Các công cụ Sniffer không những đƣợc sử dụng bởi các hacker mà ngay cả các chuyên gia bảo mật hay những quản trị mạng cũng thƣờng hay sử dụng chúng để dò tìm lỗi, khắc phục sự cố hay tìm kiếm các luồng thông tin bất thƣờng trên hệ thống mạng. Một trong những ứng dụng đó chính là WireShark, mà các phiên bản cũ có tên gọi là Ethereal. Hiện nay, WireShark đƣợc xếp hạng số 1 trong danh sách các công cụ bảo mật hàng đầu thế giới, hay những công cụ đƣợc yêu thích nhất bởi các hacker và chuyên gia bảo mật bình chọn, ngoài ra Wiresharke còn là ứng dụng nguồn mở và hoàn toàn miễn phí, có thể
Có hai dạng nghe lén trên mạng là nghe lén chủ động và nghe lén bị động tƣơng ứng là active sniff và passive sniff. Trong hai dạng nghe lén này thì passive sniff thƣờng khó phát hiện hơn vì hacker chỉ tiến hành lắng nghe trên đƣờng truyền và bắt giữ lại những gói tin mà không có sự tác động đáng kể nào vào hệ thống, thƣờng thì phƣơng pháp này hay ứng dụng trong môi trƣờng mạng kết nối qua thiết bị hub. Trong khi đó, active sniff hay nghe lén chủ động tiến hành gửi các tín hiệu giả mạo ARP (Address Resolution Protocol) hay sử dụng các công cụ làm cho hệ thống mạng hoạt động trên nền Switch (các bộ chuyển mạch) bị ngập tràn các gói tin, thông qua đó hacker sẽ đánh cắp những dữ liệu quan trọng của ngƣời dùng trong quá trình truyền. Với phƣơng pháp này hacker sẽ nhanh chóng đạt đƣợc mục tiêu của mình nhƣng bù lại chúng ta có thể dò tìm và phát hiện ra những ai đang tiến hành tấn công. Vậy tại sao các dạng nghe lén trên có thể thành công? Đó là do trong môi trƣờng mạng kết nối thông qua thiết bị hub thì các gói tin đƣợc gửi đi dƣới dạng broadcast, nghĩa là tất cả các máy tính đều nhận đƣợc dữ liệu cho dù địa chỉ nhận có trùng lắp với địa chỉ MAC hay không, do đó hacker chỉ cần đặt hệ thống vào chế độ promocouse là có thể nghe lén đƣợc các thông tin một cách dễ dàng với những công cụ nhƣ dsniff. Còn đối với hệ thống mạng sử dụng Switch thì khác, ở tình huống này các máy tính truyền thông với nhau theo cơ chế trực tiếp chứ không truyền theo dạng broadcast nhƣ tình huống trên, do đó chỉ có máy tính nào có địa chỉ MAC trùng khớp với địa chỉ đích của gói tin mới nhận đƣợc các dữ liệu truyền, làm cho hệ thống ít bị nghẽn mạng mà còn phòng tránh đƣợc dạng tấn công theo hình thức Passive Sniff.
Để phòng chống bị nghe lén hay đánh cắp thông tin chúng ta cần cẩn thận khi truy cập tại các hệ thống mạng công cộng nhƣ sân bay, quán cà phê wifi. Trong trƣờng hợp cần phải kiểm tra thƣ hay truy cập thông tin bí mật trên những hệ thống mạng không an toàn nên sử dụng cơ chế mã hóa hay dùng VPN. Có những giải pháp VPN miễn phí rất hiệu quả trong môi trƣờng mạng không dây nhƣ giải pháp dùng Hot Pot Shield. Ngoài ra quản trị viên có thể cài đặt chƣơng trình dò tìm và phát hiện các sniffer ở trên mạng nhƣ XARP (Address Resolution Protocol (ARP) spoofing hay còn gọi là ARP flooding, ARP poisoning hay ARP Poison Routing (APR). Đó là cách tấn công từ một máy tính trong mạng LAN, thông qua giao thức ARP và địa chỉ MAC, IP, nó nhằm ngắt kết nối từ một hay một số máy tính với Modem), ứng dụng này sẽ cảnh báo ngay khi phát hiện có một dấu hiệu khả nghi xuất hiện nhƣ có máy tính đang hoạt động ở chế độ promicouse hay đang tiến hành ARP poisoning. Nếu hệ thống mạng đƣợc quản lý thông qua máy chủ
Active Directory thì giải pháp phòng chống đơn giản nhƣ đã đề cập cấu hình địa chỉ MAC tĩnh đối với default gateway cho tất cả các máy tính thông qua chính sách an ninh của toàn vùng kết hợp với một kịch bản chạy khi khởi động, để tất cả các máy tính đều đƣợc cập nhật thông tin này sau khi khởi động. Vì chúng ta cập nhật thông tin này thông qua lệnh arp –s thông thƣờng thì khi máy tính khởi động lại dữ liệu trên sẽ bị xóa.
