Tình hình anninhmạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng Việt Nam và thế giới khi có nhiều lỗ hổng an ninh mạng nghiêm trọng được phát hiện,hình
Trang 1TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC
ISO 9001:2008
I
AN NINH MẠNG VÀ KỸ THUẬT SNIFFER
BÁO CÁO THỰC TẬP TÓT NGHIỆP
Ngành: Công Nghệ Thông Tin
Lớp: CD11CNTT5
ị TRƯỜNG CAO ĐẲNG ctó(SmỆN HƯỞNG DẪN
_ _ _ _ _ _ _ _ _ THUIIƯC _ THÁI HÔNG núc
■ KCB
Thành Phổ Hồ Chí Minh - Năm 2014
Trang 2LỜI CẢM ƠN
*****
Em xin gửi lời cảm ơn chân thành và sự tri ân sâu sắc đối với Thầy (Cô) của
Trung Tâm đào tạo chuyên viên mạng quốc tế NEWSTAR, Cô Phan Thị Xuân Trúc đã
tận tình hướng dẫn và tạo điều kiện cho em thực tập ở Trung Tâm để có nhiều thời gian
cho mônthực tập tốt nghiệp Và em cũng xin chân thành cảm ơn thầy Thái Hồng Đức là Giảng viên Khoa Công Nghệ Thông Tin đã nhiệt tìnhhướng dẫn em hoàn thành tốt khóa
thực tập tốt nghiệp này
Trong quá trình thực tập, cũng như trong quá trình làm bài báo cáo, khó tránhkhỏi sai sót, rất mong các Thầy, Cô bỏ qua Đồng thời trình độ lý luận cũng như kinh
nghiệmbản thân áp dụng vào thực tiễnvề cáckiến thức của công nghệ mới còn hạn chế
nênbài báo cáo khôngthểtránh khỏi sai sót, emrất mong nhậnđược ý kiến đóng góp của Thầy,Côđể kiến thức củaemtrong lĩnh vựcnày được hoàn thiện hơn
Sau cùng, em xin kính chúc quý Thầy Cô, Anh Chị trong Trung Tâm NewStar,
quý Thầy Cô trong Khoa Công Nghệ Thông Tin và CôHiệu trưởngThS Nguyễn Thị Lý thật dồi dào sức khỏe, niềmtin đểtiếp tục thực hiện sứ mệnh cao đẹp củamình là truyền
đạt kiến thức chothế hệ mai sau
Em xin chân thành cảmơn!
Trang 3MỤC LỤC
LỜI CẢM ƠN 1
DANH MỤC KÝ HIỆU VÀ TỪ VIẾTTẮT 4
DANH MỤC HÌNH VẼ 4
Phần I: GIỚI THIỆU VỀ NƠI THựC TẬP 5
1: Lịch sửhìnhthành 5
2: Sơ đồ cấu trúc của trung tâm 5
3: Hoạt đông chuyên ngành V 5
LỜI MỞ ĐẦU 6
Phần II: NỘI DUNG ĐỀ TÀI 7
CHƯƠNG 1: TỐNG QUAN VÈANNINH MẠNG 7
1.1 TẤM QUAN TRỌNG CỦA ANNINH MẠNG 7
1.1.1 Bản tin vè bảo mật 7
1.1.2 Các website và hệ thống Server liên tục bịtấn công 8
1.1.3 Nhu cầu về anninh mạng 9
1.2 CÁC YÊUTỐ VỀAN NINH MẠNG 10
1.3 HACKERVÀ ẢNH HƯỞNG CỦA VIỆC HACK 12
