Tìm hiểu về tấn công mạng. Đề xuất phương án và mô phỏng kỹ thuật phát hiện và ngăn chặn tấn công mạng, tổng quan về tấn công mạng, các loại tấn công mạng phổ biến, thực hành 1 số hình thức tấn công mạng.
Trang 1Tìm hiểu về tấn công mạng Đề xuất phương án và mô phỏng kỹ thuật phát hiện và ngăn chặn tấn công mạng.
Trang 2CHƯƠNG I: TÌM HIỂU VỀ TẤN CÔNG MẠNG
I Tổng quan về tấn công mạng
1 Tấn công mạng là gì?
Khái niệm tấn công mạng (hoặc “tấn công không gian mạng“) trong tiếng
Anh là Cyber attack (hoặc Cyberattack), được ghép bởi 2 từ: Cyber (thuộc không gian mạng internet) và attack (sự tấn công, phá hoại).
Tấn công mạng là tất cả các hình thức xâm nhập trái phép vào một hệ thống
máy tính, website, cơ sở dữ liệu, hạ tầng mạng, thiết bị của một cá nhân hoặc tổ
chức thông qua mạng internet với những mục đích bất hợp pháp.
Mục tiêu của một cuộc tấn công mạng rất đa dạng, có thể là vi phạm dữ liệu(đánh cắp, thay đổi, mã hóa, phá hủy), cũng có thể nhắm tới sự toàn vẹn của hệ thống(gây gián đoạn, cản trở dịch vụ), hoặc lợi dụng tài nguyên của nạn nhân (hiển thịquảng cáo, mã độc đào tiền ảo)
Tấn công mạng khác với pentest (kiểm thử xâm nhập) Mặc dù cả 2 đều chỉviệc xâm nhập vào một hệ thống, tuy nhiên tấn công mạng là xâm nhập trái phép gâyhại cho nạn nhân, còn pentest là xâm nhập với mục đích tìm ra điểm yếu bảo mậttrong hệ thống để khắc phục
2 Đối tượng bị tấn công
Đối tượng bị tấn công có thể là cá nhân, doanh nghiệp, tổ chức hoặc nhà nước.Hacker sẽ tiếp cận thông qua mạng nội bộ (gồm máy tính, thiết bị, con người) Trongyếu tố con người, hacker có thể tiếp cận thông qua thiết bị mobile, mạng xã hội, ứngdụng phần mềm
Bên cạnh những mục đích phổ biến như trục lợi phi pháp, tống tiền doanhnghiệp, hiện thị quảng cáo kiếm tiền, thì còn tồn tại một số mục đích khác phức tạp vànguy hiểm hơn: cạnh tranh không lành mạnh giữa các doanh nghiệp, tấn công an ninhhoặc kinh tế của một quốc gia, tấn công đánh sập một tổ chức tôn giáo, v.v
Ngoài ra, một số hacker tấn công mạng chỉ để mua vui, thử sức, hoặc tò mòmuốn khám phá các vấn đề về an ninh mạng
chức từ đó chỉ ra các giải pháp phòng chống, ngăn chặn sự đe dọa từ tin tặc
Trang 3 Tích cực: Tìm ra những lỗ hổng bảo mật, những nguy cơ tấn công mạng cho cánhân và tổ chức từ đó chỉ ra các giải pháp phòng chống, ngăn chặn sự đe dọa từtin tặc.
Tiêu cực: Phá hoại, lừa đảo tống tiền, mua vui, đe dọa nạn nhân
Ví dụ 1: Trong cùng một hệ thống mạng LAN (mạng nội bộ), tin tặc có thể xâmnhập vào hệ thống của công ty Hacker đó sẽ đóng vai như một người dùng thật trong
hệ thống, sau đó tiến hành xâm nhập vào tệp chứa tài liệu bí mật của công ty về tàichính Tin tặc có thể rút sạch số tiền đó, hoặc thay đối các con số, ẩn file…
Ví dụ 2: Một học sinh lớp 9 tấn công vào các website sân bay Việt Nam với mụcđích mua vui
Ví dụ 3: Vụ mã độc WannaCry tấn công hàng loạt các doanh nghiệp Việt Nam vàđòi tiền chuộc
Ví dụ 4: Kẻ tấn công có thể đột nhập vào máy tính của bạn thông qua phần mềmgián điệp để nghe lén tin nhắn, hoặc xóa file dữ liệu nào đó
II Các kiểu tấn công mạng phổ biến
Malware là gì?
