Đang tải... (xem toàn văn)
Báo cáo Mô tả và phân tích các hình thức Tấn Công Mạng phổ biến hiện nay: Sniffer, Phising, SQL injection, Man in the Middle, DDos... và cách phòng.chống các loại tấn công đó.NỘI DUNG ĐỒ ÁNTìm hiểu và mô tả tổng quát các công nghệkỹ thuật hiện nay được dùng để tấn công mạnghệ thống. Bao gồm: •Tên gọi của công nghệkỹ thuật.•Ngày xuất hiện (nếu có).•Sơ lược về cách thức tấn công.•Mức độ ảnh hưởng (gây thiệt hại).•Kỹ thuật an ninh dùng để chống lại.
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN Khoa Mạng máy tính Truyền thông ĐỒ ÁN MÔN HỌC GIỚI THIỆU NGÀNH ĐỀ TÀI Các hình thức công mạng Giáo viên hướng dẫn: Thầy Nguyễn Văn Toàn Nhóm sinh viên thực hiện: - Vũ Minh Nhật Nguyễn Hoài Nam Thành phố Hồ Chí Minh Tháng 10/2014 13520582 13520522 Đồ án Giới thiệu ngành MỤC LỤC Đồ án Giới thiệu ngành NỘI DUNG ĐỒ ÁN Tìm hiểu mô tả tổng quát công nghệ/kỹ thuật dùng để công mạng/hệ thống Bao gồm: • • • • • Tên gọi công nghệ/kỹ thuật Ngày xuất (nếu có) Sơ lược cách thức công Mức độ ảnh hưởng (gây thiệt hại) Kỹ thuật an ninh dùng để chống lại BẢNG PHÂN CÔNG CÔNG VIỆC Thành viên Công việc Vũ Minh Nhật Kỹ thuật Sniffer Phishing Trình bày nội dung đồ án Đăng kí nộp đồ án Nguyễn Hoài Nam SQL Injection Tấn công từ chối dịch vụ (Ddos) Kiểm tra chỉnh sửa đồ án ĐÁNH GIÁ NHÓM MSSV Họ Tên 13520582 13520522 Vũ Minh Nhật Nguyễn Hoài Nam Tỷ lệ công việc giao (%) 50% 50% Tỷ lệ công việc hoàn thành (%) 95% Nhận xét Trọng số điểm Tích cực công việc Hoàn thành phần việc có nhiều ý tưởng Đồ án Giới thiệu ngành viết 4.5 điểm Đồ án Giới thiệu ngành Kỹ thuật Sniffer 1.1 Khái niệm Sniffer chương trình nghe trộm gói tin (packet sniffer) (còn gọi chương trình phân tích mạng, chương trình phân tích giao thức hay chương trình nghe trộm Ethernet) phần mềm có khả chặn ghi lại giao thông liệu qua mạng viễn thông số phần mạng dựa đặc điểm giao thức TCP/IP1 Sniffer ban đầu sử dụng để nhà quản trị mạng theo dõi bảo trì hệ thống mạng Tuy nhiên sau hacker lại sử dụng công cụ với mục đích đánh hơi, nghe thông tin trang mạng 1.2 Sơ lược cách công Khi dòng liệu di chuyển qua lại mạng, chương trình nghe trộm bắt lấy gói tin giải mã phân tích nội dung theo RFC đặc tả thích hợp khác Tùy theo cấu trúc mạng người ta nghe trộm tất phần giao thông liệu từ máy mạng Đối với mục đích theo dõi mạng (network monitoring), người ta theo dõi tất gói tin mạng LAN cách sử dụng thiết bị chuyển mạch với gọi cổng theo dõi (nó lặp lại tất gói tin qua tất cổng thiết bị chuyển mạch) Những điều kiện để Sniff xảy ra: - Sniff hoạt động mạng LAN, mạng WAN, mạng WLAN - Điều kiện cần dùng Subnet Mark Sniffer - Ngoài ta cần công cụ để bắt phân tích gói tin như: Cain&Abel, Ettercap, HTTP sniffer 1.3 Các loại Sniff chế hoạt động Active • Môi trường: chủ yếu hoạt động môi trường có thiết bị chuyển mạch gói.Phổ biến dạng mạch sử dụng switch • Cơ chế hoạt động: Chủ yếu thường dùng chế ARP RARP (2 chế chuyển đổi từ IP sang MAC từ MAC sang IP) cách phát gói Kevin J Connolly (2003) Law of Internet Security and Privacy Đồ án Giới thiệu ngành tin đầu độc, mà cụ thể phát gói thông báo cho máy gởi gói tin “tôi người nhận” mặc “người nhận” • Đặc điểm: phải gởi gói tin nên chiếm băng thông mạng Nếu sniff nhiều máy mạng lượng gói gởi lớn (do liên tục gởi gói tin giả mạo) dẫn đến nghẽn mạng hay gây tải NIC • máy dùng sniff (thắt nút cổ chai) Hacker sử dụng loại công: - MAC flooding: Hacker gởi gói ARP reply giả tạo