Mục đích của loại tấn công này là thực hiện việc do thám trên một máy tính hoặc trên một mạng máy tính. Mục đích của việc do thám là xác định cấu trúc của mạng, dịch vụ hay thực hiện tìm kiếm các điểm yếu trên mạng. Do thám mạng là điều kiện, tiền đề cho các cuộc tấn công nghiêm trọng hơn sau này. Nhiều kịch bản do thám mạng đã được viết thành các scripts hay các chương trình cho phép những kẽ tấn công mới vào nghề có thể thực hiện các cuộc tấn công do thám mạng chỉ với một cái kích chuột.
Sau đây là một vài kỹ thuật tấn công do thám mạng:
1)Sử dụng truy vấn DNS (Domain Name Service queries)
Dịch vụ tên miền DNS là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP. Do đó, bằng việc truy vấn DNS, kẻ tấn công biết
được các thông tin như là không gian địa chỉ được phân cho một domain và ai (một tổ chức hay một cá nhân nào đó) là người sở hữu domain đó. Sau khi đã có dải địa chỉ, hacker sẽ sử dụng các tiện ích như Ping để thực hiện hành động tiếp theo.
2)Sử dụng một số các tiện ích như Ping, traceroute...
Đây là một kỹ thuật rất cơ bản không chỉđối với nhà quản trị mạng và còn cho cả những kẻ tấn công. Nó cho phép kẻ tấn công xác định được địa chỉ nào đang “sống”. Topology mạng như thế nào...Sau khi đã xác định được địa chỉ IP nào
đang hoạt động, kẻ tấn công sẽ sử dụng các công cụ quét port để thực hiện hành vi tiếp theo.
3)Quét cổng
Cho phép kẻ tấn công xác định các dịch vụ nào đang chạy và phiên bản của nó, cũng như là hệ điều hành nào đang chạy trên đích trong hệ thống mục tiêu. Dựa trên các thông tin này, kẻ tấn công có thể xác định các lỗ hổng có thể có trên
41
máy mục tiêu.
Có khá nhiều các kỹ thuật quét cổng khác nhau dựa vào cách thức hoạt động của chồng giao thức TCP/IP. Một số các kỹ thuật đó như TCP connect scan, TCP SYN scan,...
– TCP connect scan: Kiểu quét này thu thập thông tin về port và hòan thành một quá trình bắt tay 3 bước TCP đầy đủ ( SYN , SYN/ACK , ACK).
– TCP SYN scan: TCP SYN scan thu thập thông tin về port mà không cần hoàn thành quá trình bắt tay TCP. Khi 1 cổng được xác định, quá trình bắt tay TCP sẽ được reset trước khi chúng hoàn tất. Kỹ thuật này thường được xem như kỹ thuật “half open” scanning. Nó cũng là kỹ thuật scan mặc định nếu bạn dùng quền root. Đây là một kỹ thuật phổ biến nhất về scan bởi vì nó có thể làm việc trong tất cả networks, cũng như tất cả các hệ điều hành. Điểm mạnh của TCP SYN scan là không bao giờ tạo ra một phiên truy vấn TCP hoàn chỉnh, do đó nó không bị log lại tại mục tiêu. Đây được xem như một cách scan trong im lặng.
4)Nghe lén thông tin(Sniffer)
Là một phần của kỹ thuật tấn công “Man In The Middle” (kẻ đứng giữa) trong thế giới bảo mật máy tính. Đây là kỹ thuật tấn công phổ biến, nguy hiểm và khó phòng chống bậc nhất hiện nay. Theo đúng như tên gọi, kỹ thuật này không tấn công trực diện vào các máy khách hay máy chủ, mà nó nhằm vào môi trường truyền dẫn trong mạng với mục đích bắt tất cả các gói tin giao tiếp trên mạng, phân tích nội dung của gói tin để thu thập trái phép các thông tin nhạy cảm như
username, password truy nhập hệ thống hay các thông tin quan trọng khác như
tên tài khoản, mật khẩu, credit card, v.v…Ví dụ trong các trong hệ thống LAN doanh nghiệp chỉ cần một máy tính trong mạng bị cài đặt trình nghe lén, tất cả
luồng thông tin truyền dẫn qua mạng đó đều có thể bị ghi lại. Trường hợp hệ
thống máy tính nghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn công tìm cách
42
máy đó để thực hiện nghe trộm từ xa. Các chương trình nghe lén mạng thường
được sử dụng như Network monitor, Sniffer Pro, Ettercap, Ethereal, dsniff, TCPdump, Sniffit,...
