1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiểu về phương pháp tấn công Sniffing và cách phòng chống + Demo cụ thể

51 1,7K 12

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 51
Dung lượng 2,04 MB

Nội dung

Sniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc điểm của cơ chế TCPIP. Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ để các nhà quản trị mạng theo dõi, bảo trì hệ thống mạng và có thể kiểm tra các dữ liệu ra vào mạng. Về mặt tiêu cực, nó được sử dụng với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng.

Trang 1

MỤC LỤC

LỜI MỞ ĐẦU 3

DANH MỤC HÌNH VẼ 4

CHƯƠNG 1: GIỚI THIỆU 6

1.1 Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạng 6 1.2 Các kiểu tấn công mạng phổ biến 9

1.3 Mục tiêu của báo cáo 11

CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG 12

2.1 Giới thiệu 12

2.1.1 Khái niệm sniffing 12

2.1.2 Cơ chế hoạt động của sniffing 12

2.1.3 Phân loại sniffing 13

2.1.4 Các hình thức tấn công 14

2.2 Lắng nghe thông tin qua Hub 14

2.2.1 Phương pháp tấn công 14

2.2.2 Các biện pháp phòng chống 16

2.3 Tấn công MAC 16

2.3.1 Khái niệm địa chỉ MAC 16

2.3.2 Phương pháp tấn công 16

2.3.3 Các biện pháp phòng chống 18

2.4 Tấn công DHCP 18

2.4.1 Khái niệm DHCP và quá trình cấp phát IP động 18

2.4.2 DHCP Client giả 19

2.4.3 DHCP Server giả 20

Trang 2

2.5 Chặn bắt thông tin dùng ARP – Poisoning 22

2.5.1 Khái niệm và nguyên tắc làm việc của ARP trong mạng LAN 22 2.5.2 Cách thức hoạt động của ARP poisoning 23

2.5.3 Các biện pháp phòng chống 25

2.6 Chặn bắt thông tin dùng DNS – Spoofing 26

2.6.1 Giao thức DNS 26

2.6.2 Phương pháp tấn công DNS – Spoofing 26

2.6.3 Các biện pháp phòng chống DNS Spoofing 28

2.7 VLAN Hopping 28

2.7.1 Các giao thức hoạt động trong môi trường VLAN 28

2.7.2 VLAN Hopping 31

2.7.3 Các biện pháp phòng chống 32

CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG SNIFFING 33

3.1 Mô hình minh họa 33

3.2 Demo tấn công sniffing dùng ARP – Poisoning 34

3.2.1 Công cụ thực hiện demo 34

3.2.2 Quá trình thực hiện tấn công 34

3.3 Demo tấn công sniffing dùng DNS – Spoofing 43

TÀI LIỆU THAM KHẢO 51

Trang 3

LỜI MỞ ĐẦU

Theo thống kê và tính toán của Cục An toàn thông tin và Trung tâm Ứngcứu khẩn cấp máy tính Việt Nam (VNCERT) - Bộ TT&TT, năm 2016, Việt Namphát hiện 135.190 cuộc tấn công mạng, tăng gấp hơn 3 lần so với năm 2015, trong

đó có 10.276 cuộc tấn công lừa đảo (Phishing), 47.135 cuộc tấn công cài phầnmềm độc hại (Malware) và 77.779 cuộc tấn công thay đổi giao diện (Deface).Trong đó, có 201 cuộc tấn công thay đổi giao diện vào các hệ thống có tên miền

“.gov.vn”.

Riêng trong nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 cuộctấn công mạng vào các hệ thống thông tin của Việt Nam, bao gồm 1.522 cuộc tấncông lừa đảo, 3.792 cuộc tấn công cài đặt phần mềm độc hại và 989 cuộc tấn côngthay đổi giao diện Tổng số cuộc tấn công mạng vào các hệ thống thông tin sử

dụng tên miền “.gov.vn” trong 6 tháng đầu năm 2017 là 25 cuộc.

Các cuộc tấn công ngày nay ngày càng diễn biến phức tạp, với số lượngcác cuộc tấn công mạng vào những cơ quan, tổ chức, doanh nghiệp có chiềuhướng tăng so với các năm trước đây, nhất là các cuộc tấn công mạng vào hệthống thông tin của cơ quan nhà nước và các doanh nghiệp lớn

Bài báo cáo sẽ giới thiệu tổng quát về phương pháp Hacker sử dụng để tấncông mạng, nói cụ thể về phương pháp tấn công sniffing và cách phòng chống.Nội dung bài báo cáo gồm 03 chương:

CHƯƠNG 1: GIỚI THIỆU

CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH

PHÒNG CHỐNGCHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CÔNG SNIFFING

Trang 4

DANH MỤC HÌNH VẼ

Hình 2.1: Cơ chế hoạt động của sniffing

Hình 2.2.1: Lắng nghe thông tin qua Hub

Hình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thời điểmHình 2.3.1: Kẻ tấn công đầu độc switch bằng địa chỉ MAC giả mạo khiến bảngCAM trong switch bị đầy

Hình 2.3.2: Kẻ tấn công đã khiến switch hoạt động như một hub và lắng ngheđược thông tin trong mạng

Hình 2.4.1: Quá trình cấp phát IP từ máy chủ DHCP

Hình 2.4.2: Attacker thực hiện “vét cạn” khiến giải địa chỉ IP có trên DHCPServer bị cạn kiệt

