít tác động mạnh đến phần hệ thống nên sniffrất khó phát hiện Do đó, tuy sniff hoạt động đơn giản nhưng rất hiệu quả
Do gần như không trực tiếp tác động lên hệ thống mạng nên các hình thức sniff saukhi hoạt động thường ít để lại dấu vết hay hậu quả nghiêm trọng
Trang 112 Phishing
2.1 Khái niệm
Tấn công giả mạo (thuật ngữ tiếng Anh: phishing, biến thể từ fishing, nghĩa là câu
cá, có thể ảnh hưởng từ chữ phreaking, nghĩa là sử dụng điện thoại người khác không
trả phí, ám chỉ việc "nhử" người dùng tiết lộ thông tin mật) là một hành vi giả mạo ác
ý nhằm lấy được các thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiếtthẻ tín dụng bằng cách giả dạng thành một chủ thể tin cậy trong một giao dịch điện tử
2
Cách thực hiện chủ yếu là đánh lừa người dùng truy cập vào một web giả mô phỏnglại giao diện trang web đăng nhập (login page) của các website có thật Sau đó, kẻ lừađảo sẽ dẫn dụ nạn nhân (victim) điền các thông tin vào trang “dỏm” đó rồi truyền tảiđến anh ta (thay vì đến server hợp pháp) để thực hiện hành vi đánh cắp thông tin bấthợp pháp mà người sử dụng không hay biết Ngay cả khi có sử dụng chứng thực máy
2 Tấn công giả mạo (http://vi.wikipedia.org/wiki/Tấn_công_giả_mạo)
Hình ảnh một thư điện tử giả mạo (nguồn: Wikipedia)
Trang 122.2 Thời gian xuất hiện:
Một kĩ thuật tấn công giả mạo đã được mô tả chi tiết trong một bài báo khoa học và
năm 1996, dù thuật ngữ này có thể đã xuất hiện từ trước đó trong bản in của tạp chí
2.3 Sơ lược cách tấn công
Trước đây, hacker thường sử dụng trojan (gián điệp) đến máy nạn nhân nhằm ăn cắpthông tin như password Sau này cách lừa đảo lấy thông tin như Phishing được sửdụng nhiều hơn Phương pháp phổ biến nhất của phishing là sử dụng một số formđược thiết kế để tạo một liên kết tới một địa chỉ email có vẻ như thuộc về một tổ chứcđang tin cậy hoặc một tổ chức giả mạo Đường dẫn URLs sai chính tả hoặc việc sửdụng tên miền phụ là thủ thuật phổ biến được sử dụng hiện nay bởi những hacker.Phishing gồm 2 bước chính:
- Tìm cách lừa người dùng đăng nhập vào trang web đăng nhập giả Cách làm chính
là thông qua gửi một email có chưa URL đến trang web giả
- Tạo một trang web giả giống với trang web thật
Không chỉ có vậy, hacker còn kết hợp nhiều xảo thuật khác như tạo những email (giả)
cả địa chỉ lẫn nội dung sao cho có sức thu hút, mã hóa đường link (URL) trên thanhaddress bar, tạo IP server giả…
2.4 Cách phòng chống
Phòng chống Phishing là không khó Phishing chủ yếu đánh vào sự tin tưởng củangười dùng khi thực hiện nhưng giao dịch online Vì thế cách tốt nhất là người dùngphải cẩn thận khi nhận được yêu cầu cung cấp thông tin nhạy cảm
Phishing tấn công theo 2 giai đoạn nên việc phòng thủ cũng theo 2 giai đoạn:
3 Tấn công giả mạo (http://vi.wikipedia.org/wiki/Tấn_công_giả_mạo)
Trang 13 Với email lừa đảo chúng ta lấy ví dụ dưới là một email giả dạng email của ngânhàng Citibank gửi cho khách hàng:
Received: from host70-72.pool80117.interbusiness.it ([80.117.72.70])
by mailserver with SMTP
id <20030929021659s1200646q1e>; Mon, 29 Sep 2003 02:17:00 +0000
Received: from sharif.edu [83.104.131.38] by 72.pool80117.interbusiness.it
host70-(Postfix) with ESMTP id EAC74E21484B for
<e-response@securescience.net>; Mon, 29 Sep 2003 11:15:38
+0000
Date: Mon, 29 Sep 2003 11:15:38 +0000
From: Verify <verify@citibank.com>
Subject: Citibank E-mail Verification: e-response@securescience.net
To: E-Response <e-response@securescience.net>
References: <F5B12412EAC2131E@securescience.net>
In-Reply-To: <F5B12412EAC2131E@securescience.net>
Message-ID: <EC2B7431BE0A6F48@citibank.com>
Reply-To: Verify <verify@citibank.com>
Sender: Verify <verify@citibank.com>
MIME-Version: 1.0
Content-Type: text/plain
Trang 14Content-Transfer-Encoding: 8bit
Dear Citibank Member,This email was sent by the Citibank server to verify your e-mail address You must complete this process by clicking on the link below and entering in the small window your Citibank ATM/DebitCard number and PIN that you use on ATM.