1.3.1 Hackerhọ làai 12
1.3.2 Các lạiHacker 12
1.3.3 Ảnhhưởng của việc Hack 13
1.1 CÁC LOẠITẤN CÔNG MẠNG 13
1.1.1 Tấn cônghệ điều hành 13
1.1.2 Tấn công cấu hình sai 13
1.1.3 Tấn côngcác cấp độ ứngdụng 13
CHƯƠNG 2: TỐNG QUANVỀ SNIFFER VÀ CÁCPHƯƠNGTHỨCTÂNCÔNG 14
2.1 GIỚI THIỆUVỀ SNIFFING 14
2.1.1 Sniffing là gì 14
2.1.2 Sniffing thường xảyra ởđâu 14
2.1.3 Cácmối đe dọavề nghe lén ' 14
2.1.4 Cơ thế hoạt động chung của Sniffing 15
2.2 CÁC PHƯƠNGTHỨC TẤN CÔNG 16
Trang 42.2.1 Tấn công MAC 16
2.2.2 Tấn công DHCP 17
2.2.3 Tấn côngđầu độc ARP 21
2.2.4 Tấn công giảmạo 22
2.3 BIỆN PHÁP NGĂN CHẶN SNIFFING 24
CHƯƠNG3: DEMO TẤN CÔNG BẰNG KỸ THUẬT SNIFFER 25
3.1 TẤN CÔNG DHCP 25
3.2 TẤNCÔNGĐẦU ĐỘC ARP 25
3.3 TẤNCÔNGGIẢ MẠO 34
TÀILIỆU THAM KHẢO 39
PHẦN III: KẾT QUẢ THựC TẬP 40
1 Thuận lợi và khó khăn 40
1.1 Thuận lợi 40
1.2 : Khó khăn 40
2 Kiến thứcđượccủng cố 40
2.1 Lý Thuyết 40
2.3 Thực hành 40
3 Kinh nghiệm thực tiễn 40
NHẬNXÉT CỦA TRUNG TÂMNEWSTAR 41
NHẬN XÉT CỦA GIÁO VIÊNHƯỚNG DẪN 42
Trang 5DANH MỤC KÝ HIỆU VÁ TỪ VIẾT TẮT
DHCP Dynamic Host Configuration Protocol
ARP Address Resolution Protocol
DANH MỤC HÌNH VẺ
Hình 1.1 Báo cáovề tội phạmInternet
Hình 1.2 Báo cáo điều tra vi phạm dữ liệu
Hình 1.3 Sốlượng dữ liệu bị đánh cắp
Hình 2.1 Cơ chế hoạtđộng của Sniffing
Hình 2.2 Các lỗ hổng củagiao thức để Sniffing
Hình 2.3 Mô tả hoạt độngcủa bảng CAM
Hình2.4 Quá trình cấp phát IP từ máy chủDHCP
Hình 2.5 MinhhọaDHCP Rouge
Hình2.6 Minhhọa việc chuyển hướng người dung
Hình 2.7 Minh họaviệc cấp phát IP giả
Hình2.8 Minh họa cách thức giảmạo ARP
Hình 2.9 Minh họaquátrình giảmạo MAC
Hình 2.10 Minh hạoFakeDNS
Hình 3.1 IP của nạnnhân khi cấp phát bằng máy DHCP Serverthật
Trang 6Phần I: GIỚI THIỆU VÈ NƠI THỤC TẬP
1: Lịch sử hình thành
Trung tâm đào tạo chuyên gia mạng quốc tế NewStar được thành lập vào ngày 01 tháng
10 năm 2008 theo giấy phép số 161/08/GP-GDTX do Sở Giáo Dục Đào Tạo TP.HCM cấp và đi theo hoạt động từ tháng 11 năm 2008 Sau 5 năm hình thành và phát triển, đến
nay Trung tâm đã khẳng định được vị thế của mình và hiện đã có 2 cơ sở đào tạo tại
TP.I1CM
3: Hoạt đông chuyên ngành.
NewStar là Trung tâm đào tạo hàng đầu về lĩnh vực công nghệ mạng tại Việt Nam, chuyên đào tạo các chứng chỉ quốc tế về quản trị và bảo mật hạ tầng mạng, hệ thống mạng như: Cisco, Microsoft, Linux, ứng dụng mãnguồn mở trongdoanh nghiệp, thiếtkế
vàquản trịwebsite,
Trang 7LỜI MỞ ĐẦU
Trong thời đại “phẳng” như ngày nay, vai trò của Công Nghệ Thông Tin và Internet vô
cùng quan trọng Điều này kéo theo nhiều nghành kinh tế phụ thuộc vào cái máy tính Chính vì vậy, nhiềuý đồ pháhoại đãnhầmvào hệthống máy tính
Nhiều Website của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều bị
Hackertấncông, gây tổn thấtlớn về nguồn tài chính cho doanh nghiệp Tình hình anninhmạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng
Việt Nam và thế giới khi có nhiều lỗ hổng an ninh mạng nghiêm trọng được phát hiện,hình thức tấn công thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống côngnghệthông tin của doanh nghiệp và chính phủ
Với mục đích nghiên cứu và tìm hiểu nguyên lý, cơ chế của các cuộc tấn công của
Hacker nói chung, và từng kỹ thuật tấn công nói riêng, em chọn đề tài “ tìm hiểu về kỹ
thuậttấn công Sniffing” đề tàigồm 3 chương:
Chương 1: Tổng quan về an ninh mạng
Chuơng 2: Tổng quan về Sniffing và các phương thức tấn công
Chương 3: Demo tân công bằng kỹ thuật Sniffing
Cuốicùng làphần kết luận và tài liệu tham khảo
Trang 8Phần II: NỘI DUNG ĐÈ TÀI
CHƯƠNG 1: TÔNG QUAN VÈ AN NINH MẠNG
1.1 TẤM QUAN TRỌNG CỦA AN NINH MẠNG
1.1.1 Bản tin vè bảo mật
Hacker Trung Quốc tấn công cáctrang web của Mỹ bao gồm cả Google Một báo cáo mới đây của tờ NEW YORK TIMES đã chỉ ra rằng, với sự hỗ trợ của chính
quyền Trung Quốc Hacker đã tiến hành Hack máy tính rộng rãi trên các cơ quan
chínhphủ Mỹ và các côngty, bao gồm cả mạng lưới máy tính của Google
Theo 1 cuộckiểmtra250.000 điện tín ngoại giao được công bố bởi WikiLeaks.org
của báo chí Mỹ cho thấy rằng các cuộc tấn công bởi tin tặc nhắm vào các bộ cơquan cấp cao nhằm mục đích lấy 1 lượng lớn cácthôngtin quân sự của chínhphủ
Mỹ 1 cuộc tấn công không được công bố trước đó của Hacker Trung Quốc được
sự chỉ đạo của Đảng Cộng Sản trong năm 2008 đã đánh cắp hơn 50 triệu Email,tênngười dùng và mật khẩu từ 1 cơ quan chính phủ Mỹ
Một dấu hiệu cho thấy an ninh mạngcần được nâng cao nhanh chóng, 2 công ty,
McDonal Corp và Walgreen Co, cho biết họ đã bị tấn công trong tuần qua, cùng với công ty truyền thôngHoa Kỳ saubáo cáo của MasterCardvà Visa, bị tấn công
tuần trước bởi một nhóm Hacker Pro-WikiLeads, được biết đến với tên là “VôDanh”, McDonal cho biếthệ thốngcủa mình đã bị tấn công và các thông tin khách
hàng bao gồmEmail, thôngtin liên lạc, ngày sinh và thông tin chi tiết khác đã bịđánh cắp
Các cuộc tấn công chống lạiVisa và MasterCard đã làm tê liệt trangweb củacông
ty họ trong nhiềugiờ, nhưng sau đó mặc dù các cuộc tấn công trên đã được ngănchặn và phát hiện nhưng cáctrang web bán lẻ sử dụng phương pháp tương tự, nó
đã không có tác dụng, các dữ liệu bất hợp pháp tràn lan đã bị chặn bởi mạng lưới