So với các kiểu tấn công khác, tấn công dạng Sniffer cực kỳ nguy hiểm, bởi nó có thể ghi lại toàn bộ thông tin được lưu chuyển qua card mạng của các máy, và bản thân người sử dụng không biết là đang bị nghe trộm lúc nào do máy tính của họ vẫn hoạt động bình thường, không có dấu hiệu bị xâm nhập hay phá hoại. Chính điều đó dẫn đến việc phát hiện và phòng chống nghe trộm rất khó, và hầu như chỉ có thể phòng chống trong thế bị động (passive) - nghĩa là chỉ phát hiện
được bị nghe trộm khi đang ở tình trạng bị nghe trộm. Riêng đối với Ettercap
có thể giả được địa chỉ MAC của card mạng máy bị tấn công, do đó các gói tin thay vì được truyền đến máy tính cần đến nó lại được chuyển đến máy tính có chạy Ettercap của kẻ tấn công rồi sau đó mới đến máy tính cần đến, do đó các thông tin đi từ máy tính của máy bị tấn công đều được nắm bắt. Đây là một dạng tấn công nguy hiểm và thường được gọi là Man-In-The-Middle. Trong trường hợp này phiên làm việc giữa máy tính gửi và máy tính nhận vẫn diễn ra bình thường nên người sử dụng không hề biêt mình đang bị tấn công.
Để đối phó với những mối nguy hiểm này, chúng ta sử dụng một số biện pháp phòng chống sau:
– Dùng các thiết bị chuyển mạch như Switch để đảm bảo các gói tin chỉ được truyền đến đúng máy tính có địa chỉ thích hợp chứ không truyền cho tất cả
các máy tính trong mạng, giám sát chặt chẽ sự thay đổi địa chỉ MAC (Media Access Control) của card mạng
– Áp dụng cơ chế one-time password – thay đổi password liên tục
– Mã hóa dữ liệu truyền dẫn bằng các cơ chế truyền thông dữ liệu an toàn SSL (Secure Sockets Layer), thiết lập IPSec…Sử dụng SSH (Secure Shell Host) thay cho Telnet, Rlogin; dùng SFTP (secure FTP) thay vì FTP; dùng giao thức https thay cho http…
43
– Sử dụng các phần mềm phát hiện sự hoạt động của các chương trình nghe lén trên mạng như AntiSniff, PromiScan, Promqry and PromqryUI, ARPwatch…
– Dùng các chương trình giám sát hoạt động của mạng. Thiết lập hệ thống phát hiện xâm nhập IDS như trình miễn phí Snort nhằm phát hiện những hiện tượng lạ trong mạng, trong đó có ARP spoofing, để có biện pháp đối phó thích hợp
Trong số giải pháp trên, sử dụng phần mềm phát hiện nghe trộm và mã hóa dữ
liệu để chống là giải pháp nhanh và thuận tiện nhất đối với người dùng cuối. Tuy nhiên hạn chế lớn của các chương trình này là cũng chỉ phát hiện được sau khi
đã bị nghe lén – phát hiện trong thế bịđộng.
Đối với hệ thống mạng công ty, cách bảo vệ tốt nhất là ngăn chặn, phòng ngừa ngay từ đầu bằng cách xây dựng Chính sách bảo mật mạng (Network Security Policy). Trong đó có những chính sách quản lý truy xuất, quản lý bảo vệ vật lý hệ thống mạng với những quy định như: ai được phép tiếp xúc với các máy;
được phép sử dụng máy; được phép gắn thêm máy; được phép cài đặt những loại chương trình nào, v.v… nhằm hạn chế đến mức tối đa khả năng xâm nhập về
mặt vật lý đế cài đặt các chương trình nghe lén trong mạng. Không có giải pháp hoàn hảo để chống nghe trộm, đề phòng trước khi đã rồi xem ra là giải pháp khả
thi nhất!