CHƯƠNG 3 CÁC KỸ THUẬT TẤN CÔNG MẠNG WLAN VÀ BIỆN PHÁP PHÒNG CHỐNG
3.11 Active Attack (Tấn công chủ động)
Attacker có thể tấn công chủ động để thực hiện một số tác vụ trên mạng. Một cuộc tấn công chủ động có thể được sử dụng để truy cập vào server và lấy được những dữ liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng. Bằng cách kết nối với mạng không dây thông qua AP, attacker có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu hình của mạng. Ví dụ, một attacker có thể sửa đổi để thêm MAC address của attacker vào danh sách cho phép của MAC filter (danh sách lọc địa chỉ MAC) trên AP hay vô hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng hơn. Admin thậm chí không biết được thay đổi này trong một thời gian dài nếu như không kiểm tra thường xuyên.
Một số ví dụ điển hình của active attack có thể bao gồm các Spammer (kẻ phát tán thư rác) hay các đối thủ cạnh tranh muốn đột nhập vào cơ sở dữ liệu của công ty. Một spammer có thể gởi một lúc nhiều mail đến mạng của gia đình hay doanh nghiệp thông qua kết nối không dây WLAN. Sau khi có được địa chỉ IP từ DHCP server, attacker có thể gởi cả ngàn bức thư sử dụng kết nối internet của chúng ta mà chúng ta không hề biết. Kiểu tấn công này có thể làm cho ISP ngắt kết nối email của chúng ta vì đã lạm dụng gởi nhiều mail mặc dù không phải lỗi của chúng ta.
Một khi attacker đã có được kết nối không dây vào mạng của chúng ta, hắn có thể truy cập vào server, sử dụng kết nối WAN, Internet hay truy cập đến laptop, desktop người dùng. Cùng với một số công cụ đơn giản, attacker có thể dễ dàng thu thập được những thông tin quan trọng, giả mạo người dùng hay thậm chí gây thiệt hại cho mạng bằng cách cấu hình sai. Dò tìm server bằng cách quét cổng, tạo ra phiên làm việc NULL để chia sẽ hay crack password, sau đó đăng nhập vào server bằng account đã crack được là những điều mà attacker có thể làm đối với mạng của chúng ta.
Tìm ra SSID thông thường rất đơn giản với sự hổ trợ của các công cụ và bắt lấy những frame dữ liệu quan trọng. Nếu những frame này không được lưu thông trên mạng thì attacker không đủ kiên nhẫn để chờ đợi một yêu cầu kết nối hợp lệ từ một client khác mà có quyền truy cập vào mạng để thông qua đó có được một SSID chính xác. Attacker sẻ bơm vào (injecting) một yêu cầu thăm dò bằng một địa chỉ MAC giả mạo. Vì lầm tưởng địa chỉ MAC nên AP sẽ phát ra những frame dữ liệu quan trọng, lúc này attacker sẽ tìm ra SSID thông qua yêu cầu thăm dò đã gửi.
Một vài loại AP cho phép tắt chức năng trả lời đối với những yêu cầu thăm dò mà không đúng SSID. Trong trường hợp này, attacker sẽ quyết định chọn một client kết nối đến một AP, và gửi cho client này frame tách rời giả mạo mà địa chỉ MAC đã được cài đặt trên AP. Client sẽ gửi một yêu cầu kết nối lại và SSID lộ diện.
Detecting AP and station
Mỗi một AP cũng là một máy trạm, vì thế các SSID và MAC address đã được tập hợp sẵn. Bằng cách sử dụng một vài công cụ hổ trợ dò tìm sóng mạng wireless sẽ cho chúng ta biết rõ khá đầy đủ thông tin của mạng wireless, AP và các client.
Một số bit nào đó trong các frame được nhận biết rằng được phát ra từ AP. Nếu chúng ta cho rằng khóa WEP một là đã tắt hai là đã bị crack, attacker cũng có thể thu thập các địa chỉ IP của các AP và client.
Detection of Probing
Việc phát hiện sự giả mạo là hoàn toàn có thể, những frame mà attacker gửi đi cũng có thể bị phát hiện bởi hệ thống phát hiện xâm nhập – instrustion detection systems (IDS) của mạng WLAN, có thể nhận thấy được những sự thay đổi vật lý (MAC Address) của thiết bị wireless dù cho đó là những frame giả mạo.
Công cụ thực hiện:
o NetStumbler
o WirelessMon