toàncầu của Akmai Technologies
Tin tặc đã đột nhập vào trang web của NewYork Tour Company và khoảng 110.000 số thẻ ngân hàng đãbị đánh cắp, họ đã phá vỡ bằng cách sử dụng 1 cuộctấn công SQLInjection trên trang này Trong cuộc tấn công SQL Injecsion, tin tặctìm cách để chèn lệch cơ sở dữ liệu thực sự vào máy chủ bằng cách sửdụng web,
họ làm điều này bằng cách thêm vào văn bản thiết kế đặc biệt là các hình thứcwebbasehoặc các hộp tìmkiếm được dùngđể truy vấn cơ sở dữ liệu
Trang 91.1.2 Các website và hệ thống Server liên tục bị tấn công
Hiệphội antoànthông tin ViệtNam cho biết, Việt Nam là 1 trong 5 nước có nguy
cơmấtan toàn thôngtin cao nhất
Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam Đa số các doanh nghiệp vàtổ chức có hệ thốngmạng và website giớithiệu, quảng bá thương hiệu, với gần 200 triệu tên miền.vn, và hàng 100 tên miền thương mại có rất nhiều doanh nghiệp đãứng dụngthanh toán trựctuyến vào công việc kinhdoanh và giao
dịch
Thế nhưng, mạng Internet Việt Nam có rất nhiều tiềm ẩn, nguy cơ về an ninh antoàn thôngtin Năm 2010 được đánh giá là năm thật sự nóng bỏng của an ninhantoàn thôngtin trên thế giới chung và an ninh mạng Việt Nam nói riêng Hàng loạt
website lớn bị tấn công và mức độ phức tạp ngày càng gia tăng Ở nước ta, theo
đánh giá củamột số chuyên giavề anninh mạng, các tên miền.vn đang đứng hàng
thứ 3 trong bảng xếp hạng các tên miền có nguy cơ bị tấn công Cách đây chưa
lâu, cuộc tấn công quy mô lớn, liên tục và kéo dài đã phá hủy hầu như gần hếtcơ
sởdữ liệu đãlưutrữ 10 năm củabáo Vietnamnet
Các cuộctấn côngtrênmạng chủ yếu có mục đích vụ lợi, cótổ chứcvà mang tính
quốc tế đang nở rộ với quy mô lớn Thủ phạm các cuộc tẩn công nhằm vào các
website có trình độ cao, hình thức tấn công tinh vi, chuyên nghiệp và rất khóchống đỡ Mục đích của Hacker không chỉ là các tổ chức, doanh nghiệp tài chính,
ngân hàng mà là tất cả hệ thống Các cuộc tấn công trên là 1 lời cảnh báo về antoànthông tin đối vớicác báođiệntử và nhữngwebsite quantrọng của Việt Nam
Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là virus W32.Sality.PE Virus này đã lây nhiễm trên 4.2 triệu lượt máy tính Cũng trong
năm2011, đã có 2.245 website của các cơ quan, doanh nghiệp tại Việt Nam bị tấncông, tínhtrungbình mỗi tháng có 187 website bịtấncông
Năm2011 là năm của các cuộc tấn công mạng, liên tiếp xảy ra các cuộc tấn công với các hình thức khác nhau vào hệ thống vào các tổ chưc, doanh nghiệp tại Việt
Nam Có những cuộc tấn công xâm phạm trái phép phá hoại cơ sở dữ liệu hoặc deface cácwebsite
Cũng có những cuộc tấn công DOS làm tê liệt hệ thống trong thời gian dài Tấn
công cướp tên miền của doanh nghiệp cũng đã diễn ra liên tiếp Nguy hiểm hơn,cũng đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt virus gián điệp đánh cắp tài liệu của các cơ quan quantrọng
Trang 101.1.3 Nhu cầu về an ninh mạng
Tại TP.HCM, số lượng các trường đào tạo về ngành an ninh mạng chưa nhiều, nên