với số lượng khổng lồ nhằm làm tràn nhớ switch từ switch chạy chế độ - forwarding mà không chuyển mạch gói Giả MAC: Các sniffer thay đổi MAC thành MAC máy - hợp lệ qua chức lọc MAC thiết bị Đầu độc DHCP: Hacker giả mạo địa IP địa gateway, từ host mạng gửi gói tin đến gateway thực chất đến máy hacker Passive • Môi trường: chủ yếu hoạt động môi trường thiết bị chuyển mạch gói.Phổ biến dạng mạng sử dụng hub, hay mạng không dây • Cơ chế hoạt động: thiết bị chuyển mạch gói nên host phải bị broadcast gói tin mạng từ bắt gói tin lại xem (dù host nhận gói tin nơi đến gói tin đó) • Đặc điểm: máy tự broadcast gói nên hình thức sniff khó phát 1.4 Cách phát phòng chống 1.4.1 Đối với active sniff: a) Cách phát • Dựa vào trình đầu độc arp sniffer để phát hiện: - Vì phải đầu độc ARP nên sniffer liên tục gởi gói tin đầu độc tới victim Do đó, ta dùng số công cụ bắt gói mạng để phát Đồ án Giới thiệu ngành - Một cách khác ta kiểm tra bảng ARP host Nếu ta thấy bảng ARP có hai MAC giống lúc có khả mạng • bị sniffer Dựa băng thông: - Do trình gởi gói tin đầu độc sniffer nên trình chiếm băng thông, từ ta dùng số công cụ kiểm tra băng thông để phát - Tuy nhiên cách không hiệu xác không cao • Một số công cụ phát sniff hay phát đầu độc ARP: - Xarp - Arpwatch - Symantec EndPoint b) Cách phòng chống - Công cụ kiểm tra băng thông: Như nêu sniffer gây nghẽn mạng dùng công cụ kiểm tra băng thông Tuy nhiên, cách làm - không hiệu Công cụ bắt gói tin: Các sniffer phải đầu độc ARP nên gởi arp liên tục, dùng công cụ ta thấy sniff mạng Cách tương đối hiệu hơn, có vài công cụ sniff giả IP - MAC để đánh lừa Thiết bị: Đối với thiết bị ta dùng loại có chức lọc MAC để phòng chống Riêng với switch dùng thêm chức VLAN trunking, kết hợp thêm chức port security (tương đối hiệu dùng - VLAN kết hợp thêm chức bảo mật) Cách khác: Ngoài ta cấu hình SSL, hiệu quả, chưa cao có khả bị lấy thông tin 1.4.2 Đối với passive sniff a) Cách phát - Khó có khả phát hiện, host mạng bắt - gói tin Tuy nhiên dạng mạng để loại sniff hoạt động chủ yếu dạng mạng thường dùng gia đình sử dụng cho doanh nghiệp Đồ án Giới thiệu ngành - Tuy nhiên,hiện doanh nghiệp thường dùng mạng không dây cho máy tính xách tay sử dụng thêm tính lọc MAC thiết bị, hay xác thực tài khoản,mật hay khóa truy cập b) Cách phòng chống Thay hub switch, lúc gói tin không broadcast , lúc ta lại đứng trước nguy bị sniff dạng active 1.5 Mức độ ảnh hưởng Sniff hình thức nghe thông tin mạng nhằm khai thác hiệu tài nguyên mạng, theo dõi thông tin bất hợp pháp Tuy nhiên, sau hacker dùng sniff để lấy thông tin nhạy cảm password, thông tin cá nhân Do đó, sniff cách hack Sniff thường tác động đến gói tin, tác động mạnh đến phần hệ thống nên sniff khó phát Do đó, sniff hoạt động đơn giản hiệu Do gần không trực tiếp tác động lên hệ thống mạng nên hình thức sniff sau hoạt động thường để lại dấu vết hay hậu nghiêm trọng Đồ án Giới thiệu ngành Phishing 2.1 Khái niệm Tấn công giả mạo (thuật ngữ tiếng Anh: phishing, biến thể từ fishing, nghĩa câu cá, ảnh hưởng từ chữ phreaking, nghĩa sử dụng điện thoại người khác không trả phí, ám việc "nhử" người dùng tiết lộ thông tin mật) hành vi giả mạo ác ý nhằm lấy thông tin nhạy cảm tên người dùng, mật chi tiết thẻ tín dụng cách giả dạng thành chủ thể tin cậy giao dịch điện tử Cách thực chủ yếu đánh lừa người dùng truy cập vào web giả mô lại giao diện trang web đăng nhập (login page) website có thật Sau đó, kẻ lừa đảo dẫn dụ nạn nhân (victim) điền thông tin vào trang “dỏm” truyền tải đến (thay đến server hợp pháp) để thực hành vi đánh cắp thông tin bất hợp pháp mà người sử dụng không hay biết Ngay có sử dụng chứng thực máy chủ, có phải cần vài kĩ phức tạp xác định website giả mạo Hình ảnh thư điện tử giả mạo (nguồn: Wikipedia) Tấn công giả mạo (http://vi.wikipedia.org/wiki/Tấn_công_giả_mạo) Đồ án Giới thiệu ngành 2.2 Thời gian xuất hiện: Một kĩ thuật công giả mạo mô tả chi tiết báo khoa học thuyết minh “Nhóm Người dùng HP Toàn cầu” vào năm 1987 Tuy nhiên, thuật ngữ "phishing" đề cập lần nhóm tin “Usenet” vào ngày tháng năm 1996, dù thuật ngữ xuất từ trước in tạp chí dành cho hacker “2600” 2.3 Sơ lược cách công Trước đây, hacker thường sử dụng trojan (gián điệp) đến máy nạn nhân nhằm ăn cắp thông tin password Sau cách lừa đảo lấy thông tin Phishing sử dụng nhiều Phương pháp phổ biến phishing sử dụng số form thiết kế để tạo liên kết tới địa email thuộc tổ chức tin cậy tổ chức giả mạo Đường dẫn URLs sai tả việc sử dụng tên miền phụ thủ thuật phổ biến sử dụng hacker Phishing gồm bước chính: - Tìm cách lừa người dùng đăng nhập vào trang web đăng nhập giả Cách làm - thông qua gửi email có chưa URL đến trang web giả Tạo trang web giả giống với trang web thật Không có vậy, hacker kết hợp nhiều xảo thuật khác tạo email (giả) địa lẫn nội dung cho có sức thu hút, mã hóa đường link (URL) address bar, tạo IP server giả… 2.4 Cách phòng chống Phòng chống Phishing không khó Phishing chủ yếu đánh vào tin tưởng người dùng thực giao dịch online Vì cách tốt người dùng phải cẩn thận nhận yêu cầu cung cấp thông tin nhạy cảm Phishing công theo giai đoạn nên việc phòng thủ theo giai đoạn: • Với email lừa đảo lấy ví dụ email giả dạng email ngân hàng Citibank gửi cho khách hàng: Received: from host70-72.pool80117.interbusiness.it ([80.117.72.70]) Tấn công giả mạo (http://vi.wikipedia.org/wiki/Tấn_công_giả_mạo) 10 Đồ án Giới thiệu ngành Hiện ngân hàng mà mở rộng sang nhiều lĩnh vực khác Năm 2011 nhiều tên tuổi đình đám giới như: Google, Sony, IMF bị hacker tân công chiếm đoạt thông tin SQL Injection 3.1 Khái niệm SQL injection kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thi hành câu lệnh SQL bất hợp pháp SQL injection cho phép kẻ công thực thao tác, delete, insert, update,… sở liệu ứng dụng, chí server mà ứng dụng chạy, lỗi thường xảy ứng dụng web có liệu quản lý hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase 3.2 Thời gian xuất hiện: Ban đầu SQL Injection công bố lần lưu ý viết phương pháp khai thác lỗ hổng dịch vụ Web Microsoft Bài viết xuất số thứ 54 tạp chí Phrack (giáng sinh năm 1998), lúc tạp chí thường kỳ chủ đề Hacking Số báo thứ 54 biết tới điểm khởi đầu loại hình SQL Injection 3.3 Cách thức công SQL injection Người công gởi request đến server với dấu ( ‘ ) sau đường dẫn để kiểm tra xem trang web có bị dính lỗi SQL Injection không, server nhận request tiến hành tạo câu truy vấn để lấy liệu từ Database Server Nếu bị lỗi SQL Injection trang web thông báo tương tự sau: 15 Đồ án Giới thiệu ngành Tiếp theo Người công sử dụng lệnh để chọn xem thông tin Database chứa thông tin đăng nhập thông tin bảo mật khác đánh cắp chúng Có bốn dạng công thường gặp bao gồm: vượt qua kiểm tra lúc đăng nhập, sử dụng câu lệnh SELECT, sử dụng câu lệnh INSERT, sử dụng stored-procedures 3.3.1 Dạng công vượt qua kiểm tra lúc đăng nhập Với dạng công này, tin tặc dễ dàng vượt qua trang đăng nhập nhờ vào lỗi dùng câu lệnh SQL thao tác sở liệu ứng dụng web Thông thường phép người dùng truy cập vào trang web bảo mật, hệ thống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập thông tin tên đăng nhập mật Sau người dùng nhập thông tin vào, hệ thống kiểm tra tên đăng nhập mật có hợp lệ hay không để định cho phép hay từ chối thực tiếp Ví dụ, trường hợp sử dụng ASP, người ta dùng trang : trang HTML để hiển thị Form nhập liệu trang ASP để xử lý thông tin nhập vào từ phía người dùng sau: - Trang nhập liệu: login.htm Username: Password: - Trang xử lý nhập liệu: execlogin.asp Chỗ sơ hở đoạn mã xử lý nhập liệu nằm chỗ liệu nhập vào từ người dùng dùng để xây dựng trực tiếp câu lệnh SQL Chính điều cho phép tin tặc điều khiển câu truy vấn thực Ví dụ, người dùng nhập chuỗi ngoặc sau vào ô nhập liệu username/password trang login.htm là:('OR=') Lúc này, câu truy vấn gọi thực là: SELECT * FROM T_USERS WHERE USR_NAME =''OR''='' AND USR_PASSWORD= ''OR''='' Câu truy vấn hợp lệ trả tất ghi T_USERS đoạn mã xử lí người dùng đăng nhập bất hợp pháp người dùng đăng nhập hợp lệ 3.3.2 Dạng công sử dụng câu lệnh SELECT Dạng công phức tạp Để thực kiểu công này, kẻ công phải có khả hiểu lợi dụng sơ hở thông báo lỗi từ hệ thống để dò tìm điểm yếu khởi đầu cho việc công Ví dụ, trang tìm kiếm Các trang cho 17 Đồ án Giới thiệu ngành phép người dùng nhập vào thông tin tìm kiếm Họ, Tên, … Đoạn mã thường gặp là: Tương tự trên, tin tặc lợi dụng sơ hở câu truy vấn SQL để nhập vào trường tên tác giả chuỗi giá trị: ' UNION SELECT ALL SELECT OtherField FROM OtherTable WHERE ' '=' (*) Lúc này, câu truy vấn đầu không thành công, chương trình thực thêm lệnh sau từ khóa UNION Giả sử đoạn mã nhập vào là: ' DROP TABLE T_AUTHORS -Câu truy vấn thực việc xóa bảng 3.3.3 Dạng công sử dụng câu lệnh INSERT Thông thường ứng dụng web cho phép người dùng đăng kí tài khoản để tham gia Chức thiếu sau đăng kí thành công, người dùng xem hiệu chỉnh thông tin SQL injection dùng hệ thống không kiểm 18 Đồ án Giới thiệu ngành tra tính hợp lệ thông tin nhập vào Ví dụ, câu lệnh INSERT có cú pháp dạng: INSERT INTO TableName VALUES('Value One', 'Value Two', 'Value Three') Nếu đoạn mã xây dựng câu lệnh SQL có dạng : Thì chắn bị lỗi SQLi, ta nhập vào trường thứ ví dụ như: ' + (SELECT TOP FieldName FROM TableName) + ' Lúc câu truy vấn : INSERT INTO TableName VALUES(' ' + (SELECT TOP FieldName FROM TableName) + ' ', 'abc', 'def') Khi đó, lúc thực lệnh xem thông tin, xem bạn yêu cầu thực thêm lệnh là: SELECT TOP FieldName FROM TableName 3.3.4 Dạng công sử dụng stored-procedures 19 Đồ án Giới thiệu ngành Việc công stored-procedures gây tác hại lớn ứng dụng thực thi với quyền quản trị hệ thống 'sa' Ví dụ, ta thay đoạn mã tiêm vào dạng: ' ; EXEC xp_cmdshell ‘cmdd.exe dir C: ' Lúc hệ thống thực lệnh liệt kê thư mục ổ đĩa C:\ cài đặt server Việc phá hoại kiểu tuỳ thuộc vào câu lệnh đằng sau cmd.exe fg 3.4 Kỹ thuật an ninh dùng để chống lại: Biết mức độ ảnh hưởng SQL Injection lớn nên nhà phát triển web chuyên gia bảo mật không ngừng tìm cách để chống lại lỗ hổng bảo mật này, có nhiều cách thức củng thủ thuật để chống lại, kể đến số cách sau đây: 3.4.1 Kiểm soát chặt chẽ liệu nhập vào Trong trường hợp liệu nhập vào số, lỗi xuất phát từ việc thay giá trị tiên đoán liệu số chuỗi chứa câu lệnh SQL bất hợp pháp Để tránh điều này, đơn giản kiểm tra liệu có kiểu hay không hàm Is Numeric() Ngoài xây dựng hàm loại bỏ số kí tự từ khóa