Báo cáo đồ án nghiên cứu kỹ thuật tấn công mạng LAN và giải pháp đảm bảo an toàn mạng LAN

Qua kiểm tra các hệ thống trên mạng máy tính Bộ Công an, bộ phận an toàn thông tin đã phát hiện được nhiều thiết bị kết nối trên mạng có lỗ hổng an ninh cho phép hacker hoặc phần mềm giá

BỘ CÔNG AN TRƯỜNG ĐẠI HỌC KỸ THUẬT – HẬU CẦN CAND

KHOA CÔNG NGHỆ THÔNG TIN

- -

BÁO CÁO THỰC TẬP CHUYÊN ĐỀ

Đề tài:

“NGHIÊN CỨU KỸ THUẬT TẤN CÔNG MẠNG LAN VÀ

GIẢI PHÁP ĐẢM BẢO AN TOÀN MẠNG LAN”

Giảng viên hướng dẫn: ThS BÙI HỒNG ĐẠI Sinh viên thực hiện: ĐOÀN MINH TOÀN

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH iii

DANH MỤC BẢNG v

LỜI CẢM ƠN vi

PHẦN MỞ ĐẦU 1

CHƯƠNG 1 TỔNG QUAN VỀ MẠNG CỤC BỘ 3

1.1 Giới thiệu mạng cục bộ 3

1.1.1 Khái niệm về mạng cục bộ 3

1.1.2 Lịch sử phát triển của mạng cục bộ 3

1.1.3 Những thiết bị cấu thành và các mô hình thực thi 4

1.2 Công nghệ Ethernet 11

1.2.1 Khái niệm công nghệ Ethernet 11

1.2.2 Lịch sử phát triển của công nghệ Ethernet 12

1.2.3 Các đặc tính chung của Ethernet 12

1.3 Các kỹ thuật chuyển mạch trong mạng LAN 15

1.3.1 Khái niệm về chuyển mạch 15

1.3.2 Lịch sử phát triển của hệ thống chuyển mạch 15

1.3.3 Các chế độ chuyển mạch trong LAN 15

CHƯƠNG 2 TẤN CÔNG MẠNG CỤC BỘ VÀ GIẢI PHÁP PHÒNG CHỐNG 17 2.1 Tổng quan về an ninh mạng 17

