BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN -□&□ - CƠ SỞ AN TỒN THƠNG TIN TÌM HIỂU VỀ PHƯƠNG PHÁP TẤN CƠNG SNIFFER Ngành: An tồn thơng tin Nhóm: 15 Sinh viên thực hiện: Trần Thế Long Lê Văn Lộc Nguyễn Năng Lực Giảng viên hướng dẫn: Cô Vũ Thị Vân Hà Nội - 2021 MỤC LỤC LỜI MỞ ĐẦU Theo thống kê tính tốn Cục An tồn thông tin Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) - Bộ TT&TT, năm 2016, Việt Nam phát 135.190 công mạng, tăng gấp lần so với năm 2015, có 10.276 công lừa đảo (Phishing), 47.135 công cài phần mềm độc hại (Malware) 77.779 cơng thay đổi giao diện (Deface) Trong đó, có 201 công thay đổi giao diện vào hệ thống có tên miền “.gov.vn” Riêng nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 công mạng vào hệ thống thông tin Việt Nam, bao gồm 1.522 công lừa đảo, 3.792 công cài đặt phần mềm độc hại 989 công thay đổi giao diện Tổng số công mạng vào hệ thống thông tin sử dụng tên miền “.gov.vn” tháng đầu năm 2017 25 Các công diễn biến phức tạp, với số lượng công mạng vào quan, tổ chức, doanh nghiệp có chiều hướng tăng so với năm trước đây, công mạng vào hệ thống thông tin quan nhà nước doanh nghiệp lớn Bài báo cáo giới thiệu tổng quát phương pháp Hacker sử dụng để cơng mạng, nói cụ thể phương pháp cơng sniffing cách phòng chống Nội dung báo cáo gồm 03 chương: CHƯƠNG 1: GIỚI THIỆU CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG CHỐNG CHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CƠNG SNIFFING DANH MỤC HÌNH VẼ Hình 2.1: Cơ chế hoạt động sniffing Hình 2.2.1: Lắng nghe thơng tin qua Hub Hình 2.2.2: Xung đột nhiều thiết bị truyền thông thời điểm Hình 2.3.1: Mơ hình cơng MITM Hình 2.4.1: Cơ chế hoạt động Span port Hình 2.5.1: Mơ hình làm việc Gateway Hình 2.6.1: Cách thức hoạt động ARP Hình 2.6.2: Chặn bắt thơng tin dùng ARP Poisoning Hình 2.7.1: Mơ hình cơng DNS – spoofing Hình 2.7.2: Tấn cơng giả mạo DNS sử dụng phương pháp ID Spoofing CHƯƠNG 1: GIỚI THIỆU 1.1 Tổng quan an ninh mạng nguy gây an ninh mạng Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng bảo mật liệu trở nên quan tâm Khi sở hạ tầng công nghệ mạng ngày đáp ứng tốt, nhiên song song với việc thực trạng cơng mạng ngày gia tăng, vấn đề bảo mật trọng Không nhà cung cấp dịch vụ Internet, quan phủ mà doanh nghiệp, tổ chức có ý thức an tồn thơng tin Bảo mật hay an tồn thơng tin bảo vệ thơng tin trước mối đe dọa "thông tin lộ", "thông tin khơng cịn tồn vẹn" "thơng tin khơng sẵn sàng" Ngồi ra, cịn bảo vệ chống lại nguy an tồn thơng tin "nguy hiểm", "thiệt hại", "mất mát" tội phạm khác Bảo mật hình thức mức độ bảo vệ thông tin bao gồm "cấu trúc" "quá trình xử lý" để nâng cao bảo mật Các nguyên tắc tảng an ninh mạng: • Tính bí mật: Là ngăn ngừa việc tiết lộ trái phép thơng tin quan • trọng, nhạy cảm Đó khả đảm bảo mức độ bí mật cần thiết tuân thủ thông tin quan trọng, nhạy cảm che giấu với người dùng khơng cấp phép Đối với an ninh mạng tính bí mật rõ ràng điều nói đến thường xun bị cơng Tính tồn vẹn: Là phát ngăn ngừa việc sửa đổi trái phép • liệu, thơng tin hệ thống, đảm bảo xác thơng tin hệ thống Có ba mục đích việc đảm bảo tính tồn vẹn: - Ngăn cản làm biến dạng nội dung thông tin người sử dụng không phép - Ngăn cản làm biến dạng nội dung thông tin không phép không chủ tâm người sử dụng phép - Duy trì