số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu Nhân lực an ninh mạng
hiện nayvừa thiếu về số lượng vừa không mạnhmẽvề chuyên môn
Căn cứtrên số liệu của trung tâm dự báo nhu cầu nhân lực và thông tinthị trường
lao động TP.HCM trong giai đoạn 2011-2015, mỗi năm thành phố cần từ 8.000
10.000 nhân lực nghành công nghệ thông tin Trong đó nghành hệ thốngthông tin
- An Ninh Mạng cần khoảng 1.000 người, 50% số này cần có trình độ chuyên
môn giỏi, nhu cầu sử dụng nghành CNTT năm 2011 vừa qua tăng 21,21% so với năm 2010 và tiếp tục có xu hướng tăng trong những năm tới
Đa sốcác Doanh nghiệp Việt Nam hiện nay đã có ý thức được tầm quantrọng của
việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính là tài sản của
Doanh nghiệp Đặc biệt là trong thời buổi mà hoạt động kinh doanh đang phát
triển theo hướng số hóa Thất thoát thông tin cũng đồng nghĩa vớitúi tiền doanh
nghiệp bịhao hụt
Các dao dịch ở VN và trên thế giới hiện tại và tương lai đa số diễn ra trên mạng
Việcbảo mật thông tin thực sự vô cùng quan trọng Trong năm 2008 có nhiều sựkiện lớn đối với ngành an ninh mạng VN Sự cố bảo mật của cácnhà cung cấp tênmiền PA Việt Nam hay vụ website ngân hàng Techcombank bị đột nhập là những
ví dụ nổi bật Nó cho thấy an ninh mạng là vấn đề nóngbỏng nóng sốt với nhiều doanh nghiệp ứng dụng công nghệ thôngtin tại VN hiện nay Nguyên nhân chính
là do nguồn nhân lực chuyên gia an ninh mạng hiện nay vừa thiếu về số lượng vừayếu về chuyênmôn
Ông Võ Đỗ Thắng, giám đốc 1 trung tâm đào tạo quảng trị an ninh mạng cho biết:
“ lực lượng nhân sự an ninh mạng chuyên trách chống các Hacker xâm phạm hệthống ở các ngân hàng, công ty chứng khoán rất mỏng Nhiều chi nhánh ngânhàng chỉ có bộ phận giao dịch mà không có nhân viên an ninh mạng Việc này sẽ
rất nguy hiểm vì Hacker có thể xâm phạm hệ thống của các chi nhánh này, rồi từchi nhánh này sẽ xâm nhập toànbộ hệ thống CNTT của chính ngân hàng đó
Không chỉ thiếu về số lượng, trình độ chuyên môn chung của đội ngũ chuyên gia
anninhmạng hiệncũng rấtthấp Theo ông Nguyễn Thanh Tú, giám đốc điều hành
Trang 111 công ty chuyên cung cấp các giải pháp an ninh mạng, có nhiều nguyên nhân:
trường áp dụng giải pháp bảo mật còn nhiều hạn chế Cũng theo ông, vấn đề an
chỉ là giải pháp Giám đốc ỉ doanh nghiệp thương mại điện tử chia sẻ: “nhân lực
cho vấn đề này rất khó bởi mặt bằng năng lực của đội ngũnàyhiện còn rất thấp”
1.2 CÁC YÊƯ TÔ VÈ AN NINH MẠNG
Báo cáo vê tội phạm Internet hiẹn tại : IC3
Hình 1.1 Báocáo về tộiphạm Internet
Trang 12Báo cáo điêu tra vi phạm dừ liệu
Tỳ lệ si phạm thực té ty lệ tiong hô so cua các loạc hack.
u*e of 4oien tafrn credential*
{■pioatataon ol backdoor or
commond/conlrol channel
SCM.I -action Bride force and Actionary
attack*
OS Commandant Eiptoatataon of deiauk or tuettable credential*
Sootpnaatant O“d
f alter printing Cro** dte Scaiptant Exploitation of imadficient
authenbcarfon Exploitation of inauMcient
authoaũation
1«%/' U%/<
1
9%/.