2.1.1 Khái niệm về an ninh mạng 17

2.1.2 Hacker và ảnh hưởng của việc hack 17

2.1.3 Các giai đoạn tấn công 18

2.1.4 Các loại tấn công mạng 19

2.1.5 Các đối tượng có thể bị tấn công trong LAN và các hình thức tấn công

phổ biến 20

2.2 Một số kiểu tấn công mạng LAN và cách phòng chống 21

2.2.1 Kiểu tấn công ARP spoofing 21

2.2.2 Kiểu tấn công DNS spoofing 24

2.2.3 Kiểu tấn công DHCP spoofing 27

2.3 Một số giải pháp đảm bảo an toàn mạng LAN 29

2.3.1 Tường lửa (Firewall) 29

2.3.2 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS 31

2.3.3 Mạng VLAN ảo 31

2.3.4 Mạng riêng ảo (VPN) 32

CHƯƠNG 3 THỬ NGHIỆM TẤN CÔNG MẠNG CỤC BỘ 33

3.1 Giới thiệu hệ điều hành Backtrack 5 R3 33

3.2 Xây dựng mô hình thử nghiệm 36

3.3 Tiến hành tấn công 36

3.3.1 Tấn công AR spoofing 36

3.3.2 Tấn công DHCP spoofing 42

3.3.3 Tấn công DNS spoofing 44

3.4 Đánh giá, kết luận 46

3.4.1 Đánh giá 46

3.4.2 Kết luận 47

TÀI LIỆU THAM KHẢO 48

DANH MỤC HÌNH

Hình 1.1 Modem và việc kết nối với các thiết bị khác 4

Hình 1.2 Dồn kênh và phân tín hiệu 5

Hình 1.3 Mô hình liên kết mạng sử dụng Repeater 5

Hình 1.4 Đầu nối mạng qua Hub 6

Hình 1.5 Bộ chuyển mạch (Switch) 6

Hình 1.6 Cầu (Bridge) 7

Hình 1.7 Router trong việc kết nối mạng 7

Hình 1.8 Kết nối mạng sử dụng Brouter 8

Hình 1.9 Lay 3 Switch 8

Hình 1.10 Cấu trúc mạng hình sao 9

Hình 1.11 Cấu trúc mạng hình tuyến 10

Hình 1.12 Cấu trúc mạng dạng vòng 11

Hình 1.13 Cấu trúc khung tin Ethernet 12

Hình 2.1 Các giai đoạn tấn công 18

Hình 2.2 Vị trí của ARP 21

Hình 2.3 Cách thức hoạt động của ARP 22

Hình 2.4 Cách thức tấn công ARP spoofing 23

Hình 2.5 Hoạt động của DNS 25

Hình 2.6 Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID 26

Hình 2.7 Hoạt động của DHCP 28

Hình 2.8 Firewall cứng 30

Hình 2.9 Firewall mềm 30

Hình 3.2 Các công cụ trong Backtrack 5 R3 34

Hình 3.3 Mô hình thử nghiệm tấn công phòng thủ 36

Hình 3.4 Địa chỉ MAC bên máy nạn nhân 37

Hình 3.5 Địa chỉ MAC bên máy tấn công 37

Hình 3.6 Chọn Network interface 38

Hình 3.7 Giao diện sau khi chọn cổng interface 38

Hình 3.8 Danh sách các Hosts sau khi quét 39

Hình 3.9 Chọn kiểu tấn công ARP poisoning 39

Hình 3.10 Bắt đầu tấn công ARP poisonning 40

Hình 3.11 Kiểm tra địa chỉ MAC bên máy nạn nhân 40

Hình 3.12 Telnet vào Server từ máy nạn nhân 41

Hình 3.13 Thông tin bắt được bên máy tấn công bằng tấn công arp spoofing 41

Hình 3.14 Telnet đến Server bằng máy tấn công 42

Hình 3.15 Chọn chức năng tấn công Dhcp spoofing 43

Hình 3.16 Điền thông tin Server 43

Hình 3.17 Thông tin bắt được bên máy tấn công bằng tấn công Dhcp spoofing 44

Hình 3.18 Sửa tập tin etter.dns 45

Hình 3.19 Khởi động dns_spoof 45

Hình 3.20 Trang web thegioitinhoc.vn đã bị điều hướng 46

DANH MỤC BẢNG Bảng 1.1 Các loại mạng Ethernet 14 Bảng 3.1 Thời gian phát hành các phiên bản Backtrack 33

LỜI CẢM ƠN Sau một thời gian học tập, nghiên cứu cùng với sự giúp đỡ quý báu của các thầy giáo, cô giáo, em đã hoàn thành bài báo cáo đề tài kết thúc học phần môn Thực tập chuyên đề

Hoàn thành bài báo cáo này, cho phép em được bày tỏ lời cảm ơn tới thầy cô giáo trong khoa Công nghệ thông tin trường Đại học Kỹ thuật - Hậu cần CAND đã giúp đỡ em hoàn thiện bài báo cáo Đồng thời, em gửi lời cảm ơn đặc biệt về sự chỉ dẫn tận tình của thầy Bùi Hồng Đại trong suốt quá trình nghiên cứu và thực hiện đề tài

Tuy vậy, do thời gian có hạn cũng như kinh nghiệm còn hạn chế nên trong bài báo cáo này sẽ không tránh khỏi những thiếu sót, hạn chế nhất định Vì vậy, em rất mong nhận được sự chỉ bảo, đóng góp ý kiến của các thầy cô để em có điều kiện bổ sung, nâng cao kiến thức của bản thân

Em xin chân thành cảm ơn!

Bắc Ninh, ngày 22 tháng 06 năm 2016

SINH VIÊN THỰC HIỆN

Đoàn Minh Toàn

PHẦN MỞ ĐẦU

1 Tính cấp thiết của chuyên đề

Công nghệ thông tin ngày càng đóng vai trò quan trọng trong mọi lĩnh vực của đời sống nói chung và các mặt công tác của lực lượng Công an nói riêng Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình vào mạng toàn cầu Internet An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các

cơ quan, doanh nghiệp, tổ chức với Internet

Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin, gây nên những hậu quả vô cùng nghiêm trọng

Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được hoàn thiện Điều đó một phần do các nhân viên quản trịhệ thống ngày càng đề cao cảnh giác Vì vậy việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát

Trong công tác Công an, việc nghiên cứu các kỹ thuật tấn công, phòng thủ, giải pháp đảm bảo an toàn trong mạng nôi bộ có vai trò rất quan trọng Qua kiểm tra các hệ thống trên mạng máy tính Bộ Công an, bộ phận an toàn thông tin đã phát hiện được nhiều thiết bị kết nối trên mạng có lỗ hổng an ninh cho phép hacker hoặc phần mềm gián điệp xâm nhập được Sự tồn tại của những lỗ hổng an ninh này có thể gây ra những hậu quả như: làm mất hoặc lộ lọt thông tin, là điểm yếu để hacker hoặc phần mềm gián điệp tấn công các máy tính khác trên mạng.v.v Ngoài ra, nhiều đơn vị hiện nay đang

sử dụng các đường điện thoại để tổ chức kết nối mạng cho các máy tính ở xa, tạo ra những lỗ hổng an ninh lớn trên mạng máy tính Bộ Công an