1.4.7 Kỹ thuật giả mạo địa chỉ (DNS spoofing)
Spoofing có nghĩa là giả mạo, vậy thuật ngữ DNS Spoofing hay còn gọi là DNS poisoning là kỹ thuật làm cho máy chủ DNS chấp nhận những thông tin phân giải địa chỉ IP giả mạo và lƣu trữ các thông tin này trên dữ liệu cache, sau đó là gửi về cho các máy trạm (DNS client) khi các máy này có nhu cầu phân giải các thông tin DNS đã bị hacker giả mạo, thông thƣờng, các mạng máy tính nối với Internet đều đƣợc bảo vệ bằng bức tƣờng lửa (fire wall). Bức tƣờng lửa có thể hiểu là cổng duy nhất mà ngƣời đi vào nhà hay đi ra cũng phải qua đó và sẽ bị ―điểm mặt‖. Bức tƣờng lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tƣởng lẫn nhau trong việc sử dụng tài nguyên chia sẻ trong mạng nội bộ. Một trong những cách để vƣợt qua tƣờng lửa đó là giả mạo địa chỉ nghĩa là ngƣời bên ngoài sẽ giả mạo địa chỉ máy tính của mình là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công. Nếu nhƣ làm đƣợc điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống. Không giống trong môi trƣờng thật, chúng ta có thể nghi ngờ khi nhận đƣợc những chỉ dẫn sai để đi đến một nơi nào đó, các máy tính hoàn toàn tin tƣởng khi nhận đƣợc các đáp ứng từ nơi mà chúng cho là xuất phát từ những nguồn tin cậy.
Sau đây là một số kỹ thuật DNS Spoofing thông dụng:
- Intranet spoofing - hoạt động nhƣ là một thiết bị trên cùng lớp mạng nội bộ. - Internet spoofing - hoạt động nhƣ một thiết bị trên internet.
- Proxy server DNS poisoning - thay đổi các chỉ mục DNS trên proxy server để chuyển hƣớng ngƣời dùng đến một trạm đích khác.
- DNS cache poisoning - thay đổi chỉ mục DNS trên bất kì hệ thống nào để chuyển hƣớng ngƣời dùng đến một trạm đích khác.
Các Công Cụ Tấn Công DNS Spoofing:
- EtherFlood: Đƣợc sử dụng để làm tràn ngập một hệ thống Ethernet switch và
truyền thông trên lớp mạng chứ không chỉ những gói tin đƣợc gửi và nhận từ chính máy của họ.
- Dsniff: Gồm tập hợp nhiều công cụ khác nhau có thể chạy trên Windows và
Linux (tuy nhiên khi sử dụng Dsniff trên Linux sẽ đạt hiệu quả tốt hơn với đầy đủ các tính năng của nó). Những chức năng mà dsniff cung cấp gồm có bắt giữ các thông điệp thƣ điện tử với mailsnarf, bắt giữ tập tin với filesnarf, đánh cắp thông điệp chat với msgsnarf… Tuy nhiên, ứng dụng này chỉ hoạt động hiệu quả trong môi trƣờng hub với cơ chế passsive sniff, trên các hệ thống mạng sử dụng Ethernet switch thì dsniff không có tác dụng.
- Packet Crafter: Đƣợc dùng để tạo ra các gói tin TCP/UDP đã đƣợc tùy biến lại
ví dụ đổi địa chỉ nguồn của các gói tin hay thiết lập các cờ theo mục đích riêng của hacker nhƣ đặt cờ RST yêu cầu hệ thống nhận phải reset lại các kết nối, sữa đổi giá trị tuần tự sequence number…
- Cain & Able: Mặc dù dsniff mất tác dụng trong môi trƣờng mạng chuyển
mạch với thiết bị switch, nhƣng các hacker có thể sử dụng Cain & Able với sức mạnh hơn nhiều có khả năng chặn bắt các gói tin thông qua bƣớc đầu độc ARP để điều hƣớng các dữ liệu nhạy cảm về máy của hacker và đánh cắp thông tin nhạy cảm của ngƣời dùng. Ngoài ra, cain & Able có khả năng bắt cả những gói tin voice IP của Skype, giả mạo chứng chỉ điện tử để thâm nhập các hộp thƣ Gmail, Yahoo hay bẻ khóa mật khẩu của hệ thống mạng không dây, mật khẩu mã hóa với MD5.