7X/r 7»/<r
Hình 1.2 Báo cáo điều travi phạm dữ liệu
Trang 13XgaÓB goc caa ũ pbạai
thích đểchứng tỏ họ có thểtấn côngrất nhiều máy tính hoặc mạng
Mụcđích chínhcủa họ là có thểtìm hiểu kiến thức hoặc pháphá hoại bất bợp pháp Một
số mụcđích xấu của hackernhư đánh cắpdữ liệu kinh doanh,thông tin thẻ tín dụng , sobảo hiểmxà hội, mật khẩu, email
BlackHats : Là ngườicó kỹ năng tính toán xuất sắc, sử dụng thành thạo các công cụmáy tính, có cáchoạtđộng phá hoại,ví dụ nhưcrackers
phòng thủ,ví dụ nhưlàchuyêngia phân tích về anninhmạng
Trang 14Gray Hats : Là người làmcả hai việc, tấn công và phòng thủ ởhai thời điểm khác nhau
Suicide Hacker : Người tấn công các cơ sở hạ tầng quan trọng mà không quan tâm đến
phải chịu 30 năm tù vì các hành vi của mình
1.3.3 Ảnh hưởng của việc Hack
Theo công ty ngiên cứu an ninh quốc gia Symantec , các cuộc tấn công của hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm Hành vi trộm cắp thông tincá nhâncủa khách hàng có thể làm giảm danhtiếng của doanh nghiệp đẫn đến các vụkiện Hack có thể làmmột công ty bị phá sản Botnet cỏ thể được sửdụng để khởi động
các lại Doc và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm
doanh thu Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quantrọng và bánnó cho các đốithủ cạnh tranh
1.1 CÁC LOẠI TẤN CÔNG MẠNG
1.1.1 Tấn công hệ điều hành
Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng để được truy cập
vào một hệthốngmạng Một số lỗi hệ điều hành như
- Tràn bộ đệm
- Lỗi tronghệđiều hành
- Hệ thốngchưa được vá hệ điềuhành
1.1.2 Tấn công cấu hình sai
Các thôngtin cấu hình của hệ thống bị chỉnh sủa, cấu hình sai bởi người quản trị hoặc bị nhiễm virus, giúp hackertận dụng những lỗ hống này đe khai thác và xâm nhập vàohệ thống nhưchỉnh sửa sai DNS thông tin cấu hình IP
1.1.3 Tan công các cấp độ ứng dụng
Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng, nhưng chưa
kiểm tra lỗi kỹ dẫn đến lỗ hổng để hackerkhai thác, bao gồm các cuộc tấn công
Trang 15CHƯƠNG 2: TÔNG QUAN VỀ SNIFFER VÀ CÁC PHƯƠNG THỨC TÁN CÔNG
2.1 GIỚI THIỆU VÈ SNIFFING
2.1.1 Sniffing là gì
Nghe lén (Sniffing) đượchiểu đơn giản là 1 chươngtrình cố gắng nghe ngóng các luuw
lượng thông tintrênmột hệ thống mạng Là một tiếntrình cho phép giám sát cuộc gọi và
hội thoại internetbởi thành phần thứ ba
Người nghe lénđể thiếtbị lắngnghe giữa mạng mang thông tin như hai thiết bị điện thoại
hoặc hai thiết bị đầu cuối internet Nghe lén được sử dụng như công cụ để các nhà quản
trị mạng theo dõi và bảo trì hệ thống mạng, về mặt tiêu cực, nó được sử dụng như một
côngcụ vớimục đíchnghe lén các thôngtin trên mạng để lấy các thôngtin quantrọng
Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được truyền qua
mạng Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ
liệu ở dạng nhị phân Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình nghe lénphải có tính năng phântích các nghi thức, cũng nhưtính nănggiải
mã các dữ liệu ở dạng nhị phân đểhiểu được chúng
2.1.2 Sniffing thường xảy ra ở đâu
Nghe lén chủ yểu xảy ra ở mặt vậy lý Nghĩa là kẻ tấn công phải tiếp cận và có thể điều khiển một thành phần của hệ thống mạng, chẳnghạn như một máy tính nào đó Ví dụ kẻ