Xuất phát từ những lý do trên em đã quyết định lựa chọn đi sâu phân tích

và nghiên cứu đề tài “Nghiên cứu kỹ thuật tấn công mạng LAN và xây dựng

giải pháp đảm bảo an toàn mạng LAN”

2 Mục tiêu của chuyên đề

- Tìm hiểu tổng quan về mạng LAN

- Nghiên cứu một số kỹ thuật tấn công mạng LAN và xây dựng cách phòng chống tấn công

- Đề xuất một số giải pháp đảm bảo an toàn mạng LAN

- Xây dựng mô hình thử nghiệm và triển khai một số biện pháp tấn công

và phòng chống

3 Phạm vi nghiên cứu của chuyên đề

Tổng quan về mạng LAN, một số kỹ thuật tấn công mạng LAN và cách phòng chống

4 Đối tượng nghiên cứu

Kỹ thuật tấn công mạng LAN, cách phòng chống và giải pháp đảm bảo

5 Nội dung nghiên cứu của chuyên đề gồm

- Nghiên cứu tổng quan về mạng LAN

- Nghiên cứu một số kỹ thuật tấn công mạng LAN phổ biến

- Nghiên cứu cách phòng chống và xây dựng giải pháp đảm bảo an toàn mạng LAN

- Xây dựng thử nghiệm một số kỹ thuật tấn công và phòng chống

6 Cấu trúc báo cáo gồm 3 chương:

Chương 1 Tổng quan về mạng cục bộ

Chương 2 Một số kỹ thuật tấn công mạng LAN và cách phòng chống Chương 3 Thử nghiệm tấn công mạng cục bộ

CHƯƠNG 1 TỔNG QUAN VỀ MẠNG CỤC BỘ 1.1 Giới thiệu mạng cục bộ

1.1.1 Khái niệm về mạng cục bộ

- Định nghĩa mạng cục bộ:

LAN (Local Area Network) hay còn gọi mạng máy tính cục bộ là một

hệ thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà ở, phòng làm việc, trường học,…) Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với nhau, mà điển hình là chia sẻ tập tin, máy in, máy quét và một

số thiết bị khác [1]

- Mục đích của mạng cục bộ:

+ Liên lạc với nhau

+ Chia sẻ thông tin

+ Chia sẻ tài nguyên

1.1.2 Lịch sử phát triển của mạng cục bộ

Vào những năm 80, cùng với sự xuất hiện của PC, người sử dụng thấy rằng họ có thể thỏa mãn một phần lớn nhu cầu tính toán của họ mà không cần tới máy tính lớn Việc tính toán và xử lý độc lập ngày càng phát triển và vai trò xử lý tập trung ngày càng giảm dần

Trong vòng 15 năm qua, LAN đã trở thành một công cụ có ý nghĩa chiến lược trong hoạt động của hầu như mọi tổ chức, nhất là các doanh nghiệp Sau đó, LAN và các tiêu chuẩn cho phép nối các PC khác nhau để cùng hoạt động vì lợi ích chung đã xuất hiện

- LAN thế hệ thứ nhất:

LAN thế hệ thứ nhất nối các máy để bàn với nhau để chia sẻ tài

nguyên Tiếp theo đó, các LAN được nối với nhau để tạo thành liên mạng bằng cách sử dụng Hub, Bridge hoặc Router

Mạng doanh nghiệp với các chi nhánh ở xa nhau được hình thành thông qua việc sử dụng Router với các đường xa có tốc độ 64 Kbps, các

đường truyền này có thể là Leased Line (đường thuê riêng) hoặc X.25

Các mạng LAN đều là loại sử dụng chung môi trường truyền, có nghĩa

là một đường cáp duy nhất được dùng để truyền dữ liệu giữa các máy tính

- LAN thế hệ thứ hai:

Thế hệ này được đặc trưng bởi công nghệ chuyển mạch và đa dịch vụ (Multimedia) trước đây được hiểu là các phương tiện truyền dẫn khác nhau như cáp đồng xoắn, cáp đồng trục, cáp quang Gần đây, multimedia mới được hiểu là đa dịch vụ: dữ liệu, thoại và hình ảnh

Vấn đề khó khăn ngày nay là làm cách nào để nâng cấp mạng thế hệ thứ nhất lên mạng thế hệ thứ hai khi mà các ứng dụng mới và sự phát triển của mạng yêu cầu điều đó

