Tìm hiểu về bảo mật mạng máy tính 4.1. Các dạng lỗ hổng bảo mật 4.2. Khái niệm Trojan, phương thức lây lan và hoạt động của trojan 4.3. Thiết lập chính sách bảo mật hệ thống 4.4. Chính sách an toàn cho các mạng TCPIP 4.5. Cần phải làm gì để đối phó các ý đồ tấn công của Hacker
CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH VÀ CÁC KỸ THUẬT TẤN CÔNG MẠNG I.1 Vấn đề đặt với yêu cầu bảo mật thông tin mạng máy tính Chúng ta xem xét vấn đề thơng qua vài ví dụ thực tế (có thể xảy truyền tải/trao đổi thông tin mạng) sau đây: a Người sử dụng A chuyển tập tin đến người sử dụng B, tập tin chứa thông tin cần bảo vệ Trong môi trường mạng (khơng an tồn), người sử dụng C – người khơng phép đọc tập tin này, theo dõi di chuyển tập tin Người sử dụng C bắt giữ (capture/copy) tập tin q trình di chuyển b Người quản lý mạng tên D, chuyển thơng điệp đến máy tính thành viên mạng, máy tính E Thơng điệp yêu cầu máy tính E cập nhật tập tin “cấp phép” – bao gồm định danh người sử dụng phép truy cập máy tính Trong mơi trường mạng (khơng an tồn), người sử dụng F chặn thơng điệp này, sửa đổi (theo ý đồ riêng) chuyển tiếp đến máy tính E Máy E thừa nhận thơng điệp từ người quản lý D cập nhật vào tập tin “cấp phép” Điều đáng nói máy E thông điệp gửi đến từ F bị thay đổi c Trong mơi trường mạng (khơng an tồn) một Cơng ty, nhân viên Malconten bị sa thải, người quản lý nhân gửi thông điệp đến máy Server hệ thống để yêu cầu làm hiệu lực account user Trong trường hợp này, Malconten chặn thơng điệp lại làm trễ khoảng thời gian đủ để thực truy cập lần cuối đến máy server nhận số thông tin “nhạy cảm” Rõ ràng thơng điệp chuyển đến máy Server, “q trễ” d Trong mơi trường thương mại điện tử (không tin cậy), thông điệp gửi từ khách hàng mua vàng đến trung tâm mua bán vàng The Sun, với nội dung: thoả thuận mua lượng vàng 9999 với giá 10 triệu đồng Nhưng việc giao nhận vàng chưa diễn giá lượng vàng thị trường giảm xuống cịn triệu đồng Có thể xảy tình huống: Người khách mua vàng nói chưa gửi thông điệp thoả thuận mua vàng trước Điều xảy ra? Làm để buộc khách hàng phải thừa nhận đồng ý mua vàng với giá 10 triệu đồng lượng? Từ ví dụ trên, liên hệ đến mối đe dọa tìm ẩn việc truyền thông tin (message/packet) môi trường mạng không an tồn/khơng tin cậy Để từ đưa giải pháp để phát ngăn chặn chúng Đó nhiệm vụ cơng tác An tồn mạng/Bảo mật mạng Nên nhớ rằng, an toàn mạng trình khơng phải cơng cụ, cơng cụ liên quan có tác dụng hỗ trợ cho trình bảo mật đạt hiệu I.2 Vấn đề bảo mật mạng TCP/IP Vấn đề bảo vệ mạng, xác bảo vệ thơng tin lưu trữ di chuyển mạng, để chống lại người xâm phạm kẻ phá hoại (gọi chung hacker), kể hệ thống mạng, người quản trị mạng đặt lên hàng đầu công tác quản trị mạng Hacker không công vào mạng TCP/IP, mối đe doạ tiềm ẩn mạng lớn, TCP/IP giao thức mở nên hacker tìm thấy lỗ hổng cách dễ dàng cách thử nhiều kiểu công khác I.2.1 Mục tiêu hacker Mục tiêu mà hacker nhắm đến trước thực công mạng TCP/IP thường là: • Phải đạt “Sự mạo danh (Impersonation)”: Để thực truy cập không phép (unauthorized) đến tài nguyên mạng (dữ liệu) • Phải làm cho mục tiêu bị công rơi vào tình trạng “từ chối dịch vụ (gọi tân công DoS: Denial-of-Service)”: Để làm cho tài nguyên mạng (các máy chủ dịch vụ: Web server,…) trở nên tác dụng • Phải thực việc “Phát lại thơng điệp (Replay of messages)”: Để truy cập/nhận thơng tin thay đổi nó, thơng tin di chuyển đường • Phải đốn mật (Guessing of password): Để từ truy cập đến thơng tin/dịch vụ mà bị từ chối (gọi công tự điển: dictionary attack) • Phải đốn khóa (Guessing of key): Để truy cập đến mật liệu mã hố (gọi cơng “thơ bạo”: brute-force attack) I.2.2 Chính sách an tồn cho mạng TCP/IP Người quản trị an toàn hệ thống mạng, mạng TCP/IP, phải thực kết hợp sách bảo mật sau để bảo vệ mạng liệu truyền mạng họ, bảo vệ mạng không giới hạn LAN/WAN mà Intranet Internet: • Thực mã hố (encryption) thơng tin trước tuyền/gửi mạng: Để bảo vệ liệu mật • Thực chế xác thực (authentication) – sử dụng chữ ký điện tử (digital signature) và/hoặc thẻ chứng thực (certificates): Để kiểm tra người gửi (nguồn gốc) liệu mạng • Thực chế cho phép/cấp phép (authorization): Để ngăn chặn truy cập khơng thích hợp/khơng hợp lệ (improper) • Kiểm tra tính tồn vẹn (integrity) liệu Mã xác thực thông điệp (message authentication code ): Để bảo vệ chống lại (against) thay đổi/sử đổi (alteration) thông điệp • Thực quy trình cơng nhận (Non-repudiation): Để đảm bảo hành động bị phủ nhận/từ chối người thực • Thực sách mật lần (One-time password) Số bắt tay ngẫu nhiên hai chiều (Two-way random number handshakes: mutually conversation): Để cho phép cặp tuyền thông xác thực lẫn • Thực sách cập nhật/làm tươi khoá thường xuyên (Frequent key refresh); Sử dụng khoá “mạnh” (strong key); Ngăn ngừa tượng “giả” khoá tương lai;… : Để bảo vệ mạng chống lại cơng theo cách “bẻ” khóa: Tấn cơng “tự điển”, Tấn cơng “thơ bạo” • Thực sách che giấu/che đậy địa (Address concealment) – sử dụng kỹ thuật NAT/PAT: Để bảo vệ mạng chống lại công theo kiểu từ chối dịch vụ (DoS) Vì giao thức TCP/IP khơng thiết kế gắn liền với bảo mật, nên nhiều hệ thống bảo mật khác phát triển cho ứng dụng lưu lượng chạy Intranet/Internet Các phần mềm có nhiệm vụ chuẩn bị liệu cho việc truyền mạng, có ý đến khả áp dụng xác thực mã hố Trong mạng TCP/IP, ứng dụng nói xây dựng lớp: Ứng dụng; Giao vận/Mạng; Vật lý/Liên kết liệu I.2.3 Đối phó với ý đồ (kiểu) cơng Hacker · Để ngăn chặn việc đọc thông điệp (message) truyền mạng: Thông điệp phải mã hóa trước truyền giải mã bên nhận Trong trường hợp bên gửi bên nhận phải chia sẻ khóa bí mật để phục vụ cho việc mã hóa/giải mã thơng điệp Với giải pháp này, khóa phải truyền đi/phân phối mạng, nên vấn đề đặt làm để phânphối khóa cách an tồn, sử dụng kỹ thuật mã hố khác nhau, mã hóa khố bí mật và/hoặc mã hóa khố cơng cộng · Khơng thể sử dụng khóa khoảng thời gian dài để ngăn chăn việc đốn khóa (có thể đốn khố tương lai biết khóa tại) hacker Để đối phó, phải “làm tươi khố” thường xun khơng nên sử dụng sách “dựa vào khố cũ để tính khóa mới”, điều đảm bảo khóa truyền đi/phân phối cách an tồn (bí mật) · Để để ngăn chặn việc “phát lại” thông điệp kẻ mạo danh (replay attack): Sử dụng số gói tin IP (thơng số timestamp thường không đảm bảo độ tin cậy cho mục tiêu an tồn này) · Để đảm bảo thơng điệp không bị thay đổi/sửa đổi (alltered) truyền từ người gửi đến người nhận: Sử dụng thông điệp rút gọn (message digest), sử dụng hàm băm (hash) hàm on-way · Để đảm bảo “thông điệp rút gọn” không bị thỏa hiệp không bị thay đổi