5. Kết cấu của đề tài
3.1Phòng chống tấn công đầu độc cache (cache poisoning attack or DNS spoofing)
3.1.1 Thử nghiệm tấn công đầu độc cache
Hình 3.1 Mô hình demo DNS spoofing
Có 2 máy (cài trên VMware):
- Một máy tấn công (kali linux)
IP 192.168.229.200; Getway 192.168.229.2; MAC 00:0c:29:3a:83:30 Đã cài sắn công cụ tấn công Ettercap và Setoolkit để tạo website giả mạo. - Một máy victim (windows 7)
IP 192.168.229.100; Getway 192.168.229.2; MAC 00-0C-29-Đ-E2-57
- Một switch Catalyst 3560 series (Kết nối 2 máy tính kali linux và windows 7)
Tiến trình cài dặt chạy thử nghiệm
Trước khi bị tấn công client (windows 7) truy cập vào lhu.edu.vn, đây là trang web thật lhu.edu.vn có địa chỉ IP 118.69.126.40.
20
Hình 3.2 trang web thật lhu.edu.vn
Bước 1: máy tấn công (kali) xuất hiện chương trình Ettercap, chọn menu Sniff/Unified sniffing chọn card mạng eth0.
Hình 3.3 giao diện Ettercap
Bước 2: chọn Hosts bấm Scan for hosts chương trình sẽ scan tất cả các máy trong mạng LAN, sau khi scan xong chọn Add Target 1 dùng để add máy nạn nhân IP 192.168.229.100 (victim) và Add Target 2 là địa chỉ GW 192.168.229.2, chọn Mitm > ARP poisoning > chọn Sniff rồi bấm OK.
21
Hình 3.4 MITM Attack ARP poisoning
Bước 3: Tấn công làm giả DNS chọn Plugins > double click vào dns_spoof
Hình 3.5 Plugins dns_spoof
Bước 4: Chọn Starting Unified Sniffing để bất đâu tấn công.
22 Lúc này client đã bị tấn công, nếu mà client yêu cầu phân giải địa chỉ lhu.edu.vn sẽ bị đưa đến địa chỉ giả mạo có giao diện không khác gì địa chỉ thật.
Hình 3.7 Web lhu.edu.vn giả mạo
Chi tiết Demo DNS cache poisoning tại link: https://youtu.be/3Dldpao6bTQ
3.1.2 Cách phòng chống tấn công đầu độc cache
Các tấn công giống như trên thường được thực thi từ bên trong mạng của bạn. Nếu các thiết bị mạng của bạn an toàn thì bạn sẽ giảm được khả năng bị tấn công giả mạo.
Người quản trị mạng
Cấu hình phần cứng
Hầu hết các thiết bị Switch hiện đại đi cùng với tính năng bảo vệ giả mạo ARP. Bạn có thể sử dụng các thiết bị Switch này để bảo vệ mạng hoặc máy tính khỏi các cuộc tấn công giả mạo ARP và đảm bảo bảo vệ sự riêng tư của bạn.
DAI (Dynamic ARP Inspection) là một tính năng bảo mật xác nhận các gói ARP trong một mạng. DAI chặn, ghi và loại bỏ các gói ARP có liên kết địa chỉ IP-to-MAC không hợp lệ. Khả năng này bảo vệ mạng khỏi một số cuộc tấn công MITM.
23
Hình 3.8 Sơ đồ thử nghiệm phồng chống tấn công đầu độc cache
Có 2 máy tính: (adsbygoogle = window.adsbygoogle || []).push({});
- Một máy tấn công (kali linux) IP 192.168.229.200 - Một máy victim (windows 7) IP 192.168.229.100
- Một switch Catalyst 3560 series (Kết nối 2 máy tính kali linux và windows 7)
Tiến trình cài dặt chạy thử nghiệm
Như đã thử nghiệm tấn công ở trên client sẽ bị tấn công một cách dễ dàng do hệ thống mạng không được bảo mật.
Cấu hình Giới hạn gói ARP Khi DAI được kích hoạt, switch thực hiện kiểm tra xác nhận gói ARP, hành động này sẽ từ chối các gói tin không hợp lệ. Tỉ lệ gói tin ARP hạn chế có thể ngăn chặn một cuộc tấn công dịch vụ ARP.