- SMAC: Dùng để thay đổi địa chỉ MAC của một hệ thống, cho phép hacker giả
mạo địa chỉ phần cứng khi tấn công vào một mục tiêu nào đó, qua mặt đƣợc cơ chế kiểm tra dựa trên địa chỉ MAC.
- MAC Changer: Công cụ dùng để thay đổi địa chỉ MAC trên Unix/Linux, cho
phép hacker giả mạo địa chỉ phần cứng và cả thông tin của nhà sản xuất. WinDNSSpoof: Một công cụ đơn giản chạy trên Windows dùng để giả mạo địa chỉ thông tin DNS. Thông thƣờng, hacker kết hợp WinDNSSpoof với một ứng dụng có khả năng đầu độc ARP để mang lại hiệu quả cho WinDNSSpoof trên các hệ thống mạng dùng thiết bị swicth.
- Distributed DNS Flooder: Có khả năng gửi một số lƣợng lớn các yêu cầu truy
vấn đến máy chủ DNS, tạo ra một cuộc tấn công từ chối dịch vụ (DOS) khiến cho máy chủ DNS không thể đáp ứng các yêu cầu thật của máy khách.
1.4.8 Kỹ thuật tấn công Web server
Một kỹ thuật tấn công căn bản và đƣợc sử dụng cho một số kỹ thuật tấn công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của ngƣời tấn công. Kỹ thuật chèn mã lệnh cho phép ngƣời tấn công đƣa mã lệnh thực thi vào phiên làm việc trên web của một ngƣời dùng khác. Khi mã lệnh này chạy, nó sẽ cho phép ngƣời tấn công thực hiện nhiều tác vụ nhƣ giám sát phiên làm việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân.
Sự nổi tiếng của hacker phần lớn là do những cuộc tấn công vào các trang web hay máy chủ web để đánh cắp thông tin thẻ tín dụng, tài khoản ngân hàng hay lấy đi dữ liệu mật và công bố trên website của mình nhƣ Wikileak. Bởi vì web server hay máy chủ web là các thành phần ―online 24/7‖ của các tổ chức và doanh nghiệp nên chúng thƣờng là các mục tiêu chính để các hacker nhắm tới, một khi đã xâm nhập đƣợc vào hệ thống máy chủ web các hacker sẽ tiếp tục dò tìm và thâm nhập đến các hệ thống khác trong mạng nội bộ hay tiến hành deface trang web.
Một số điểm yếu của hệ thống web hacker thƣờng khai thác tấn công:
- Lỗi cấu hình của phần mềm máy chủ web.
- Lỗi bảo mật của hệ điều hành hay của những ứng dụng chạy trên máy chủ web. - Thiếu các bản vá lỗi hay hệ thống không đƣợc cập nhật đầy đủ, và việc sử dụng các
thông tin mặc nhiên sau khi cài đặt cũng là nguyên nhân làm cho máy chủ web bị tấn công.
- Thiếu các chính sách an toàn thông tin và những thủ tục vận hành hợp lý.
Thông qua các khe hở này hacker sẽ khai thác để chiếm quyền điều khiển hay thâm nhập vào các máy chủ web, từ đây họ có thể leo thang tấn công sang các thành phần quan trọng khác của hệ thống nhƣ thâm nhập mạng nội bộ, tấn công vào máy chủ cơ sở dữ liệu hay các dịch vụ mạng quan trọng khác của tổ chức.
Một số phƣơng pháp các hacker có thể dùng để tấn công:
- Tìm cách bắt giữ tài khoản quản trị của web server hay Website thông qua nghe lén hay tấn công man in the middle (kiểu tấn công này thì nhƣ một kẻ nghe trộm. MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và relay
các message giữa chúng. Trong trƣờng hợp bị tấn công, nạn nhân cứ tin tƣởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, trong khi đó sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công. Và kết quả là các host này không chỉ có thể thông dịch dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng nhƣ thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó). Một trong những ví dụ điển hình là hacker nghe lén khi quản trị viên bất cẩn sử dụng telnet để điều khiển máy chủ từ xa, hay thậm chí khi web master sử dụng các giao thức an toàn nhƣ SSH để truy cập từ xa vẫn có khả năng bị hacker đánh cắp thông tin tài khoản qua hình thức giả mạo chứng chỉ điện tử (fake certificate).
