CHƯƠNG 2. ỨNG DỤNG SO KHỚP MẪU TRONG QUÁ TRÌNH PHÁT HIỆN XÂM NHẬP MẠNG
2.1.1. Một số kỹ thuật xâm nhập trái phép
Thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống. Tấn công thăm dò thường bao gồm các hình thức: Sniffing, Ping Sweep, Ports Scanning.
Sniffer là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc điểm của cơ chế TCP/IP. Sniffer ban đầu là một kỹ thuật bảo mật, được phát triển nhằm giúp các nhà quản trị mạng khai thác mạng hiệu quả hơn và có thể kiểm tra các dữ liệu ra vào mạng cũng như các dữ liệu trong mạng, tức kiểm tra lỗi. Sau này, kẻ tấn công dùng phương pháp này để lấy cắp mật khẩu hay các thông tin nhạy cảm khác. Biến thể của sniffer là các chương trình nghe lén bất hợp pháp như: công cụ nghe lén yahoo, ăn cắp mật khẩu của thư điện tử,… Có hai loại nghe lén là (i) nghe lén chủ động và (ii) Nghe lén bị động.
Nghe lén chủ động: chủ yếu hoạt động trên các mạng sử dụng thiết bị chuyển mạch với mục đích thay đổi đường đi của dòng dữ liệu, áp dụng cơ chế ARP và RARP, hai cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP, bằng cách phát đi các gói tin đầu độc. Đặc điểm của nghe lén chủ động là phải gửi gói tin đi nên chiếm băng thông của mạng, do vậy nếu nghe lén quá nhiều trong mạng thì lượng gói tin gửi đi sẽ rất lớn, do liên tục gửi đi các thông tin giả mạo, có thể dẫn tới nghẽn mạng hay gây quá tải lên chính NIC của máy. Tuy nhiên, có một số kỹ thuật ép dòng dữ liệu đi qua NIC của mình như: thay đổi thông tin ARP, làm tràn bộ nhớ MAC, từ đó chuyển mạch sẽ chạy chế độ chuyển tiếp mà không chuyển mạch gói; giả MAC (các kẻ nghe lén sẽ thay đổi MAC của mình thành một MAC của một máy hợp lệ và qua được chức năng lọc MAC của thiết bị); đầu độc DHCP để thay đổi cổng vào của máy trạm hay phân giải sai tên miền DNS.
Nghe lén bị động: chủ yếu hoạt động trong môi trường không có thiết bị chuyển mạch mà dùng hub với cơ chế hoạt động dựa trên cơ chế lan truyền gói tin trong mạng;
do không có thiết bị chuyển mạch nên các các gói tin được truyền đi trong mạng; có thể bắt các gói tin lại để xem, dù trạm chủ nhận gói tin không phải là nơi gói tin đó gửi tới. Vì do máy tự truyền các gói tin nên hình thức nghe lén bị động này rất khó phát
1. Dựa vào quá trình đầu độc ARP của nghe lén để phát hiện: vì phải đầu độc ARP nên kẻ nghe lén sẽ liên tục gửi gói tin đầu độc tới các nạn nhân. Do đó ta có thể dùng các công cụ bắt gói tin trong mạng để phát hiện. Một cách khác ta có thể kiểm tra bảng ARP của trạm chủ. Nếu thấy trong bảng APR có 2 MAC giống nhau thì có thể mạng đang bị nghe lén;
2. Dựa trên băng thông: do quá trình gửi gói tin đầu độc của kẻ nghe lén nên quá trình này có thể chiếm băng thông từ đây có thể dùng một số công cụ kiểm tra băng thông để phát hiện. Các công cụ phát hiện nghe lén có thể là Xarp, ARPwatch, thiết bị bảo vệ đầu cuối Simantec;
3. Ping sweep: đưa ra một gói yêu cầu ICMP và đợi trả một thông báo trả lời từ một máy hoạt động. Mục đích của Ping Sweep là xác định hệ thống đang
“sống” hay không rất quan trọng vì có thể kẻ tấn công ngừng ngay tấn công khi xác định hệ thống đó đã “chết”. Việc xác định trạng thái hệ thống có thể sử dụng kỹ thuật Ping Scan hay còn gọi với tên Ping Sweep. Bản chất của quá trình này là gửi một ICMP Echo Request đến máy chủ mà kẻ tấn công đang muốn tấn công và mong đợi một ICMP Reply. Ngoài lệnh ping có sẵn trên Windows, còn có một số công cụ ping sweep như: Pinger, Friendly Pinger, Ping Pro,…
4. Quét cổng (port scanning) là một quá trình kết nối các cổng giao thức TCP và UDP, trên một hệ thống mục tiêu nhằm xác định xem dịch vụ nào đang
“chạy” hoặc đang trong trạng thái “nghe”. Xác định các cổng nghe là một công việc rất quan trọng nhằm xác định được loại hình hệ thống và những ứng dụng đang được sử dụng. Mỗi công cụ có cơ chế port scan riêng. Ví dụ như kỹ thuật quét TCP, tức Nmap, sẽ kiểm tra cổng trên hệ thống đích mở hay đóng bằng cách thực hiện kết nối TCP đầy đủ.