Hình 2.4.3: Hoạt động của DHCP Server giả mạo

Hình 2.5.1: Cách thức hoạt động của ARP

Hình 2.5.2: Chặn bắt thông tin dùng ARP Poisoning

Hình 2.6.1: Mô hình tấn công DNS - spoofing

Hình 2.6.2: Tấn công giả mạo DNS sử dụng phương pháp ID Spoofing

Hình 2.7.1: Giao thức VTP

Hình 2.7.2: VLAN Hopping - Switch Spoofing

Hình 2.7.3: VLAN Hopping – Double tagging

Hình 3.1: Mô hình mạng minh họa

Hình 3.2.1: Thông tin máy tấn công

Hình 3.2.2: Thông tin máy nạn nhân

Hình 3.2.3: Thực hiện ping thông 2 máy

Hình 3.2.4: Địa chỉ Default Gateway của máy tấn công và máy nạn nhân

Hình 3.2.5: Lựa chọn card mạng phù hợp

Hình 3.2.6: Bắt đầu tiến hành nghe lén

Hình 3.2.7: Thêm tất cả các địa chỉ IP trên cùng subnet

Hình 3.2.8: Phát hiện được địa chỉ IP của máy nạn nhân

Hình 3.2.9: Chọn địa chỉ Default Gateway và IP của máy nạn nhân

Trang 5

Hình 3.2.11: Đăng nhập Facebook trên trình duyệt IE với dạng giao thứcHTTPS

Hình 3.2.12: Thông tin Username và Password đã bị lấy cắp

Hình 3.2.13: Địa chỉ IP và MAC của máy nạn nhân đã bị thay đổi

Hình 3.2.14: Địa chỉ MAC của 2 máy trùng nhau

Hình 3.2.15: Tắt các tính năng trên máy tấn công

Hình 3.2.16: Địa chỉ MAC của máy nạn nhân trở về là địa chỉ ban đầu

Hình 3.3.1: Danh sách các kiểu tấn công của bộ toolkit SET

Hình 3.3.2: Danh sách những lựa chọn tấn công

Hình 3.3.3: Lựa chọn thứ 3 để tấn công web

Hình 3.3.4: Chọn nội dung sao nhập một trang web đơn giản

Hình 3.3.5: Nhập IP host và URL

Hình 3.3.6: Web Facebook clone với địa chỉ là host IP

Hình 3.3.7: Chỉnh sửa thông số file bằng câu lệnh

Hình 3.3.14: Chọn địa chỉ cho các target

Hình 3.3.15: Chọn Sniff remote trong tấn công MITM

Hình 3.3.16: Chọn kiểu tấn công dns spoof

Hình 3.3.17: Nạn nhân đăng nhập vào facebook

Hình 3.3.18: Mật khẩu và email của nạn nhân được gửi về cho máy kẻ tấn công

Trang 6

CHƯƠNG 1: GIỚI THIỆU

1.1 Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạng

Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữliệu đang trở nên rất được quan tâm Khi cơ sở hạ tầng và các công nghệ mạngngày càng được đáp ứng tốt, tuy nhiên song song với việc đó là thực trạng tấncông trên mạng đang ngày một gia tăng, thì vấn đề bảo mật càng được chú trọnghơn Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ màcác doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin Bảo mật hay

an toàn thông tin là sự bảo vệ thông tin trước các mối đe dọa về "thông tin lộ",

"thông tin không còn toàn vẹn" và "thông tin không sẵn sàng" Ngoài ra, nó còn

là sự bảo vệ chống lại các nguy cơ về mất an toàn thông tin như "nguy hiểm",

"thiệt hại", "mất mát" và các tội phạm khác Bảo mật như là hình thức về mức

độ bảo vệ thông tin bao gồm "cấu trúc" và "quá trình xử lý" để nâng cao bảomật

Các nguyên tắc nền tảng của an ninh mạng:

 Tính bí mật: Là sự ngăn ngừa việc tiết lộ trái phép những thông tin quantrọng, nhạy cảm Đó là khả năng đảm bảo mức độ bí mật cần thiết đượctuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với ngườidùng không được cấp phép Đối với an ninh mạng thì tính bí mật rõ ràng

là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất

 Tính toàn vẹn: Là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữliệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thôngtin và hệ thống Có ba mục đích chính của việc đảm bảo tính toàn vẹn:

- Ngăn cản sự làm biến dạng nội dung thông tin của những người sửdụng không được phép

- Ngăn cản sự làm biến dạng nội dung thông tin không được phéphoặc không chủ tâm của những người sử dụng được phép

- Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài

 Tính sẵn sàng: Bảo đảm các người sử dụng hợp pháp của hệ thống có khảnăng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệthống và tới mạng Tính sẵn sàng có liên quan đến độ tin cậy của hệthống

Trang 7

Tình hình an ninh mạng trong những năm gần đây chuyển biến rất phứctạp, với sự xuất hiện của các loại hình cũ lẫn mới:

 Trojans chiếm tới hơn một nửa số mã độc mới: Vẫn tiếp tục xu thế gầnđây, trong nửa đầu năm 2009, Trojans chiếm tới 55% tổng số lượng mãđộc mới, tăng 9% so với nửa đầu năm 2008 Trojans đánh cắp thông tin làloại mã độc phổ biến nhất

 Mã cực độc Conficker: Khởi đầu tháng 12 năm 2008 và phát triển mạnhvào tháng 4 năm 2009, Conficker đã gây trở ngại cho các nhà nghiên cứu

an ninh và gây ra sự hoang mang cho cộng đồng người dùng máy tính.Hậu quả này đã minh chứng cho sự tinh vi và phức tạp của các tội phạmmạng