- Bẻ khóa mật khẩu quản trị bằng các công cụ brute-force.
- Tấn công DNS để điều hƣớng ngƣời dùng sang một trang web khác. - Tác động lên dịch vụ FTP hay Email server.
- Khai thác các bug (lỗi bảo mật) của ứng dụng web hay web server.
- Lợi dụng các tài nguyên chia sẻ trên máy chủ web đƣợc cấu hình không hợp lý, hay việc gán quyền bị sai nhƣ cho phép ngƣời dùng bất kì đƣợc phép upload và thực thi các chƣơng trình.
- Sử dụng các lỗi trong lập trình cơ sở dữ liệu để tiêm các chỉ thị nguy hiểm vào hệ thống mà chúng ta thƣờng nghe đến với thuật ngữ SQL Injection.
- Điều hƣớng ngƣời dùng đến các trang web khác thông qua những phƣơng pháp spoofing DHCP, DNS hay đánh cắp cookie nhằm tiến hành tấn công vào phiên làm việc của client và web server (còn đƣợc gọi là session hijacking).
Các công cụ tấn công:
N-Stalker Web Application Security Scanner: cho phép chúng ta kiểm tra các ứng
dụng web có khả năng bị khai thác thông qua các điểm yếu nhƣ XSS, SQL injection, buffer overflow hay không.
Metasploit Framework: là một ứng dụng miễn phí đƣợc tích hợp sẵn nhiều mã khai
thác và payload nguy hiểm chuyên dùng để tấn công các web server. Phiên bản hiện nay của Metasploit là Version 4.2 có thể chạy trên hệ thống Windowshay Linux 32/64 bit. Ngoài ra, chúng ta có thể chạy Metasploit trực tiếp mà không cần cài đặt trên đĩa Live DVD BackTrack 5 R1 (phiên bản mới nhất vào thời điểm hiện tại).
Core Impact và SAINT Vulnerability Scanner: là những công cụ khai thác thƣơng
OWASP HTTP Post Tool là công cụ tấn công và kiểm định bảo mật cho máy chủ
web đƣợc phát triển bởi OWASP, có thể tấn công từ chối dịch vụ các máy chủ web sử dụng Apache bị lỗi.
Để phòng chống bị tấn công các administrator của máy chủ web hay web master cần tiến hành thao tác kiện toàn bảo mật thƣờng đƣợc gọi là tiến trình hardening, sau đây là một số bƣớc mà các administrator cần thực hiện để tăng độ vững chắc cho máy chủ:
- Thay đổi tên tài khoản quản trị, không dùng tên mặc định là administrator và dùng các mật khẩu mạnh, đƣợc thay đổi thƣờng xuyên.
- Tắt các trang web và trang FTP mặc định.
- Gỡ bỏ các ứng dụng không cần thiết trên máy chủ nhƣ dịch vụ WebDAV (WebDAV là Web-based Distributed Authoring and Versioning (hệ thống quản lý chứng thực và phiên bản dựa trên môi trƣờng Web), là một tập hợp mở rộng của giao thức HTTP, dùng để quản lý, chỉnh sửa file trên WebDAV server một cách dễ dàng nhƣ cách chúng ta làm việc trên một folder máy tính của mình. Cần lƣu ý WebDAV là một trong những tác nhân chính làm cho các website ở Việt Nam bị hacker tấn công. Các lỗ hổng của WebDAV xuất hiện trong IIS phiên bản chƣa đƣợc vá. Cấu hình máy chủ web ngăn không cho duyệt thƣ mục. Đặt các thông báo nhằm cảnh báo hacker không đƣợc thâm nhập trái phép và phá hoại với những hình phạt tƣơng ứng mà pháp luật quy định.
- Áp dụng các bản vá lỗi và cập nhật mới nhất cho hệ điều hành và cho cả các ứng dụng chạy trên hệ điều hành này.
- Tiến hành kiểm tra các khu vực tiếp nhận dữ liệu đầu vào nhằm loại bỏ khả năng bị khai thác thông qua hình thức chèn mã độc hay các chỉ thị nguy hiểm.
- Tắt chức năng quản trị từ xa nếu không thật sự cần thiết.
- Bật chức năng auditing và logging để ghi lại các chứng cứ và dấu vết mà hacker để lại.