Malware (hay phần mềm độc hại) là thuật ngữ mô tả các chương trình hoặc mã độc
có khả năng cản trở hoạt động bình thường của hệ thống bằng cách xâm nhập, kiểmsoát, làm hỏng hoặc vô hiệu hóa hệ thống mạng, máy tính, máy tính bảng và thiết bị
di động…
Mặc dù không gây ra các hư hỏng về phần cứng nhưng Malware có thể đánh cắp,
mã hóa hoặc xóa dữ liệu, thay đổi hoặc chiếm quyền điều khiển các chức năng vàtheo dõi hoạt động của máy tính mà không cần sự cho phép của bạn
Dấu hiệu nhận biết Malware
Khi thiết bị nhiễm Malware, bạn có thể nhận thấy các dấu hiệu sau:
- Máy tính chạy chậm, tốc độ xử lý của hệ điều hành giảm cho dù bạn đangđiều hướng Internet hay chỉ sử dụng các ứng dụng cục bộ
Trang 4- Bạn bị làm phiền bởi quảng cáo pop-up, mà cụ thể hơn là Adware.
- Hệ thống liên tục gặp sự cố, bị đóng băng hoặc hiển thị BSOD – màn hìnhxanh (đối với Windows)
- Dung lượng ổ cứng giảm bất thường
- Hoạt động Internet của hệ thống tăng cao không rõ nguyên nhân
- Tài nguyên hệ thống tiêu hao bất thường, quạt máy tính hoạt động hết côngsuất
- Trang chủ của trình duyệt mặc định thay đổi mà không có sự cho phép củabạn Các liên kết bạn nhấp vào sẽ chuyển hướng bạn đến các trang khôngmong muốn
- Các thanh công cụ, tiện ích mở rộng hoặc plugin mới được thêm vào trìnhduyệt
- Các chương trình anti-virus ngừng hoạt động và không cập nhật được
- Bạn nhận được thông báo đòi tiền chuộc từ Malware, nếu không dữ liệu củabạn sẽ bị xóa
Tuy nhiên, trong vài trường hợp, thiết bị bị nhiễm Malware vẫn hoạt động bìnhthường, không có dấu hiệu cụ thể nào
Cách Malware xâm nhập vào thiết bị
Trong quá trình sử dụng Internet, những thao tác sau có thể khiến bạn bị nhiễm Malware:
- Truy cập các trang web độc hại, tải trò chơi, file nhạc nhiễm Malware, cài đặt thanh công cụ/phần mềm từ nhà cung cấp lạ, mở tệp đính kèm email độc hại (malspam) hoặc các dữ liệu tải xuống không được quét bởi phần mềm bảo mật
- Tải nhầm các ứng dụng độc hại ngụy trang dưới dạng các ứng dụng hợp pháp Bạn cần chú ý các thông báo cảnh báo khi cài đặt ứng dụng, đặc biệt khi ứng dụng yêu cầu quyền truy cập email hoặc thông tin cá nhân
- Tải ứng dụng ở các nguồn không đáng tin cậy Bạn hãy luôn tải ứng dụng trực tiếp từ nhà cung cấp chính thức và cảnh giác trước các phần mềm tăng tốc Internet, trình quản lý tải xuống, trình dọn ổ đĩa hoặc dịch vụ tìm kiếm thay thế…
- Vô tình cài đặt các phần mềm bổ sung đi kèm với ứng dụng (potentiallyunwanted program) chứa Malware Chương trình này được giới thiệu là cầnthiết trong quá trình cài đặt nhưng thực tế thì lại không
Ngoài ra, việc không sử dụng các chương trình bảo mật cũng là lý do khiếnMalware xâm nhập dễ dàng hơn
Các loại Malware phổ biến
Trang 5Adware, Spyware, Virus, Trojan, Worms, Ransomware, Rootkit, Keylogger, Malicious cryptomining, Exploits là một trong các loại Malware phổ
biến nhất
- Adware thường hiển thị quảng cáo pop-up lên màn hình khi bạn duyệt web.