1.1.3 Những thiết bị cấu thành và các mô hình thực thi

1.1.3.1 Những thiết bị cấu thành

- Modem (Bộ điều chế và giải điều chế)

Modem (Modulation/ Demodulation) là thiết bị có chức năng chuyển đổi tín hiệu số thành tín hiệu tương tự và ngược lại (Digital <- - -> Analog) để kết nối các máy tính qua đường điện thoại

Hình 1.1 Modem và việc kết nối với các thiết bị khác

- Multiplexor (Bộ phân kênh)

Multiplexor là thiết bị có chức năng tổ hợp một tín hiệu để chúng có thể được truyền với nhau và sau đó khi nhận lại được tách ra trở lại các tín hiệu gốc (chức năng phục hồi lại các tín hiệu gốc như thế gọi là phân kênh)

Hình 1.2 Dồn kênh và phân tín hiệu

- Bộ lặp tín hiệu (Repeater)

Repeater là loại thiết bị phần cứng đơn giản nhất trong các thiết bị liên kết mạng, nó được hoạt động trong tầng vật lý của mô hình OSI Khi Repeater nhận được một tín hiệu từ một phía của mạng thì nó sẽ phát tiếp vào phía kia của mạng

Hình 1.3 Mô hình liên kết mạng sử dụng Repeater

- Bộ tập trung (Hub)

Hub là bộ chia (hay cũng được gọi là Bộ tập trung – Concentrator) là một trong những yếu tố quan trọng nhất của LAN, đây là điểm kết nối dây trung tâm của mạng, tất cả các trạm trên mạng LAN được kết nối thông qua Hub

Hình 1.4 Đầu nối mạng qua Hub

- Bộ chuyển mạch (Switch)

Bộ chuyển mạch là sự tiến hoá của cầu (Bridge), nhưng có nhiều cổng

và dùng các mạch tích hợp nhanh để giảm độ trễ của việc chuyển khung dữ liệu Switch giữa bảng địa chỉ MAC của mỗi cổng và thực hiện giao thức Spanning Tree Switch cũng hoạt động ở tầng Data Link và trong suốt với các giao thức ở tầng trên

Hình 1.5 Bộ chuyển mạch (Switch)

- Cầu nối (Bridge)

Bridge là một thiết bị có xử lý dùng để nối hai mạng giống nhau hoặc khác nhau, nó có thể được dùng với các mạng có các giao thức khác nhau

Hình 1.6 Cầu (Bridge)

- Bộ định tuyến (Router)

Router là một thiết bị hoạt động trên tầng mạng, nó có thể tìm được đường đi tốt nhất cho các gói tin qua nhiều kết nối để đi từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng cuối Router có thể được sử dụng trong việc nối nhiều mạng với nhau và cho phép các gói tin có thể đi theo nhiều đường khác nhau để tới đích

Hình 1.7 Router trong việc kết nối mạng

Hình 1.8 Kết nối mạng sử dụng Brouter

- Bộ chuyển mạch có định tuyến (Layer 3 Switch)

Switch L3 có thể chạy giao thức định tuyến ở tầng mạng, tầng 3 của

mô hình 7 tầng OSI Switch L3 có thể có các cổng WAN để nối các LAN ở khoảng cách xa Thực chất nó được bổ sung thêm tính năng của Router

Hình 1.9 Lay 3 Switch

1.1.3.2 Các mô hình thực thi

a Mạng dạng hình sao (Star Topology)

Mạng dạng hình sao bao gồm một bộ kết nối trung tâm và các nút Các nút này là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng Bộ kết nối trung tâm của mạng điều phối mọi hoạt động trong mạng [1]

Mạng dạng hình sao cho phép nối các máy tính vào một bộ tập trung (Hub) bằng cáp, giải pháp này cho phép nối trực tiếp máy tính với Hub không cần thông qua trục Bus, tránh được các yếu tố gây ngưng trệ mạng

Hình 1.10 Cấu trúc mạng hình sao

Mô hình kết nối hình sao ngày nay đã trở nên hết sức phổ biến Với việc

sử dụng các bộ tập trung hoặc chuyển mạch, cấu trúc hình sao có thể được mở rộng bằng cách tổ chức nhiều mức phân cấp, do vậy dễ dàng trong việc quản

lý và vận hành

- Các ưu điểm của mạng hình sao:

+ Hoạt động theo nguyên lý nối song song nên nếu có một thiết bị nào

đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường

+ Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định

+ Mạng có thể dễ dàng mở rộng hoặc thu hẹp

- Những nhược điểm của mạng dạng hình sao:

+ Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng của trung tâm

+ Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động

+ Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung tâm Khoảng cách từ máy đến trung tâm rất hạn chế (100 m)

b Mạng hình tuyến (Bus Topology)