đường truyền: Sử dụng chữ ký điện tử cách mã hoá thơng điệp rút gọn với khố bí mật khố riêng (đó sách xác thực (authentication), chế không công nhận (non-repudiation)) · Làm để đảm bảo message chữ ký số xuất phát/bắt nguồn (originated) từ đối tác tin cậy/đối tác mong muốn (desried): Sử dụng chế bắt tay two-way bao gồm số ngẫu nhiên mã hố (cịn gọi xác thực lẫn (mutual authentication)) · Làm để đảm bảo “cái bắt tay” trao đổi với đối tác tin cậy (từ công theo kiểu main-in-the-middle): Sử dụng thẻ chứng thực số (một kết hợp khố cơng cộng với thơng tin nhận dạng đối tác) · Làm để ngăn chặn việc sử dụng không hợp lệ dịch vụ người sử dụng không xác thực cách thích hợp: Sử dụng mơ hình điều khiển truy cập nhiều tầng · Để bảo vệ chống lại mã phá hại (malicious code) thông điệp không mong muốn (từ công DoS): Giới hạn việc truy cập vào mạng bên trong, sử dụng: Filter, Firewall, Proxy, Packet Authentication, Conceal internal address anh name structure (che giấu địa cấu trúc tên mạng bên trong),… I.2.4 Các dịch vụ bảo mật (Security Services) · Authentication Service (dịch vụ xác thực): Dịch vụ đảm bảo truyền thông tin cậy Nếu quan tâm đến truyền thơng điệp, nhiệm vụ xác thực đơn giản đảm bảo với bên nhận thơng điệp mà nhận đến từ nguồn xác nhận Nếu quan tâm đến trình tương tác hai đối tác truyền thơng, ví dụ kết nối giữ Terminal Host, phải quan tâm đến hai khía cạnh Thứ nhất, thời điểm khởi tạo kết nối, dịch vụ đảm bảo hai đối tác truyền thông đáng tin cậy Thứ hai, dịch vụ đảm bảo kết nối không bị can thiệp thành phần thứ ba – hacker giả mạo hai đối tác hợp pháp, cho mục đích trao đổi tiếp nhận thơng điệp “khơng phép” Do đó, thực tế yêu cầu hai loại dịch vụ xác thực: Peer entity authentication Data origin authentication: Peer entity authentication: Cung cấp chứng thực định danh thực thể ngang hàng liên kết Nó cung cấp để sử dụng thời điểm thiết lập kết nối suốt trình trao đổi liệu kết nối Nó cố gắng cung cấp tin cậy mà hai đối tác truyền thông thực giả mạo replay không phép kết nối trước Data origin authentication Cung cấp chứng thực nguồn gốc đơn vị liệu, khơng cung cấp bảo vệ để chống lại loại công theo kiểu nhân (duplication) làm thay đổi (modification) đơn vị liệu Loại thường dùng để hỗ trợ xác thực cho ứng dụng e-mail · Access ControlService (dịch vụ điều khiển truy cập): Trong lĩnh vực an toàn mạng, điều khiển truy cập khả giới hạn điều khiển truy cập đến host ứng dụng qua liên kết truyền thông Nhiệm vụ dịch vụ điều khiển truy cập là: thực thể truyền thông cố gắng truy cập vào hệ thống trước hết phải nhận dạng xác thực, sau nhận quyền truy cập phù hợp với riêng Cụ thể là: Ai phép truy cập tài nguyên; Điều kiện để truy cập tài nguyên gì; Được phép truy cập tài nguyên mức độ (thực thao tác tài nguyên); vv Một cách tổng quát, dịch vụ thực nhiệm vụ ngăn chặn việc sử dụng “không cấp phép” đến tài nguyên · Data Confidentiality Service(dịch vụ tin cậy liệu): Dịch vụ cung cấp bảo vệ cho liệu truyền đi, trước công loại passive (thụ động) Nếu ý đến nội dung liệu truyền tải, thiết lập nhiều cấp khác bảo vệ, để nhận dạng chúng Tức là, định nghĩa để dịch vụ bảo vệ thông điệp đơn trường (field) cụ thể thông điệp Một khía cạnh khác tin cậy bảo vệ dịng traffic trước cơng theo kiểu phân tích thơng