Adware thường ngụy trang dưới dạng phần mềm hợp pháp hoặc đi kèm với mộtchương trình khác để lừa bạn cài đặt nó
- Spyware là phần mềm gián điệp bí mật quan sát trái phép hoạt động của người
dùng máy tính và gửi báo cáo về cho hacker
- Virus thường ẩn trong một chương trình khác và khi được kích hoạt, nó sẽ thay
đổi các chương trình trong hệ thống và lây lan bằng mã code
- Tương tự như Virus, Worms có khả năng tự sao chép để lây lan sang các máy
tính khác qua mạng Internet, thường gây hại bằng cách phá hủy dữ liệu
- Trojan thường giả dạng các ứng dụng hữu ích để đánh lừa bạn, giúp hacker
chiếm quyền truy cập trái phép vào máy tính để đánh cắp thông tin hoặc cài đặtthêm các Malware khác
- Được mua rất dễ dàng từ các hacker, Ransomware ngăn bạn truy cập vào thiết
bị và mã hóa dữ liệu, sau đó buộc bạn phải trả tiền chuộc để lấy lại chúng
Ransomware được xem là vũ khí của tội phạm mạng vì nó thường dùng các
phương thức thanh toán nhanh chóng bằng tiền điện tử
- Rootkit được thiết kế để ẩn khỏi người dùng, hệ điều hành cũng như các phần
mềm khác, giúp hacker chiếm quyền quản trị hệ thống
Trang 6- Keylogger ghi lại thao tác của người dùng trên bàn phím và gửi về cho hacker
các dữ liệu nhạy cảm như tên người dùng, mật khẩu, hoặc thông tin thẻ tíndụng
- Malicious cryptomining là một dạng mã độc phổ biến thường được cài đặt bởi một Trojan, cho phép hacker sử dụng tài nguyên máy tính của bạn để đào tiền điện tử như Bitcoin hoặc Monero.
- Exploits lợi dụng các lỗi và lỗ hổng để hacker kiểm soát hệ thống Nó thường được liên kết với Adware hiển thị trên một trang web hợp pháp và lừa bạn cài
đặt vào máy tính của mình
Mục tiêu của Malware
Adware, Spyware, Keyloggers và Malvertising nhắm tới các thiết bị được kết
nối với tài khoản ngân hàng, tài khoản mua bán cũng như các dữ liệu quan trọng khác
Cyptominers và ransomware thường có chung đối tượng mục tiêu là cá nhân,
doanh nghiệp, cửa hàng bán lẻ, bệnh viện và thậm chí các hệ thống chính quyền
Mobile spyware không chỉ nhắm đến người tiêu dùng thông thường mà còn tấn
công cả doanh nghiệp, tổ chức Thông qua các lỗ hổng của smart phone/tablet củanhân viên, mobile spyware có thể lây lan cho toàn hệ thống
Ngoài ra, các ứng dụng độc hại trên Apple’s App Store hay Google Play cũng có
thể đánh cắp thông tin, spam quảng cáo, tống tiền hoặc buộc người dùng thực hiện cáchoạt động không mong muốn khác
- Tránh nhấp vào quảng cáo pop-up khi lướt web
- Không mở các file lạ đính kèm email
- Không tải phần mềm từ các trang web không đáng tin cậy
- Thường xuyên cập nhật hệ điều hành, trình duyệt và plugin
- Chỉ tải xuống các ứng dụng có thứ hạng và số lượt tải xuống cao từ GooglePlay Store, Apple’s App Store
- Không tải xuống ứng dụng từ các nguồn của bên thứ ba Nếu dùng Android,bạn có thể vào Cài đặt -> Bảo mật -> Tắt nguồn không xác định để tránh càiđặt phải ứng dụng từ các bên khác
- Không nhấp vào các liên kết lạ, liên kết không xác định trong email, văn bản
và tin nhắn…
Trang 7- Các doanh nghiệp nên triển khai giải pháp bảo mật di động để bảo vệ antoàn cho hệ thống mạng nội bộ.