 Những kiểu tấn công cũ nhưng tinh vi hơn: Những tấn công bằng sâu máytính trên diện rộng sẽ lại phổ biến và Trojan vẫn tiếp tục đóng vai trò chủyếu trong các hoạt động tấn công qua mạng Các loại hình tấn công từchối dịch vụ diễn ra trên quy mô lớn trong nửa đầu năm 2009

 Các kiểu tấn công mới: Đầu năm 2010 các mạng xã hội ảo càng bị tấncông chiếm lấy tài khoản thông tin nhiều hơn Điện toán đám mây đangđược coi là đính ngắm của các hacker trong những tháng tiếp theo

Trong thực tế, có rất nhiều cách để tấn công, lấy cắp thông tin của một hệthống như từ các lỗ hổng của ứng dụng, lỗ hổng dịch vụ trực tuyến (web,mail…), lỗ hổng hệ điều hành… Vì thế, rất khó để có thể thiết lập và duy trì bảomật thông tin Việc đảm bảo an ninh, an toàn thông tin còn trở nên phức tạp hơnkhi số lượng ứng dụng được sử dụng trên một thiết bị là vô cùng lớn, trong khingười dùng không có khả năng hoặc không có kiến thức thường trao toàn quyền

hệ thống cho các ứng dụng dẫn tới khả năng mất an toàn thông tin trở nên dễdàng Các nguy cơ đe dọa an ninh mạng như:

 Lỗi và sự bỏ sót, cố tình bỏ qua

Nguy cơ này được xếp vào hàng nguy hiểm nhất Khi lập trình, cáccảnh báo và lỗi do trình biên dịch đưa ra thường bị bỏ qua và nó có thểdẫn đến những sự việc không đáng có, ví dụ như tràn bộ đệm, tràn heap.Khi người dùng vô tình (hay cố ý) sử dụng các đầu vào không hợp lý thìchương trình sẽ xử lý sai, hoặc dẫn đến việc bị khai thác, đổ vỡ (crash)

Trang 8

trình viên phải luôn luôn cập nhật thông tin, các lỗi bị khai thác, cáchphòng chống, sử dụng phương thức lập trình an toàn.

 Lừa đảo và lấy cắp thông tin

Việc lấy cắp có thể được thực hiện dưới nhiều hình thức: lấy cắpvăn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bênngoài Cách tốt nhất để phòng tránh nguy cơ này là phải có những chínhsách bảo mật được thiết kế tốt Những chính sách có thể giúp người quản

lý bảo mật thông tin thu thập thông tin, từ đó điều tra và đưa ra những kếtluận chính xác, nhanh chóng Khi đã có một chính sách tốt, người quản trị

có thể sử dụng các kỹ thuật điều tra số (forensics) để truy vết các hànhđộng tấn công

 Hacker (Tin tặc)

Có rất nhiều cách hacker tấn công hệ thống Mỗi kẻ tấn công đều cónhững thủ thuật, công cụ, kiến thức, hiểu biết về hệ thống Trước tiên,hacker thu thập thông tin về hệ thống, nhiều nhất có thể Càng nhiềuthông tin, thì khả năng thành công của việc tấn công sẽ càng lớn Nhữngthông tin đó có thể là: tên ứng dụng, phiên bản ứng dụng, hệ điều hành,email quản trị… Bước tiếp theo là quét hệ thống để tìm lỗ hổng Các lỗhổng này có thể gây ra bởi ứng dụng xử lý thông tin hoặc do hệ điềuhành, hoặc bất kỳ thành phần nào có liên quan Từ đó, họ sẽ lợi dụng các

lỗ hổng tìm được, hoặc sử dụng các tài khoản mặc định nhằm chiếmquyền truy cập vào ứng dụng Khi đã thành công, hacker sẽ cài đặt cácphần mềm, mã độc để có thể xâm nhập vào hệ thống trong các lần sau.Bước cuối cùng là xóa vết tấn công

Để phòng tránh nguy cơ này, các ứng dụng tương tác với ngườidùng, dữ liệu cần phải giấu đi những thông tin quan trọng (nếu có thể)như phiên bản, loại ứng dụng, các thành phần kèm theo… Sử dụng cácphần mềm phát hiện truy cập trái phép, rà soát hệ thống thường xuyênxem có phần mềm lạ không, cấu hình tường lửa hợp lý, chính sách truycập của từng nhóm người dùng, quản lý truy cập…

 Lây lan mã độc

Có rất nhiều loại mã độc có thể kể đến như: virus, sâu máy tính,Trojan horse, logic bomb… Nguy cơ do chúng gây ra là hoàn toàn rõ ràng

Trang 9

và vô cùng phong phú Khi đã xâm nhập vào máy nạn nhân, mã độc cóthể: mở cổng hậu (back door) để kẻ tấn công có thể truy cập và làm mọiviệc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác bànphím, sử dụng mạng, thông tin đăng nhập…).