nguy hiểm như: ;, , select, insert, xp_, … khỏi chuỗi liệu nhập từ phía người dùng để hạn chế công dạng này: 3.4.2 Thiết lập cấu hình an toàn cho hệ quản trị sở liệu Cần có chế kiểm soát chặt chẽ giới hạn quyền xử lí liệu đến tài khoản người dùng mà ứngdụng web sử dụng Các ứng dụng thông thường nên tránh dùng đến quyền dbo hay sa.Quyền bị hạn chế, thiệt hại ít.Ngoài để tránh nguy từ SQL Injection attack, nên ý loại bỏ thông tin kĩ thuậtnào chứa thông điệp chuyển xuống cho người dùng ứng dụng có lỗi Các thông báo lỗi thông thường tiết lộ chi tiết kĩ thuật cho phép kẻ công biết điểm yếu hệ thống 3.4.3 Sử dụng thủ thuật Ngoài cách trên, số web master sử dụng số thủ thuật để chống lại công SQL Injection đơn giản tạm thời như: Dùng hàm để loại bỏ câu lệnh ký tự không cần thiết để người công dung câu lệnh để công 3.5 Mức độ ảnh hưởng: Cho đến nay, nói SQL Injection lỗ hổng có mức tàn phá ghê gớm tới hoạt động kinh doanh doanh nghiệp, tổ chức, làm thất thoát thông tin mang tính nhạy cảm lưu sở liệu ứng dụng Tên người dùng, mật khẩu, địa chỉ, địa thư điện tử, số điện thoại, thông tin thẻ tín dụng… 21 Đồ án Giới thiệu ngành Sau liệt kê nhỏ vụ công SQL Injection gây thiệt hại lớn từ đời đến - Vào tháng năm 2002, Jeremiah Jacks phát Guess.com mắc lỗ hổng liên quan tới SQL Injection, cho phép tạo đường dẫn thủ công để tải xuống 200,000 tên, số thẻ tín dụng , hạn sử dụng sở liệu khách hàng website - Vào ngày tháng 10 năm 2005, hacker trẻ sử dụng SQL Injection để đột nhập vào website Tạp chí an toàn thông tin Đài Loan thuộc công ty Tech Target chôm lượng lớn thông tin khách hàng - Ngày 13 tháng năm 2006 , tên tội phạm người Nga thâm nhập website phủ Đảo Quốc Rhode Island bị cáo buộc ăn trộm lượng lớn thông tin thẻ tín dụng cá nhân giao dịch trực tuyến với quan nhà nước - Ngày 29 tháng năm 2006, hacker phát lỗ hổng SQL Injection Website thức du lịch phủ Ấn Độ 22 Đồ án Giới thiệu ngành - Vào tháng năm 2008, 10,000 PC bị lây nhiễm công SQL Injection tự động khai thác lỗ hổng ứng dụng sử dụng MS SQL server database lưu trữ - Ngày 17 tháng năm 2009, Bộ Tư Pháp Hoa Kỳ buộc tội công dân Albert Gonzalez hai người Nga không rõ danh tính với tội danh ăn cắm 130 nghìn thẻ tín dụng cách sử dụng công SQL Injection Trong báo cáo “Vụ trộm thông tin lớn lịch sử nước Mỹ”, kẻ trộm ăn cắp thẻ tín dụng từ số lượng lớn nạn nhân cách nghiên cứu hệ thống toán trực tuyến mà họ sử dụng Số lượng lớn thẻ tín dụng số thuộc sở liệu Heartland Payment System, hệ thống cửa hàng tiện lợi 7-Eleven chuỗi siêu thị Hanaford Brothers - Tháng 12 năm 2009, kẻ công thâm nhập vào sở liệu Rockyou chứa liệu 32 nghìn người dùng gồm Username password chưa mã hóa hình thức công SQL Injection - Vào tháng năm 2012 nhóm hacker báo cáo ăn trộm 450 nghìn tài khoản đăng nhập từ Yahoo! Các tài khoản lưu dạng Plain text khai thác từ subdomain Yahoo Yahoo Voice Nhóm công kỹ thuật gọi “union-based SQL Injection” - Vào ngày tháng 10 năm 2012, nhóm hacker mang tên Team GhostShell” công bố lượng lớn ghi thông tin cá nhân sinh viên, giảng viên, nhân viên cựu sinh viên 53 trường đại học lớn có Havarad, Pricenton, Stanford, Cornell, Johns Hopkins Zurich trang pastebin.com 23 Đồ án Giới thiệu ngành Tấn công từ chối Dịch vụ 4.1 K h i niệm: Tấn công từ chối dịch vụ tên gọi chung cách công làm cho hệ thống bị tải cung cấp dịch vụ, làm gián đoạn hoạt động hệ thống hệ thống phải ngưng hoạt động 4.2 Thời gian xuất hiện: Vào năm 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) viết Phifli đươc coi mở đầu cho hình thức công từ chối dịch vụ 4.3 Các cách công: 36(a) Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service) 4.3.1 SYN Attack • Được xem kiểu công DoS kinh điển Lợi dụng sơ hở thủ tục TCP “bắt tay ba bước”, client muốn thực kết nối với server thực việc bắt tay ba bước thông qua gói tin (packet) - Bước 1: client gửi gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết - nối Bước 2: nhận gói tin này, server gửi lại gói tin SYN/ACK để thông báo cho client biết nhận yêu cầu kết nối chuẩn bị tài nguyên cho việc yêu cầu Server dành phần tài nguyên để nhận truyền liệu Ngoài - ra, thông tin khác client địa IP cổng (port) ghi nhận Bước 3: cuối client hoàn tất việc bắt tay ba bước cách hồi âm lại gói tin chứa ACK cho server tiến hành kết nối 24 Đồ án Giới thiệu ngành • Do TCP thủ tục tin cậy việc giao nhận nên lần bắt tay thứ hai, server gửi gói tin SYN/ACK trả lời lại client mà không nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài nguyên chuẩn bị kết nối lặp lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp client • Điểm mấu chốt làm cho client không hồi đáp cho Server, có nhiều, nhiều client server lặp lại việc gửi packet giành tài nguyên để chờ lúc tài nguyên hệ thống có giới hạn • Thường, để giả địa IP, hacker hay dùng Raw Sockets (không phải gói tin TCP hay UDP) để giả mạo hay ghi đè giả lên IP gốc gói tin Khi gói tin SYN với IP giả mạo gửi đến server, bao gói tin khác, hợp lệ server server cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận toàn thông tin gửi gói SYN/ACK ngược lại cho client • Vì địa IP client giả mạo nên client nhận SYN/ACK packet để hồi đáp cho máy chủ Sau thời gian không nhận gói tin ACK từ client, server nghĩ gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, thế, kết nối tiếp tục mở 4.3.2 Flood attack Một kiểu công DoS hay dùng tính đơn giản có nhiều công cụ sẵn có hỗ trợ đắc lực cho kẻ công Flood Attack, chủ yếu thông qua website Về nguyên tắc, website đặt máy chủ chạy tiêu tốn lượng tài nguyên định máy chủ Dựa vào đặc điểm đó, kẻ công dùng phần mềm smurf chẳng hạn để liên tục yêu cầu máy chủ phục vụ trang web để chiếm dụng tài nguyên 4.3.3 Smurf attack Là thủ phạm sinh cực nhiều giao tiếp ICMP (ping) tới địa Broadcast nhiều mạng với địa nguồn mục tiêu cần công Chúng ta cần lưu ý là: Khi ping tới địa trình hai chiều – Khi máy A ping tới máy B máy B reply lại hoàn tất trình Khi ping tới địa Broadcast mạng toàn máy tính 25 Đồ án Giới thiệu ngành mạng Reply lại Nhưng thay đổi địa nguồn, thay địa nguồn máy C ping tới địa Broadcast mạng đó, toàn máy tính mạng reply lại vào máy C công Smurf Kết đích công phải chịu nhận đợt Reply gói ICMP cực lớn làm cho mạng bị dớt bị chậm lại khả đáp ứng dịch vụ khác 4.3.4 Tấn công dịch vụ phân tán DDoS Để thực kẻ công tìm cách chiếm dụng điều khiển nhiều máy tính/mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ạt gói tin với số lượng lớn nhằm chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định Làm cho sever hoàn toàn tê liệt Theo cách dù băng thông có chịu đựng số lượng hàng triệu gói tin nên hệ thống hoạt động dẫn đến việc yêu cầu hợp lệ khác đáp ứng, server bị “đá văng” khỏi internet 4.3.5 Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDOS Xuất vào đầu năm 2002, kiểu công nhất, mạnh họ DoS Nếu thực kẻ công có tay nghề hạ gục hệ thống giới phút chốc Mục tiêu DRDoS