- Sử dụng các chương trình chống Malware mạnh mẽ với nhiều lớp bảo vệ, cóthể quét và phát hiện Adware, Spyware, ngăn chặn Ransomware cũng nhưcung cấp cách khắc phục lỗi do Malware gây ra cho hệ thống
2 Phishing (Lừa đảo)
Phishing là gì ?
Phishing là hành vi lừa đảo gây ra bởi tội phạm mạng, nhằm mục đích thu thập,
chia sẻ các thông tin nhạy cảm của người dùng như mật khẩu và thông tin thẻ tín
dụng Tương tự như cách câu cá, phishing hoạt động bằng cách “thả mồi” lừa nạn
nhân và sau đó thu thập thông tin Hình thức phổ biến nhất thường gặp là:
Bạn nhận được một email hoặc tin nhắn giả mạo cá nhân/tổ chức đáng tincậy (đồng nghiệp, ngân hàng hoặc văn phòng chính phủ)
Khi mở email hoặc tin nhắn, bạn tìm thấy một thông điệp nghiêm trọng yêucầu bạn truy cập vào một website trong mail ngay lập tức, nếu không sẽ gặpphải hậu quả
Nếu nhấp vào liên kết, bạn sẽ được chuyển đến một website giả mạo mộtwebsite hợp pháp và được yêu cầu đăng nhập bằng tên người dùng và mậtkhẩu Nếu làm theo, hacker sẽ có được thông tin đăng nhập của bạn và sửdụng nó để đánh cắp dữ liệu cá nhân, tài khoản ngân hàng và bán các thôngtin này trên thị trường chợ đen
Phishing là loại tấn công mạng đơn giản nhất, nhưng đồng thời cũng nguy hiểm
và hiệu quả nhất Khác với những hình thức lừa đảo khác, hacker Phishing không cốgắng khai thác lỗ hổng bảo mật trong hệ thống, thay vào đó dùng “social engineering”
để lừa người dùng tự trao các thông tin cá nhân cho mình!
Các kiểu tấn công phishing
- Spear phishing : Spear phishing tấn công cá nhân hoặc tổ chức cụ thể, với
nội dung được thiết kế riêng cho nạn nhân Điều này đòi hỏi hacker phải thuthập và đối chiếu các thông tin của nạn nhân (tên, chức danh, email, tênđồng nghiệp, mối quan hệ…) để tạo ra một email lừa đảo đáng tin cậy!
Spear phishing là một mối đe dọa nghiêm trọng đối với doanh nghiệp,
Trang 8chính phủ và gây thiệt hại rất lớn Một báo cáo năm 2016 nói rằng Spearphishing chịu trách nhiệm cho 38% các cuộc tấn công mạng vào doanhnghiệp trong năm 2015, mỗi cuộc tấn công gây thiệt hại trung bình $1,8 tỷcho các doanh nghiệp Mỹ.