Thực hiện theo cách bố trí hành lang, các máy tính và các thiết bị khác - các nút, đều được nối về với nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu Tất cả các nút đều sử dụng chung đường dây cáp chính này Phía hai đầu dây cáp được bịt bởi một thiết bị gọi là Terminator Các tín hiệu và dữ liệu khi truyền đi trên dây cáp đều mang theo điạ chỉ của nơi đến [1]

Hình 1.11 Cấu trúc mạng hình tuyến

- Ưu điểm: Loại hình mạng này dùng dây cáp ít nhất, dễ lắp đặt, giá thành rẻ

- Nhược điểm:

+ Sự ùn tắc giao thông khi di chuyển dữ liệu với lưu lượng lớn

+ Khi có sự hỏng hóc ở đoạn nào đó thì rất khó phát hiện, một sự ngừng trên đường dây để sửa chữa sẽ ngừng toàn bộ hệ thống Cấu trúc này ngày nay ít được sử dụng

c Mạng dạng vòng (Ring Topology)

Mạng dạng này, bố trí theo dạng xoay vòng, đường dây cáp được thiết kế làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó Các nút truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi Dữ liệu truyền đi phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận [1]

- Ưu điểm:

+ Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa, tổng đường dây cần thiết ít hơn so với hai kiểu trên

+ Mỗi trạm có thể đạt được tốc độ tối đa khi truy nhập

- Nhược điểm: Đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thì toàn bộ hệ thống cũng bị ngừng

Hình 1.12 Cấu trúc mạng dạng vòng

d Mạng dạng kết hợp

- Kết hợp hình sao và tuyến (Star/Bus Topology):

Cấu hình mạng dạng này có bộ phận tách tín hiệu (Spitter) giữ vai trò thiết bị trung tâm, hệ thống dây cáp mạng có thể chọn hoặc Ring Topology hoặc Linear Bus Topology

Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách xa nhau, ARCNet là mạng dạng kết hợp Star/Bus Topology Cấu hình dạng này đem lại sự uyển chuyển trong việc bố trí đường dây, tương thích dễ dàng đối với bất cứ toà nhà nào

- Kết hợp hình sao và vòng (Star/Ring Topology):

Cấu hình dạng kết hợp Star/Ring Topology, có một "thẻ bài" liên lạc (Token) được chuyển vòng quanh một cái Hub trung tâm Mỗi trạm làm việc (Workstation) được nối với Hub - là cầu nối giữa các trạm làm việc và để tǎng khoảng cách cần thiết

1.2 Công nghệ Ethernet

1.2.1 Khái niệm công nghệ Ethernet

Ethernet là công nghệ khu vực nội bộ được sử dụng để kết nối các thiết

bị ở khoảng cách gần, được vận hành chỉ trong một toà nhà Ở mức tối đa ,người ta có thể sử dụng hàng trăm mét để kết nối các thiết bị Ethernet Nhưng để kết nối các thiết bị ở khoảng cách địa lý xa thì không thể Ngày nay, nhờ những tiến bộ về mặt công nghệ, người ta có thể xem xét lại trở ngại

về mặt địa lý này, cho phép mạng lưới Ethernet mở rộng đến hàng chục kilomet

1.2.2 Lịch sử phát triển của công nghệ Ethernet

- Năm 1972:

+ Thí nghiệm về hệ thống đầu tiên được thực hiện tại Xerox PARC ( Palo Alto Research Center )

+ Hệ thống mạng truyền 2,94Mbps dựa trên Ethernet

- Năm 1979: Xây dựng chuẩn Ethernet II, tốc độ 10Mbps

- Năm1981:

+ Chuẩn IEEE 802.3 được chính thức được sử dụng

+ Digital Equipment, Intel, và Xerox cùng phát triển và đưa ra phiên

bản Ethernet Version 2.0, Ethernet II => chuẩn quốc tế

- Năm 1995: Được IEEE chuẩn hóa thành Fast Ethernet

1.2.3 Các đặc tính chung của Ethernet

1.2.3.1 Cấu trúc khung tin Ethernet

Các chuẩn Ethernet đều hoạt động ở tầng Data Link trong mô hình 7 lớp OSI vì thế đơn vị dữ liệu mà các trạm trao đổi với nhau là các khung (Frame) Cấu trúc khung tin Ethernet như sau:

Hình 1.13 Cấu trúc khung tin Ethernet

- Các trường quan trọng trong phần mào đầu sẽ được mô tả dưới đây:

+ Preamble: Trường này đánh dấu sự xuất hiện của khung bit, nó luôn mang giá trị 10101010 Từ nhóm bit này, phía nhận có thể tạo ra xung đồng

cách tương tự Nếu hai kết quả trùng nhau, khung được xem là nhận đúng, ngược lại khung coi như là lỗi và bị loại bỏ

1.2.3.2 Cấu trúc địa chỉ Ethernet

Mỗi giao tiếp mạng Ethernet được định danh duy nhất bởi 48 bit địa chỉ (6 Octet) Đây là địa chỉ được ấn định khi sản xuất thiết bị, gọi là địa chỉ MAC ( Media Access Control Address ) Địa chỉ MAC được biểu diễn bởi các chữ số Hexa ( hệ cơ số 16 )

Ví dụ: 00:60:97:8F:4F:86 hoặc 00-60-97-8F-4F-86

- Khuôn dạng địa chỉ MAC được chia làm 2 phần:

+ 3 Octet đầu xác định hãng sản xuất, chịu sự quản lý của tổ chức IEEE

+ 3 Octet sau do nhà sản xuất ấn định Kết hợp ta sẽ có một địa chỉ MAC duy nhất cho một giao tiếp mạng Ethernet

Địa chỉ MAC được sử dụng làm địa chỉ nguồn và địa chỉ đích trong khung Ethernet

1.2.3.3 Các loại khung Ethernet

- Các khung Unicast

Giả sử trạm 1 cần truyền khung tới trạm 2 Khung Ethernet do trạm 1 tạo ra có địa chỉ: MAC nguồn: 00-60-08-93-DB-C1, MAC đích : 00-60-08-93-AB-12

Đây là khung Unicast Khung này được truyền tới một trạm xác định Tất cả các trạm trong phân đoạn mạng trên sẽ đều nhận được khung này, nhưng:

+ Chỉ có trạm 2 thấy địa chỉ MAC đích của khung trùng với địa chỉ MAC của giao tiếp mạng của mình nên tiếp tục xử lý các thông tin khác trong khung

+ Các trạm khác sau khi so sánh địa chỉ sẽ bỏ qua không tiếp tục xử lý khung nữa

- Các khung Broadcast

Các khung Broadcast có địa chỉ MAC đích là FF-FF-FF-FF-FF-FF (48 bit 1) Khi nhận được các khung này, mặc dù không trùng với địa chỉ MAC của giao tiếp mạng của mình nhưng các trạm đều phải nhận khung và tiếp tục

xử lý Giao thức ARP sử dụng các khung Broadcast này để tìm địa chỉ MAC tương ứng với một địa chỉ IP cho trước

Một số giao thức định tuyến cũng sử dụng các khung Broadcast để các Router trao đổi bảng định tuyến

Trạm nguồn gửi khung tới một số trạm nhất định chứ không phải là tất

cả Địa chỉ MAC đích của khung là địa chỉ đặc biệt mà chỉ các trạm trong cùng nhóm mới chấp nhận các khung gửi tới địa chỉ này

1.2.3.4 Hoạt động của Ethernet

- Phương thức điều khiển truy nhập CSMA/CD quy định hoạt động của

hệ thống Ethernet Một số khái niệm cơ bản liên quan đến quá trình truyền khung Ethernet:

+ Khi tín hiệu đang được truyền trên kênh truyền, kênh truyền lúc này bận và ta gọi trạng thái này là có sóng mang – Carrier

+ Khi đường truyền rỗi: không có sóng mang – Absence Carrier

+ Nếu hai trạm cùng truyền khung đồng thời thì chúng sẽ phát hiện ra

sự xung đột và phải thực hiện lại quá trình truyền khung

+ Khoảng thời gian để một giao tiếp mạng khôi phục lại sau mỗi lần nhận khung được gọi là khoảng trống liên khung (InterFrame Gap) – ký hiệu IFG Giá trị của IFG bằng 96 lần thời gian của một bit

1.3 Các kỹ thuật chuyển mạch trong mạng LAN

1.3.1 Khái niệm về chuyển mạch

Chuyển mạch là một quá trình thực hiện đấu nối và chuyển thông tin cho người sử dụng thông qua hạ tầng mạng viễn thông Nói cách khác, chuyển mạch trong mạng viễn thông bao gồm chức năng định tuyến cho thông tin và chức năng chuyển tiếp thông tin

1.3.2 Lịch sử phát triển của hệ thống chuyển mạch

Vào khoảng thập niên 60 của thế kỷ 20, xuất hiện sản phẩm tổng đài điện tử số là sự kết hợp giữa công nghệ điện tử với kỹ thuật máy tính Trong những năm 70 hàng loạt các tổng đài thương mại điện tử số ra đời