tồn vẹn liệu nội bên ngồi Tính sẵn sàng: Bảo đảm người sử dụng hợp pháp hệ thống có khả truy cập lúc khơng bị ngắt quãng tới thông tin hệ thống tới mạng Tính sẵn sàng có liên quan đến độ tin cậy hệ thống 1.2 Các kiểu công mạng phổ biến Có nhiều kiểu cơng mạng để xâm nhập vào hệ thống máy tính, phổ biến thường kiểu công sau đây: • Tấn cơng trực tiếp: • Những công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp cơng cổ điển dị tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ cơng sử dụng thơng tin tên người dùng, ngày sinh, địa chỉ, số nhà…để đoán mật Trong trường hợp có danh sách người sử dụng thông tin môi trường làm việc, có chương trình tự động hố việc dị tìm mật Trong số trường hợp phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống (root hay administrator) Hai chương trình thường dùng cho phương pháp chương trình Sendmail Rlogin hệ thống Unix Sendmail chương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C Sendmail chạy với quyền người quản trị hệ thống chương trình phải có quyền ghi vào hộp thư người sử dụng Vì Sendmail nhận trực tiếp yêu cầu mạng thư tín bên ngồi nên trở thành nguồn cung cấp lỗ hổng bảo mật để truy cập hệ thống Rlogin cho phép người sử dụng từ máy mạng truy cập từ xa vào máy khác sử dụng tài nguyên máy Trong trình nhập tên mật người sử dụng, rlogin khơng kiểm tra độ dài dịng nhập nên ta đưa vào xâu lệnh tính tốn trước để ghi đè lên mã chương trình Rlogin, từ chiếm quyền truy cập Nghe trộm: • Việc nghe trộm thơng tin mạng đưa lại thơng tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thơng qua chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận tồn thơng tin lưu truyền mạng Những thơng tin dễ dàng lấy Internet Giả mạo địa chỉ: Việc giả mạo địa IP thực thơng qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách cơng • này, kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi Vơ hiệu chức hệ thống: • Đây kiểu công nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện tổ chức công phương tiện để làm việc truy nhập thơng tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao tồn tốc độ tính tốn khả mạng để trả lời lệnh này, khơng cịn tài ngun để thực cơng việc có ích khác Sử dụng lỗi người quản trị hệ thống: • Đây khơng phải kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội Tấn công vào yếu tố người: Kẻ cơng liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung yếu tố người điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng để nâng cao độ an toàn hệ thống bảo vệ 1.3 Mục tiêu báo cáo Với phát triển mạnh mẽ mạng máy tính nay, nhu cầu sử dụng mạng cho việc trao đổi chia sẻ thông tin lớn Tuy nhiên, song song với việc an ninh mạng ln nỗi lo hình thức cơng mạng ngày nhiều ngày trở nên tinh vi Do việc nghiên cứu phương pháp cơng mạng cách phịng chống điều tất yếu Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CƠNG SNIFFER” thực nhằm tìm hiểu kiểu công phổ biến mạng Cụ thể, báo cáo sâu vào nghiên cứu phương pháp cơng sniffing cách phịng chống Mục tiêu đề là:  Tìm hiểu số kiểu cơng phổ biến mạng  Tìm hiểu phương pháp cơng sniffing  Cách phịng chống cơng sniffing CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG 2.1 Giới 2.1.1 thiệu Khái niệm sniffing Sniffing hình thức nghe hệ thống mạng dựa đặc điểm chế TCP/IP Người nghe để thiết bị lắng nghe mạng mang thông tin hai thiết bị điện thoại hai thiết bị đầu cuối internet Nghe sử dụng công cụ để nhà quản trị mạng theo dõi, bảo trì hệ thống mạng kiểm tra liệu vào mạng Về mặt tiêu cực, sử dụng với mục đích nghe thông tin mạng để lấy thông tin quan trọng 2.1.2 Cơ chế hoạt động sniffing Những giao dịch hệ thống mạng máy tính thường liệu dạng nhị phân Bởi để hiểu liệu này, chương trình nghe phải có tính phân tích nghi thức, tính giải mã liệu dạng nhị phân để hiểu chúng Hình 2.1: Cơ chế hoạt động sniffing Trong môi trường Hub: Một khung gói tin chuyển từ máy A sang máy B đồng thời gửi đến tất máy khác kết nối Hub theo chế loan tin (broadcast) Các máy khác nhận gói tin tiến hành so sánh yêu cầu địa MAC frame gói tin với địa đích Nếu trùng lập nhận, cịn khơng cho qua Do gói tin từ A gửi đến B nên so 10 Tuyến đường [Gateway] bị nhiễm độc Ý tưởng giả mạo gói tin mang IP nguồn máy MAC nguồn máy khác Nút nhận thông báo khác biệt cập nhật bảng ARP Quá trình công chi tiết giới thiệu kỹ phần bắt chặn thông tin ARP poisoning 2.6 Chặn bắt thông tin dùng ARP – Poisoning 2.6.1 Khái niệm nguyên tắc làm việc ARP mạng LAN Tầng Network mơ hình OSI sử dụng loại địa mang tính chất quy ước IP, IPX… Trên thực tế, card mạng (NIC) kết nối với theo địa MAC, địa cố định phần cứng Chính vậy, giao thức phân giải địa chỉ: Address Resolution Protocol (ARP) sử dụng để chuyển đổi dạng địa qua lại với Khi thiết bị mạng muốn biết địa MAC thiết bị mạng mà biết địa tầng network (IP, IPX…) gửi ARP request bao gồm địa MAC address địa IP thiết bị mà cần biết MAC address toàn miền broadcast Mỗi thiết bị nhận request so sánh địa IP request với địa tầng network Nếu trùng địa thiết bị phải gửi ngược lại ARP reply cho thiết bị gửi ARP request (trong có chứa địa MAC mình) Lấy ví dụ hệ thống mạng đơn giản, PC A muốn gửi gói tin đến PC B biết địa IP PC B Khi PC A phải gửi ARP request broadcast cho toàn mạng để hỏi xem "địa MAC PC có địa IP gì?" Khi PC B nhận broadcast này, so sánh địa IP gói tin với địa IP Nhận thấy địa IP mình, PC B gửi lại gói tin ARP reply cho PC A, có chứa địa MAC B Sau PC A bắt đầu truyền gói tin cho B 17 Hình 2.6.1: Cách thức hoạt động ARP ARP giao thức phi trạng thái Máy chủ mạng tự động lưu trữ ARP reply mà chúng nhận được, máy khác có u cầu hay khơng Ngay mục ARP chưa hết hạn bị ghi đè nhận gói tin ARP reply Khơng có phương pháp giao thức ARP mà giúp máy xác nhận máy mà từ gói tin bắt nguồn Hành vi lỗ hổng cho phép ARP spoofing xảy 2.6.1 Cách thức hoạt động ARP poisoning Giao thức ARP vốn thiết kế nhằm mục đích tạo tính thuận tiện để trao đổi địa lớp thứ lớp thứ mơ hình OSI Lớp thứ hai, hay gọi với tên khác tầng data-link, sử dụng địa MAC để thiết bị phần cứng thể giao tiếp với cách trực tiếp diện nhỏ Còn với lớp thứ 3, tên khác tầng network, lại sử dụng địa IP để tạo mạng với diện rộng để giao tiếp tồn cầu Tổ chức giao thức ARP vốn xoay quanh hai gói tin chính, ARP request ARP reply Mục đích gói tin request reply để định vị địa MAC thiết bị phần cứng tương ứng với địa IP mà gán cho Từ đó, luồng liệu truyền tới đích 18 mạng mà khơng bị thất lạc hay nhầm lẫn máy tính khác khơng u cầu gói tin Để hiểu tính chất request reply, ta hình dung đơn giản sau Gói request gửi cho thiết bị mạng phát