Tấn công

Một phần của tài liệu Giải pháp bảo vệ thông tin VOIP trên mạng Internet Intranet (Trang 43)

Có những sự phân loại khác nhau về sự tấn công. Trước hết là sự phân biệt giữa tấn công trực tiếp và tấn công gián tiếp. Sự tấn công trực tiếp nhằm vào một đối tượng nhất định. Trong sự tấn công gián tiếp, kẻ tấn công cổ gắng thu nhặt thông tin về một

r 9 * t f \ "

đôi tượng mà nó không truy nhập. Loại tân công này là vân đê đặt ra cho những hệ thống cơ sở dữ liệu, nó có thể gián tiếp hỏi tới m ột cơ sở dữ liệu và thu được thông tin bí m ật từ nó.

Sự phân loại thứ hai là được phân ra tích cực và bị động tẩn công. Dạng bị động tấn công không thay đổi dữ liệu. Chúng được thực hiện bởi việc theo dõi một hệ thống. Dữ liệu được tập hợp và phân tích. M ột ví dụ là sự phân tích giao thông. M ã hóa không hoàn toàn giải quyết vấn đề đó vì thậm chí sự việc mà có giao thông trên m ạng để lộ ra thông tin rồi. Ví dụ khác cho m ột dạng bị động tấn công là từ điển tấn công về hồ s ơ . mật khẩu của m ột hệ thống UNIX. Tích cực tấn công, thay đổi hành vi của một hệ thống “hoạt động” . Chúng có thể được chia nhỏ ra vào trong năm kiểu khác nhau :

• Sự ngăn chặn của dữ liệu • Sự gián đoạn

• Sự tạo thành dữ liệu • Sự cải biến dữ liệu • Sự lồng vào dữ liệu

,, r r

Kiêu chung nhât cho m ột tân công là ngăn chặn dữ liệu. Bât kỳ sự truy nhập tới thông tin ủy quyên nào. M ột ví dụ là sự ngăn chặn dữ liệu các gói trao đổi giữa hai phe đôi tượng. Nó cũng được viện dân như nghe trộm. Sự gián đoạn bao gôm bât kỳ sự trì hoãn nào hoặc sự tan rã của thao tác bình thường của một hệ thống. Dưới dạng một kết nôi mạng có nghĩa là dữ liệu không đến đích, trong trường hợp dữ liệu gửi được tạo ra ả server của kẻ tân công. Kẻ tấn công có thể cố gắng đóng vai m ột người dùng hợp lệ

hoặc khách hàng. Sự cải biến dữ liệu đúng để thay đổi dữ liệu. Kẻ tấn công sửa đổi dữ liệu và chuyển cho Server của n ó bằng cách nào đó. M áy tính củ a kẻ tấn công là không có nguồn mà cũng không có đích của dữ liệu. Luồng vào dữ liệu đang thêm dữ liệu m ới vào một gói dữ liệu hiện hữu. Một trường hợp đặc biệt của nó là nối dữ liệu. Ở đây, gói dữ liệu nguyên bản không phải là biến đổi nhưng gửi cùng với một phần dữ

f * * r /

liệu, dược tạo ra bởi kẻ tân công. Tât cà tân công tích cực sử dụng ít nhât một trong sô những phương pháp này.

Tấn công qua từ điển

Sự tấn công này bị động, mục đích của nó là phục hồi mật khẩu cho các tài khoản người dùng, ví dụ trên, về những hệ thống máy tính U NIX. UNIX với cấu hinh cổ điển sử dụng m ột hồ sơ để lưu giữ các tên của người dùng tính toán với dữ liệụ bổ sung. Hồ sơ này đọc được bởi tất cả những người dùng hệ thống. D ữ liệu trong hồ sơ này ngoài ra còn chứa đựng m ật khẩu mã hóa, các quyền và người dùng.

Chiến lược của kẻ tấn công sẽ đoán những m ật khẩu thông qua mã hóa từ điển wordlists và so sánh chúng với những mục trong hồ sơ. Theo m ột khảo sát cùa Daniel K lein về những tài khoản người dùng UNIX, Khoảng 25 % m ật khẩu có tlìể được để lộ ra với hệ thống đoán. Sử dụng những danh sách của những w ordlists tên và từ điển.

Nghe trộm hoặc rình mò

Việc nghe trộm hoặc rình mò là một dạng tấn công bị động, theo dõi lưu thông trên mạng để có thông tin về hệ thống. Trong những ứng dụng không sử dụng mã hóa nh ư telnet và ftp, tên và m ật khẩu tài khoản được truyền là bản rõ. Ở đó một kẻ tấn công với sự truy nhập tới m ạng thu được những dấu hiệu liên quan tới dịch vụ. Mặc dầu khó để truy nhập tới m ạng, mã hóa chứng thực các kết nối quan trọng trong Internet.

