3.3.1 Kali Linux là gì?
3.3.1.1. Khái niệm
Kali Linux là một bản phân phối Linux dựa trên Debian, được tài trợ và phát triểu bởi cơng ty Offensive Security Ltd hoạt động trong lĩnh vực bảo mật thơng tin, kiểm tra thâm nhập.
Kali Linux là giải pháp tiện lợi và tiện dụng cho những ai học tập và hoạt động trong lĩnh vực bảo mật bởi vì nĩ cung cấp rất nhiều cơng cụ cho những tác vụ liên quan đến bảo mật như chuẩn bị, phân loại, thu thập và cập nhật các cơng cụ bảo mật.
3.2.1.2. Lịch sử hình thành
Năm 2006 năm Mati Aharoni, Devon Kearns and Raphặl Hertzog là những người đã phát hành một bản phân phối Linux dựa trên nền Ubuntu mang tên Backtrack.
Ngày 13 tháng 3 năm 2013 cơng ty Offensive Security Ltd chính thức phát hành Kali Linux, một bản nâng cấp tồn diện của Backtrack.
3.2.1.3. Tổng quát về Kali Linux
Offensive Security Ltd là một tổ chức lớn và đáng tin cậy trong thế giới bảo mật, họ cịn là đơn vị chứng nhận một số chứng chỉ bảo mật cao cấp như: OSCP, OSCE, OSWP, OSEE.
Kali Linux là một hệ điều hành được sử dụng nhiều trong lĩnh vực bảo mật, bởi cả những hacker tìm cách xâm nhập hệ thống và những chuyên gia về bảo mật muốn bảo vệ các tài nguyên thơng tin.
Kali cung cấp rất nhiều các cơng cụ kiểm thử thâm nhập và bảo mật, bên cạnh đĩ cịn cung cấp nhiều cơng cụ mã nguồn mở giúp cho bạn dễ dàng trong việc tiến hành kiểm tra bảo mật giúp tiết kiệm thời gian.
Kali chứa rất nhiều cơng cụ với mục đích hổ trợ các nhiệm vụ bảo mật thơng tin khác nhau, ví dụ như Penetration Testing, Security research, Computer Forensics và Reverse Engineering,...
3.3.2. Cách để cĩ thể sử dụng hệ điều hành Kali Linux
Cũng như các hệ điều hành khác, Kali linux cĩ thể được cài đặt trên các thiết bị khác như máy tính, laptop, server,...
Hệ điều hành Kali Linux với giao diện đồ họa cĩ khả năng tùy biến cao và đẹp mắt, ngồi GNOME ra thì người dùng cĩ thể tùy chọn các desktop khác như KDE hoặc XFCE.
3.3.3. Đặc điểm giúp cho Kali Linux nổi bật
Kali cung cấp một loạt các tính năng khơng thể tìm thấy trên các bản phân phối Linux truyền thống:
Trên 600 cơng cụ kiểm thử bảo mật hacking, pentest,...
Các cơng cụ thu thập thơng tin mạng Nmap, Wireshark,...
Các cơng cụ tập trung tấn cơng, khai
thác vào Wif như Aircrack-ng, Kismet và Pixie. Đối với các nhu cầu kiểm thử tấn cơng khai
thác vào mật khẩu sẽ cĩ Hydra, Crunch, Hashcat và John the Ripper
Cĩ rất nhiều các cơng cụ hacking được cập nhật liên tục
3.3.4. Ưu điểm và nhược điểm3.3.4.1. Ưu điểm 3.3.4.1. Ưu điểm
Tính an tồn: Đội ngũ phát triển của Kali Linux là những
cá nhân được tin cậy được cam kết về các gĩi và sự tương tác với các kho lưu trữ - tất cả được thực hiện bằng nhiều giao thức bảo mật.
Phần hạt nhân của Kali Linux cần được đưa vào các bản sửa lỗi mới nhất để đảm bảo an tồn và được liên tục cập nhật để đề phịng nhiễm virus.