Cấu hình Giới hạn gói ARP:
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Router(config)# interface range fastethernet 0/1-3
Router(config-if)# ip arp inspection limit rate 200 burst interval 2
Router(config-if)# do show ip arp inspection interfaces | include Int|--|0/1-3
Interface Trust State Rate (pps) Burst Interval --- --- --- ---
Fa0/1 Untrusted 200 2
Fa0/2 Untrusted 200 2
24 …
Nếu hacker cố gắng gửi một yêu cầu ARP với địa chỉ IP 192.168.229.200, DAI sẽ giảm yêu cầu và ghi lại một thông báo hệ thống:
00:18:08: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/4, vlan
([0001.0001.0001/192.168.229.200/0000.0000.0000/0.0.0.0/01:53:21 UTC Fri May 23 20017])
Bằng cách sử dụng tính năng DAI, nhiều loại tấn công lớp 2, bao gồm cả tấn công DNS Poisoning (MITM) sẽ được dừng lại.
Người dùng mạng(clients)
Anti-ARP Tools
ARP Monitor hoặc XArp là một ứng dụng bảo mật, sử dụng các phương pháp tiên tiến để dò tìm tấn công ARP. Tấn công ARP cho phép kẻ tấn công âm thầm nghe trộm hoặc thao tác tất cả các dữ liệu bạn gửi qua mạng. Dữ liệu này bao gồm tài liệu, email, hội thoại VoiceIP. Tấn công ARP không bị phát hện bởi firewall và các tính năng bảo mật của hệ điều hành, firewall không bảo vệ bạn khỏi tấn công ARP. ARP Monitor và XArp đã được phát triển để giải quyết vấn đề này, nó sử dụng công nghệ tiên tiến để dò tìm tấn công ARP.
Hình 3.9 ARP Monitor
Download tại:
ARP Monitorhttp://www.binaryplant.com/
25 Phần mềm diệt virus (Internet Security)
Khác với cách thức hoạt động của Antivirus Internet Security lại không đơn giản như vậy, ngoài khả năng quét và diệt virus như phần mềm Anti Virus ra thì nó còn hỗ trợ nhiều tính năng cao cấp khác và được cập nhật dữ liệu liên tục nên việc phát hiện và ngăn chặn các ứng dụng, phần mềm độc hại liên tục sinh ra trong môi trường internet là tương đối nhanh chóng và kịp thời.
Internet Security hỗ trợ bức tường lửa (FireWall), nó có nhiệm vụ là hạn chế những tác động và can thiệp của người khác vào máy tính của bạn. Ngoài ra, nó còn bảo vệ, ngăn chặn các phần mềm gián điệp đánh cắp thông tin, gửi thông tin cá nhân và dữ liệu quan trọng ra bên ngoài khi chưa được sự cho phép của bạn.
Download tại:
ESET free trial https://www.eset.com/int/home/free-trial/
26 (adsbygoogle = window.adsbygoogle || []).push({});
3.2 Phòng chống thiết lập DNS Server giả mạo với các record độc hại 3.2.1 Thử nghiệm tấn công 3.2.1 Thử nghiệm tấn công
Hình 3.11 Mô hình thiết lập DNS Server giả mạo với các record độc hại
Có 3 máy:
- Router wifi (Cấp DHCP, DNS cho máy client)
Thay vì cấp DNS 8.8.8.8 thì ở đây DNS là DNS server giả mạo IP 192.168.0.111 do hacker tạo ra
- DNS server giả mạo với các record độc hại bao gồm có lhu.edu.vn, … (windows server 2012 R2)
IP 192.168.0.111; GW 192.168.0.1 - Một máy victim (windows 10)
IP DHCP 192.168.229.102; GW 192.168.0.1; DNS 192.168.0.1
Tiến trình cài dặt chạy thử nghiệm
27
Hình 3.12 Router SSID cafewifi
Bước 2: tạo DNS server giả mạo với các record độc hại bao gồm có lhu.edu.vn, …
Hình 3.13 DNS server giả mạo
Bước 3: client (windows 7) truy cập vào wifi giả mạo (SSID: cafewifi)
28 Khi client cần phân giải địa chỉ nào đó thì nó sẽ gữi đến DNS local trước, sau đó DNS sẽ kiểm tra có thuộc địa chỉ này không, nếu không có trong DNS local nó sẽ hỏi tiếp server tiếp theo. Thay vì đến địa chỉ thật thì ở đây DNS là DNS server giả mạo IP 192.168.0.111 với các record độc hại do hacker tạo ra. Nếu mà yêu cầu phân giải có trong DNS giả mạo của hacker thì nó sẽ trả về client địa chỉ giả mạo. Trong thử nghiệm này client cần phân giải điạ chỉ lhu.edu.vn, nhưng không may DNS server này có record giả mạo địa chỉ lhu.edu.vn, lúc này client sẽ bị đưa đến địa chỉ giả mạo nhưng có giao diện không khác gì địa chỉ thật.