Khoảng năm 1996 khi mạng Internet trở thành bùng nổ trong thế giới công nghệ thông tin, nó đã tác động mạnh mẽ đến công nghiệp viễn thông và

xu hướng hội tụ các mạng máy tính, truyền thông, điều khiển Hạ tầng mạng viễn thông đã trở thành tâm điểm quan tâm trong vai trò hạ tầng xã hội Một mạng có thể truyền băng rộng với các loại hình dịch vụ thoại và phi thoại, tốc

độ cao và đảm bảo được chất lượng dịch vụ QoS (Quality Of Service) đã trở thành cấp thiết trên nền tảng của một kỹ thuật mới: Kỹ thuật truyền tải không đồng bộ ATM (Asynchronous Transfer Mode)

Sự tăng trưởng của các dịch vụ truy nhập đã tạo nên sức ép và đặt ra 3 vấn đề chính đối với hệ thống chuyển mạch băng rộng đa dịch vụ: Truy nhập băng thông rộng, sự thông minh của thiết bị biên và truyền dẫn tốc độ cao tại mạng lõi

Các hệ thống chuyển mạch phải có độ mềm dẻo lớn nhằm tương thích và đáp ứng các yêu cầu tăng trưởng lưu lượng từ phía khách hàng Vì vậy, cơ chế điều khiển các hệ thống chuyển mạch đã được phát triển theo hướng phân lớp và module hóa nhằm nâng cao hiệu năng chuyển mạch và đảm bảo QoS

từ đầu cuối tới đầu cuối

1.3.3 Các chế độ chuyển mạch trong LAN

1.3.3.1 Chuyển mạch lưu và chuyển ( Store and Forward Switching )

Các bộ chuyển mạch lưu và chuyển hoạt động như cầu nối

Trước hết, khi có khung tin gửi tới, bộ chuyển mạch sẽ nhận toàn bộ khung tin, kiểm tra tính toàn vẹn dữ liệu của khung tin, sau đó mới chuyển tiếp khung tin tới cổng cần chuyển Khung tin trước hết phải được lưu lại để kiểm tra tính toàn vẹn do đó sẽ có một độ trễ nhất định từ khi dữ liệu được nhận tới khi dữ liệu được chuyển đi

Với chế độ chuyển mạch này, các khung tin đảm bảo tính toàn vẹn mới được chuyển mạch, các khung tin lỗi sẽ không được chuyển từ phân đoạn mạng này sang phân đoạn mạng khác

1.3.3.2 Chuyển mạch ngay (Cut-through Switching)

Các bộ chuyển mạch ngay hoạt động nhanh hơn so với các bộ chuyển mạch lưu và chuyển

Bộ chuyển mạch đọc địa chỉ đích ở phần đầu khung tin rồi chuyển ngay khung tin tới cổng tương ứng mà không cần kiểm tra tính toàn vẹn Khung tin được chuyển ngay thậm chí trước khi bộ chuyển mạch nhận đủ dòng bit dữ liệu Khung tin đi ra khỏi bộ chuyển mạch trước khi nó được nhận đủ

Các bộ chuyển mạch đời mới có khả năng giám sát các cổng của nó và quyết định sẽ sử dụng phương pháp nào thích hợp nhất Chúng có thể tự động chuyển từ phương pháp chuyển ngay sang phương pháp lưu và chuyển nếu số lỗi trên cổng vượt quá một ngưỡng xác định

CHƯƠNG 2 TẤN CÔNG MẠNG CỤC BỘ VÀ GIẢI PHÁP PHÒNG

CHỐNG 2.1 Tổng quan về an ninh mạng

2.1.1 Khái niệm về an ninh mạng

- Định nghĩa về an ninh mạng:

Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet Nếu như máy tính, hệ thống mạng không được trang bị hệ thống bảo vệ vậy chẳng khác nào đi khỏi căn phòng của mình mà quên khóa cửa, máy tính sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả hệ thống bất cứ lúc nào

Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi

sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng

- Tầm quan trọng của an ninh mạng:

Trong một doanh nghiệp hay một tổ chức nào đó, thì phải có các yếu

tố cần được bảo vệ như:

+ Dữ liệu

+Tài nguyên: con người, hệ thống và đường truyền

+ Danh tiếng của công ty

Nếu không đặt vấn đề an toàn thông tin lên hàng đầu thì khi gặp phải

sự cố thì tác hại đến doanh nghiệp không nhỏ:

+ Tốn kém chi phí

+ Tốn kém thời gian

+ Ảnh hưởng đến tài nguyên hệ thống

+ Ảnh hưởng đến danh dự, uy tín của doanh nghiệp

+ Mất cơ hội kinh doanh

2.1.2 Hacker và ảnh hưởng của việc hack

Mục đích của họ có thể là tìm hiểu kiến thức hoặc phá hoại bất hợp pháp Một số mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, sổ bảo hiểm xã hội, mật khẩu, email…