Hệ thống mã nguồn mở và miễn phí: Linux luơn phát
triển theo mơ hình mã nguồn mở nên Kali Linux luơn được miễn phí, và tất nhiên tất cả các mã nguồn của Kali Linux cũng là mã
nguồn mở, tất cả mọi người cĩ thể tuỳ chỉnh và thay đổi theo nhu cầu.
Ưu điểm về phần mềm và phần cứng
Kali cĩ thể sử dụng các repository của Debian hỗ trợ việc cài đặt được nhiều phần mềm và cập nhật phần mềm nhanh chĩng Kali Linux liên tục cải tiến khả năng tương thích với thiết bị phần cứng của rất nhiều loại như điện thoại, raspberry, laptop, server, cloud,... để bạn cĩ thể cài đặt trên bất kì thiết bị nào
Ưu điểm về kết nối mạng wif và thiết bị khơng dây
Wif: Kali Lunux hổ trợ rất tốt cho mạng wifi(khơng dây), điều
này giúp các chuyên gia bảo mật cĩ thể thực hiện tấn cơng và kiểm thử khả năng bảo mật của Wifi.
Hổ trợ đa dạng thiết khơng dây: Kali Linux được cải tiến để
hỗ trợ nhiều thiết bị khơng dây nhất cĩ thể, cho phép nĩ hoạt động tốt trên nhiều loại phần cứng và làm cho nĩ tương thích với nhiều thiết bị khơng dây và USB khác nhau.
3.3.4.2. Nhược điểm
Số lượng phần mềm hổ trợ hạn chế, khơng đa dạng và thơng dụng như các hệ điều hành khác.
Nền tảng Linux khơng được một số nhà sản xuất hổ trợ phát triển drive.
Khĩ tiếp cận người dụng: Kali Linux được xem như là hệ điều hành dành cho người chuyên nghiệp. Rất khĩ làm quen và mang đến nhiều rủi ro cho người khơng thành thạo.
CHƯƠNG 4: MƠ PHỎNG CÁC KỸ THUẬT TẤN CƠNG HỆ THỐNG MẠNG VÀ GIẢI PHÁP PHỊNG VỆ
4.1 SYN-Flood
4.1.1 Phương thức tấn cơng SYN-Flood
Tải và cài đặt máy ảo Eve-Ng trên Vmware
https://drive.google.com/drive/folders/1LROqv- Irpqt_Hr3QEZacaIc2LxRc9qcq
- Màn hình sau khi đăng nhập vào eve với user : root và password : eve
- Truy cập http://192.168.244.133/ bằng trình duyệt đăng nhập vào eve bằng
Username : admin và password : eve.
Hình 3.2 : Demo tấn cơng DoS
- Sau khi đăng nhập vào Eve, import file Lab đã dựng sẵn
https://drive.google.com/drive/u/0/folders/1v6acbC8gqNTO3XfDYRawmnX qf4qNRTKL
Hình 3.3 : Demo tấn cơng DoS
- Mơ hình mạng được sử dụng trong demo Dos attack
- Tại đây với vị trí là attacker ta sẽ sử dụng Kali Linux để tấn cơng tới 1 trong 2 Server. Với địa chỉ ip Kali là : 192.168.244.130.
Hình 3.5 : Demo tấn cơng DoS
- Ta đĩng vai attacker dùng kali tấn cơng từ bên ngồi vào Public-Server 1 cĩ địa chỉ IP là : 1.1.1.251
Hình 3.6 : Demo tấn cơng DoS
- Để biết được địa chỉ của cổng e0/0 và e0/1 của thiết bị GATE ta di chuột vào thiết bị sau đĩ nhìn xuống gĩc trái
màn hình cĩ địa chỉ : telnet://192.168.244.133:32769 đây chính là địa chỉ của máy ảo Eve và mỗi thiết bị trong bài lap ứng với số hiệu đằng sau dấu hai chấm.