Cài mã độc vào máy tính có thể qua nhiều con đường: lỗ hổng phần mềm,

sử dụng phần mềm crack, không có giấy phép sử dụng,… Cách tốt nhất để tránhnguy cơ này là luôn cập nhật phần mềm xử lý dữ liệu, hệ điều hành và phầnmềm an ninh mạng, diệt virus

1.2 Các kiểu tấn công mạng phổ biến

Có rất nhiều kiểu tấn công mạng để xâm nhập vào một hệ thống máy tính,nhưng phổ biến thường là các kiểu tấn công sau đây:

 Tấn công trực tiếp:

Những cuộc tấn công trực tiếp thông thường được sử dụng tronggiai đoạn đầu để chiếm quyền truy nhập bên trong Một phương pháp tấncông cổ điển là dò tìm tên người sử dụng và mật khẩu Đây là phươngpháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào

để bắt đầu Kẻ tấn công có thể sử dụng những thông tin như tên ngườidùng, ngày sinh, địa chỉ, số nhà…để đoán mật khẩu Trong trường hợp cóđược danh sách người sử dụng và những thông tin về môi trường làmviệc, có một chương trình tự động hoá về việc dò tìm mật khẩu này.Trong một số trường hợp phương pháp này cho phép kẻ tấn công có đượcquyền của người quản trị hệ thống (root hay administrator)

Hai chương trình thường được dùng cho phương pháp này làchương trình Sendmail và Rlogin của hệ thống Unix Sendmail là mộtchương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C.Sendmail được chạy với quyền của người quản trị hệ thống do chươngtrình phải có quyền ghi vào hộp thư của người sử dụng Vì Sendmail nhậntrực tiếp các yêu cầu về mạng thư tín bên ngoài nên nó trở thành nguồncung cấp những lỗ hổng bảo mật để truy cập hệ thống Rlogin cho phépngười sử dụng từ một máy trên mạng truy cập từ xa vào một máy khác sửdụng tài nguyên của máy này Trong quá trình nhập tên và mật khẩu của

Trang 10

vào một xâu lệnh đã được tính toán trước để ghi đè lên mã chương trìnhcủa Rlogin, từ đó chiếm quyền truy cập.

 Nghe trộm:

Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin

có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển quamạng Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đãchiếm được quyền truy nhập hệ thống, thông qua các chương trình chophép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độnhận toàn bộ các thông tin lưu truyền trên mạng Những thông tin nàycũng có thể dễ dàng lấy được trên Internet

 Giả mạo địa chỉ:

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sửdụng khả năng dẫn đường trực tiếp (source-routing) Với cách tấn côngnày, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IPgiả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là

an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các góitin IP phải gửi đi

 Vô hiệu các chức năng của hệ thống:

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiệnchức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được,

do những phương tiện được tổ chức tấn công cũng chính là các phươngtiện để làm việc và truy nhập thông tin trên mạng Ví dụ sử dụng lệnhping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độtính toán và khả năng của mạng để trả lời các lệnh này, không còn các tàinguyên để thực hiện những công việc có ích khác

 Sử dụng lỗi của người quản trị hệ thống:

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuynhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng chophép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ

 Tấn công vào yếu tố con người:

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làmmột người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truynhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hìnhcủa hệ thống để thực hiện các phương pháp tấn công khác Với kiểu tấn

Trang 11

công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, vàchỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầubảo mật để đề cao cảnh giác với những hiện tượng đáng nghi Nói chungyếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào,

và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng để

có thể nâng cao được độ an toàn của hệ thống bảo vệ

1.3 Mục tiêu của báo cáo

Với sự phát triển mạnh mẽ của mạng máy tính hiện nay, nhu cầu sử dụngmạng cho việc trao đổi và chia sẻ thông tin là rất lớn Tuy nhiên, đi song songvới việc đó thì an ninh mạng luôn là một nỗi lo khi các hình thức tấn công mạngngày một nhiều và ngày càng trở nên tinh vi hơn Do vậy việc nghiên cứu về cácphương pháp tấn công mạng và cách phòng chống là điều tất yếu

Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNGMẠNG VÀ CÁCH PHÒNG CHỐNG” được thực hiện nhằm tìm hiểu về cáckiểu tấn công phổ biến trên mạng Cụ thể, bài báo cáo sẽ đi sâu vào nghiên cứuphương pháp tấn công sniffing và cách phòng chống

Mục tiêu đề ra là:

 Tìm hiểu một số kiểu tấn công phổ biến trên mạng

 Tìm hiểu phương pháp tấn công sniffing

 Cách phòng chống tấn công sniffing

Trang 12

CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH

PHÒNG CHỐNG

2.1 Giới thiệu

2.1.1 Khái niệm sniffing

Sniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặcđiểm của cơ chế TCP/IP Người nghe lén để thiết bị lắng nghe giữa mạng mangthông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet Nghelén được sử dụng như công cụ để các nhà quản trị mạng theo dõi, bảo trì hệthống mạng và có thể kiểm tra các dữ liệu ra vào mạng Về mặt tiêu cực, nóđược sử dụng với mục đích nghe lén các thông tin trên mạng để lấy các thông tinquan trọng

2.1.2 Cơ chế hoạt động của sniffing

Những giao dịch giữa các hệ thống mạng máy tính thường là những dữliệu ở dạng nhị phân Bởi vậy để hiểu được những dữ liệu này, các chương trìnhnghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mãcác dữ liệu ở dạng nhị phân để hiểu được chúng

Hình 2.1: Cơ chế hoạt động của sniffing

Trong môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy

B thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơchế loan tin (broadcast) Các máy khác nhận được gói tin này sẽ tiến hành sosánh yêu cầu về địa chỉ MAC của frame gói tin với địa chỉ đích Nếu trùng lậpthì sẽ nhận, còn không thì cho qua Do gói tin từ A được gửi đến B nên khi so

Trang 13

sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếpnhận.

Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ “tựnhận” bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đếngói tin có đích đến không phải là nó, do sniffer chuyển card mạng của máy sangchế độ hỗn tạp (promiscuous mode) Promiscuous mode là chế độ đặc biệt Khicard mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không

bị ràng buộc kiểm tra địa chỉ đích đến

Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói

tin đến những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộmkiểu “tự nhận” như ở Hub không thực hiện được Tuy nhiên, kẻ tấn công có thểdùng các cơ chế khác để tấn công trong môi trường Switch như ARP spoofing,MAC spoofing, MAC duplicating, DNS spoofing, v.v…

2.1.3 Phân loại sniffing

 Passive sniffing: Chủ yếu hoạt động trong môi trường không có các thiết

bị chuyển mạch gói, phổ biến hiện nay là các dạng mạng sử dụng Hub Dokhông có các thiết bị chuyển mạch gói nên các gói tin được broadcast đitrong mạng Chính vì vậy, việc thực hiện sniffing là khá đơn giản Kẻ tấncông không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port

về (dù host nhận gói tin không phải là nơi đến của gói tin đó) Hình thứcsniffing này rất khó phát hiện do các máy tự broadcast các gói tin Ngàynay hình thức này thường ít được sử dụng do Hub không còn được ưachuộng nhiều, thay vào đó là Switch

 Active sniffing: Chủ yếu hoạt động trong môi trường có các thiết bịchuyển mạch gói, phổ biến hiện nay là các dạng mạch sử dụng Switch Kẻtấn công thực hiện sniffing dựa trên cơ chế ARP và RARP (2 cơ chếchuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi cácgói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gửigói tin là “tôi là người nhận” mặc không phải là “người nhận” Ngoài ra,các sniffer còn có thể dùng phương pháp giả địa chỉ MAC, thay đổi MACcủa bản thân thành MAC của một máy hợp lệ và qua được chức năng lọcMAC của thiết bị, qua đó ép dòng dữ liệu đi qua card mạng của mình.Tuy nhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông Nếu thực hiện

Trang 14

sniffing quá nhiều máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (doliên tục gửi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng.

2.1.4 Các hình thức tấn công

Sniffing là hình thức nghe lén thông tin trên mạng nhằm khai thác hiệuquả hơn tài nguyên mạng, theo dõi thông tin bất hợp pháp Tuy nhiên, sau nàycác hacker dùng sniffing để lấy các thông tin nhạy cảm, do đó cũng có thể coi đó

là 1 hình thức hack Có khá nhiều các phương pháp để thực hiện sniffing, dù làtấn công chủ động hay bị động Bài báo cáo sẽ nói cụ thể về 6 phương pháp tấncông sniffing:

1) Lắng nghe thông tin qua Hub2) Tấn công MAC

3) Tấn công DHCP4) Chặn bắt thông tin dùng ARP – poisoning 5) Chặn bắt thông tin dùng DNS – spoofing 6) VLAN Hopping

2.2 Lắng nghe thông tin qua Hub

2.2.1 Phương pháp tấn công

Sniffing trên mạng môi trường Hub là 1 giấc mơ đối với bất kỳ ai, bởi góitin được gửi đi qua thiết bị Hub thì sẽ đi qua tất cả các cổng kết nối với Hub đó.Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tất

cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast)

Trang 15

Hình 2.2.1: Lắng nghe thông tin qua Hub

Để phân tích lưu lượng đi qua 1 máy tính kết nối với 1 thiết bị Hub thì chỉcần kết nối một packet sniffer tới 1 cổng còn trống trên Hub Tuy nhiên, nhữnggiao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhịphân Vì thế các chương trình nghe lén phải có chức năng giải mã dữ liệu ở dạngnhị phân để hiểu được chúng Ngoài ra, kẻ tấn công sẽ chuyển card mạng sangchế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy tất cảcác gói tin đi qua hệ thống dây mạng Khi card mạng được đặt dưới chế độ này,

nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đíchđến Từ đó, kẻ tấn công có thể thấy được tất cả truyền thông đến và đi từ máytính đó, cũng như truyền thông giữa các thiết bị khác kết nối với thiết bị Hub

Tuy nhiên, ngày nay mạng Hub không còn được ưa chuộng bởi vì chỉ có 1thiết bị duy nhất có thể truyền thông tại một thời điểm, 1 thiết bị kết nối qua 1Hub phải cạnh tranh băng thông với các thiết bị khác cũng đang cố gắng truyềnthông qua thiết bị Hub đó Khi hai hay nhiều thiết bị truyền thông ngay tại cùngmột thời điểm, sẽ dễ xảy ra xung đột

Hình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thời

điểm

Trang 16

Kết quả gây ra sẽ là mất mát gói tin, và các thiết bị sẽ phải truyền lại cácgói tin đó, khiến cho mạng càng trở nên tắc nghẽn Khi đến 1 mức xung đột nào

đó, thiết bị sẽ phải truyền lại một gói tin đến tận 3,4 lần và sẽ làm giảm hiệunăng của mạng Ngoài ra, hình thức tấn công qua Hub rất khó bị phát hiện docác máy tự broadcast các gói tin Vì thế nên dù Hub có tiện lợi, dễ sử dụngnhưng ngày nay, hầu hết các mạng đều sử dụng Switch thay cho Hub

