MỤC LỤC LỜI MỞ ĐẦU DANH MỤC HÌNH VẼ CHƯƠNG 1: GIỚI THIỆU 1.1 Tổng quan an ninh mạng nguy gây an ninh 1.2 Các kiểu công mạng phổ biến 1.3 Mục tiêu báo cáo .11 mạng CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG 12 2.1 Giới thiệu 12 2.1.1 Khái niệm sniffing .12 2.1.2 Cơ chế hoạt động sniffing 12 2.1.3 Phân loại sniffing 13 2.1.4 Các hình thức cơng 14 2.2 Lắng nghe thông tin qua Hub 14 2.2.1 Phương pháp công .14 2.2.2 Các biện pháp phòng chống .16 2.3 Tấn công MAC 16 2.3.1 Khái niệm địa MAC 16 2.3.2 Phương pháp công .16 2.3.3 Các biện pháp phòng chống .18 2.4 Tấn công DHCP 18 2.4.1 Khái niệm DHCP trình cấp phát IP động 18 2.4.2 DHCP Client giả 19 2.4.3 DHCP Server giả 20 2.4.4 Các biện pháp phòng chống .21 2.5 Chặn bắt thông tin dùng ARP – Poisoning 22 2.5.1 Khái niệm nguyên tắc làm việc ARP mạng LAN 22 2.5.2 Cách thức hoạt động ARP poisoning 23 2.5.3 Các biện pháp phòng chống .25 2.6 Chặn bắt thông tin dùng DNS – Spoofing 26 2.6.1 Giao thức DNS 26 2.6.2 Phương pháp công DNS – Spoofing 26 2.6.3 Các biện pháp phòng chống DNS Spoofing .28 2.7 VLAN Hopping 28 2.7.1 Các giao thức hoạt động môi trường VLAN 28 2.7.2 VLAN Hopping 31 2.7.3 Các biện pháp phòng chống .32 CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG SNIFFING 33 3.1 Mơ hình minh họa 33 3.2 Demo công sniffing dùng ARP – Poisoning 34 3.2.1 Công cụ thực demo 34 3.2.2 Q trình thực cơng .34 3.3 Demo công sniffing dùng DNS – Spoofing .43 TÀI LIỆU THAM KHẢO 51 LỜI MỞ ĐẦU Theo thống kê tính tốn Cục An tồn thơng tin Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) - Bộ TT&TT, năm 2016, Việt Nam phát 135.190 công mạng, tăng gấp lần so với năm 2015, có 10.276 cơng lừa đảo (Phishing), 47.135 công cài phần mềm độc hại (Malware) 77.779 công thay đổi giao diện (Deface) Trong đó, có 201 cơng thay đổi giao diện vào hệ thống có tên miền “.gov.vn” Riêng nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 công mạng vào hệ thống thông tin Việt Nam, bao gồm 1.522 cu ộc công lừa đảo, 3.792 công cài đặt phần mềm độc hại 989 công thay đổi giao diện Tổng số công mạng vào hệ thống thông tin sử dụng tên miền “.gov.vn” tháng đầu năm 2017 25 Các công diễn biến phức tạp, với số lượng công mạng vào quan, tổ chức, doanh nghiệp có chiều hướng tăng so với năm trước đây, công mạng vào hệ thống thông tin quan nhà nước doanh nghiệp lớn Bài báo cáo giới thiệu tổng quát phương pháp Hacker sử dụng để cơng mạng, nói cụ thể phương pháp cơng sniffing cách phịng chống Nội dung báo cáo gồm 03 chương: CHƯƠNG 1: GIỚI THIỆU CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHỊNG CHỐNG CHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CƠNG SNIFFING DANH MỤC HÌNH VẼ Hình 2.1: Cơ chế hoạt động sniffing Hình 2.2.1: Lắng nghe thơng tin qua Hub Hình 2.2.2: Xung đột nhiều thiết bị truyền thơng thời điểm Hình 2.3.1: Kẻ công