Sự giả danh để tẩn công

Sự giả danh là sự tấn công kẻ tấn công già vờ là người nào đó dể có thể tru y . nhập tới m ột dịch vụ hoặc tài nguyên. Phụ thuộc vào loại chứng thực được thực hiện, kẻ tân công phải có kiến thức của loại bí mật dùng chung nào đó. M ột trường hợp dặc biệt cùa sự già danh là IP spoofing: Nhiều ứng dụng tin cậy sự chứng thực địa chỉ nguôn. IP spoofing là kỹ thuật nơi địa chỉ nguôn được tạo ra. K ẻ tân công phải thay dối hành vi của tầng TC P / IP của hắn để thực hiện việc tấn công. Việc này yêu cầu kiến thức vê kêt nôi m ạng và những kỹ năng lập trình tôt. Kỹ thuật này cũng bị sử dụng đê vượt qua firewalls. Ở đây thay thế địa chi IP nguồn của kẻ tấn công với dịa chi IP của m ột Server cùa m ạng bên trong firewall, hệ thống bào vệ một m ạng nổi tới Internet.

Tẩn công làm từ chối dịch vụ

Một dịch vụ Internet là một chương trình chạy trên m ột máy tính Server đợi những kêt nôi từ những khách hàng. Nó tấn công trực tiếp, tích cực. Kẻ tấn công không nhăm mục đích lây trộm bât cứ cái gì mà chỉ làm hệ thống không thể cung cấp dịch vụ. Ba kiểu tân công có thể:

4 4

• Sự phá hủy vật lý hoặc sự thay đổi các thành phần mạng

1 r

• Sự phá hủy hoặc sự thay đôi thông tin câu hình

/ ■»

• Tiêu thụ những tài nguyên khan hiêm, có hạn, hoặc không thê gia hạn được

r r \

Sự cải biên m ột kiên trúc bộ phận phân cứng của hệ thông là sự truy nhập tới sự định vị vị trí của nó. M ột kẻ tấn công có thể chì cố gắng phá hủy những bộ phận cùa một hệ thống thông qua việc làm lệch hướng phần mềm vật lý.

M ột tân công trên Internet chỉ có thê ở kiêu hai hoặc kiêu ba. Sự thay đôi thông tin cần sự truy nhập tới máy tính chù. Điều này có nghĩa là kẻ tấn công quan tâm tới sự phá vỡ trong hệ thống. Cách dễ nhất cho một tấn công sẽ tấn công m ột tài nguyên có hạn như băng thông cho một dịch vụ Internet hay không. Tác động một sự tân công như vậy lớn hơn nếu một vị trí được tấn công từ vài máy chủ cùng lúc. Phương án này cùa tấn công được gọi sự từ chối phân tán của tấn công dịch vụ (DDoS: distributed denial o f service) hay không.

Tẩn công bằng xem lợi

Tấn công bằng xem lại là kiểu tấn công tích cực về phía giao thức. Kẻ tấn công lấy những đặc trưng của các gói dữ liệu gửi từ một m áy,chủ hoặc gửi cho một máy chủ. A nh ta dần dàn sửa đổi chúng và sử dụng lại chúng để kiếm dược sự truy nhập tới m ột loai dịch vu nhất định. Một ví du theo kỹ thuật điện thọai IP là kẻ tấn công có thể

, " X t

thọc v ào các gói dữ liệu nhăn từ một người dùng ủy quyên thiêt lập một cuộc gọi và gửi lại chúng sau khi sửa đổi nguồn và địa chỉ IP. Điều này có thể được ngăn ngừa thực hiện sự toàn vẹn chứng thực và dữ liệu thực.

Tấn công làm tràn bộ đệm

Đây là một kiểu tấn công rất chung khác. Nó chủ yếu là kết quả của sự phát

^ A r t

triên phân mêm không thích hợp. Kỹ thuật này lây lợi thê của việc những lệnh nào đó không kiểm tra dữ liệu đầu vào. Những diều đó đặc biệt kéo dài thành chuỗi xử lý các lệnh. Thông qua việc nhiều đầu vào hơn một lệnh hoặc chương trinh chờ đợi thật có thể để ghi dè lên bộ nhớ hệ thống. Nội dung của bộ nhớ này có thể ví dụ như bắt đầu hoặc trả lại cho các địa chỉ của chương trình những chương trình con. Trong trường hợp xấu kẻ tấn công có thể cung cấp cho mình những đặc quyền cùa quản trị hệ thống.