điệp Nó làm cho kẻ công nhận địa nguồn, địa đích, tầng số xuất hiện, độ dài đặc tính khác traffic di chuyển hệ thống, phương tiện truyền thông · Data Integrity Service(dịch vụ toàn vẹn liệu): Cũng tin cậy, tồn vẹn áp dụng với dịng thơng điệp, thơng điệp đơn trường phạm vi thông điệp Dịch vụ đảm bảo thông điệp mà bên nhận nhận hồn tồn trung thực với thơng điệp gửi từ bên gửi, tức thông điệp không bị nhân bản, không bị thay đổi, không bị xếp lại, khơng bị phát lại di chuyển đường truyền Sự phá hoại liệu bị che chắn (covered) dịch vụ Vì dịch vụ hỗ trợ bảo vệ mạng trước hai kiểu công chủ động (active) phổ biến thay đổi dịng thơng điệp DoS Khi vi phạm tính tồn vẹn liệu phát dịch vụ lập báo cáo vi phạm đó, chuyển báo cáo đến hệ thống để yêu cầu khôi phục lại liệu · Non-repudiation Service (dịch vụ “sự công nhận”): Sự công nhận ngăn chặn tượng người gửi người nhận từ chối thơng điệp (họ) chuyển Vì thông điệp gửi, người nhận phải chứng tỏ - viện chứng – thông điệp nhận từ người gửi Tương tự, thông điệp nhận, người gửi phải chứng tỏ - viện chứng – thông điệp gửi đến người nhận · Availability Service (Dịch vụ “sẵn dùng”): Dịch vụ có nhiệm vụ làm cho tài nguyên hệ thống trở thành truy cập dùng thực thể phép (authorized), giới hạn Tức là, hệ thống gọi sẵn dùng cung cấp dịch vụ – theo thiết kế hệ thống – người sử dụng yêu cầu chúng Sự đa dạng loại cơng làm cho hệ thống sẵn dùng trở nên tác dụng ý nghĩa Quan hệ giữa: Tấn công mạng Dịch vụ bảo mật: ATTACKS (Tấn công) SERVICES (dịch vụ) Read of message content Traffic analysis Masquerade Peer entity Authentication Y Data origin Authentication Y Access Control Y Confidentiality Traffic flow Confidentiality Data integrity Replay Modification Y Y Y Y Nonrepudiation I.2.5 Cài đặt giải pháp bảo mật cho mạng TCP/IP DoS Các hệ thống giao thức sau sử dụng phổ biến để cung cấp nhiều cấp độ khác dịch vụ bảo mật mạng máy tính (TCP/IP): IP Filtering; Network Address Translation (NAT); IP Security Architecture (IPSec); SOCKS; Secure Shell (SSH); Secure Sockets Layer (SSL); Application proxies; Firewalls; Kerberos; hệ thống xác thực từ xa (AAA server);… Hình vẽ sau cho thấy dịch vụ/giải pháp bảo mật cài đặt tầng tương ứng mơ hình mạng TCP/IP Trong đó: · IP Filtering (Lọc IP) · NAT: Network Address Translation (Chuyển đổi địa mạng) · IPSec: IP Security Architecture (Kiến trúc IP an toàn) · Application proxies (Các Proxy ứng dụng) · Firewalls (Các Bức tường lửa) · Tunnel protocols (Các giao thức đường hầm: L2TP) · CHAP; PAP; MS-CHAP (Các giao thức xác thực) · S-MIME: Secure Multipurpose Internet Mail Extension: Là cấu trúc bảo mật cấp ứng dụng (Application-level), dùng để bảo vệ e-mail, thơng qua mã hố chữ ký điện tử Nó dựa kỹ thuật mã hóa khóa cơng cộng sử dụng thẻ chứng thực X.509 để xác minh định danh đối tác truyền thơng S-MIME cài đặt hệ thống đầu cuối, khơng sử dụng Router Firewall · SOCKS: Là chuẩn cho gateway circuit-level Nó khơng cần proxy người sử dụng thực kết nối đến Firewall trước, sau yêu cầu kết nối thứ hai đến server đích Người sử dụng khởi tạo ứng dụng client với địa IP server đích Thay khởi tạo session trực tiếp với server đích, client khởi tạo session đến SOCKS server Firewall Sau SOCKS xác nhận tính hợp lệ địa nguồn user ID, hợp lệ cho