đầu độc switch địa MAC gi ả m ạo ến bảng CAM switch bị đầy Hình 2.3.2: Kẻ cơng khiến switch hoạt động hub l ắng nghe thông tin mạng Hình 2.4.1: Quá trình cấp phát IP từ máy chủ DHCP Hình 2.4.2: Attacker thực “vét cạn” khiến giải địa IP có DHCP Server bị cạn kiệt Hình 2.4.3: Hoạt động DHCP Server giả mạo Hình 2.5.1: Cách thức hoạt động ARP Hình 2.5.2: Chặn bắt thơng tin dùng ARP Poisoning Hình 2.6.1: Mơ hình cơng DNS - spoofing Hình 2.6.2: Tấn công giả mạo DNS sử dụng phương pháp ID Spoofing Hình 2.7.1: Giao thức VTP Hình 2.7.2: VLAN Hopping - Switch Spoofing Hình 2.7.3: VLAN Hopping – Double tagging Hình 3.1: Mơ hình mạng minh họa Hình 3.2.1: Thơng tin máy cơng Hình 3.2.2: Thơng tin máy nạn nhân Hình 3.2.3: Thực ping thơng máy Hình 3.2.4: Địa Default Gateway máy công máy nạn nhân Hình 3.2.5: Lựa chọn card mạng phù hợp Hình 3.2.6: Bắt đầu tiến hành nghe Hình 3.2.7: Thêm tất địa IP subnet Hình 3.2.8: Phát địa IP máy nạn nhân Hình 3.2.9: Chọn địa Default Gateway IP máy nạn nhân Hình 3.2.10: Bật tính ARP Hình 3.2.11: Đăng nhập Facebook trình duyệt IE với dạng giao thức HTTPS Hình 3.2.12: Thơng tin Username Password bị lấy cắp Hình 3.2.13: Địa IP MAC máy nạn nhân bị thay đổi Hình 3.2.14: Địa MAC máy trùng Hình 3.2.15: Tắt tính máy cơng Hình 3.2.16: Địa MAC máy nạn nhân trở địa ban đầu Hình 3.3.1: Danh sách kiểu công toolkit SET Hình 3.3.2: Danh sách lựa chọn cơng Hình 3.3.3: Lựa chọn thứ để cơng web Hình 3.3.4: Chọn nội dung nhập trang web đơn giản Hình 3.3.5: Nhập IP host URL Hình 3.3.6: Web Facebook clone với địa host IP Hình 3.3.7: Chỉnh sửa thơng số file câu lệnh Hình 3.3.8: Chỉnh sửa thơng số Hình 3.3.9: Chỉnh sửa dòng lệnh để bật chức chuyển h ướng gói tin Hình 3.3.10: Tiến hành thay đổi quyền truy cập Hình 3.3.11: Chỉnh sửa tên miền thành facebook IP máy ảo kali Hình 3.3.12: Chọn card Hình 3.3.13: Quét hosts Hình 3.3.14: Chọn địa cho target Hình 3.3.15: Chọn Sniff remote cơng MITM Hình 3.3.16: Chọn kiểu cơng dns spoof Hình 3.3.17: Nạn nhân đăng nhập vào facebook Hình 3.3.18: Mật email nạn nhân gửi cho máy kẻ công CHƯƠNG 1: GIỚI THIỆU Tổng quan an ninh mạng nguy gây an ninh mạng Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng bảo mật liệu trở nên quan tâm Khi sở hạ tầng công ngh ệ mạng ngày đáp ứng tốt, nhiên song song với việc th ực trạng cơng mạng ngày gia tăng, vấn đề bảo m ật trọng Không nhà cung cấp dịch vụ Internet, quan phủ mà doanh nghiệp, tổ chức có ý thức h ơn v ề an tồn thơng tin Bảo mật hay an tồn thơng tin bảo vệ thông tin tr ước m ối đe dọa "thơng tin lộ", "thơng tin khơng cịn tồn v ẹn" "thơng tin khơng s ẵn sàng" Ngồi ra, bảo vệ chống lại nguy an tồn thơng tin "nguy hiểm", "thiệt hại", "mất mát" t ội ph ạm khác B ảo mật hình thức mức độ bảo vệ thông tin bao gồm "c ấu trúc" "quá trình xử lý" để nâng cao bảo mật Các nguyên tắc tảng