thông điệp “Xin chào, địa IP X.X.X.X, địa MAC X:X:X:X:X:X Tôi cần gửi thứ đến máy có địa IP Y.Y.Y.Y, tiếc thay tơi khơng có địa MAC anh Vậy có địa IP tơi vừa nói vui lịng phản hồi kèm theo địa MAC anh để tơi trao gói tin này.” Lúc này, máy cần phản hồi đưa gói ARP reply với thơng điệp “Tơi người anh cần tìm Tơi có địa IP Y.Y.Y.Y MAC tơi Y:Y:Y:Y:Y:Y” Khi q trình truyền giao gói tin hoàn tất, thiết bị phát cập nhật bảng ARP cache hai thiết bị truyền thơng với Việc đầu độc gói tin ARP đánh vào yếu tố bất lợi không bảo mật giao thức ARP ban đầu Rõ ràng qua đoạn thấy tính bất cập gói ARP request reply Bất kỳ máy tính khơng phải mang địa Y.Y.Y.Y lấn quyền máy thật giả mạo mang IP đó, sau đem địa MAC cung cấp Bên request khơng có chế kiểm sốt chặt chẽ người đứng nhận, mà vào địa IP chấp nhận chuyển 19 Hình 2.6.2: Chặn bắt thông tin dùng ARP Poisoning Đặc biệt, giao thức ARP khơng giống DNS cấu hình để chấp nhận nâng cấp động (dynamic updates), thiết bị sử dụng giao thức ARP chấp nhận cập nhật lúc Điều có nghĩa thiết bị gửi gói ARP reply đến máy tính khác máy tính cập nhật vào bảng ARP cache giá trị Việc gửi gói ARP reply khơng có request tạo gọi việc gửi ARP “cho không” Khi ARP reply cho không đến máy tính gửi request, máy tính request nghĩ người tìm kiếm để truyền tin, nhiên thực chất họ lại bắt đầu thiết lập kết nối với kẻ xấu giả danh để thực cho việc công MITM 2.6.2 Các biện pháp phòng chống Ngày với phát triển phần mềm bảo mật đời giao thức HTTPS, ARP - Poisoning khơng cịn hiệu lúc trước Có thể kể đến vài biện pháp để phòng chống như:  Bảo mật LAN Giả mạo ARP Cache kỹ thuật cơng mà sống sót cố gắng chặn lưu lượng hai thiết bị LAN Chỉ có lý đáng lo ngại vấn đề liệu thiết bị nội mạng có bị thỏa hiệp, cắm thiết bị khơng tin cậy vào mạng Mặc dù tập trung toàn cố gắng bảo mật lên phạm vi mạng việc phòng chống lại mối đe dọa từ bên việc có thái độ bảo mật bên tốt giúp ta loại trừ loại cơng  Mã hóa ARP Cache Một cách bảo vệ chống lại vấn đề khơng an tồn vốn có ARP request ARP reply thực trình động Đây tùy chọn máy tính Windows cho phép ta bổ sung entry tĩnh vào ARP cache Trong trường hợp, nơi cấu hình mạng khơng thay đổi, ta hồn tồn tạo danh sách entry ARP tĩnh sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay ARP request ARP reply  Kiểm tra lưu lượng ARP với chương trình hãng thứ ba 20 Tùy chọn cuối cho việc phòng chống lại tượng giả mạo ARP cache phương pháp phản ứng có liên quan đến việc kiểm tra lưu lượng mạng thiết bị Ta thực điều với vài hệ thống phát xâm phạm (chẳng hạn Snort) thông qua tiện ích thiết kế đặc biệt cho mục đích (như xARP) Điều khả thi ta quan tâm đến thiết bị đó, nhiên cồng kềnh vướng mắc việc giải với toàn đoạn mạng 2.7 Chặn 2.7.1 bắt thông tin dùng DNS – Spoofing Giao thức DNS Giao thức DNS (Domain Name System – hệ thống phân giải tên miền) giao thức quan trọng dùng Internet, cho phép thiết lập tương ứng địa IP tên miền Mỗi website có tên (là tên miền hay đường dẫn URL) địa IP Khi mở trình duyệt Web nhập tên website, trình duyệt đến thẳng website mà không cần phải thông qua việc nhập địa IP trang web Quá trình "dịch" tên miền thành địa IP trình duyệt hiểu truy cập vào website công việc DNS server Các DNS trợ giúp qua lại với để dịch địa "IP" thành "tên" ngược lại Người sử dụng