phép user thiết lập kết nối hướng đến mạng khơng an tồn (non-secure)/bên ngồi, tạo session thứ hai · SSH: Secure Shell: Có thể sử dụng để kết nối an toàn hệ thống Nó cho phép mã hố nén traffic sinh TELNET, FTP, POP3,… SSH thường sử dụng nén liên kết modem tốc độ chậm SSH cho phép người sử dụng chọn lựa phương pháp mã hố cài đặt Các phần mềm client thường hỗ trợ SSH SSH1 (DES, 3DES, RC4), SSH2 (3DES, RC4) Người sử dụng hệ thống xa xác thực password khoá public/private SSH thiết lập kết nối đơn từ client đến server, tất traffic gửi qua kết nối mã hố, nén · SSL: Secure Sockets Layer: Là giao thức an toàn phát triển tập đoàn Netscap Communications RSA Data Security Mục tiêu giao thức SSL cung cấp kênh riêng ứng dụng truyền thơng cần có xác thực đối tác truyền thơng đảm bảo tính tồn vẹn riêng tư liệu SSL cung cấp thay cho socket API chuẩn TCP/IP, có cài đặt tính an tồn Do đó, lý thuyết chạy ứng dụng TCP/IP mơi trường an tồn mà không cần thay đổi ứng dụng SSL thường cài đặt để hỗ trợ traffic HTTP, NNTP, Telnet, … · Kerberos: Dịch vụ xác thực mạng Kerberos v5 đề nghị giao thức chuẩn mô tả RFC 1510 Dịch vụ Kerberos thường chạy hệ thống riêng nó, phạm vi an toàn Người sử dụng cần xác nhận tính hợp lệ họ Kerberos trước họ phép kết nối đến server khác mạng Các nhận dạng server kiểm tra ngược lại Kerberos Hệ thống cho phép xác thực Kerberos hệ thống an toàn dựa mã hố, cung cấp xác thực lẫn user server môi trường mạng Nhiệm vụ mà hệ thống đảm trách là: • Authentication(xác thực): Để ngăn chặn yêu cầu/hồi đáp (request/responses) không trung thực (fraudulent)/giả mạo user server cần có độ tin cậy cao • Authorization(cấp phép): Có thể cài đặt bổ sung dựa vào xác thực, cho dịch vụ mà muốn cung cấp hệ thống cấp phép riêng Hệ thống cấp phép đảm trách việc xác thực tin cậy cho user/client • Permits(cho phép): bổ sung cho hệ thống tính tốn, kết hợp an toàn tin cậy Hệ thống Kerberos sử dụng cho mục đích xác thực chính, cung cấp mềm dẻo để thực cấp phép Trong hệ thống Kerberos, client muốn kết nối với server dịch vụ nó, trước hết phải hỏi “ticket” từ thành phần thứ - tin cậy lẫn nhau, KAS (Kerberos Authentication Server) Ticket khoá riêng mà hiểu dịch vụ KAS, mà dịch vụ tin thông tin Ticket sinh Kerberos Client biết KAS người ủy nhiệm (danh nghĩa) Khóa riêng xác thực khóa biết đến user KAS Khi có Ticket hợp lệ client truy cập vào server dịch vụ · Các giao thức xác thực truy cập từ xa (thường gọi ba chữ A - AAA: Authentication: Xác thực – Authorization: Cấp phép – Accounting: Kiểm tốn): Mơ hình an tồn chữ A phát triển để giải vấn đề an toàn truy cập từ xa Authentication, Authorization, Accounting trả lời câu hỏi: who, người sử dụng ai; what, người sử dụng phép làm gì; when, ghi lại thời gian thông tin liên quan khác người sử dụng thực việc đó, và/hoặc họ hoàn thành (sau qua xác thực cấp phép) Hai dịch vụ/hệ thống xác thực từ xa sử dụng RADIUS (Remote Access Dial In User Service) TACACS (Terminal Access Controller Access Control System) I.3 Các kỹ thuật công mạng TCP/IP I.3.1 Phân loại công: Alice truyền thông điệp sang cho Bob Darth kẻ công Ø Tấn công thụ động (passive attack): Loại công cố gắng nhận thông tin thông tin truyền từ người gửi sang người nhận Nó khơng làm ảnh hưởng đến tài nguyên hệ thống · Read of message contents (đọc nội dung thông điệp): Darth đọc nội dung thông điệp mà Alice gửi cho Bob Traffic analysis (phân tích lưu lượng): Darth quan sát mẫu thơng điệp từ Alice gửi sang cho Bob Loại công thụ động khó phát người gửi người nhận khơng biết có thành phần thứ quan sát traffic họ, khơng làm thay đổi nội dung message Vì nên tìm cách ngăn chặn (mã hố trước truyền) phát chúng Ø Tấn công chủ động (active attack): Loại cố gắng tạo vài thay đổi dòng liệu làm ảnh hướng đến hoạt động tài nguyên hệ thống (các server dịch vụ) · Masquerade (giả mạo): Thông điệp gửi từ Darth gửi tới Bob Bob nhận thông điệp cách mà Alice gửi đến Replay (“lặp lại”/”phát lại”): Darth bắt giữ (capture) thông điệp Alice gửi đến Bob, sau Darth phát lại thơng điệp – bị sửa đổi – đến Bob Modification of message (thay đổi thông điệp): Darth thay đổi thông điệp gửi từ Alice sang Bob · Denail of service (DoS: Từ chối dịch vụ): Darth “phá vỡ” dịch vụ mà Server cung cấp cho người sử dụng mạng Loại cơng chủ động có đặc tính đối ngược với loại passive attack Phát để ngăn chặn khơng phải q khó để thực I.3.2 Các kỹ thuật công cổ điển Trong thực tế có nhiều kỹ thuật cơng cổ điển như: Chia sẻ mở; Mật yếu; Thiếu sót lập trình; Kỹ xã hội; Tràn Bộ đệm; Từ chối dịch vụ;… Trong phần chúng tơi trình bày kỹ thuật mà đến hacker sử dụng để công vào mạng TCP/IP Ø Tấn công từ chối dịch vụ Loại công từ chối dịch vụ đơn giản hành động nhằm ngăn chặn khả truy cập vào hệ thống ứng dụng người sử dụng hợp pháp (bị hệ thống ứng dụng từ chối) Tấn cơng DoS có nhiều dạng khác phát động từ nhiều hệ thống Khó ngăn chặn khống chế hồn tồn công DoS không xác định nguồn Phần lớn cơng DoS thường có đặc điểm là, kẻ cơng khơng cố gắng truy cập đến hệ thống đích từ địa giả mạo, thường điều chỉnh địa nguồn gói tin để che dấu vị trí thực (giao thức IP có sai sót lược đồ đánh địa khơng kiểm tra địa nguồn gói tin tạo ra) Tấn công DoS từ hệ thống: Loại công DoS mà đề cập loại công thực từ hệ thống, công vào hệ thống khác gây hỏng thứ hệ thống Hình: SYN flood DoS attack Kiểu công DoS áp dụng phổ biến SYN flood (được gọi tràn SYN) Trong kiểu công DoS này, hệ thống nguồn (hệ thống khởi tạo công) gửi số lượng lớn gói tin TCP “SYN” đến hệ thống đích (hệ thống bị cơng) - gói tin SYN sử dụng để khởi tạo kết nối TCP Khi phía đích nhận gói “SYN”, trả lời gói tin TCP “SYN ACK”, gói tin cho biết chấp nhận tín hiệu SYN gửi lại thông tin thiết lập kết nối trở lại cho hệ thống gửi tín hiệu SYN Hệ thống đích lưu thơng tin kết nối vào “bộ đệm kết nối” để chờ giải Đối với kết nối TCP thông thường, hệ thống nguồn gửi trả gói tin TCP “ACK” sau nhận gói tin “SYN ACK” Nhưng công DoS loại này, hệ thống nguồn bỏ qua gói tin “SYN ACK” mà nhận tiếp tục gửi gói tin “SYN” khác đến hệ thống đích Do “bộ đệm kết nối” đích bị lấp đầy (bị tràn) hệ thống đích khơng thể giải cho yêu cầu từ kết nối khác, buộc phải từ chối kết nối Đây lý mà ta gọi cơng từ chối dịch vụ Rõ ràng có hàng loạt gói tin “SYN” gửi đến từ địa IP xác định được, dễ dàng xác định hệ thống nguồn dừng công Nhưng địa nguồn địa khơng thể định tuyến đuợc, khó khăn nhiều địa nguồn địa bị che dấu Đã có số giải pháp đề xuất để bảo vệ hệ thống trước công “SYN” Cách đơn giản đặt “bộ định thời (timer)” cho