an ninh mạng:  Tính bí mật: Là ngăn ngừa việc tiết lộ trái phép thơng tin quan trọng, nhạy cảm Đó khả đảm bảo mức độ bí m ật c ần thi ết tuân thủ thông tin quan trọng, nhạy cảm đ ược che gi ấu v ới người dùng không cấp phép Đối với an ninh mạng tính bí m ật rõ ràng điều nói đến thường xuyên bị cơng  Tính tồn vẹn: Là phát ngăn ngừa việc sửa đổi trái phép liệu, thơng tin hệ thống, đảm bảo xác thơng tin hệ thống Có ba mục đích việc đảm bảo tính tồn vẹn: - Ngăn cản làm biến dạng nội dung thông tin người sử dụng không phép - Ngăn cản làm biến dạng nội dung thông tin không phép không chủ tâm người sử dụng phép - Duy trì tồn vẹn liệu nội bên ngồi  Tính sẵn sàng: Bảo đảm người sử dụng hợp pháp hệ thống có khả truy cập lúc không bị ngắt quãng tới thông tin 1.1 hệ thống tới mạng Tính sẵn sàng có liên quan đến độ tin cậy hệ thống Tình hình an ninh mạng năm gần chuyển biến phức tạp, với xuất loại hình cũ lẫn mới:  Trojans chiếm tới nửa số mã độc mới: Vẫn tiếp tục xu th ế gần đây, nửa đầu năm 2009, Trojans chiếm tới 55% tổng số lượng mã độc mới, tăng 9% so với nửa đầu năm 2008 Trojans đánh c ắp thông tin loại mã độc phổ biến  Mã cực độc Conficker: Khởi đầu tháng 12 năm 2008 phát triển m ạnh vào tháng năm 2009, Conficker gây trở ngại cho nhà nghiên cứu an ninh gây hoang mang cho cộng đồng người dùng máy tính Hậu minh chứng cho tinh vi phức tạp tội phạm mạng  Những kiểu công cũ tinh vi hơn: Những cơng sâu máy tính diện rộng lại phổ biến Trojan ti ếp t ục đóng vai trị chủ yếu hoạt động cơng qua mạng Các loại hình cơng từ chối dịch vụ diễn quy mô lớn nửa đầu năm 2009  Các kiểu công mới: Đầu năm 2010 mạng xã hội ảo b ị t ấn công chiếm lấy tài khoản thông tin nhiều Điện toán đám mây coi đính ngắm hacker tháng Trong thực tế, có nhiều cách để cơng, lấy cắp thông tin hệ thống từ lỗ hổng ứng dụng, lỗ hổng dịch vụ trực tuyến (web, mail…), lỗ hổng hệ điều hành… Vì thế, khó để thi ết l ập trì bảo mật thơng tin Việc đảm bảo an ninh, an tồn thơng tin cịn trở nên phức tạp số lượng ứng dụng sử dụng thiết bị vô lớn, người dùng khơng có khả khơng có kiến thức thường trao toàn quyền hệ thống cho ứng dụng dẫn tới khả an tồn thơng tin trở nên dễ dàng Các nguy đe dọa an ninh mạng như:  Lỗi bỏ sót, cố tình bỏ qua Nguy xếp vào hàng nguy hiểm Khi lập trình, cảnh báo lỗi trình biên dịch đưa th ường bị b ỏ qua dẫn đến việc khơng đáng có, ví dụ tràn b ộ đ ệm, tràn heap Khi người dùng vơ tình (hay cố ý) sử dụng đầu vào không hợp lý chương trình xử lý sai, dẫn đến việc bị khai thác, đổ vỡ (crash) Kỹ thuật lập trình đóng vài trị quan tr ọng m ọi ứng dụng Và lập trình viên phải luôn cập nhật thông tin, lỗi bị khai thác, cách phịng chống, sử dụng phương thức lập trình an tồn  Lừa đảo lấy cắp thơng tin Việc lấy cắp thực nhiều hình thức: lấy cắp văn in hay lấy cắp thông tin số, cung cấp thông tin n ội b