Tẩn công tù' trong, từ giữa

Tấn công từ bên trong, ở giữa, một kè tấn công quan tấm đến việc phá vỡ kết nôi của hai bên. Hai bên tham gia trong kết nôi nghĩ răng chúng giao tiếp với nhau.

t r r r \

Thật ra, tât cà dữ liệu bị định tuyên qua kẻ tân công. Kè tân công có sự truy nhập đây đủ tới tất cả dữ liệu đi qua nó. Kẻ tấn công có thể đọc, sửa đổi hoặc thậm chí gửi dữ liệu của chính mình. Thực tế kè tấn công ở bên trong, ở “giữa” hai bên truyền thông. Một ví dụ cho sự tấn công này là sự thiết lập một kết nối an toàn bời việc sử dụng lớp an toàn an toàn chuyển vận (TLS). Yếu điểm của TLS là sự thiết lập phiên giao dịch. Ở đó, hai bên phải trao đổi hai chìa khóa cho nhau. Sự trao đổi chìa khóa này là khả năng cho m ột kẻ tấn công ờ giữa hai bên có thể có được.

3.1.5 Nhirọc điểm của TCP / IP

Các kiểu tấn công giải thích trước có thổ cũng dược áp dụng đổ tấn công tất cả các lớp cùa kiến trúc TCP / IP. Kiến trúc TCP / IP và hầu hết các giao thức chưa được cbú tâm tới sự an toàn. Lớp TCP / ỈP có một sô nhược điêm cũng như sự thực thi của nó có thể có. T ính dễ bị tổn thương chưa được hạn chế TCP / IP. Tính dễ bị tổn thương tràn bộ đệm không nên tồn tại nhưng không may nó vẫn có thể xuất hiện trong khi thực hiện cùa tầng TC P / IP.

N hững điểm liệt kê ở trên có trật tự theo lớp chúng xuất hiện. Lộ trình phân đoạn và nguồn IP thuộc về tới lớp IP, cũng như tấn công ICM P. Nạn lụt SVN, ƯDP spoofing và số trình tự TCP tấn công được thực hiện trên lớp chuyển vận.

Sự phân đoạn IP

"t \ * '

Sự phân đoạn IP là thuộc tính của IP đê chia các phân quá lớn đôi với các tâng dưới thành các phần nhỏ. Trường hợp IEEE 802.3, tiêu chuẩn Ethernet, cho phép độ dài tối đa là 1492 bytes. M ỗi gói có phần tiêu đề IP của nó, những gói này được gửi tới đích và ráp lại để hình thành bản gốc. Gói dữ liệu IP trong trường hợp các gói TCP phân mành, thông tin phần tiêu đề chỉ đầy đủ trong gói dữ liệu đầu tiên. Việc này là một vấn đề cho firewalls nó vẫn phải cho các phân mảnh đi qua. Tuy nhiên, TCP cũng có thể sửa đổi để tránh hệ thống firewall.

Lộ trình nguồn

IP là m ột giao thức không kết nối không đáng tin cậy. Thông tin về đích duy nhất trên lớp IP là địa chi IP. N hững quyết định lộ trình được làm theo địa chỉ này. Định tuyển nguồn là m ột tùy chọn của IP để chỉ rõ đường dẫn của những máy chủ bộ chuyển mạch m à m ột gói IP phải đi qua. Có hai loại định nguồn khác nhau. Một là lộ trình nguồn chính xác. Lộ trình nguồn chính xác định nghĩa tất cả các máy mà một gói phải đi qua. N hững máy chủ thậm chí phải được đi ngang qua đúng thír lự. Khả năng thứ hai là lộ trình nguồn lỏng. Ở đây, chỉ vài bước truyền ngắn của đường dẫn đã cho. Loại định tuyển n ày nguy hiểm bởi vì tùy chọn này có thể được sử dụng cùng với giả mạo IP (IP spoofing) cho một sự tấn công. Ví dụ kẻ tấn công A định tấn công một hệ thống D (đích). H ắn tạo ra tất cả các gói với địa chỉ nguồn IP của một hệ thống không tồn tại s (nguồn). Đồng thời, kẻ tấn công đặt tùy chọn thả lỏng lộ trình nguồn và thêm máy chủ A. T ất cả dữ liệu có vẻ được trao đổi giữa s và D. Tuy nhiên, vì nhiều giao thức đirực sir dụng như tuyến đường trong phương hướng đảo ngược, ké tấn công nhận tất cả thông lượng.

Tấn công dira vào những thông báo ICMP

ICMP cung cấp các thông tin trạng thái và khả năng điều khiển các giao thức IP.