chiếm đoạt toàn băng thông máy chủ, tức làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống Internet tiêu hao tài nguyên máy chủ Trong suốt trình máy chủ bị công DRDoS, không máy khách kết nối vào máy chủ Tất dịch vụ chạy TCP/IP DNS, HTTP, FTP, POP3, bị vô hiệu hóa.Về bản, DRDoS phối hợp hai kiểu DoS DDoS Nó có kiểu công SYN với máy tính đơn, vừa có kết hợp nhiều máy tính để chiếm dụng băng thông kiểu DDoS Kẻ công thực cách giả mạo địa server mục tiêu gửi yêu cầu SYN đến server lớn Yahoo, Micorosoft,chẳng hạn để server gửi gói tin SYN/ACK đến server mục tiêu Các server lớn, đường truyền mạnh vô tình đóng vai trò zoombies cho kẻ công DDoS 26 Đồ án Giới thiệu ngành Quá trình gửi lặp lại liên tục với nhiều địa IP giả từ kẻ công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị tải, bandwidth bị chiếm dụng server lớn Tính “nghệ thuật” chỗ cần với máy tính với modem 56kbps, hacker lành nghề đánh bại máy chủ giây lát mà không cần chiếm đoạt máy để làm phương tiện thực công 4.4 Cách thức phòng chống: • Tăng cường khả xử lý hệ thống - Tối ưu hóa thuật toán xử lý, mã nguồn máy chủ web Nâng cấp hệ thống máy chủ Nâng cấp đường truyền thiết bị liên quan Cài đặt đầy đủ vá cho hệ điều hành phần mềm khác để phòng ngừa khả bị lỗi tràn đệm, cướp quyền điều khiển,v.v… • Sử dụng tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) để ngăn chặn kết nối nhằm công hệ thống • Phân tích luồng tin (traffic) để phát dấu hiệu công cài đặt tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) ngăn chặn theo dấu hiệu phát • Ngoài ta củng cụng số công cụ để chống lại như: - Sử dụng hệ thống thiết bị, phần mềm dịch vụ giám sát an toàn mạng (đặc - biệt lưu lượng) để phát sớm công từ chối dịch vụ Sử dụng thiết bị bảo vệ mạng có dịch vụ chống công DDoS chuyên nghiệp kèm theo, ví dụ như: Arbor, Checkpoint, Imperva, Perimeter,… 27 Đồ án Giới thiệu ngành 4.5 Mức độ ảnh hưởng: Một công mạng theo phương thức công từ chối dịch vụ (DDoS) phổ biến làm tê liệt hệ thống mạng doanh nghiệp, hay ngân hàng gây thiệt hại hàng tỉ đồng không thiệt hại tài sản, hệ thống bị tê liệt hệ lụy đến nhiều hoạt động hay giao dịch hệ thống Từ đời kỹ thuật công từ chối dịch vụ có nhiều công dựa phương thức này, củng xảy xa nhiều công đình đám, khiến ông lớn Google hay Facebook củng dính phải 28 Đồ án Giới thiệu ngành TÀI LIỆU THAM KHẢO Sniffer - Wikipedia http://en.wikipedia.org/wiki/Packet_analyzer Sniffer phương thức hoạt động kiểu công phòng chống http://congdd.wordpress.com/2013/05/01/sniffer-phuong-thuc-hoat-dong-cackieu-tan-cong-va-phong-chong/ Phishing – Wikipedia http://en.wikipedia.org/wiki/Phishing Các kiểu công mạng SQL injection http://vi.wikipedia.org/wiki/SQL_injection Truyền kì SQL http://exploitx.org/security/web-security/truyen-ky-sql-injection-1-ban-truongca-tu-1998 Tấn công từ chối dịch vụ http://vi.wikipedia.org/wiki/T%E1%BA%A5n_c%C3%B4ng_t%E1%BB %AB_ch%E1%BB%91i_d%E1%BB%8Bch_v%E1%BB%A5 29 [...]