Hình 3.15 Web lhu.edu.vn giả mạo
3.2.2 Cách phòng chống tấn công
Để ngăn chặn việc này, chúng ta cần thiết lập địa chỉ DNS server trỏ về các DNS server tin cậy Google’s free Public DNS servers hoặc Open DNS server.
Ví dụ: 208.67.222.222; 208.67.220.220; 8.8.8.8; 8.8.4.4.
Có nghĩa là chúng ta cần cầu hình DNS bằng tay (Use the following DNS server address), thay vì dung chế độ tự động (Obtion DNS server address automatically).
29
Hình 3.16 config DNS
Chi tiết Demo link: https://youtu.be/FSZNWSPKaaE
3.3 Phòng chống sửa file hosts
3.3.1 Thử nghiệm sửa file hosts
Khi tải phần mềm miễn phí, chiếc bẫy đầu tiên mà bạn gặp phải có thể là một hoặc nhiều đường link download giả mạo. Thường bạn sẽ tìm thấy các nút lớn, màu sắc sặc sỡ với dòng chữ “Free Download” hoặc “Download Now”. Đây thường chỉ là những banner quảng cáo được thiết kế bắt chước các link download thật, để lừa bạn click vào chúng và cài đặt một phần mềm khác. Khi mà cài đặt file đó thì virus sẽ chèn thêm địa chỉ website trong file hosts, rồi khi chúng ta đăng nhập vào một trong những địa chỉ đã được thêm vào thì lúc đó nó sẽ chuyển hướng đi tới website do hacker tạo ra.
30
Hình 3.17 Hosts file bị sửa
Hình 3.18 nslookup
3.3.2 Cách phòng chống file hosts (adsbygoogle = window.adsbygoogle || []).push({});
Cách 1
Một giải pháp rất đơn giản để giúp ngăn ngừa các thay đổi trái phép vào hosts file, là đánh dấu nó là chỉ đọc (Read only). Bằng cách này virus sẽ không sửa được hosts của bạn.
Hình 3.19 hosts Properties
31 Cách 2
Cài đặt và sử dụng ANTIVIRUS. Một số chương trình có chức năng phòng chống tấn công file hosts. Tuy nhiên bên cạnh đó cũng có một số chương trình không thể phát hiện được. Những công cụ được giới thiệu cho phép cài đặt và sử dụng miễn phí.
Hình 3.20 Những ANTIVIRUS miễn phí.
Sau khi cài đặt, các tính năng bảo mật, phòng chống tấn công file hosts đã được tích hợp sẵn trong các chương trình ANTIVIRUS sẽ bảo vệ người dùng trước các cuộc tấn công, đảm bảo an toàn cho người khi sử dụng, truy cập internet.
32
KẾT LUẬN
Vấn đề an toàn bảo mật ngày nay đang được các cơ quan, nhà bảo mật và đặc biệt là các doanh nghiệp quan tâm hàng đầu. Hacker có thể lợi dụng việc tấn công hệ thống tên miền và máy chủ DNS để thực hiện các mục đích xấu như ăn cắp thông tin, lừa đảo, giả mạo. Do đó cần chú trọng vào bảo mật hệ thống DNS, sử dụng nhiều giải pháp hỗ trợ để đạt được hiệu quả tối đa như các biện pháp kỹ thuật. Ngoài ra cần nâng cao nhận thức, kỹ năng của người quản trị, người dùng, bởi vì điểm yếu không những nằm ở yếu tố kỹ thuật của hệ thống DNS mà còn ở yếu tố con người, mà đây cũng chính là điểm yếu dễ khai thác nhất. Bảo vệ các máy tính bên trong, các tấn công giống như trên thường được thực thi từ bên trong mạng. Nếu các thiết bị mạng được bảo vệ an toàn thì sẽ giảm được khả năng bị tấn công.
DNSSEC là một giải pháp thay thế mới cho DNS, sử dụng các bản ghi DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy vấn. Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được chấp thuận là tương lai của DNS
TÀI LIỆU THAM KHẢO
TÀI LIỆU INTERNET
[1] Hệ thống DNS https://www.vnnic.vn/dns/congnghe/hệ-thống-tên-miền [2] DAI https://www.cisco.com/c/en/us/td/docs/switches/lan/.../dynarp.html [3] Tìm hiểu DNS http://itprofes.forumvi.net/t416-topic [4] Tìm hiểu DNS tấn công https://123doc.org/document/2563875-tim-hieu-va-mo-phong-tan-cong-dich-vu-dns.ht m
[5] Understanding, Preventing, and Defending Against Layer 2 Attacks
https://www.cisco.com/c/dam/global/en_ae/assets/exposaudi2009/assets/docs/layer2-at tacks-and-mitigation-t.pdf