Các giao thức vẫn chuyển SIP

Một phần của tài liệu bảo mật hệ thống call center (Trang 35 - 177)

2

2.3.5 Các giao thức vẫn chuyển SIP

2.3.5.1 UDP

UDP là giao thức tầng vận chuyển không có điều khiển tắc nghẽn. Nó được

dùng để vận chuyển bản tin SIP vì đơn giản và thích hợp với các ứng dụng thời gian thực. Các bản tin SIP thường có kích thước nhỏ hơn MTU (Message Transport

Unit). Nếu bản tin lớn thì phải dùng TCP, vì lý do này mà SIP không có chức năng

chia nhỏ góị

Hình 2. 101: Trao đổi bản tin SIP bằng UDP

2.3.5.2 TCP

TCP là giao thức ở tầng vận chuyển đáng tin cậy do có điều khiển tắc nghẽn, hơn

nữa nó có thể vận chuyển gói tin có kích thước bất kỳ. Nhược điểm của nó là tăng độ trễ.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG VÀO H THNG

CALL CENTER

Hệ thống Call Center được phát triển dựa trên mã nguồn mở Asterisk, mà

Asterisk được kết hợp bởi nền tảng công nghệđiện thoại (VoIP) và các dịch vụđiện thoạị Khi nghiên cứu sâu vào hệ thống của chúng ta thì được thấy đa phần được sử

dụng công cụ chính là IP và các giao thức mạng. Chính vì thế các Attacker đã tận dụng nền tảng này tấn công vào hệ thống Call Center để thực hiện mục đích. Dưới

đây là các hình thức tấn công phổ biến nhất hiện nay:

3.1 Các nguy cơ tấn công đối với hệ thống Call Center theo quan điểm mạng IP 3.1.1 Dos ( Denial of Service ) 3.1.1 Dos ( Denial of Service )

3.1.1.1 Định nghĩa về tấn công DoS

Trường hợp tấn công đơn giản 1 - 1 DoS ( Denial of Service ) là hình thức tấn công từ chối dịch vụ, có nhiều cách để thực hiện tấn công kiểu này (VD: SYN Flooding,..), thực chất là Attacker tận dụng lỗ hổng bảo mật nào đó để yêu cầu Server làm việc nào đó, mục đích là không để Server có khả năng đáp ứng yêu cầu dịch vụ của các Client khác, như vậy gọi là "từ chối dịch vụ" của các Client khác hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống. Thường thì kẻ tấn công là từ một máỵ

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

 Nếu kẻ tấn công không có khả năng xâm nhập được vào hệ thống thì chúng cố gắng tìn cách làm cho hệ thống sụp đổ và không có khả năng phục vụ người dùng bình thường.

 Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ

thống nhưng nó có thểlàm gián đoạn dịch vụ mà hệ thống đó cung cấp. Như định nghĩa DoS khi tấn công vào một hệ thống sẽ khai thác những cái yếu nhất của hệ thống để tấn công.

3.1.1.2 Các mục đích tấn công DoS

 Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (flood), khi

đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho

người dùng bình thường.

 Cố gắng làm ngắt kết nối giữa hai máy và ngăn chặn quá trình truy cập vào dịch vụ.

 Cố gắng ngăn chặn những người dùng cụ thể vào một dịch vụnào đó

 Cố gắng ngăn chặn các dịch vụ không cho người khác có khảnăng truy cập vàọ

 Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụđó như bị:

+ Disable Network - Tắt mạng

+ Disable Organization - Tổ chức không hoạt động + Financial Loss – Tài chính bị mất

3.1.1.3 Mục tiêu kẻ tấn công thường sử dụng tấn công DoS

Như đã trình bày ở bên trên tấn công DoS xảy ra khi kẻ tấn công sử dụng hết tài nguyên của hệ thống và hệ thống không thể đáp ứng cho người dùng bình

thường được, vì vậy các tài nguyên chúng thường ngắm đến khi tấn công là gì:  Tạo ra sự khan hiếm, những giới hạn và không đổi mới tài nguyên

 Băng thông của hệ thống mạng (Network Bandwidth), bộ nhớ, ổđĩa, và CPU Time hay cấu trúc dữ liệu đều là mục tiêu của tấn công DoS.

 Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, hệt thống làm mát và nhiều tài nguyên khác của doanh nghiệp. Trường hợp khi nguồn điện vào máy chủ web bị ngắt thì người dùng sẽ không thể truy cập vào máy chủđó.

 Phá hoại hoặc thay đổi các thông tin cấu hình.

 Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…

3.1.1.4 Các dạng tấn công DoS

Tấn công Smurf và Fraggle

- Tn công Smurf: là thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới

địa chỉ Broadcast của nhiều mạng với địa chỉ nguồn là mục tiêu cần tấn công. * Chúng ta cần lưu ý là: Khi ping tới một địa chỉ là quá trình hai chiều – Máy A ping tới máy B thì máy B reply lại hoàn tất quá trình. Khi máy A ping tới địa chỉ

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

máy Ạ Nhưng máy A được thay địa chỉ nguồn của máy C và máy A ping tới địa chỉ Broadcast của một mạng nào đó, thì toàn bộ các máy tính trong mạng đó sẽ

reply lại vào máy C chứ không phải máy A và đó là tấn công Smurf. Ở đây kẻ tấn công sẽ sử dụng một phần mềm Wireshark để phân tích gói tin ICMP và sẽthay đổi

địa chỉ nguồn đến máy cần tấn công.

- Kết quảđích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn và làm cho mạng bị rớt hoặc bị chậm lại không có khả năng đáp ứng các dịch vụ

khác.

- Quá trình này được khuyếch đại khi có luồng ping reply từ một mạng được kết nối với nhau ( mạng BOT ).

Hình 3. 2: Mô hình tấn công Smurf sử dụng gói ICMP làm ngập các giao tiếp khác.

- Tn công Fraggle (UDP flood), các Attacker sử dụng UDP echo và tương tựnhư

tấn công Smurf.

Hình 3. 3: Mô Hình tấn công Fraggle sử dụng gói UDP

Tương tự như Smurt attack nhưng thay vì dùng gói tin ICMP ECHO REQUEST thì sẽ dùng cách tấn công này sẽ dùng gói tin UDP ECHO gởi đến mục

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

tiêụ Nhưng Flaggle Attack nguy hiểm hơn Smurt attack rất nhiềụVì Attacker tấn công bằng một gói tin ECHO REQUEST với địa chỉ bên nhận là một địa chỉ

broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi gói tin REPLY đến port echo của victim, sau đó từ victim một gói tin ECHO REPLY lại gửi trở về địa chỉ

broadcast, và quá trình cứ thế tiếp diễn.

Tấn công Buffer overflow

- Buffer Overflow xảy ra khi một chương trình phải ghi thông tin xuống buffer nhiều hơn khoảng trống trong bộ nhớ quy định của nó.

- Khi đó attacker có thể overwrite lại đường dẫn thực thi của chương trình,

điều khiển cho chương trình chạy đoạn mã nguy hiểm của attacker thay vì đoạn mã của chương trình.

Ví d: Send 1 email với file đính kèm có tên lớn hơn 256 ký tự hoặc send 1 gói ICMP với size lớn.

Tấn công Ping of Death

Hình 3. 4: Mô hình tấn công Ping Of Death

Tấn công Ping of Death (hay PoD) có thể làm tê liệt cả mạng lưới dựa trên lổ

hổng của hệ thống TCP/IP. Kích thước tối đa cho 1 gói dữ liệu là 65,535 bytes. Nếu ta gửi các gói tin lớn hơn nhiều so với kích thước tối đa thông qua lệnh “ping” đến

máy đích thì sẽlàm máy tính đích bị treọ

Nhưng gửi 1 gói tin lớn hơn kích thước quy định là điều trái với luật của giao thức TCP/IP, vì vậy Attacker đã khéo léo gửi các gói tin trên các đoạn phân mảnh. Khi máy tính victim ráp các phân mảnh dữ liệu thì sẽ nhận thấy gói tin quá lớn.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