tất kết nối chờ giải quyết, định thời đến định kết thúc kết nối giải phóng “bộ đệm kết nối” sau khoảng thời gian định Một số thiết bị mạng có khả nhận diện “cơn lũ” tín hiệu SYN vơ hiệu hóa chúng Nếu cơng tổ chức từ nhiều địa nguồn khác khó phán đốn cơng Tấn công DoS phân tán: Các công Dos phân tán (DDoS) công DoS thực từ nhiều hệ thống khác Các công DDoS thường điều khiển từ hệ thống hacker Các công thực cách đơn giản: hacker gửi gói tin “Ping” đến địa quảng bá mạng lớn đồng thời đổi địa nguồn để hướng tất gói tin trả lời vào mục tiêu cần đánh phá Cách cơng cịn gọi Smurf Nếu mạng trung gian có nhiều host số lượng gói tin trả lời hướng đến hệ thống đích lớn làm cho hệ thống đích bị vơ hiệu hóa q tải Tấn cơng DDoS ngày tinh vi Các công cụ dùng để công Trinoo, Tribal Flood Network, Mstream Stachedraht cho phép hacker phối hợp nhiều công DoS từ hệ thống khác đến hệ thống đích Hình: Minh họa công smurf I.3.3 Các kỹ thuật công I.3.2.1 Nghe mạng chuyển mạch (Sniffing Switch Networks) Các nghe (sniffer) sử dụng hacker để thu thập mật thông tin hệ thống liên quan host network Thường việc thành cơng có host mạng bên “hợp tác” với hacker Sniffer thu thập mật thông tin khác cách đặt card giao tiếp mạng (network interface card – NIC) vào chế độ ngẫu nhiên (promiseuous mode) Nghĩa NIC thu thập tất gói tin mạng khơng gói tin có địa gửi đến NIC (địa hệ thống cài đặt sniffer) Các sniffer thường làm việc tốt với mạng chuyển mạch phục vụ chia sẻ thông tin Để nghe lưu lượng môi trường chuyển mạch, hacker cần phải thực việc sau đây: Điều khiển switch cho thông tin qua switch bị hướng đến sniffer Và buộc switch phải gửi tất gói tin đến tất cổng Nếu hai điều đáp ứng, sniffer “nghe” lưu lượng mà quan tâm, cung cấp cho hacker thông tin mà hacker muốn Ø Định hướng lại traffic (Redirecting traffic) Thiết bị chuyển mạch (Switch) quy định đường cho thông tin đến cổng dựa địa MAC (Media Access Control) khung tin (frame) Ethernet Mỗi NIC có địa MAC nhất, Switch hiểu địa đại diện cho cổng Do đó, frame truyền với địa đích MAC, Switch gửi frame đến cổng mà địa MAC đại diện Sau số phương pháp sử dụng để yêu cầu thiết bị chuyển mạch gửi lưu lượng đến Sniffer: · Đánh lừa ARP (ARP spoofing): ARP (Adress Resolution Protocol) giao thức phân giải địa chỉ, giao thức dùng để lấy địa MAC tương ứng với địa IP Khi hệ thống (nguồn) muốn giao dịch để trao đổi thông tin với hệ thống khác (đích), trước hết phải gửi thơng điệp u cầu đến ARP để tìm MAC tương ứng với địa IP đích Hệ thống đích đáp trả địa MAC, tương ứng với địa IP, cho yêu cầu ARP đó.Sau hệ thống nguồn (bên gửi tin) sử dụng địa MAC để gửi thơng tin đến đích Nếu thơng điệp u cầu tìm MAC bị bắt giữ sniffer, sniffer đáp trả cho yêu cầu ARP trước hệ thống đích (mà nguồn mong muốn) với địa MAC (của sniffer) Tất nhiên sau hệ thống gửi tin sau gửi trao đổi thơng tin vớisniffer (chứ khơng phải đích mà mong muốn) Để đánh lừa ARP thành cơng, sniffer phải có khả chuyển tiếp thông tin đến địa mà hệ thống gửi cần gửi đến (đích mà nguồn mong muốn) Nếu khơng làm điều sniffer phải thực công DoS · Tạo địa MAC: Một cách để thuyết phục Switch gửi thơng tin qua đến sniffer là: hacker phải thay đổi địa MAC sniffer cho giống với địa MAC hệ thống khác hệ thống mạng cục (local