cần nhớ "tên", không cần phải nhớ địa IP (địa IP số khó nhớ) 2.7.2 Phương pháp cơng DNS – Spoofing DNS – spoofing kĩ thuật cung cấp thông tin DNS sai lệch cho host Khi người dùng yêu cầu truy cập đến địa website chuyển hướng, đưa người dùng tới địa giả mạo có hình thức giống với địa thật họ không hay biết bị lừa Kẻ cơng lấy cắp thông tin nhạy cảm người dùng, cài phần mềm độc hại, hay gây từ chối dịch vụ 21 Hình 2.7.1: Mơ hình cơng DNS - spoofing Một ví dụ, người dùng cần truy cập hộp thư điện tử địa www.mybank.com có địa IP X.X.X.X đó, kỹ thuật chuyển hướng yêu cầu sang trang giả mạo có địa IP Y.Y.Y.Y kẻ công dựng nên để chiếm đoạt tài khoản người dùng Có nhiều phương pháp triển khai kỹ thuật DNS Spoofing, đơn giản DNS ID Spoofing Mỗi truy vấn DNS gửi qua mạng có chứa số nhận dạng Mục đích số nhận dạng phân biệt truy vấn phản hồi chúng cách xác Để chặn truy vấn DNS gửi từ máy nạn nhân, kẻ cơng tạo gói giả mạo có chứa số nhận dạng để gói liệu chấp nhận máy nạn nhân 22 Hình 2.7.2: Tấn cơng giả mạo DNS sử dụng phương pháp ID Spoofing Quá trình cơng thực với hai bước Đầu tiên, tiến hành ARP Cache Poisoning thiết bị, mục đích để định tuyến lại lưu lượng qua host sử dụng để cơng mình, từ chặn yêu cầu DNS gửi gói liệu giả mạo để lừa nạn nhân truy cập vào website giả mạo kẻ công dựng nên thay vào thẳng website thức mà họ cố gắng truy cập 2.7.3 Các biện pháp phịng chống DNS Spoofing Tấn cơng DNS Spoofing khó để phịng chống có dấu hiệu công Nạn nhân nhận bị chuyển hướng truy cập vào trang giả mạo thấy có bất thường tiến hành đăng nhập Hoặc kẻ công khơng khéo léo, nạn nhân nhận có điều khác thường lúc giao diện trang web Một số hướng phịng chống cơng DNS Spoofing:  Bảo mật hệ thống máy tính bạn: Các dạng công thường xuất phát từ nội Nếu làm công tác bảo mật tốt từ yếu tố môi trường thật, yếu tố người việc bị lợi dụng để chuyển hướng DNS điều bất khả thi 23    Tránh sử dụng DNS cho hệ thống bảo mật: Điều đồng nghĩa, mơi trường có chứa liệu nhạy cảm cơng ty, việc hạn chế sử dụng Internet, cấm truy cập mạng máy tính điều cần thiết Sử dụng IDS: Một dạng hệ thống phát dấu hiệu xâm nhập Khi đặt triển khai hệ thống ta, phát hình thức giả mạo ARP cache giả mạo DNS Sử dụng DNSSEC: DNSSEC giải pháp thay cho DNS, sử dụng ghi DNS có chữ ký (Signature) để bảo đảm hợp lệ hóa đáp trả truy vấn Giải pháp có triển khai định  Cách phòng chống Phương pháp công Cách thức chủ yếu dùng phần mềm phát hoạt động chương trình nghe mạng AntiSniff, PromiScan, Promqry and PromqryUI, ARPwatch, Ettercap, v.v… Riêng với Ettercap (ettercap), chương trình vừa dùng để nghe trộm, vừa có khả phát nghe trộm nhờ hỗ trợ plugin arp_cop (phát trạng thái ARP posioning);find_ettercap (phát trình ettercap khác chạy);scan_poisoner (phát máy thực posioning); seach_promisc (phát máy nghe trộm chế độ “hỗn tạp”),… – Dùng chương trình giám sát hoạt động mạng Thiết lập hệ thống phát xâm nhập IDS (Intrution Detection System) trình miễn phí Snort (Snort :: Home Page) nhằm phát tượng lạ mạng, có ARP spoofing, để có biện pháp đối phó thích hợp Nhìn chung, sử dụng phần mềm phát nghe trộm giải pháp nhanh thuận tiện người dùng cuối Tuy nhiên hạn chế lớn chương trình phát sau bị nghe – phát bị động nghe trộm xảy Vì đa phần chương trình chống dựa vào việc phát tình trạng