Tấn công Teardrop

Hình 3. 5: Cơ chế tấn công Teardrop

- Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng, có thể truyền đi theo nhiều con đường khác

nhau để tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu được kết hợp lại như ban đầụ

- Lợi dụng điều này, Attacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau hoặc chồng chéo lộn xộn và gửi đến mục tiêu muốn tấn công. - Nếu hệ điều hành nhận được các gói tin đã được chia nhỏ này từ kẻ tấn công và không hiểu được, hệ thống cố gắng build lại gói tin và điều đó chiếm một phần tài nguyên hệ thống, nếu quá trình đó liên tục xảy ra hệ thống không còn tài nguyên cho các ứng dụng khác, phục vụ các user khác mà thậm chí còn có thể bị treo máỵ

Tấn công SYN Flood

- Được xem là một trong những kiểu tấn công DoS kinh điển nhất. Lợi dụng sơ hở của thủ tục TCP khi thực hiện giao thức “bắt tay ba bước”, mỗi khi client

(máy khách) muốn thực hiện kết nối (connection) với server (máy chủ) thì nó thực

hiện việc bắt tay ba bước (three – ways handshake) thông qua các gói tin (packet).

Bước 1:Client sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nốị

Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để

thông báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu nàỵ Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm (cache) để nhận và truyền dữ liệụNgoài ra, các thông tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận.

Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER Hình 3. 6: Quá trình bắt tay 3 bước

- Do TCP là thủ tục tin cậy trong việc giao nhận (end-to-end) nên trong lần

bắt tay thứ hai, server gửi các gói tin SYN/ACK trả lời lại client mà không nhận lại được hồi âm của client để thực hiện kết nối thì nó vẫn bảo lưu nguồn tài nguyên chuẩn bị kết nối đó và lập lại việc gửi gói tin SYN/ACK cho client đến khi nào nhận được hồi đáp của máy client.

- Vấn đề quan trọng là ở đây khi client không hồi đáp cho Server. Và có hàng nhiều, nhiều client như thế trong khi server vẫn “ngây thơ” lặp lại việc gửi packet đó và giành tài nguyên để chờ gói tin phản hồi trong lúc tài nguyên của hệ thống là có giới hạn! Các Attacker tấn công sẽ tìm cách để đạt đến giới hạn đó.

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

- Nếu quá trình đó kéo dài, server sẽ nhanh chóng trở nên quá tải, dẫn đến

tình trạng crash (treo) nên các yêu cầu hợp lệ sẽ bị từ chối không thể đáp ứng được.

Có thể hình dung quá trình này cũng giống hư khi máy tính cá nhân (PC) hay bị

“treo” khi mở cùng lúc quá nhiều chương trình cùng lúc vậy.

- Thông thường, để giả địa chỉ IP gói tin, các Attacker có thể dùng Raw Sockets (không phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc của gói tin. Khi một gói tin SYN với IP giả mạo được gửi đến server, nó cũng như bao gói tin khác, vẫn hợp lệ đối với server và server sẽ cấp vùng tài nguyên cho

đường truyền này, đồng thời ghi nhận toàn bộ thông tin và gửi gói SYN/ACK ngược lại cho Client. Vì địa chỉ IP của client là giả mạo nên sẽ không có client nào nhận được SYN/ACK packet này để hồi đáp cho máy chủ. Sau một thời gian không

nhận được gói tin ACK từ client, server nghĩ rằng gói tin bị thất lạc nên lại tiếp tục

gửi tiếp SYN/ACK, cứ như thế, các kết nối (connections) tiếp tục mở.