ộ cho bên ngồi Cách tốt để phịng tránh nguy phải có sách bảo mật thiết kế tốt Những sách giúp người quản lý bảo mật thông tin thu thập thơng tin, từ ều tra đưa kết luận xác, nhanh chóng Khi có sách tốt, người quản trị sử dụng kỹ thuật điều tra số (forensics) để truy vết hành động công  Hacker (Tin tặc) Có nhiều cách hacker cơng hệ thống Mỗi kẻ cơng có thủ thuật, cơng cụ, kiến thức, hiểu biết v ề h ệ thống Trước tiên, hacker thu thập thông tin hệ thống, nhiều Càng nhiều thơng tin, khả thành công việc công lớn Những thơng tin là: tên ứng dụng, phiên ứng dụng, hệ điều hành, email quản trị… Bước quét hệ thống để tìm lỗ hổng Các lỗ hổng gây ứng dụng xử lý thông tin hệ điều hành, thành phần có liên quan Từ đó, họ lợi dụng lỗ hổng tìm được, sử dụng tài khoản mặc định nhằm chiếm quyền truy cập vào ứng dụng Khi thành công, hacker cài đặt phần mềm, mã độc để có th ể xâm nhập vào hệ thống lần sau Bước cuối xóa v ết t ấn cơng Để phịng tránh nguy này, ứng dụng tương tác với người dùng, liệu cần phải giấu thông tin quan tr ọng (n ếu có th ể) phiên bản, loại ứng dụng, thành phần kèm theo… Sử dụng phần mềm phát truy cập trái phép, rà soát hệ thống thường xun xem có phần mềm lạ khơng, cấu hình tường lửa hợp lý, sách truy cập nhóm người dùng, quản lý truy cập…  Lây lan mã độc Có nhiều loại mã độc kể đến như: virus, sâu máy tính, Trojan horse, logic bomb… Nguy chúng gây hoàn toàn rõ ràng vô phong phú Khi xâm nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ cơng truy cập làm việc máy nạn nhân; ghi lại thơng tin sử dụng máy tính (thao tác bàn phím, sử dụng mạng, thơng tin đăng nhập…) Cài mã độc vào máy tính qua nhiều đường: l ỗ h phần mềm, sử dụng phần mềm crack, khơng có giấy phép sử dụng,… Cách tốt để tránh nguy cập nhật phần mềm xử lý d ữ li ệu, hệ ều hành phần mềm an ninh mạng, diệt virus Các kiểu cơng mạng phổ biến Có nhiều kiểu công mạng để xâm nhập vào hệ thống máy tính, phổ biến thường kiểu công sau đây:  Tấn công trực tiếp: Những công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp cơng cổ điển dị tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ cơng sử dụng thơng tin tên người dùng, ngày sinh, địa chỉ, số nhà…để đốn mật Trong trường hợp có danh sách người sử dụng thông tin môi trường làm việc, có chương trình tự động hố việc dị tìm mật Trong số trường hợp phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống (root hay administrator) Hai chương trình thường dùng cho phương pháp chương trình Sendmail Rlogin hệ thống Unix Sendmail m ột chương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C Sendmail chạy với quyền người quản trị hệ thống chương trình phải có quyền ghi vào hộp thư người sử dụng Vì Sendmail nhận trực tiếp u cầu mạng thư tín bên ngồi nên tr thành nguồn cung cấp lỗ hổng bảo mật để truy cập hệ thống Rlogin 10 1.2 Chọn Start sniffer