CHƯƠNG 2. TỒNG QUAN VỀ TẤN CÔNG WIRELESS
3.3. Mô phỏng cuộc điều tra tấn công và khắc phục hệ thống
Nhiệm vụ của điều tra viên là phải tìm ra được thông tin cùa kẻ tấn công, các lỗ hổng bị khai thác và khác phục hệ thống với giã thuyết cuộc tấn công chính là cuộc tấn công đã được thực hiện ở chương 2.
3.3.1. Phăn tích dựa trên fìle pcap thu được.
- Địa chi IP của ké lấn công và của nạn nhân.
Mờ file pcap thu được bằng Wireshark, chúng ta có thê thấy danh sách các gói tin tại thời điểm máy nạn nhân bị tân công.
Hình 3.11: Danh sách gối tin ở thòi điểm máy hị tấn công Vào Menu Statistics/Enpoint List/IP v4 để xem danh sách các IP bắt được
Hình 3.12: Danh sách các địa chi' IP bắt được Chúng ta chú ý vào 2 1P dó là
192.168.6.129 : là IP của kẽ tấn công 192.168.6.138: là 1P của nạn nhân
- Thông tin kè tấn công
Thông tin trong khung chi tiết gói tin, cho ta biết máy kẻ tấn công có địa chỉ ĨP cùa máy tấn công là 192.168.6.129 và địa chỉ MAC là 0008e23b560l. Từ địa chi 1P chúng ta có thể suy ra được kẻ tan công là nhân viên nội bộ trong công ty. Đố thuyết phục hơn chúng ta cần tìm thêm các thông tin khác của cuộc tấn công.
Hình 3.13: Các thông tin khác về cuộc tấn công - Có bao nhiêu phicn TCP trong file dump này ?
Đe xem số phiên TCP hiện có, ta vào Menu Statistics — > Conversations, chọn tab TCP.
Hình 3.14: Danh sách các phiên làm việc giữa máy tấn công và máy nạn nhân
Chúng ta có thể thấy có đến hơn 3000 phiên làm việc giữa kẻ tấn công và máy nạn nhân. Từ các thông số về các cổng (port) và các packet có đung lượng nhỏ được gửi đến liên tục chúng ta có thể kết luận rằng trước khi tiến hành cuộc tấn công, kẻ tấn công đã tiến hành quct cổng thông qua 1P của nạn nhân
- Thời gian của cuộc tấn công ?
Tiến hành kiểm tra thời gian của các frame chúng ta có the kết luận như sau + Frame đầu tiên
A r r i v a l Time: o c t 6, 2015 2 0:5 0 :2 5 .7 0 7 3 8 7 0 0 0 SE A s i a Stan d ard Time Hình 3.15: Thông tin về thòi gian bắt đầu của cuộc tấn công
Ngoài ra ta có thể thấy từ frame đau tiên đến frame thứ 4661 kẻ tấn công liên tục gửi các tín hiệu cờ lệnh SYN đến nạn nhân, từ đây chúng ta có thể phóng đoán được trong khoáng thời gian này, kè tấn công đang cố gang quét cổng để tìm kiếm thông tin và lồ hổng trên máy nạn nhân.
B Frame 4661: 66 bytes on wire (528 b it s ) , 66 bytes captured (528 b it s ) on interface 0 interface id : 0 (\Device\NPF_{F67336c0-7c0c-448E-B8CC-0D538c34CB56})
Encapsulation type: Ethernet (1)
r r F a F r . h i . r> Art A n n Art A A
Hình 3.16: Thông tin VC cách thức tấn công + Frame cuối cùng
B Frame 1 1 3 2 5 : 60 b y te s on w ir e (4 8 0 b i t s ) , 60 b y te s c a p t u r e d ( 4 8 0 b i t s ) on i n t e r f a c e 0 i n t e r f a c e i d : 0 ( \ D e v ic e \N P F _ {F 6 7 3 3 6 C 0 -7 C 0 C -4 4 8 E -B 8 C C -0 D 5 3 8 C 3 4 C B 5 6 })
E n c a p s u l a t io n t y p e : E t h e r n e t ( 1 )
Hình 3.17: Thông tin về thòi gian kết thúc cuộc tấn công
Từ những thông tin trên, bước đầu chúng ta có thế rút ra được quá trình tấn công được chia ra làm 2 giai đoạn:
s Giai đoạn 1. Từ 20h50p25s đến 20h53p21s (2 phút 56s): Kè tấn công tìm kiếm thông tin và lồ hồng bằng biện pháp quét cổng.
s Giai đoạn 2. Từ 20h53p21s đến 21 ho 1 p21 s (8 phút) : Ké tấn công tiến hành tấn công vào máy tính nạn nhân.
Toàn bộ cuộc tấn công kéo dài trong 10 phút 56 giây.
- Dịch vụ nào trên máy nạn nhân có thể là mục tiêu lấn công? Lồ hống là gì?
- Kiểm tra các gói tin trong khoảng thời gian ké tan cône tiến hành tấn công vào máy nạn nhân, chúng ta chú ý đến I gói tin có giao thức HTTP cổng 80. Chúne ta có thổ thấy máy nạn nhân đã download xuống I tệp tin html từ IP của kẻ tấn công bằng phương thức GET.
Hình 3.18: Thông tin về các gói tin trao đối trong khoáng thòi gian tấn công Nhấp chuột phải vào gói tin, chọn follow TCP Stream, chúng ta sẽ có đầy dù nội dung cuộc nói chuyện giữa 2 máy tính.
Chúng ta nhận thấy nạn nhân dã download I file nghi ngờ chứa mã dộc từ đường link: “ 192.168.6.1:6969/mTeYhA/qeDt.htmr bằng trình duyệt Internet Explorer 8. Qua đây chúng ta có thể kết luận kè tấn công đã lợi dụng lỗ hống trên trình duyệt 1E8.0 và dụ dồ nạn nhân click vào đường link chứa mã độc.