- Clone phishing : Với Clone phishing, hacker sao chép các email hợp pháp,
nhưng thay thế đường dẫn hoặc tệp đính kèm trong email Khi người dùngnhấp vào liên kết hoặc mở tệp đính kèm, tài khoản của họ sẽ bị hacker kiểmsoát Sau đó, hacker sẽ giả mạo danh tính của nạn nhân để thực hiệnphishing trong chính tổ chức của nạn nhân
- 419/Nigeria scam : Email phishing đến từ hoàng tử Nigeria là một trong
những vụ lừa đảo lâu đời nhất trên Internet Nigeria scam là một email đến
từ một người tự xưng là quan chức chính phủ hoặc thành viên của gia đìnhhoàng gia, cần giúp đỡ để chuyển hàng triệu đô ra khỏi ngân hàng Nigeria.Email dạng này thường được đánh dấu là “khẩn cấp” hoặc “riêng tư”, và yêucầu người nhận cung cấp số tài khoản ngân hàng để chuyển tiền tiền Con số
“419” đề cập đến Bộ luật hình sự của Nigeria liên quan đến gian lận, cáo
buộc và hình phạt cho những người phạm tội
- Phone phishinh: Hình thức lừa đảo qua điện thoại này còn gọi là”voice
phishing” hoặc “vishing.” Các phisher sẽ tự xưng là đại diện của ngân hàng,
sở cảnh sát, hoặc thậm chí IRS tại địa phương bạn sinh sống Họ sẽ đe dọa
và yêu cầu bạn cung cấp thông tin tài khoản hoặc nộp phạt qua chuyểnkhoản hoặc bằng thẻ trả trước để tránh bị theo dõi Lừa đảo qua tin nhắnSMS (smishing) cũng được thực hiện tương tự như trên nhưng thông qua tinnhắn
3 Man-In-The-Middle Attack (Tấn công trung gian)
Tấn công MitM, còn được gọi là tấn công nghe lén, xảy ra khi kẻ tấn công xâmnhập vào và có thể sửa đổi các cuộc trò chuyện/đối thoại giữa những ứng dụng đanggiao tiếp với nhau Loại hình này xảy ra khi:
Người dùng truy cập vào các mạng Wifi công cộng, không an toàn
Thực hiện thông qua một phần mềm độc hại khác
4 Denial-of-Service Attack (Tấn công từ chối dịch vụ)
Mô hình chung
Trang 9 Mục tiêu của DoS
- Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập (Flood), khi đó
hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho ngườidùng bình thường
- Cố gắng làm ngắt kết nối giữa hai máy, và ngăn chặn quá trình truy cập vàodịch vụ
- Cố găng ngặn chặn những người dùng cụ thể vào một dịch vụ nào đó
- Cố gắng ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào
Hậu quả
- Hệ thống , máy chủ bị Dos sẽ khiến người dùng không thể truy cập được
- Doanh nghiệp sở hữu máy chủ, hệ thống sẽ bị mất doanh thu , chưa kể đếnkhoản chi phí cần phải bỏ ra để khắc phục sự cố
- Khi mạng sập, mọi công việc yêu cầu mạng không thể thực hiện, làm gián đoạncông việc, ảnh hưởng đến hiệu suất công việc
- Nếu người dùng truy cập website khi nó sập sẽ ảnh hưởng đến danh tiếng củacông ty, nếu website sập trong thời gian dài thì có thể người dùng sẽ bỏ đi, lựachọn dịch vụ khác thay thế
Trang 10- Đối với những tấn công DoS kỹ thuật cao có thể dẫn đến việc lấy trộm tiền bạc,
dữ liệu khách hàng của công ty
Các hình thức tấn công
- Smurf: là một loại tấn công DoS điển hình Máy của attacker sẽ gửi rất nhiềulệnh ping đến một số lượng lớn máy tính trong thời gian ngắn, trong đó địa hỉ
IP nguồn của gói ICMP echo sẽ được thay thế bởi địa chỉ IP của nạn nhân
Kết quả đích tấn công sẽ phải chịu nhận một đợt Reply gói ICMP cực lớn
và làm cho mạng bị rớt hoặc bị cậm lại, không có khả năng đáp ứng các dịch vụkhác
- Teardrop(IP Fragmentation Attack)
Trong mạng gói dữ liệu được chi thành nhiều gói tin nhỏ, mỗi gói tinnhỏ, mỗi gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều conđường khác nhau tới địch Tại đích, nhờ vào giá trị offset của từng gói mà dữliệu lại được kết hợp lại như ban đầu
Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offsettrùng lặp nhau gửi đến mục tiêu tấn công
Kết quả máy tính đích không thể sắp xếp được những gói tin này và dẫntới bị treo máy và bị “vắt kiệt” khả năng xử lí
- SYN Attack
Kẻ tấn công gửi các yêu ầu (request ảo) TCP SYN tới máy chủ bị tấncông Để xử lí lượng gói tin SYN này hệ thống cần tốn một luongj bộ nhớ chokết nối
Khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lícủa máy chủ
Một người dùng bình thường kết nối tơi máy chủ ban đầu thực hiệnRequest TCP SYN và lúc này máy chủ còn khả năng đáp lại kết nối khôngđược thực hiện
Trang 11 Bước 1: Client sẽ gửi các gói tin (packet chứa SYN = 1) đến máychủ để yêu cầu kết nối
Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tinSYN/ACK để thông báo cho client biết là nó đã nhận được yêucầu kết nối và chuẩn bị tài nguyên cho yêu cầu này.Server sẽ giànhmột phần tài nguyên hệ thống như cache để nhận và truyền số liệu.Ngoài ra các thông tin khác của client như địa chỉ IP cà port cũngđược ghi nhận
Bước 3: cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi
âm lại gói tin chứa ACK cho server và tiến hành kết nối
Do TCP là thủ tục tin cậy trong việc giao nhận (eng-to-end) nên trong lầnbắt tay thứ hai, server gửi các gói tin SYN/ACK trả lời lại client màkhông nhận lại được hồi âm của client để thực hiên kết nối thì:
Nó vẫn bảo lưu lại nguồn tài nguyên chuẩn bị kết nối đó
Lặp lại việc gửi gói tin SYN/ACK cho client đến khi nào nhậnđược hồi đáp của máy client
- Zero-day DoS Attacks
Zero-day DoS Attacks là tên được đặt cho các phương pháp tấn côngDoS mới, khai thác lỗ hổng chưa được vá
Có thể làm gián đoạn dịch vụ mà không cần sử dụng nhiều bót
- UDP Flood: Là giao thức mạng không sesion Một UDP Flood nhắm đến cáccổng ngẫu nhiên trên máy tính hoặc mạng với các gói tin UDP Máy chủ kiểmtra ứng dụng tại các cổng đó nhưng không tìm thấy ứng dụng nào
- HTTP Flood: gần giống với GET hoặc POST hợp pháp được khai thác bởi mộthacker Nó sử dụng ít băng thông hơn các loại tấn công khác nhưng nó có thểbuộc máy chủ sử dụng các nguồn lực tối đa
- Ping of Death: điều khiển các giao IP bằng cách gửi những đoạn mã độc đếnmột hệ thống Đây là loại DoS phổ biến cách đây hai thập kỉ nhung không cònhiệu quả tại thời điểm hiện tại
Trang 12- Slowloris: cho phép kẻ tấn công sử dụng nguồn lực tối thiểu trong một cuộc tấncông và các mực tiêu trên máy chủ web Khi kết nối với mục tiêu mong muốn,Slowloris giữ liên kết đó càng lâu càng tốt với HTTP Flood Kiểu tấn công nàyđược sử dụng trong một số DoSing kiểu hacktivist(tấn công vì mục tiêu chínhtrị) cao cấp, bao gồm cuộc bầu cử tổng thống Iran năm 2009 Việc giảm thiểuảnh hưởng với loại hình tấn công này là rất khó khăn.
Cách để phòng chống máy tính cá nhân trở thành Botnet
- Cài đặt và duy trì phần mềm chống virus
- Cài đặ tường lwuar và cấu hình nó để giươi hạn lượng đến và đi từ máy tính
- Làm theo các hướng dẫn thực hành an toàn về phân phối địa chỉ email
- DÙng bộ lọc email để giúp quản lí lưu lượng không mong muốn
Nhận biết các cuộc tấn công DoS
- Thực thi mạng chậm một cách bất thường (mở file hay truy cập website)
- Không vào được website
- Không truy cập đến bất kì website nào
- Số lượng thư rác tăng lên một cách đột biến trong tài khoản
5 SQL Injection Attack
CHƯƠNG 2: THỰC HÀNH MỘT SỐ TẤN CÔNG MẠNG