BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO BÀI TẬP LỚN THU THẬP VÀ PHÂN TÍCH CHỨNG TỪ ROUTER Ngành An toàn thông tin Người hướng dẫn ThS Nguyễn Mạnh Thắng Khoa Công nghệ th.
Trang 1BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
BÁO CÁO BÀI TẬP LỚN
THU THẬP VÀ PHÂN TÍCH CHỨNG TỪ ROUTER
Ngành: An toàn thông tin
Trang 2LỜI CẢM ƠN
Trong quá trình thực hiện đề tài này, chúng em đã nhận được sự giúp đỡ tận tình của cán bộ hướng dẫn là ThS Nguyễn Mạnh Thắng– Khoa Công nghệ thông tin Học viện Kỹ thuật Mật mã
Xin cảm ơn tất cả mọi người đã tạo những điều kiện tốt nhất để chúng em hoàn thành đề tài này!
Trang 3Mục Lục
L ỜI CẢM ƠN .I Mục Lục II Danh mục hình vẽ III Danh mục từ viết tắt IV LỜI NÓI ĐẦU V
CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ VÀ ROUTER 1
1.1 Tìm hiểu về chứng cứ điện tử 1
1.1.1 Khái niệm 1
1.1.2 Đặc điểm của chứng cứ điện tử 1
1.1.3 Các thuộc tính của chứng cứ điện tử 1
1.2 Tổng quan về Router 2
1.2.1 Giới thiệu về Router 2
1.2.2 Chức năng và vai trò của Router 3
1.2.2.1 Chức năng 3
1.2.2.2 Vai trò 4
1.2.3 Bảng định tuyến 5
1.2.3.1 Khái niệm 5
1.2.3.2 Các thành phần của bảng định tuyến 5
1.2.4 Giao thức định tuyến Router 6
1.2.4.1 RIP 7
1.2.4.2 OSPF 7
CHƯƠNG 2: THU THẬP VÀ PHÂN TÍCH CHỨNG CỨ TỪ ROUTER 8
2.1 Thu thập và phân tích chứng cứ từ mạng 8
2.1.1 Phân tích gói tin 8
2.1.2 Phân tích thống kê lưu lượng 8
2.2 Các loại tấn công Router 9
2.2.1 Lỗ hổng Router 9
2.2.2 Các loại tấn công Router 9
2.2.2.1 Tấn công từ chối dịch vụ (DoS) 9
Trang 42.3.1.2 Thực hiện ứng phó sự cố và ghi phiên 13
2.3.1.3 Truy cập Bộ định tuyến 14
2.3.1.4 Thu thập bằng chứng dễ bị mất 15
2.3.1.5 Xác định cấu hình bộ định tuyến 16
2.3.1.6 Kiểm tra và phân tích 16
2.3.1.7 Tạo một báo cáo 18
2.4 Công cụ NetFlow collector Cisco ASA 18
2.4.1 Netflow 18
2.4.2 NetFlow collector Cisco ASA 19
CHƯƠNG 3: THỰC NGHIỆM 21
3.1 Mô tả thực nghiệm 21
3.2 Tiến hành thực nghiệm 21
KẾT LUẬN 28
TÀI LIỆU THAM KHẢO 29
Bảng phân công 29
Danh mục hình vẽ
Hình 1.1: Chức năng của Router 4Hình 1.2: Vị trí của Router trong mô hình OSI 4
Hình 1.3: Dữ liệu hiển thị trên bảng định tuyến 6
Hình 3.1: Mô hình mạng hệ thống 21
Hình 3.2: Kiểm tra lưu lượng trước khi thực hiện 23
Hình 3.3: Telnet từ R1 - R3 24
Hình 3.4: PC0 truy cập vào Server 24
Hình 3.5: Ping R3 đến R1 25
Hình 3.6: Kiểm tra lưu lượng sau khi thực hiện 25
Hình 3.7: Show version 25
Hình 3.8: Show running-config 26
Hình 3.9: Show flash 26
Hình 3.10: Show interface 26
Hình 3.11: Show ip route 27
Hình 3.12: Show ip route con 27
Hình 3.13: Show clock 27
Trang 5Danh mục từ viết tắt
1 USB Universal Serial Bus
4 DHCP Dynamic Host Configuration