2.1.1.2. Tấn công thâm nhập
Tấn công thâm nhập là một thuật ngữ rộng, ứng với việc tấn công bất kì, mà người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền.
Tấn công truy nhập hệ thống là hành động đạt được quyền truy cập một cách bất hợp pháp đến một hệ thống mà ở đó kẻ tấn công không có tài khoản sử dụng. Tấn công truy nhập thao túng dữ liệu, như kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. Tấn công xâm nhập hệ thống có thể lợi dụng cổng hậu, sử dụng kỹ thuật người đứng giữa hay tấn công leo thang, hay nghe trộm,...
2.1.1.3. Tấn công từ chối dịch vụ
Cơ bản, tấn công từ chối dịch vụ là tên gọi chung của cách tấn công làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động của hệ thống hoặc hệ thống phải ngưng hoạt động.
Tùy theo phương thức thực hiện mà nó được biết dưới nhiều tên gọi khác nhau.
Bắt đầu là lợi dụng sự yếu kém của giao thức TCP để thực hiện tấn công từ chối dịch vụ DoS, mới hơn là tấn công từ chối dịch vụ phân tán DDoS, mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS.
Tấn công từ chối dịch vụ cổ điển DoS sử dụng các hình thức: bom thư, đăng nhập liên tiếp, làm ngập SYN, tấn công Smurf, trong đó thủ phạm sinh ra nhiều giao tiếp ICMP tới địa chỉ Broadcast của các mạng với địa chỉ nguồn là mục tiêu cần tấn công, tấn công “gây lụt” UDP…
Tấn công dịch vụ phân tán DDoS xuất hiện vào năm 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao hơn gấp nhiều lần. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động. Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian, từ nhiều nơi để đồng loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm nghẽn đường truyền của một mục tiêu xác định nào đó.
2.1.1.4. Tấn công sử dụng mã độc
Tấn công sử dụng mã độc là việc cài đặt mã độc hại dưới dạng phần mềm hợp lệ hay gắn nó với phần mềm khác của người dùng với mục đích xấu. Các kỹ thuật tấn công sử dụng mã độc thường là:
Bom logic là một đoạn mã nhúng trong chương trình hợp pháp. Bom logic có
thỏa mãn một số điều kiện xác định. Bom logic khi được kích hoạt sẽ phá hoại hệ thống, như biến đổi, xóa tệp, làm hệ thống ngừng hoạt động;
Virus Trojan là một đoạn mã được giấu trong một chương trình, thường hấp dẫn như những phần mềm trò chơi hay phần mềm nâng cấp… Khi người dùng chạy chương trình này, đoạn mã độc sẽ hoạt động, lưu lại trong máy tính người dùng.
Đoạn mã độc này nhằm nhiều mục đích khác nhau, như thu thập mật khẩu, thẻ tín dụng,... và gửi tới kẻ tấn công, và điều khiển theo ý người ta;
Sâu là một chương trình có khả năng tự nhân bản giống như virus máy tính.
Khác với virus, sâu di chuyển từ máy này sang máy khác mà không nhờ vào bất kì tác động nào của người dùng, nó dựa vào các lỗ hổng của hệ thống. Khi sâu lây nhiễm vào một máy, nó sử dụng máy này làm “bàn đạp” để tiếp tục tấn công các máy khác. Chúng phát tán qua môi trường Internet, mạng ngang hàng, dịch vụ chia sẻ,…
Xác chết (zombies) là chương trình được thiết kế để giành quyền kiểm soát một máy tính có kết nối Internet, và sử dụng máy tính bị kiểm soát để tấn công các hệ thống khác. Các xác chết thường được dùng để tấn công DDOS các máy chủ hoặc Website lớn. Rất khó để lần vết và phát hiện tác giả tạo ra và điều khiển các xác chết.