Hình 3. 8: Mô hình tấn công của Attacker sử dụng SYN Flood

- Nếu như kẻ tấn công tiếp tục gửi nhiều gói tin SYN đến server thì cuối cùng server đã không thể tiếp nhận thêm kết nối nào nữa, dù đó là các yêu cầu kết

nối hợp lệ. Việc không thể phục nữa cũng đồng nghĩa với việc máy chủ không tồn

tạị Việc này cũng đồng nghĩa với xảy ra nhiều tổn thất do ngưng trệ hoạt động, đặc

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER

- Đây không phải là kiểu tấn công bằng đường truyền cao, bởi vì chỉ cần

một máy tính nối internet qua ngã dial-up đơn giản cũng có thể tấn công kiểu này (tất nhiên sẽ lâu hơn chút).

Tấn công LAND

Hình 3. 9: Mô hình tấn công bằng Land Attack

Land Attack là một kiểu tấn công cũng gần giống như SYN Attack, nhưng

thay vì dùng các địa chỉ ip không có thực, Attacker sẽdùng chính địa chỉ ip của nạn

nhân. Điều này sẽ tạo nên một vòng lặp vô tận trong chính hệ thống nạn nhân đó,

giữa một bên cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gởi thông tin phản hồịVà nghiên cứu gần đây cho thấy, Windows XP SP2 và Windows 2003 rất dễ bị tấn công bởi phương pháp nàỵ Nhưng trên thực tế thì các hệđiều hành như

Sun OS, BSD (Unix) và Macs là dễ bị tấn công bằng phương pháp nàỵ  UDP Flood

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER Hình 3. 10: Mô hình tấn công bằng UDP Flood

Attacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP có kích

thước lớn đến hệ thống mạng, khi hệ thống mạng bị tấn công UDP Flood sẽ bị quá tải và chiếm hết băng thông của đường truyền, vì thế nó gây ra những ảnh hưởng rất lớn đến đường truyền, tốc độ của mạng, gây khó khăn cho người dùng khi truy cập vào mạng nàỵ

UDP Flood cần có ít nhất 2 hệ thống máy tham giạ Attackers tự làm hệ

thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP bằng việc giả mạo địa chỉ IP của các gói tin là địa chỉ loopback và gởi gói tin đến máy của victim thông qua cổng UDP echo ( 7 ).Máy của victim sẽ request các gói tin do 127.0.0.1(chính nó) gởi đến,kết quả là nó sẽđi vòng một vòng lặp vô tận. Nhưng đó là con dao 2 lưỡi vì hiện nay có rất nhiều hệ thống cấm sử dụng địa chỉ loopback nên khi Attacker thực hiện tấn công này thì sẽ rơi vào vòng lập do chính mình tạo rạ

Tấn công DNS

Hình 3. 11: Mô hình tấn công DNS

Đầu tiên,Attacker tấn công vào DNS server bằng các phương pháp khai thác

lỗ hổng hoặc lợi dụng sự kém bảo mật của hệ thống. Sau đó, Attacker có thể đổi

đường dẫn vào Domain Name Server của hệ thống nạn nhân nhằm làm cho DNS của hệ thống phân giải đến một Fake Website của Attacker. Khi máy khách yêu cầu

DNS phân tích địa chỉ bị xâm nhập thành địa chỉ IP, lập tức DNS ( đã bị Attacker

thay đổi cache tạm thời ) sẽđổi thành địa chỉ IP mà Attacker đã cho chỉ đến đó. Kết quả là thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính Attacker tạo rạ

3.1.1.5 Các công cụ tấn công DoS

CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER Hình 3. 12: Tấn công DoS bằng Jolt2

 Cho phép kẻ tấn công từ chối dịch vụ (DoS) lên các hệ thống trên nền tảng Windows

 Nó là nguyên nhân khiên máy chủ bị tấn công có CPU luôn hoạt động ở mức

độ 100%, CPU không thể xử lý các dịch vụ khác.

 Không phải trên nền tảng Windows như Cisco Router và một số loại Router khác cũng có thể bị lỗ hổng bảo mật này và bị tools này tấn công.

Tools DoS - Bubonic

Một phần của tài liệu bảo mật hệ thống call center (Trang 35 - 177)

Tải bản đầy đủ (PDF)

(177 trang)