tấn côngcó thể dùng laptop hoặc PC trong các dịch vụ internet, các quán café Wifi, trong
hệ thống mạng nội bộ doanh nghiệp
Trường hợp hệ thống máy tính nghe trộmvà kẻ tấn công ở cáchxanhau, kẻ tấn công tìm
cách điều khiển một máy tính nào đó trong hệthống mạng rồi cài đặt trình nghe lén vào
máy đó để thựchiện nghe trộm từ xa
2.1.3 Các mối đe dọa về nghe lén
Bằng cách đặt gói tin trênmạng ở chế độ đa mode, kẻ tấn công có thể bắtvà phân tích tất
cả lưu lượng, thông tin mạng Các gói tin nghe lén có thể chỉbắt những thôn tin trên cùng
1 miền mạng Nhưng thông thường thi laptop có thể giảm vào mạng vàthực thi Hơn thếnữa, trên switch có nhiều port được mở nênnguy cơvề nghe lénlàrất cao
Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công cụ giúp thực hiện như Cain&Able, Ettercap, Dsniff, TCPDump, Sniffit, Các công cụ này ngày
càng được tốiưu hóa, dễ sử dụng và tránh bị phát hiện khi đượcthựcthi So với các kiểutấn công khác tấn công dạng Sniffing cực kỳ nguy hiểm, bởi nó có thể ghi lại toàn bộ
thông tin được truyền dẫ trên mạng, và người sửdụng không biết là đang bị nghe lén lúc
nào do máy tính của họ vẫn hoạt động bình thường, không có dấu hiệu bịxâm hại Điều
Trang 16này dẫn đến việc phát hiện và phòng cống nghe trộm rất khó, và hầu như chỉ có thểphòng chống trong thế bị động (Passive) - nghĩa là chỉ phát hiện được bị nghe trộm khiđangở tình trạngbịnghe trộm.
Hình 2.1 Cơ chế hoạt động Sniffing
(frame) của lớp Datalink từ các gói tin ở lớp Network trong mô hình OSI Cụ thể là qua
hai loạithiết bị tậptrungcác node mạng sửdụng phổ biến hiện này là Hubvà Switch
Ở môi trường Hub: Một khung gói tinchuyểntừmáy A sang máy B thìđồng thời nó gửi
đến tất cả các máy khác đang kếtnối cùng Hub theo cơ chế loan tin (Broadcast) Các máy
tin với địa chỉ đích Nếu trùng lập thì sẽ nhận còn không thì cho qua Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới
thực hiệntiếp nhận
Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ tự “ nhận” bất cứ
không phải là nó, nhờ card mạngđược đặt ở chế độ hỗn tạp (promiscuous mode)
Promiscus mode là chế dộ đặc biệt Khi card mạng được đặt dưới chế độ này, nỏ có thể nhận tất cả các gói tin màkhông bịrang buộc kiểm tra địa chỉ đích đến
Trongmôi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến nhữngđịa
khôngthục hiện được Tuy nhiên, kẻ tấn công có thể dùng cáccơ chế khác để tấn công
spoofing, v.v
Trang 17Dừ liệu được gùi
duới dang clear text
Password vá dừ liệu được gin dưới dạng cleat text
Password vá dừ liệu được gtn dưới dạng clear text
Password và dừ liệu được 2in dir»n dạng clear text
t
Password va dừ liệu được gin dướ dạng clear text
Hình 2.2 Các lỗhổng của giao thứcđể Sniffing
Switch thì có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC và port vật lý trên switch
Tấn công MAC là tấn công làm ngập lụt switch với một số lượng lớn yêu cầu, lúc này switch hoạt động như Hub và lúc này các gói tin sẽ được gửi ra tất cảcác máy trên cùng
miền mạng vả kẻ tẩn công có thế dề dàng nghe lén Ngập lụt MAC lảm co bộ nhớ giới
switch