Hình 3.7 : Demo tấn cơng DoS
Hình 3.8 : Demo tấn cơng DoS
Để truy cập vào chế độ cấu hình của router ta nhập lệnh : Enable với password : Cisco
Sau đĩ nhập lệnh : Show ip interface brief để xem được địa chỉ các cổng của thiết bị GATE. Ở đây ta thấy cổng e0/0 :
192.168.229.128 và e0/1 : 1.1.1.253
Hình 3.9 : Demo tấn cơng DoS
Ta dùng trình duyệt truy cập vào địa chỉ 1.1.1.251 để vào website của server. Với username : admin và password : admin@123.
Hình 3.10 : Demo tấn cơng DoS
Ta tiếp tục kiểm tra tình trạng của CPU giao động khoảng dưới 10%.
Hình 3.11 : Demo tấn cơng DoS
Tại máy kali ta nhập lệnh : ip route add 1.1.1.0/24
via 192.168.229.128 dev eth0 để cĩ thể ping được
đến địa chỉ của Server là 1.1.1.251.
- Tiến hành ping tới 1.1.1.251 và thành cơng.
Hình 3.13 : Demo tấn cơng DoS
- Tại kali truy cập website với địa chỉ là : 1.1.1.251. truy cập các mục một cách bình thường, service hoạt động tốt.
Hình 3.14 : Demo tấn cơng DoS
Hình 3.15 : Demo tấn cơng DoS
Bước tiếp theo ta tiến hành SYN flood attack bằng cách nhập lệnh :
hping3 -S -p 80 1.1.1.251 –flood trong đĩ
o -S : gửi gĩi tin TCP cĩ flag SYN.
o -p 80 : gửi qua cổng 80.
o 1.1.1.251 : địa chỉ của nạn nhân.
o –flood : gửi gĩi tin nhanh nhất cĩ thể và khơng hiển
thị phản hồi.
Dùng Wireshark ta cĩ thể thấy được cĩ hàng ngàn gĩi tin được gửi từ địa chỉ của máy kali là 192.168.244.130 đến địa chỉ server là 1.1.1.251 qua port 80.
Hình 3.17 : Demo tấn cơng DoS
Ta cĩ thể thấy CPU lúc này phải hoạt động 82%.
Hình 3.18 : Demo tấn cơng DoS
Tất nhiên là khi truy cập vào website sẽ xảy ra tình trạng delay hoặc là khơng thể kết nối được tới máy chủ.
4.1.2 Giải pháp phịng vệ
Mở Putty để truy cập đến route GATE
Hình 3.20 : Giải pháp đối với tấn cơng DoS
tại giao diện của GATE nhập:
enable với password : cisco để vào chế độ Privilege.
Tiếp tục nhập confgure terminal để vào chế độ cấu hình.
Hình 3.21 : Giải pháp đối với tấn cơng DoS
Nhập access-list 101 permit tcp any host 1.1.1.251 eq 80
khởi tạo ACL 101 cho phép các gĩi tin TCP đủ điều kiện đi qua cổng 80 đến địa chỉ 1.1.1.251.
Nhập ip tcp intercept list 101
Bật tính năng TCP intercept với access-list vừa tạo Nhập ip tcp intercept mode intercept
Chuyển sang chế độ intercept mode
Nhập ip tcp intercept drop-mode random
Bật chế độ drop mode random
Xác định khoảng thời gian chờ là 20 trước khi gửi kết nối mới tới máy chủ
Nhập ip tcp intercept fnrst-timeout 20
Thay đổi thời gian giữa nhận, kết thúc, gửi lại và thay đổi hoặc hủy kết nối là 20 giây
Nhập ip tcp intercept connection-timeout 180
Khởi tạo thời gian chờ kết nối là 180s
Nhập ip tcp intercept max-incomplete low 400 high 500
Thiết lập ngưỡng kết nối thấp nhất là 400 và cao nhất là 500 nếu vượt quá 500 kết nối sẽ tự động hủy để đạt cịn 400 kết nối.