2.2.2 Các biện pháp phòng chống

Phương pháp lắng nghe thông tin qua Hub khó phát hiện và phòng chống,

vì kẻ tấn công chỉ tiến hành lắng nghe trên đường truyền và bắt giữ lại nhữnggói tin mà không có sự tác động đáng kể nào vào hệ thống Vì thế một trongnhững cách đơn giản nhất là làm cách nào để các gói tin không còn broadcastnữa, bằng cách sử dụng Switch thay cho Hub Ngoài ra có thể dùng phươngpháp “lấy độc trị độc” là sử dụng chính các công cụ nghe lén để phát hiện mình

có bị nghe lén hay không Các công cụ này ngoài việc thực hiện tác vụ nghe lén,còn có khả năng dò tìm trên mạng nội bộ có máy nào đang nghe lén hay không

2.3 Tấn công MAC

2.3.1 Khái niệm địa chỉ MAC

Địa chỉ MAC (Media Access Control) là kiểu địa chỉ vật lí, đặc trưng chomột thiết bị hoặc một nhóm các thiết bị trong LAN Địa chỉ này được dùng đểnhận diện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích

Địa chỉ MAC gồm một bộ sáu cặp hai ký tự, cách nhau bằng dấu haichấm Ví dụ 00:1B:44:11:3A:B7 là một địa chỉ MAC

2.3.2 Phương pháp tấn công

Tấn công MAC là kỹ thuật khá phổ biến trong mạng LAN Mục đích của

kỹ thuật này là làm ngập lụt switch với một số lượng lớn yêu cầu Thoạt nhìn thìthấy đây chỉ là mục đích phá hoại nhưng đối tượng tấn công có thể đi xa hơn khitận dụng để nghe lén các gói tin của người khác

Kẻ tấn công phải nằm trong chính mạng LAN đó và sử dụng một ứngdụng phần mềm để tạo thật nhiều frame với địa chỉ MAC giả mạo (MACspoofing) rồi gửi đến switch Khi nhận được frame này, switch không phân biệtđược đâu là giả đâu là thật và sẽ xem nó như một frame bình thường Lúc này,switch sẽ cập nhật các địa chỉ MAC mới vào bảng CAM

Trang 17

Bảng CAM (Content Addressable Memory), cũng có thể gọi là bảngMAC, là nơi lưu trữ các địa chỉ MAC của các port và các tham số VLAN trongswitch Nhờ vào bảng CAM, switch có thể biết được một thiết bị có địa chỉMAC X đang nằm ở port vật lý nào để còn đẩy frame trả lời về port đó Kẻ tấncông sẽ đầu độc switch liên tục toàn các địa chỉ MAC giả mạo Bảng CAM củaswitch thì có kích thước giới hạn, nên đến một thời điểm nào đó bảng CAM sẽ

bị đầy

Hình 2.3.1: Kẻ tấn công đầu độc switch bằng địa chỉ MAC giả mạo khiến

bảng CAM trong switch bị đầy

Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của

nó, coi thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửigói tin ARP request đến switch để hỏi địa chỉ MAC của máy B Máy B lúc nàynhận được gói tin sẽ gửi phản hồi lại cho máy A sau đó các gói tin được lưuchuyển từ A đến B mà không chuyển sang các máy khác Tuy nhiên, lúc nàybảng CAM đã bị đầy tràn, các lưu lượng ARP request sẽ làm ngập lụt mỗi cổngcủa switch Switch đã bị lụt với các gói tin của các địa chỉ MAC khác nhau và sẽbroadcast lưu lượng mà ko cần thông qua bảng CAM nữa Đến lúc này thìswitch hoạt động không khác gì hub Kẻ tấn công sẽ sử dụng 1 công cụ PacketSniffer để thâu tóm các dữ liệu mong muốn

Trang 18

Hình 2.3.2: Kẻ tấn công đã khiến switch hoạt động như một hub và lắng

nghe được thông tin trong mạng

2.3.3 Các biện pháp phòng chống

Nguyên lí chung của các phương pháp phòng chống là không để các góitin có địa chỉ MAC lạ đi qua switch Phương pháp phòng chống hiệu quả nhất làcấu hình port security trên switch Đây là một đặc trưng cấu hình cho phép điềukhiển việc truy cập vào cổng switch thông qua địa chỉ MAC của thiết bị gắnvào Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm tra địa chỉ MACnguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước đó Nếu haiđịa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ

xử lí gói tin đến với các mức độ khác nhau

Các lệnh cấu hình port security:

- Switch(config-if)# switchport mode access

- Switch(config-if)# switchport port-security: cho phép cổng được hoạtđộng trong chế độ port-security

- Mặc định thì cổng chỉ cho phép một địa chỉ MAC (một thiết bị) được gánvào và số địa chỉ có thể nằm trong khoảng từ 1 đến 1024

- Switch(config-if)#sw port-security violation shutdown: Nếu vi phạm sẽtắt cổng, kẻ tấn công sẽ không thể làm tràn bảng CAM

2.4 Tấn công DHCP

2.4.1 Khái niệm DHCP và quá trình cấp phát IP động

DHCP (Dynamic Host Configuration Protocol - giao thức cấu hình hostđộng) là một giao thức cho phép cấp phát địa chỉ IP một cách tự động cùng vớicác cấu hình liên quan khác như subnet mark và gateway mặc định

Trang 19

Quá trình truyền thông giữa một máy tính trạm được cấu hình sử dụng IPđộng (DHCP Client) với một máy đảm nhận chức năng cấp phát IP động(DHCP Server) diễn ra như sau:

 Đầu tiên, một DHCP Client muốn nhận mới một địa chỉ IP sẽ gửi lên toàn

mạng (broadcast) một thông điệp “DHCP Discover” có chứa địa chỉ

MAC của nó để tìm kiếm sự hiện diện của DHCP server

 Sau đó, nếu có DHCP Server thuộc cùng subnet với DHCP Client trên

server này sẽ phản hồi lại cho client bằng một thông điệp “DHCP Offer” có chứa một địa chỉ IP như là một lời đề nghị cho “thuê” (lease)

địa chỉ

 Tiếp theo, khi nhận được gói “DHCP Offer” đến đầu tiên, client sẽ trả lời

lại cho server một thông điệp “DHCP Request” như là sự chấp thuận lời

đề nghị

 Cuối cùng, server gửi lại cho client thông điệp “DHCP

Acknowledgment” để xác nhận lần cuối với client Và từ đây client có thể

sử dụng địa chỉ IP vừa “thuê” được để truyền thông với các máy khác trênmạng

Hình2.4.1: Quá trình cấp phát IP từ máy chủ DHCP

Trang 20

không có sự xác thực hay kiểm soát truy cập nên dễ phát sinh một số điểm yếu

về an toàn DHCP Server không thể biết được rằng mình đang liên lạc với mộtDHCP Client bất hợp pháp hay không, ngược lại DHCP Client cũng không thểbiết DHCP Server đang liên lạc có hợp pháp không Trong mạng có khả năngxuất hiện các DHCP Client giả và DHCP Server giả

2.4.2 DHCP Client giả

Trong trường hợp này, DHCP Client là một máy trạm bất hợp pháp.Attacker có thể thoả hiệp thành công với một client hợp pháp nào đó trongmạng, sau đó thực hiện các chương trình cài đặt Các chương trình thực thi trênclient này thực hiện “vét cạn”, liên tục gửi tới DHCP Server các gói tin yêu cầuxin cấp IP với các địa chỉ MAC không có thực, cho tới khi dải IP có sẵn trênDHCP Server cạn kiệt vì bị thuê hết Điều này dẫn tới việc DHCP Server khôngcòn địa chỉ IP nào để cho các DHCP Client hợp pháp thuê, khiến dịch vụ bịngưng trệ, các máy trạm khác không thể truy nhập vào hệ thống mạng để truyềnthông với các máy tính trong mạng

Trang 21

tin từ client sẽ được gửi tới địa chỉ của kẻ tấn công Kẻ tấn công sau khi thu thậptất cả những thông tin này, rồi chuyển đến default gateway đúng của mạng Vìthế client vẫn truyền bình thường với các máy ngoài mạng mà không hề biết họ

đã để lộ thông tin cho kẻ tấn công Loại tấn công này rất khó bị phải hiện bởiclient trong một thời gian dài

2.4.4 Các biện pháp phòng chống

Kẻ tấn công đã dùng phương pháp “vét cạn”, liên tục gửi tới DHCPServer các gói tin yêu cầu xin cấp IP với các địa chỉ MAC không có thực, chotới khi dải IP có sẵn trên DHCP Server cạn kiệt vì bị thuê hết Vì thế cần phải cóbiện pháp ngăn chặn việc này như:

- Xây dựng một bảng chứa thông tin liên quan giữa: địa chỉ MAC máyclient-địa chỉ IP - VLAN - số hiệu cổng Bảng này dùng để giám sát việcxin cấp phát địa chỉ IP của các máy client, tránh việc 1 máy client xin cấpphát nhiều địa chỉ IP

- Quy định số lượng gói tin DHCP đến 1 cổng/đơn vị thời gian

Trang 22

Ngoài ra có thể sử dụng một số giải pháp của các hãng công nghệ HãngCisco đã đưa công nghệ DHCP snooping (giám sát DHCP) vào thiết bị switch.

Ý tưởng chính của công nghệ này là:

- Cấu hình các cổng trên switch thành 2 kiểu: cổng trust và cổng untrust

- Cổng trust là cổng có thể cho phép gửi đi tất cả các loại các bản tin, đượcnối với máy chủ DHCP

- Cổng untrust là cổng chỉ có thể gửi đi bản tin xin cấp phát địa chỉ IP.Cổng untrust thường là cổng nối với các thiết bị đầu cuối người dùng Dovậy máy tính của kẻ tấn công mặc dù là một máy chủ DHCP, nhưngkhông thể gửi các bản tin DHCP cấp phát địa chỉ IP giả mạo

2.5 Chặn bắt thông tin dùng ARP – Poisoning

2.5.1 Khái niệm và nguyên tắc làm việc của ARP trong mạng LAN

Tầng Network của mô hình OSI sử dụng các loại địa chỉ mang tính chấtquy ước như IP, IPX… Trên thực tế, các card mạng (NIC) chỉ có thể kết nối vớinhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng Chính vìvậy, giao thức phân giải địa chỉ: Address Resolution Protocol (ARP) được sửdụng để chuyển đổi các dạng địa chỉ này qua lại với nhau

Khi một thiết bị mạng muốn biết địa chỉ MAC của một thiết bị mạng nào

đó mà nó đã biết địa chỉ ở tầng network (IP, IPX…) nó sẽ gửi một ARP requestbao gồm địa chỉ MAC address của nó và địa chỉ IP của thiết bị mà nó cần biếtMAC address trên toàn bộ một miền broadcast Mỗi một thiết bị nhận đượcrequest này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network củamình Nếu trùng địa chỉ thì thiết bị đó phải gửi ngược lại một ARP reply chothiết bị gửi ARP request (trong đó có chứa địa chỉ MAC của mình)