... tất cả các bản ghi của T_USERS và đoạn mã tiếp theo xử lí người dùng đăng nhập bất hợp pháp này như là người dùng đăng nhập hợp lệ 3.3.2 Dạng tấn công sử dụng câu lệnh SELECT Dạng tấn công này phức tạp hơn Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công Ví dụ, trong các trang... của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C chứ không phải tôi và đó là tấn công Smurf Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị dớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ khác 4.3.4 Tấn công dịch vụ phân tán DDoS Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính /mạng máy... an toàn mạng (đặc - biệt về lưu lượng) để phát hiện sớm các tấn công từ chối dịch vụ Sử dụng thiết bị bảo vệ mạng có dịch vụ chống tấn công DDoS chuyên nghiệp kèm theo, ví dụ như: Arbor, Checkpoint, Imperva, Perimeter,… 27 Đồ án Giới thiệu ngành 4.5 Mức độ ảnh hưởng: Một cuộc tấn công mạng theo phương thức tấn công từ chối dịch vụ (DDoS) phổ biến hiện nay có thể làm tê liệt những hệ thống mạng doanh... niệm: Tấn công từ chối dịch vụ là tên gọi chung của cách tấn công làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động của hệ thống hoặc hệ thống phải ngưng hoạt động 4.2 Thời gian xuất hiện: Vào năm 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli đươc coi như mở đầu cho hình thức tấn công từ chối dịch vụ 4.3 Các cách tấn công: ... khi ra đời kỹ thuật tấn công từ chối dịch vụ cho đến nay đã có rất nhiều các cuộc tấn công dựa trên phương thức này, và củng xảy xa rất nhiều cuộc tấn công đình đám, khiến các ông lớn như Google hay Facebook củng dính phải 28 Đồ án Giới thiệu ngành TÀI LIỆU THAM KHẢO 1 Sniffer - Wikipedia http://en.wikipedia.org/wiki/Packet_analyzer 2 Sniffer phương thức hoạt động các kiểu tấn công và phòng chống http://congdd.wordpress.com/2013/05/01/sniffer-phuong-thuc-hoat-dong-cackieu-tan-cong-va-phong-chong/... là form thông tin không phải truyền đến citibank mà là đến một nơi khác Với cách tiếp cận theo kiểu “biết cách tấn công để phòng thủ” trên, chúng ta sẽ - thấy rõ hơn bản chất của một cuộc tấn công phishing – tấn công đơn giản, nhưng hiệu quả thì rất cao Một khi bạn hiểu được cách thức tấn công thì chắc rằng bạn cũng sẽ có cách đối phó thích hợp - Tóm lại: Cẩn thận với những email lạ, đặc biệt là những... Ngoài các cách trên, một số web master còn sử dụng một số thủ thuật để chống lại tấn công SQL Injection đơn giản và tạm thời như: Dùng hàm để loại bỏ các câu lệnh và ký tự không cần thiết để người tấn công không thể dung các câu lệnh để tấn công 3.5 Mức độ ảnh hưởng: Cho đến nay, có thể nói rằng SQL Injection như là một trong những lỗ hổng có mức tàn phá ghê gớm nhất tới hoạt động kinh doanh của các. .. Tiếp theo đó Người tấn công sẽ sử dụng các lệnh cơ bản để chọn và xem thông tin Database chứa các thông tin đăng nhập hoặc các thông tin bảo mật khác và đánh cắp chúng Có bốn dạng tấn công thường gặp bao gồm: vượt qua kiểm tra lúc đăng nhập, sử dụng câu lệnh SELECT, sử dụng câu lệnh INSERT, sử dụng các stored-procedures 3.3.1 Dạng tấn công vượt qua kiểm tra lúc đăng nhập Với dạng tấn công này, tin tặc... cướp quyền điều khiển,v.v… • Sử dụng các tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) để ngăn chặn các kết nối nhằm tấn công hệ thống • Phân tích luồng tin (traffic) để phát hiện các dấu hiệu tấn công và cài đặt các tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) ngăn chặn theo các dấu hiệu đã phát hiện • Ngoài ra ta củng có thể cụng một số công cụ để chống lại như: - Sử dụng... cứ như thế, các kết nối tiếp tục mở 4.3.2 Flood attack Một kiểu tấn công DoS nữa cũng rất hay được dùng vì tính đơn giản của nó và vì có rất nhiều công cụ sẵn có hỗ trợ đắc lực cho kẻ tấn công là Flood Attack, chủ yếu thông qua các website Về nguyên tắc, các website đặt trên máy chủ khi chạy sẽ tiêu tốn một lượng tài nguyên nhất định của máy chủ Dựa vào đặc điểm đó, những kẻ tấn công dùng các phần mềm