This is done for your protection -t- becaurse some of our members no longer have access to their email addresses and we must verify it.To verify your e-mail address and access your bank account,click on the link below If nothing happens when you click on the link (or if you use AOL)K, copy and paste the link into the address bar of your web browser.
http://www.citibank.com:ac=piUq3027qcHw003nfuJ2@sd96V.pIsEm.NeT/3/? 3X6CMW2I2uPOVQW
Thank you for using Citibank!
C -This automatic email sent to: e-response@securescience.net
Do not reply to this email.
R_CODE: ulG1115mkdC54cbJT469
Nếu quan sát kỹ, chúng ta sẽ thấy một số điểm bất thường của email này:
- Về nội dung thư: Rõ là câu cú, ngữ pháp lộn xộn, có cả những từ sai chính tả, ví dụbecaurse, this automatic Và ai cũng rõ là điều này rất khó xảy ra đối với một ngânhàng vì các email đều được “chuẩn hóa” thành những biểu mẫu thống nhất nênchuyện “bị sai” cần phải được xem lại
Trang 15- Có chứa những ký tự hash-busters, là những ký tự đặc biệt để vượt qua các phươngtrình lọc thư rác (spam) dựa vào kỹ thuật hash-based spam như “-t-“, “K” ở phầnchính thư và “y”, “C” ở cuối thư Người nhận khác nhau sẽ nhận những spam vớinhững hash-busters khác nhau Mà một email thật, có nguồn gốc rõ ràng thì đâu cầnphải dùng đến các “tiểu xảo” đó.
- Phần header của email không phải xuất phát từ mail server của Citibank Thay vìmango2-a.citicorp.com (mail server chính của Citybank ở Los Angeles) thì nó lại đến
từ Italia với địa chỉ host 70-72.pool80117.interbusiness.it (80.117.72.70) vốn khôngthuộc quyền kiểm soát của CityBank Lưu ý, mặc định Yahoo Mail hay các POP Mail
- Client không bật tính năng xem header, các bạn nên bật vì sẽ có nhiều điều hữu ích.Với liên kết ở dưới:
http://www.citibank.com:ac=piUq3027qcHw003nfuJ2@sd96V.pIsEm.NeT/ 3/?3X6CMW2I2uPOVQ
- Nhìn thoáng quá thì có vẻ là xuất phát từ Citibank, nhưng thực tế bạn hãy xem
đoạn phía sau chữ @ Đó mới là địa chỉ thật và sd96V.pIsEm.Net là một địa chỉ
giả từ Maxcova, Nga hoàn toàn chẳng có liên quan gì đến Citibank
- Kẻ tấn công đã lợi dụng lỗ hổng của trình duyệt web để thực thi liên kết giả
Hai điểm yếu thường dùng:
- Sử dụng ký tự @ Trong liên kết, nếu có chứa ký tự @ thì trình duyệt web hiểuthành phần đứng trước ký tự này chỉ là chú thích, nó chỉ thực thi các thành phần
đứng sau chữ @ Ví dụ như link trên thì đường dẫn thực sự là sd96V.pIsEm.NeT/ 3/?3X6CMW2I2uPOVQW.
- Sử dụng ký tự %01 Trình duyệt sẽ không hiển thị những thông tin nằm sau kí tự
href=”http://www.citibank.com %01@http://www.sd96V.pIsEm.NeT/3/? 3X6CMW2I2uPOVQW”>Tên liên kết </a> Lúc đó khi bạn đưa trỏ chuột vào
Tên liên kết thì trên thanh trạng thái chỉ hiển thị thông tin ở phía trước ký tự %01
Với Website giả ta dùng các cách sau:
Trang 16- Nếu nhấn vào liên kết ở email đó nó đưa bạn đến một trang đăng nhập (giả) Dùbên ngoài nó giống hệt trang thật, ngay cả địa chỉ hay thanh trạng thái nhìn cũng có
vẻ thật Nhưng nếu bạn xem kỹ liên kết trên thanh address bar thì bạn sẽ thấy ởphía sau chữ @ mới là địa chỉ thật Bạn nên quan sát kĩ trước khi điền thông tin.Tốt hơn hết là xem mã nguồn (view source) của form thì rõ là form thông tin khôngphải truyền đến citibank mà là đến một nơi khác
- Với cách tiếp cận theo kiểu “biết cách tấn công để phòng thủ” trên, chúng ta sẽthấy rõ hơn bản chất của một cuộc tấn công phishing – tấn công đơn giản, nhưnghiệu quả thì rất cao Một khi bạn hiểu được cách thức tấn công thì chắc rằng bạncũng sẽ có cách đối phó thích hợp
- Với các trang xác nhận thông tin quan trọng, họ luôn dùng giao thức http secure
(có ‘s’ sau http) nên địa chỉ có dạng https:// chứ không phải là http://
thường.Ngân hàng kêu ta xác nhận lại dùng http:// “thường” thì chắc là ngânhàng… giả
- Nên thường xuyên cập nhật các miếng vá lỗ hổng bảo mật cho trình duyệt (webbrowser) Cài thêm chương trình phòng chống virus, diệt worm, trojan
2.5 Mức độ ảnh hưởng
Phishing là hình thức gian lận, lừa người dùng cung cấp thông tin cá nhân đặc biệt làthông tin về tài khoản ngân hàng, giao dịch trực tuyến… Sau đó sử dụng những thôngtin đó chiếm đoạt tài chính của nạn nhân