Nhập ip tcp intercept one-minute low 200 high 300
Đặt ngưỡng cho số lượng yêu cầu kết nối nhận được trong một phút cuối cùng.
Nhập End để kết thúc quá trình cấu hình. Nhập Write để lưu lại cấu hình.
Hình 3.22 : Giải pháp đối với tấn cơng DoS
Ý tưởng của giải pháp này là Router sẽ đứng ra thực hiện quá trình bắt tay 3 bước với Kali bao giờ kết nối đĩ hợp lệ thì sẽ chuyển yêu cầu kết nối đĩ tới server, tránh việc Server phải chịu các kết nối khơng thành cơng một cách liên tục.
4.2 MAC-Overflow
4.2.1 Định nghĩa về địa chỉ MAC
Địa chỉ MAC - Media Access Control: Là kiểu địa chỉ vật lí, đặc trưng cho một thiết bị hoặc một nhĩm các thiết bị trong LAN. Địa chỉ này được dùng để nhận diện các thiết bị giúp cho các gĩi tin lớp 2 cĩ thể đến đúng đích.
4.2.2 Cấu trúc địa chỉ IP, MAC
Một địa chỉ MAC bao gồm 6 byte và thường được viết dưới dạng hexa, mỗi thiết bị (card mạng, modem, router...) được nhà sản xuất (NSX) chỉ định và được gán sẵn một địa chỉ nhất định , thường là 2 dạng : MM:MM:MM:SS:SS:SS (cách nhau bởi dấu :) hay MM-MM-MM-SS-SS-SS (cách nhau bởi dấu -). Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 số hexa (hệ số thập lục phân), trong đĩ 24bit đầu (MM:MM:MM) là mã số của NSX (Linksys, 3COM...) và 24 bit sau (SS:SS:SS) là số seri của từng card mạng được NSX gán. Như vậy sẽ khơng xảy ra trường hợp hai thiết bị trùng nhau địa chỉ vật lý vì số nhận dạng ID này đã được lưu trong chip ROM trên mỗi thiết bị trong quá trình sản xuất, người dùng khơng thể thay đổi được. Nĩi một cách đơn giản, địa chỉ MAC là địa chỉ vật lý hay cịn gọi là số nhận dạng (Identification number) của thiết bị.
Địa chỉ MAC được phân làm 3 loại:
Unicast: đây là loại địa chỉ dùng để đại diện cho một thiết bị duy nhất.
Multicast: đây là loại địa chỉ đại diện cho một nhĩm các thiết bị trong LAN. Địa chỉ được dùng trong trường hợp một ứng dụng cĩ thể muốn trao đổi với một nhĩm các thiết bị. Bằng cách gửi đi một bản tin cĩ địa chỉ multicast; tất cả các thiết bị trong nhĩm đều nhận và xử lí gĩi tin trong khi các thiết bị cịn lại trong mạng sẽ bỏ qua. Giao thức IP cũng hỗ trợ truyền multicast. Khi một gĩi tin IP multicast được truyền qua một LAN, địa chỉ MAC multicast tương ứng với địa chỉ IP sẽ là 0100.5exxx.xxxx.
Broadcast: địa chỉ này đại diện cho tất cả các thiết bị trong cùng một LAN. Điều đĩ cũng cĩ nghĩa là nếu một gĩi tin cĩ địa chỉ MAC là FFFF.FFFF.FFFF được gửi đi thì tất cả các thiết bị trong LAN đều phải thu nhận và xử lí.