- Ảnh hưởng của việc hack:

Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới các vụ kiện Hack có thể làm 1 công ty bị phá sản Botnet có thể được sử dụng để khởi động các loại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm doanh thu Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng và bán chúng cho các đối thủ cạnh tranh

2.1.3 Các giai đoạn tấn công

Hình 2.1 Các giai đoạn tấn công

đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang

- Chiếm quyền điều khiển (Gainning access)

Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công nó, đã truy cập được nó bằng các lệnh khai thác Các lệnh khai thác luôn

ở bất cứ không gian nào, từ mạng LAN cho tới INTERNET

- Duy trì điều khiển hệ thống (Maitaining access)

Đến đây hacker bắt đầu phá hỏng làm hại,hoặc có thể cài trojan, rootkit, backdoor để lấy thông tin thêm Thường được thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng

- Xoá dấu vết (Clearning tracks)

Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che dấu hành động xâm nhập của mình Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập bằng các phương thức như Steganography, tunneling, and altering log file

2.1.4 Các loại tấn công mạng

- Tấn công hệ điều hành:

Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng

để được truy cập vào một hệ thống mạng Một số lỗi hệ điều hành như

+ Tràn bộ đệm

+ Lỗi trong hệ điều hành

+ Hệ thống chưa được vá hệ điều hành

- Tấn công cấu hình sai:

Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trị hoặc bị nhiễm virus, giúp hacker tận dụng những lỗ hổng này

để khai thác và xâm nhập vào hệ thống như chỉnh sửa sai DNS, thông tin cấu hình ip…

Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng, nhưng chưa kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khai thác

2.1.5 Các đối tượng có thể bị tấn công trong LAN và các hình thức tấn công phổ biến

Như vậy chúng ta có thể thấy được 1 mạng LAN có thể sẽ bị tấn công từ bên trong mạng và bên ngoài mạng ở đây em chỉ xin giới thiệu hình thức tấn công từ bên trong mạng Các đối tượng có thể bị tấn công:

- Máy chủ: Đây là đích của rất nhiều hacker bởi máy chủ là vô cùng quan trọng trong một mạng

- Thiết bị mạng: Các thiết bị mạng như switch, router hay modem cũng có thể bị tấn công

- Client: Các máy tính client cũng có thể bị tấn công để lợi dụng cho hacker thực hiện 1 mục đích nào đó

Mạng LAN có thể bị tấn công bởi các hình thức sau :

- Tấn công từ chối dịch vụ (DOS/DDOS):

+ Tấn công từ chối dịch vụ Dos (Denial Of Service): là kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho

hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống

+ Tấn công từ chối dịch vụ phân tán DDOS (Distributed Denial

Of Service): là kiểu tấn công làm hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn công khác nhau, phân tán trên mạng Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không có khả năng xử lý các yêu cầu Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS là DDoS sử dụng một mạng lưới tấn công rộng khắp, gồm nhiều máy tấn công nằm rải rác trên mạng

- Man-in-the-Middle (MITM) là hình thức tấn công mà kẻ tấn công (attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân

- Sniffer (Nghe lén): Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên (trong một hệ thống mạng) Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại Chỉ khác nhau ở môi trường là các chương trình Sniffer thực hiện nghe lén trong môi trường mạng máy tính

2.2 Một số kiểu tấn công mạng LAN và cách phòng chống

2.2.1 Kiểu tấn công ARP spoofing

- Đối tượng tấn công: Switch

- Kiểu tấn công: Man-in-the-Middle (MITM)

- Thế nào là tấn công ARP spoofing: Là kiểu tấn công mà trong đó hackers nghe giao thông trong mạng rồi sử dụng các gói tin ARP request được gửi liên tục nhằm giả địa chỉ MAC để xem liên lạc giữa các máy tính trong mạng

2.2.1.1 Các kiến thức liên quan

- ARP (address resolution protocol) là giao thức xác định địa chỉ nguồn cho địa chỉ phần cứng, mỗi NIC đều có 1 địa chỉ phần cứng

- ARP được dùng để xác định xem khi 1 gói tin được gửi ra ngoài được gửi đến 1 máy tính có địa chỉ IP là x1.x2.x3.x4 thì địa chỉ MAC của nó là gì Trong mạng LAN thường địa chỉ IP và địa chỉ MAC sẽ là của cùng 1 máy ngoại trừ router

- Giao thức ARP nằmg ở giữa tầng 2 và 3

Hình 2.2 Vị trí của ARP