Promiscuous (hỗn độn) ARP spoofing để cảnh báo tình trạng bị nghe trộm Dưới số giải pháp phòng chống – nên sử dụng kết hợp 24 – Giới hạn mức độ phạm vi broadcast cách phân chia VLAN (Virtual Local Area Network); – Giới hạn khả bị cài đặt chương trình nghe cách áp dụng sách quản lý cài đặt phần mềm cho hệ thống Áp tính port security để hạn chế thiết bị mạng kết nối trái phép – Đối với mạng nhỏ, nên sử dụng địa IP tĩnh bảng ARP tĩnh để hạn chế khả bị công kiểu ARP spoofing thông qua giám sát chặt chẽ thay đổi địa MAC (Media Access Control) thiết bị switch – Áp dụng chế one-time password – thay đổi password liên tục – Mã hóa liệu truyền dẫn chế truyền thơng liệu an tồn SSL (Secure Sockets Layer), mạng riêng ảo VNP (Virtual Private Network) Nói cách khác thay hạn chế sử dụng giao thức truyền thơng khơng mã hóa liệu giao thức mã hóa Ví dụ: Dùng SSH (Secure Shell Host) thay cho Telnet/Rlogin; dùng SFTP (secure FTP) thay FTP; dùng Trillian (Trillian – IM, Astra, Windows Live, Facebook, Twitter, Yahoo, MySpace, AIM, Email, and more!) hay Jabber (http://jabber.org) làm chương trình chat; dùng HTTPS thay cho HTTP v.v… ============================================= Để ngăn chăn kẻ công muốn Sniffer Password Ch ú ng ta đồng thời sử dụng giao thức, phương pháp để mã hoá password sử dụng giải pháp chứng thực an tồn (Authentication): – SMB/CIFS: Trong mơi trường Windows/SAMBA bạn cần kích hoạt tính LANmanager Authencation – Keberos: Một giải pháp chứng thực liệu an toàn sử dụng Unix Windows: ftp://aeneas.mit.edu/pub/kerberos/doc/KERBEROS.FAQ – Stanford SRP (Secure Remote Password): Khắc phục nhược điểm khơng mã hố Password truyền thong giao thức FTP Telnet Unix:http://srp.stanford.edu/srp/ Mã hóa đường truyền a SSL (Secure Socket Layer) 25 Một giao thức mã hoá phát triển cho hầu hết Webserver, Web Browser thông dụng SSL sử dụng để mã hố thơng tin nhạy cảm để gửi qua đường truyền : Số thẻ tin dụng khách hàng, password thông tin quan trọng.http://www.openssl.org/ http://www.modssl.org/ b PGP S/MIME E-mail có khả bị kẻ công ác ý Sniffer Khi Sniffer E-mail không mã hố, chúng khơng biết nội dung mail, mà chúng cịn biết thông tin địa người gửi, địa người nhận… Chính để đảm bảo an tồn tính riêng tư cho E-mail bạn cần phải mã hố chúng…S/MIME tích hợp hầu hết chương trình gửi nhận Mail Netscape Messenger, Outlock Express…PGP giao thức sủ dụng để mã hố E- mail Nó có khả hỗ trợ mã hoá DSA, RSA lên đến 2048 bit liệu http://www.gnupg.org/ c OpenSSH Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn không cung cấp khả mã hoá liệu đường truyền Đặc biệt nguy hiểm khơng mã hố Password, chúng gửi Password qua đường truyền dạng Clear Text Điều xảy liệu nhạy cảm bị Sniffer OpenSSH giao thức đời để khắc phục nhược điểm này: ssh (sử dụng thay Telnet), sftp (sử dụng thay FTP)… http://www.openssh.org/ d VPNs (Virtual Private Network) Được sử dụng để mã hoá liệu truyền thong Internet Tuy nhiên Hacker cơng thoả hiệp Node của kết nối VPN đó, chúng tiến hành Sniffer Một ví dụ đơn giản,là người dung Internet lướt Web sơ ý để nhiễm RAT (Remoto Access Trojan), thường 26 loại Trojan thường có chứa sẵn Plugin Sniffer Cho đến người dùng bất cẩn thiết lập kết nối VPN Lúc Plugin Sniffer Trojan hoạt động có khả đọc liệu chưa mã hoá trước đưa vào