subnet) · Đánh lừa DNS (DNS spoofing): Một cách tương tự với hai cách trên, để buộc switch phải chuyển tất gói tin đến sniffer là: đánh lừa hệ thống gửi tin để hệ thống gửi tin đến sniffer cách sử dụng địa MAC thật sniffer Để thực điều này, sniffer phải “thuyết phục” hệ thống gửi tin cho phải gửi ARP đến địa IP sniffer Cách làm thành cơng dựa vào việc đánh lừa DNS Trong kiểu công đánh lừa DNS, sniffer gửi tin trả lời cho yêu cầu DNS hệ thống gửi tin Các tin đáp trả cung cấp địa IP sniffer thay địa IP hệ thống mà hệ thống gửi tin yêu cầu Và sau đó, hệ thống gửi tin gửi tất tin đến sniffer Sau sniffer phải chuyển tiếp gói tin đến hệ thống đích thực Kiểu cơng gọi theo kiểu “đánh chặn” Để cơng kiểu thành cơng, sniffer phải có khả nhận biết tất yêu cầu DNS trả lời cho chúng trước máy chủ DNS trả lời Như sniffer phải nằm tuyến mạng hệ thống gửi tin máy chủ DNS sniffer không nằm mạng cục hệ thống gửi tin Ø Gửi thông tin đến tất cổng Thay đánh lừa ARP, đánh lừa DNS nhân địa MAC, hacker làm cho switch hoạt động hub Biết rằng, Switch sử dụng lượng nhớ cho việc lưu giữ ánh xạ địa MAC cổng vật lý Bộ nhớ có dung lượng giới hạn, nên bị đầy Switch không “mở” Tức là, Switch dừng lại việc gửi thông tin đến địa MAC tương ứng với cổng cụ thể đó, thay vào gửi đến tất cổng Lúc switch hoạt động thiết bị chia sẻ đường truyền, tức Hub Nhờ mà sniffer thực chức Để khởi phát cơng dạng này, hacker phải trực tiếp tác động tới Switch Chú ý: Với công đánh lừa ARP; Nhân địa MAC; Đánh lừa DNS: Hacker phải kết nối trực tiếp với Switch mà cơng Điều có nghĩa là, kiểu cơng đánh cắp thơng tin cầu hacker phải Switch cục Đầu tiên hacker thâm nhập vào hệ thống cách phá vỡ điểm dễ bị cơng sau cài đặt phần mềm sniffing để thực việc “ngửi” thông tin Trong trường hợp hacker người tổ chức cần hack, nhân viện tổ chức chẳng hạn, hacker sử dụng quyền truy cập thực để truy cập đến Switch I.3.2.2 Đánh lừa địa IP (IP spoofing) Như biết, địa IP gói tin IP khơng xác thực Do hacker thay đổi địa nguồn gói tin làm cho gói tin gửi đến từ địa khác Vấn đề gói tin phản hồi (chẳng hạn gói tin SYN ACK kết nối TCP) không gửi cho hệ thống gửi tin Do việc cố gắng đánh lừa địa IP để thiếp lập kết nối TCP khó khăn Thêm nữa, header TCP chứa số dùng để nhận biết gói tin Chuỗi số khởi tạo (Initial sequence number – ISN) dành cho kết nối chọn (giải mã) cách ngẫu nhiên Chi tiết công đánh lừa địa IP (xem hình 1.6): Đầu tiên hacker xác định mục tiêu cơng Khi xác định mục tiêu, xác định số INS dùng, cách thực chuỗi kết nối thực đến mục tiêu ghi nhận số ISN trả Tuy nhiên, có số bất lợi cho hacker kết nối thực làm lộ địa IP thực Một ISN xác lập, hacker gửi gói tin TCP “SYN” đến hệ thống đích với địa nguồn IP giả mạo Hệ thống đích trả lời gói tin TCP “SYN ACK” đến địa IP nguồn giả mạo Như hacker khơng thấy gói tin đáp trả Gói tin TCP “SYN ACK” có chứa số ISN từ hệ thống đích Để hồn thành việc thiết lập kết nối hacker phải xác định số ISN gói tin TCP SYN cuối Nó đốn số ISN dựa tính tăng dần chuỗi số ISN gửi gói tin TCP ACK giả từ địa IP giả mạo có số ISN mà biết Hình: Mơ tả cơng đánh lừa IP Sau tất việc thực hiện, hacker ngừng kết nối thực đến hệ thống đích Lúc có khả gửi lệnh thơng tin đến hệ thống đích ta khơng thể biết hệ thống đích đáp trả lệnh thơng tin