Bảng CAM của switch thì có kích thước giới hạn Nó chi lưu trữ thông tin như địa chi
MAC gắn với cổngtương ứng trênswitch cùng với các tham số miềnmạng vlan
Trang 18Khi máy A gửi gói tin đến máy B nó sẽ tỉm trong bảng địa chỉ MAC của nó, coi thử có
để hỏi địa chỉ MAC cũa máy B May B lúc này nhận được gói tin gửi phản gồi lại cho
máy A sau đó các gói tin được lưu chuyển từ A Đến B mà không chuyển sang các máy khác
Một khi bảng CAM trên switch đầy thì các lưu lượng ARP request sẽ làm ngập lụt mỗi
cổngcủa switch Lúcnày switch hoạt động cơ bản như hub, và tấn công lúc này sẽ làm
hiệndiện cũa DHCP server
Neu tồn tại sự hoạt động của (các)DHCP server thuộc cùng subnet với DHCP client trênthì (các) servernày sẽ phản hồi lại cho client bằng một thông điệp DHCP Offer có chưa
một địa chỉ IP( và các thiết lập TCP/IP khác) như i|^05t
(lease) địa chỉ
' CAO DANG CONG NGHỆ ;
THỦ ĐỨC
Trang 19Khả năng trong mạng xuất hiện các rogue DHCP client và rogue DHCP server (rogue
tạm dịch là máy “DHCP giả”, tức là một máy giả taaoj, bị điều khiển để thực hiện các
hành vi xấu )tạo ra nhiều vấn đề đáng quán tâm
Một rogue servtèrcó thểcung cấp chocác legitimate client các thông số cấuhình TCP/IP
gỉ vàtrái phép như : địa chỉ IP khônghợp lệ, sai subnetmask, hoặc sai địa chỉ của default
gateway, DNS servernhằm ngănchặn client truy cập tài nguyên, dịch vụ trong mạng nội
bộ hoặc internet(đâylà hình thức của tấn công DOS)
Việc thiết lập một rogue server như vậy costheer thưc hiện được bằng cách sử dụng các
kỹ thuật“social engineering”để có được khả năng tiếpcận vậtlý rồi kết nối rouge servervào mạng
Attacker có thẻ thỏa hiệp thành công với một legitimate client nào đó trong mạng và thực
hiện cài đặt rồi thực thi trên client này một chương trình có chức năng liên tục gửi tới
cho tới khi toàn bộ dải IP trong scope của DHCP servernày bị nó “thuê” hết Điều này
Trang 20dẫn tới server không còn IP nào để có thể cấp phát cho các legitimate client khác Hậu
quả là cácclient này khôngthể truy cập vào mạng
,4 I ve just jotred to ' 1 this network
Here is your IP and network conjurations
Default Gateway -10 10 10 1
Rogue DNS server DNS server www.bank.com
10 10.10 99 10.10 10 2
Một rủi ro nữa có thể xảy ra nếu như attacker phávỡ được các hàng rào bảo vệ mạng và đoạt được quen kiểm soát DHCP server Lúc này, attacker có thểsẽ tạo ra những sựthay
đổi trongcẩu hình của DHCP server theo ý muốnnhư;
- Thiết lập lại dải IP, subnet maskcủa scope để tạo ratình trạngDos trong mạng
- Đổi thiết lập DNS để chuyển hướng yêu cầu phân giải tên miền của client tới rouge DNS (do attacker dựng lên), kết quả là client có thể sẽ bị dẫn dụ tới cácwebsitegiả mạo được xây dựng nhằm mục đích đánh cắpthông tin tài khoản của các client hoặc website có chứa mã độc mà sẽ được tải vềmáy client
- Thay đổi default gateway trỏ về máy của attacker để toàn bộ thông tin mà client gửi ra ngoài mạng sẽ được chuyển tới máy attacker (thay vì tới default gateway
thực sự), sau đó attacker sẽ chụp lại các thông tin này trước khi chuyển tiếp tới
gateway thựcsự của mạng và client vẫn chuyền thôngtin bình thường với các máy