để tiến hành nghe Hình 3.2.6: Bắt đầu tiến hành nghe Ở tab Sniffer chọn mục Add to list để thêm tất địa ch ỉ IP subnet Hình 3.2.7: Thêm tất địa IP subnet 38 Sau chọn, địa IP máy Victim lên Hình 3.2.8: Phát địa IP máy nạn nhân Tiếp theo chuyển qua tab APR, lại tiếp tục chọn m ục Add to list đ ể bảng Lúc xuất bảng:  Mục bên trái bảng chọn địa Default Gateway  Mục bên phải bảng chọn địa IP máy nạn nhân 39 Hình 3.2.9: Chọn địa Default Gateway IP máy nạn nhân Bật tính APR, q trình cơng bắt đầu diễn Toàn b ộ d ữ li ệu gửi máy Victim bị nghe máy kẻ cơng Hình 3.2.10: Bật tính ARP 40 Chuyển sang máy Victim, mở trình duyệt truy c ập vào trang web Hình 3.2.11: Đăng nhập Facebook trình duyệt IE với dạng giao thức HTTPS Sau chuyển máy kẻ cơng, mở công cụ Cain & Abel, chuyển sang tab Password để xem máy Attacker thu thập thông tin Vì đăng nhập giao thức HTTPS nên chọn mục HTTP đ ể xem k ết Hình 3.2.12: Thông tin Username Password bị lấy cắp 41 Quay trở lại máy nạn nhân để kiểm tra địa lệnh arp –a Lúc địa IP trở thành địa gateway địa MAC c Victim tr thành địa MAC kẻ cơng Hình 3.2.13: Địa IP MAC máy nạn nhân bị thay đổi Quay lại máy kẻ công, kiểm tra lại địa lần lệnh ipconfig /all Lúc địa MAC máy k ẻ t ấn công máy n ạn nhân trùng Hình 3.2.14: Địa MAC máy trùng 42 Sau đó, máy Attacker, tắt tính Sniffer APR Hình 3.2.15: Tắt tính máy công Quay lại máy nạn nhân kiểm tra địa xem có thay đổi khơng lệnh ipconfig /all Kết địa MAC trở đ ịa ch ỉ MAC ban đầu máy nạn nhân Hình 3.2.16: Địa MAC máy nạn nhân trở địa ban đầu 43 3.3 Demo công sniffing dùng DNS – Spoofing Sử dụng máy ảo để mô phỏng: máy kẻ công sử dụng hệ điều hành Kali Linux công công cụ Ettercap kết hợp SEToolkit Máy nạn nhân sử dụng Windows Đầu tiên máy kẻ công sử dụng công cụ SEToolkit có tích hợp sẵn Kali để tạo trang web giả mạo Chọn lựa Social – Engineering Attacks để lên danh sách lựa chọn công thực Có danh mục sau: Hình 3.3.1: Danh sách kiểu công toolkit SET Sau chọn Social – Engineering Attacks, chương trình ti ếp t ục đ ến bảng lựa chọn Hình 3.3.2: Danh sách lựa chọn công 44 Trong demo này, chọn Website Attack Vectors Nhập đ ể đ ến hình hiển thị Với danh sách hi ện lên k ẻ t ấn công lựa chọn Credential Harvester Attack Method Hình 3.3.3: Lựa chọn thứ để cơng web Bảng lựa chọn có ba lựa chọn khác nhau, chọn Site cloner để tạo trang web Front-end trang đăng nhập facebook Hình 3.3.4: Chọn nội dung nhập trang web đơn giản Sau chọn, nhập IP host Kali Linux để tạo Service Apache đ ơn giản cho trang web clone, nhập site cần clone Hình 3.3.5: Nhập IP host URL 45 Sau nhập IP host URL cần clone, lúc trang web sẵn sàng Ta có địa trang web clone IP host Hình 3.3.6: Web Facebook clone với địa host IP Sau lập trang web giả mạo thành cơng tiến hành chỉnh sửa file ettercap Chỉnh sửa thông số file etter.conf với quyền admin