4.2.3 Tấn cơng làm tràn bảng CAM
Nguyên lý tấn cơng:
Kiểu tấn cơng làm tràn bảng CAM dựa vào điểm yếu của thiết bị chuyển mạch: bảng CAM chỉ chứa được một số hữu hạn các ánh xạ (ví dụ như switch Catalysh 6000 cĩ thể chứa được tối đa 128000 ánh xạ) và các ánh xạ này khơng phải tồn tại mãi mãi trong bảng CAM [4]. Sau một khoảng thời gian nào đĩ, thường là 300 s; nếu địa chỉ này khơng được dùng trong việc trao đổi thơng tin thì nĩ sẽ bị gỡ bỏ khỏi bảng.Khi bảng CAM được điền đầy, tất cả thơng tin đến sẽ được gửi đến tất cả các cổng của nĩ trừ cổng nĩ nhận được. Lúc này chức năng của switch khơng khác gì chức năng của một hub.
Trong hình dưới, host C của kẻ tấn cơng gửi đi liên tục hàng loạt các bản tin cĩ địa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y). Switch sẽ cập nhật địa chỉ của các host giả mạo này vào bảng CAM. Kết quả là khi host A gửi tin đến cho host B; địa chỉ của B khơng tồn tại trong bảng nên gĩi tin được switch gửi ra các cổng của nĩ và bản tin A chỉ gửi riêng cho B cũng sẽ được chuyển đến C.
Hình 4.2 : Sơ đồ bảng MAC
4.2.4 Phương thức tấn cơng MAC-Overflow
Attacker nằm bên trong sau khi đã chiếm quyền hoặc nhân viên đã bị mua chuộc , gián điệp trực tiếp tấn cơng từ bên trong vùng inside:
Hình 4.3 : Demo tấn cơng MAC Flooding
MAC size của thiết bị switch:
Gửi liên tục MAC giả mạo khiến treo switch Switch cũng sẽ bị tấn cơng từ chối dịch vụ
Bản MAC bị điền đầy nên full dẫn đến các MAC PC hợp lệ khơng đặt được ở bảng nữa -> Swỉch sẽ hoạt động kiểu flooding(các PC trao đổi dữ liệu với nhau thay vì truyền đúng cổng thì nĩ chuyển đến các cổng vì khơng tìm MAC các PC kia do hết chỗ) nên attacker cĩ thể nghe lén .
Bảng MAC trước khi bị tấn cơng :
Bên Kali thực hiện tấn cơng Mac-overflow: Sử dụng câu lệnh macof –I eth0
Hình 4.5 : Demo tấn cơng MAC Flooding
Xuất hiện các MAC giả mạo được Kali gửi liên tục :
Bên SW4 ta chạy lại câu lệnh show mac table để xem MAC address từ các cổng:
Hình 4.7 : Demo tấn cơng MAC Flooding
Ta thấy xuất hiện rất nhiều MAC giả mạo traffic từ cổng E0/1: Sử dụng câu lệnh clear dể xố các MAC giả mạo
Hình 4.8 : Demo tấn cơng MAC Flooding
4.2.5 Giải pháp phịng vệ
Giải pháp ta sử dụng port security bằng câu lệnh cho SW4 : interface e0/1
switchport mode access switchport port-security
switchport port-security maximum 12
switchport port-security mac-address sticky switchport port-security violation shutdown
Giải pháp port security trên một cổng này chúng ta chỉ cho 1 số lượng MAC nhất định nào đĩ đẻ kết nối vào và nếu cĩ nhiều mac gửi kết nối vào sẽ shutdown cổng:
Sau đĩ bên kali ta gửi lại MAC địa chỉ giả mạo lần nữa :
Hình 4.10 : Giải pháp với tấn cơng MAC Flooding
Sau đĩ kiểm tra thấy cổng E 0/1 cua SW4 đã shutdown sau khi nhận quá nhiều địa chỉ MAC giả mạo :
Hình 4.11 : Giải pháp với tấn cơng MAC Flooding
Kiểm tra lại địa chỉ MAC thấy khơng cĩ thay đổi bất thường.
Hình 4.12 : Giải pháp với tấn cơng MAC Flooding