* t

Các tân công nào dựa vào những thông báo này là tân công D oS. Chúng sẽ từ chôi khả năng cùa các m áy chủ hoặc phá hại. Ba thông báo được sử dụng đặc biệt cho các tấn công : thông báo echo request, redirect và thông báo source quench.

Một sự tấn công dira vào thông báo ICMP đầu tiên, echo request, ping o f death.

4 6

Ping o f death là tắn công DoS. Echo request thường có kính cỡ khoảng 64 bytes. Ping o f death gửi echo requests với kích thước lớn hơn kích thước số cực đại hoặc số lớn hơn 65536 bytes. Sự tấn công này tỏ ra thì có hại tới nhiều hệ diều hành.

Thông báo redirect là kiểu thông báo thử hai. Chúng được đưa tới IP để có thổ sửa đổi những tuyến đường của gói trong trường hợp phát hiện một lộ trình nhanh hơn. K hông có những phương tiện để chứng thực cho những thông báo này. Bởi vậy chúng có thể được sử dụng cho nguyên do tấn công DoS hoặc thông lượng redirect qua các m áy chủ điều khiển bởi kẻ thù. Rồi, kẻ tấn công có thể thực hiện xúc tiến những hành

động nguy hiểm. .

Kiểu thông báo thứ ba, thông báo source quench được gửi thông báo rằng hệ

thong bị quá tải. Khi nhận được thông báo source quench bên gửi giảm bớt tốc độ gửi cho đến khi các thông báo source quench được nhận dược.

ƯDP spoofing

ƯDP là m ột giao thức không kết nối. N hững gói dữ liệu ƯDP được gửi từ máy chủ này sang m áy chủ khác. Không có tương quan giữa các gói dữ liệu gửi. Nó không thể để phát hiện ra liệu có phải những gói dữ liệu kế tiếp có cùng thuộc về một nơi. U D P không thêm bất kỳ cơ chế nào với những số tuần tự hoặc sự xác nhận vào IP. Cơ chế duy nhất để “Xác minh ” những gói trong UDP là kiểm tra địa chỉ IP của nó. N hư vậy, nó có thê bị m ột kẻ tân công chèn những gói dữ liệu được ngụy tạo sử dụng IP spoofing. Bởi vì những bất thường của hệ thống có thể nhận biết được dữ liệu hoặc những dịch vụ cần phải sử dụng TCP như giao thức truyền.

SYN flooding

TCP là một giao thức hướng - phiên . Để khởi động m ột phiên TCP như vậy gọi giao thức bảt tay ba bước sẽ được thực hiện. SYN - flooding tấn công lẩy lợi thế của cơ chế này. SYN - flooding là tấn công DoS, kẻ tấn công gửi các yêu cầu để mở một phicn với spoofed m ột địa chỉ IP mà không tồn tại hoặc không phải là địa chỉ mà kẻ tấn. công được tiếp cận lúc này. M áy chủ trả lời với các gói dữ liệu A CK và đợi những gói dữ liệu chứa đựng m ột tập hợp Ạ CK - cờ. N hưng nó không bao giờ có chúng vì IP địa chỉ không tòn tại. Dần dàn kết nối cố gắng ngoài thời gian và giải phóng bộ nhớ nó sử dụng. Tuy r.hiên, kẻ tấn công tiếp tục gửi yêu cầu kết nối cho đến khi địch vụ chạy ra khỏi bộ nhớ và từ chối các yêu cầu kết nối.

Một chi tiết quan trọng lưu tâm tới sự tấn công này là địa chỉ spoor 'lông thê tim đưọc ở thời điểm tấn công. Cách khác máy chủ với địa chỉ s p o o .c í 1 gửi những gỏi <iữ liệu thông báo m áy chủ tấn công kết thúc kết nối. Điều này mâu thuẫn với dự định của kẻ tấn công để giữ cho đích bận.

Tần công sồ tuần tự TCP

Kỹ thuật này cho phép m ột kẻ tấn công thắng một hệ thống an toàn có cư chế điêu khiên :ruy nhập dựa vào đ ịa chỉ IP. Điều cần trước tiên cho thành công của tấn công là việc đưa thành công các gói IP spoofed vào mạng cục bộ của hệ thống đích.

TCP đề nghị cho một kết nối hướng dịch vụ. Một kct nối TCP xuất hiện một dòng tới nhĩrng người tham gia. Cách tiến hành của phiên được chi ra bời những số

Một phần của tài liệu Giải pháp bảo vệ thông tin VOIP trên mạng Internet Intranet (Trang 43)

(81 trang)