VPN Để phòng chống công kiểu này: bạn cần nâng cao ý thức cảnh giác cho người sử dụng hệ thống mạng VPN bạn, đồng thời sử dụng chương trình quét Virus để phát ngăn chặn không để hệ thống bị nhiễm Trojan Static ARP Table Rất nhiều điều xấu xảy có thành cơng thuốc độc bảng ARP máy tính mạng bạn làm để ngăn chặn cố gắng để đầu độc bảng ARP Một cách để ngăn chặn tác động xấu hành vi để tạo mục bảng ARP tĩnh cho tất thiết bị đoạn mạng địa phương bạn Khi điều thực hiện, hạt nhân bỏ qua tất câu trả lời ARP cho địa IP cụ thể sử dụng mục nhập sử dụng địa MAC định thay IDS, IPS − IDS: phát xâm nhập − IPS: phát ngăn chặn xâm nhập Được chia làm loại chính: − HIDS (và IPS): triển khai máy trạm server quan trọng, để bảo vệ riêng máy − NIDS: đặt điểm quan trọng hệ thống mạng, để phát xâm nhập cho khu vực Cơng việc IDS/IPS: Nếu hoạt động theo kiểu nhận dạng mẫu packet so trùng packet với mẫu công mà có, trùng ==> loại packet công ==> cảnh báo ngăn cản Hiện đa số IDS/IPS hoạt động theo kiểu Tuy nhiên kiểu cơng IDS khơng nhận biết được, nên phải cập nhật lỗi thường xuyên giống cập nhật virus Nếu hoạt động theo kiểu heuristic thông minh (khơng biết dịch cho phải) IDS theo dõi mạng xem có tượng bất 27 thường hay khơng, phản ứng lại Lợi điểm nhận biết kiểu công mới, nhiều trường hợp bị báo động nhầm (không phải trường hợp công mà gây báo động) Phương pháp ping Hầu hết chương trình Sniffer cài đặt máy tính mạng sử dụng TCP/IP Stack Bởi bạn gửi yêu cầu đến máy tính này, chúng phản hồi lại cho bạn kết Bạn gửi yêu cầu phản hồi tới địa IP máy tính mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), không thông qua Adapter Ethernet Phương pháp Arp Phương pháp phát Sniffer tương tự phương pháp dùng Ping Khác biệt chỗ sử dụng Packet ARP Bạn tim thấy hướng dẫn chi tiết cụ thể với chương trình kèm hỗ trợ việc phát Sniffer theo phương pháp :http://www.apostols.org/projectz/neped / Đơn giản bạn cần gửi Packet ARP đến địa mạng (khơng phải Broadcast) Nếu máy tính trả lời lại Packet ARP địa Thì máy tính cài đặt Sniffer chế độ hỗn tạp(Promiscuous Mode) Mỗi Packet ARP chứa đầy đủ thông tin người gửi người nhận Khi Hacker gửi Packet ARP đến địa loan truyền tin (Broadcast Address), bao gồm thông tin địa IP bạn địa MAC phân giải Ethernet Ít phút sau máy tính hệ thống mạng Ethernet nhớ thông tin Bởi Hacker gửi Packet ARP khơng qua Broadcast Address Tiếp ping đến Broadcast Address Lúc máy tính trả lời lại mà khơng ARPing, chụp thơng tin địa MAC máy tính cách sử dụng Sniffer để chụp khung ARP (ARP Frame) Phương pháp sử dụng DNS 28 Rất nhiều chương trình Sniffer có tính phân giải ngược địa IP thành DNS mà chúng nhìn thấy (như dsniff) Bởi quan sát lưu lượng truyền thông DNS bạn phát Sniffer chế độ hỗn tạp(Promiscuous Mode) Để thực phương pháp này, bạn cần theo dõi trình phân giải ngược DNS Server bạn Khi bạn phát hành động Ping liên tục với mục đích thăm dị đến địa IP khơng tồn hệ thống mạng bạn Tiếp hành động cố gắng phân giải ngược địa IP biết từ Packet ARP Khơng khác hành động chương trình Sniffer Phương pháp Source Route Phương pháp sử dụng thơng tin địa nguồn địa đích Header IP để phát hành động Sniff đoạn mạng Tiến hành ping từ máy tính đến máy tính khác Nhưng tính Routing máy tính nguồn phải vơ hiệu hố Hiểu đơn giản làm để gói tin