câu lệnh leafpad/etc/ettercap/etter.conf Hình 3.3.7: Chỉnh sửa thơng số file câu lệnh Khi bảng thơng số etter.conf Kẻ cơng chỉnh sửa thơng số hai dịng ec_uid ec_gid từ 65534 thành Hình 3.3.8: Chỉnh sửa thông số 46 Tiếp tục kéo xuống để sửa câu lệnh mục # if you use iptables: kẻ cơng bỏ dấu # trước dịng để bật ch ức chuy ển h ướng gói tin đến địa giả mạo cách thay đổi địa IP đích Hình 3.3.9: Chỉnh sửa dòng lệnh để bật chức chuyển hướng gói tin Quay lại terminal để thực thay đổi quyền truy cập với file etter.dns từ người dùng khác câu lệnh leafpad/etc/ettercap/etter.dns Hình 3.3.10: Tiến hành thay đổi quyền truy cập Sau bảng etter.dns Hacker sử dụng file etter.dns để đưa IP vào kèm theo tên miền facebook Đây bước thay đổi DNS Client mục đích để nạn nhân truy câp vào trang web l ập t ức b ị ều hướng trang web giả mạo mà Attacker lập nên Hình 3.3.11: Chỉnh sửa tên miền thành facebook IP máy ảo Kali 47 Bắt đầu công sử dụng Ettercap Vào tab Sniff  undefined sniffing  eth0 để chọn card phù hợp Hình 3.3.12: Chọn card Quét host Vào tab Host  host list  Scan for hosts Hình 3.3.13: Quét hosts 48 Sau chọn địa Gateway cho Target địa IP máy n ạn nhân cho Target Hình 3.3.14: Chọn địa cho target Tiếp theo vào tab MITM  ARP Poisoning  Sniff remote connections Hình 3.3.15: Chọn Sniff remote công MITM 49 Tiếp tục chuyển sang tab Plugins → Manage the plugins → dns_spoof Hình 3.3.16: Chọn kiểu công dns spoof Cuối đợi nạn nhân truy cập, bị điều dẫn đến trang web kẻ cơng giả mạo DNS Hình 3.3.17: Nạn nhân đăng nhập vào facebook 50 Khi nạn nhân đăng nhập vào trang web facebook.com bị ều hướng trang web mà attacker giả mạo Sau thông tin c n ạn nhân gửi đến máy kẻ cơng Hình 3.3.18: Mật email nạn nhân gửi cho máy kẻ công 51 TÀI LIỆU THAM KHẢO [1] Lê Đình Thích, Hồng Sỹ Tương, An tồn mạng máy tính, Học viện kỹ thuật mật mã, 2013 [2] Đặng Trường Sơn, Các kiểu công mạng, Đại học Ngoại ngữ tin học TPHCM, 2010 [3] Ngô Xuân Giang, Kỹ thuật cơng phịng thủ khơng gian mạng, Viện nghiên cứu an ninh mạng, 2012 [4] Lê Bảo Long, Tìm hiểu an ninh mạng kỹ thuật Sniffer, Cao đẳng CNTT hữu nghị Việt Hàn, 2012 [5] Nguyễn Hiếu Minh, Tấn cơng mạng máy tính, Học viện kỹ thuật quân 52 ... mạng  Tìm hiểu phương pháp cơng sniffing  Cách phịng chống cơng sniffing 12 CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHÒNG CHỐNG 2.1 Giới thiệu 2.1.1 Khái niệm sniffing Sniffing hình thức... PHỊNG CHỐNG” thực nhằm tìm hiểu kiểu cơng phổ biến mạng Cụ thể, báo cáo sâu vào nghiên cứu phương pháp cơng sniffing cách phịng chống Mục tiêu đề là:  Tìm hiểu số kiểu cơng phổ biến mạng  Tìm hiểu. .. CHƯƠNG 1: GIỚI THIỆU CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHỊNG CHỐNG CHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CƠNG SNIFFING DANH MỤC HÌNH VẼ Hình 2.1: Cơ chế hoạt động sniffing Hình 2.2.1: Lắng