Lấy ví dụ trong một hệ thống mạng đơn giản, khi PC A muốn gửi gói tinđến PC B và nó chỉ biết được địa chỉ IP của PC B Khi đó PC A sẽ phải gửi mộtARP request broadcast cho toàn mạng để hỏi xem "địa chỉ MAC của PC có địachỉ IP này là gì?" Khi PC B nhận được broadcast này, nó sẽ so sánh địa chỉ IPtrong gói tin này với địa chỉ IP của nó Nhận thấy đó là địa chỉ IP của mình, PC

B sẽ gửi lại một gói tin ARP reply cho PC A, trong đó có chứa địa chỉ MAC của

B Sau đó PC A mới bắt đầu truyền gói tin cho B

Trang 23

Hình 2.5.1: Cách thức hoạt động của ARP

ARP là một giao thức phi trạng thái Máy chủ mạng sẽ tự động lưu trữ bất

kỳ ARP reply nào mà chúng nhận được, bất kể máy khác có yêu cầu hay không.Ngay cả các mục ARP chưa hết hạn sẽ bị ghi đè khi nhận được gói tin ARPreply mới Không có phương pháp nào trong giao thức ARP mà giúp một máy

có thể xác nhận máy mà từ đó gói tin bắt nguồn Hành vi này là lỗ hổng chophép ARP spoofing xảy ra

2.5.2 Cách thức hoạt động của ARP poisoning

Giao thức ARP vốn được thiết kế ra nhằm mục đích tạo tính thuận tiện đểtrao đổi địa chỉ giữa lớp thứ 2 và lớp thứ 3 của mô hình OSI Lớp thứ hai, haycòn gọi với cái tên khác là tầng data-link, sử dụng địa chỉ MAC để các thiết bịphần cứng thể giao tiếp với nhau một cách trực tiếp trong một diện nhỏ Còn vớilớp thứ 3, tên khác là tầng network, thì lại sử dụng địa chỉ IP để tạo ra một mạngvới diện rộng hơn để có thể giao tiếp trên toàn cầu

Tổ chức của giao thức ARP vốn xoay quanh hai gói tin chính, đó là ARPrequest và ARP reply Mục đích chính của gói tin request và reply là để định vịđược địa chỉ MAC của thiết bị phần cứng tương ứng với địa chỉ IP mà nó được

Trang 24

mạng mà không bị thất lạc hay nhầm lẫn máy tính khác không yêu cầu gói tinđó.

Để hiểu được tính chất request và reply, ta hình dung đơn giản như sau.Gói request sẽ được gửi đi cho từng thiết bị trong mạng và phát đi thông điệp

“Xin chào, địa chỉ IP của tôi là X.X.X.X, và địa chỉ MAC của tôi làX:X:X:X:X:X Tôi cần gửi một thứ đến một máy có địa chỉ IP là Y.Y.Y.Y,nhưng tiếc thay tôi không có địa chỉ MAC của anh ấy Vậy ai có địa chỉ IP nhưtôi vừa nói thì vui lòng phản hồi kèm theo địa chỉ MAC của anh để tôi trao góitin này.”

Lúc này, máy cần phản hồi sẽ đưa ra gói ARP reply với thông điệp “Tôi làngười anh cần tìm đây Tôi có địa chỉ IP là Y.Y.Y.Y và MAC của tôi làY:Y:Y:Y:Y:Y” Khi quá trình truyền giao gói tin hoàn tất, thiết bị phát sẽ cậpnhật bảng ARP cache của nó và hai thiết bị này có thể truyền thông với nhau

Việc đầu độc gói tin ARP này chính là đánh vào yếu tố bất lợi và khôngbảo mật của giao thức ARP ban đầu Rõ ràng qua đoạn trên cũng có thể thấyđược tính bất cập của gói ARP request và reply Bất kỳ một máy tính nào đókhông phải mang địa chỉ Y.Y.Y.Y nhưng hắn cũng có thể lấn quyền máy thật vàgiả mạo rằng mình mang IP đó, và sau đó đem địa chỉ MAC của mình ra cungcấp Bên request không có cơ chế kiểm soát chặt chẽ người đứng ra nhận, màchỉ căn cứ vào mỗi địa chỉ IP rồi chấp nhận chuyển đi

Ngày đăng: 25/07/2018, 22:51

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1] Lê Đình Thích, Hoàng Sỹ Tương, An toàn mạng máy tính, Học viện kỹ thuật mật mã, 2013 Sách, tạp chí
Tiêu đề: An toàn mạng máy tính
[2] Đặng Trường Sơn, Các kiểu tấn công trên mạng, Đại học Ngoại ngữ tin học TPHCM, 2010 Sách, tạp chí
Tiêu đề: Các kiểu tấn công trên mạng
[3] Ngô Xuân Giang, Kỹ thuật tấn công và phòng thủ trên không gian mạng, Viện nghiên cứu an ninh mạng, 2012 Sách, tạp chí
Tiêu đề: Kỹ thuật tấn công và phòng thủ trên không gian mạng
[4] Lê Bảo Long, Tìm hiểu về an ninh mạng và kỹ thuật Sniffer, Cao đẳng CNTT hữu nghị Việt Hàn, 2012 Sách, tạp chí
Tiêu đề: Tìm hiểu về an ninh mạng và kỹ thuật Sniffer
[5] Nguyễn Hiếu Minh, Tấn công mạng máy tính, Học viện kỹ thuật quân sự Sách, tạp chí
Tiêu đề: Tấn công mạng máy tính

TỪ KHÓA LIÊN QUAN

w