khơng thể đến đích Nếu bạn thấy trả lời, đơn giản hệ thống mạng bạn bị cài đặt Sniffer Để sử dụng phương pháp bạn cần sử dụng vào vài tuỳ chọn Header IP Để Router bỏ qua địa IP đến tiếp tục chuyển tiếp đến địa IP tuỳ chọn Source- Route Router Lấy ví dụ cụ thể : Bob Anna nằm đoạn mạng Khi có người khác đoạn mạng gửi cho cô ta vài Packet IP nói chuyển chúng đến cho Bob Anna Router, cho lên cô ta Drop tất Packet IP mà người muốn chuyển tới Bob (bởi cô ta làm việc này) Một Packet IP không gửi đến Bob, mà trả lời lại Điều vô lý, sử dụng chương trình Sniffer 10 Phương pháp giăng bẫy (decoy) 29 Tương tự phương pháp sử dụng ARP sử dụng phạm vi mạng rộng lớn (gần khắp nơi) Rất nhiều giao thức sử dụng Password khơng mã hố đường truyền, Hacker coi trọng Password này, phương pháp giăng bẫy thoả mãn điều Đơn giản bạn cần giả lập Client sử dụng Service mà Password khơng mã hố : POP, FTP, Telnet, IMAP…Bạn cấu hình User khơng có quyền hạn, hay chí User khơng tồn tại.Khi Sniff thơng tin coi «q giá» Hacker tìm cách kiểm tra, sử dụng khai thác chúng…Bạn làm gí ??? Để biết thêm thông tin phương pháp thú vị bạn tham khảo trang thơng tin:http://www.zurich.ibm.com/~dac/Prog_…html/index.htm 11 Phương pháp kiểm tra châm trễ gói tin (Latency) Phương pháp làm giảm thiểu lưu thông hệ thống mạng bạn Bằng cách gửi lượng thơng tin lớn đến máy tính mà bạn nghi bị cài đặt Sniffer Sẽ hiệu ứng gí đáng kể máy tính hồn tồn khơng có Bạn ping đến máy tính mà bạn nghi ngờ bị cài đặt Sniffer trước thời gian chịu tải thời gian chị tải Để quan sát khác thời điểm Tuy nhiên phương pháp tỏ không hiệu Bản thân Packet IP gửi đường truyền gây trậm trễ thất lạc Cũng Sniffer chạy chế độ “User Mode” xử lý độc lập CPU cho kết khơng xác Do mà tài liệu có tính chất giới thiệu Sniffer, nên không đề cập đến cách thức để sử dụng Sniffer hệ thống mạng Tuy nhiên nêu qua hệ thống mạng bị Sniffer: Mã: – Cable Modem – DSL – ADSL 30 – Switched Network – Wireless like IEEE 802.11 a.k.a AirPort (hệ thống mạng không dây) Những giao thức mà thông tin Password không mã hoá, nguy hiểm bị Sniffer: Mã: – Telnet, Rlogin – SNMP – NNTP – POP, IMAP, SMTP – FTP CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG SNIFFING 3.1 Mơ hình minh họa TÀI LIỆU THAM KHẢO [1] Lê Đình Thích, Hồng Sỹ Tương, An tồn mạng máy tính, Học viện kỹ thuật mật mã, 2013 [2] Đặng Trường Sơn, Các kiểu công mạng, Đại học Ngoại ngữ tin học TPHCM, 2010 [3] Ngô Xuân Giang, Kỹ thuật cơng phịng thủ khơng gian mạng, Viện nghiên cứu an ninh mạng, 2012 [4] Lê Bảo Long, Tìm hiểu an ninh mạng kỹ thuật Sniffer, Cao đẳng CNTT hữu nghị Việt Hàn, 2012 [5] Nguyễn Hiếu Minh, Tấn cơng mạng máy tính, Học viện kỹ thuật quân 31 ... pháp công mạng cách phòng chống điều tất yếu Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER? ?? thực nhằm tìm hiểu kiểu cơng phổ biến mạng Cụ thể, báo cáo sâu vào nghiên cứu phương pháp công. .. cách phịng chống Mục tiêu đề là:  Tìm hiểu số kiểu công phổ biến mạng  Tìm hiểu phương pháp cơng sniffing  Cách phịng chống cơng sniffing CHƯƠNG 2: PHƯƠNG PHÁP TẤN CƠNG SNIFFING VÀ CÁCH PHỊNG... tâm VNCERT ghi nhận 6.303 công mạng vào hệ thống thông tin Việt Nam, bao gồm 1.522 công lừa đảo, 3.792 công cài đặt phần mềm độc hại 989 công thay đổi giao diện Tổng số công mạng vào hệ thống thông