Model
Mô hình tham chiếu kết nối các hệ thống mở
7 OSPF Open Shortest Path First
8 AD Administrative Distance
9 HTTP Hypertext Transfer Protocol Giao thức Truyền tải Siêu Văn Bản
10 NTP Network Time Protocol Giao thức đồng bộ thời
gian mạng
11 SNMP Simple Network Monitoring
Protocol
Giao thức giám sát mạng đơn giản
12 ICMP Internet Control Message
Trang 6LỜI NÓI ĐẦU
Hiện nay ở Việt Nam đã xuất hiện nhiều loại tội phạm mới, như tấn công
hạ tầng thông tin quốc gia, cơ sở dữ liệu của cơ quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thông tin bí mật quốc gia, phát tán thông tin gây kích động, thù hằn, phá hoại đoàn kết dân tộc, lừa đảo qua mạng, tấn công từ chối dịch vụ Cuộc đấu tranh chống các loại tội phạm trong lĩnh vực công nghệ thông tin, viễn thông thường rất khó khăn và phức tạp vì các đối tượng không chỉ sử dụng các công nghệ mới nhất vào việc tấn công, gây án, mà còn triệt để lợi dụng để xóa dấu vết truy cập, dấu vết cài đặt mã độc, dấu vết lấy cắp dữ liệu, tải dữ liệu, mã hóa dữ liệu, dùng ngôn ngữ đặc biệt để lập trình mã độc, chống phát hiện và dịch ngược mã độc Tin tặc thường sử dụng máy tính, điện thoại di động, các thiết bị lưu trữ và kỹ thuật mã hóa dữ liệu, để lưu trữ, giấu dữ liệu Khi nghi ngờ bị điều tra, theo dõi, chúng rất cảnh giác, lập tức xóa hết dấu vết, dữ liệu có liên quan, thậm chí format thiết bị lưu trữ dữ liệu
Router là một thiết bị thiết yếu trong mỗi hệ thống mạng (Hộ gia đình, Công ty…v v) Chức năng của router là điều chế và giải điều chế tín hiệu, hay nói một cách dễ hiểu là thiết bị giúp chuyển đổi tín hiệu truyền trên đường dây điện thoại, cáp quang thành tín hiệu số mà máy tính có thể hiểu được và ngược lại Vậy nên đây chính là cánh cổng giữa người dùng và internet và nó đang tiềm
ẩn những nguy cơ về an ninh mà người dùng không ngờ đến Với mục đích tìm
hiểu về router và điều tra chứng cứ điện tử, nhóm em chọn đề tài “ Thu thập và phân tích chứng cứ từ Router “ sẽ giúp chúng ta hiểu hơn về router và các điều
tra tấn công router Bài báo cáo gồm 3 phần:
Chương 1: Tổng quan về chứng cứ điện tử và Router
Chương 2: Thu thập và phân tích chứng cứ từ Router
Chương 3: Thực nghiệm
Trang 7
CHƯƠNG 1: TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN
TỬ VÀ ROUTER
1.1 Tìm hiểu về chứng cứ điện tử
1.1.1 Khái niệm
“Chứng cứ điện tử” là chứng cứ thu được từ dữ liệu có trong hoặc được tạo
ra bởi bất kỳ thiết bị nào mà chức năng của nó phụ thuộc vào chương trình phần mềm hoặc từ dữ liệu được lưu trữ hoặc truyền tải qua hệ thống máy tính hoặc mạng truyền thông
Từ những quan điểm về Chứng cứ điện tử, có thể khái quát “Chứng cứ điện tử” là tất cả những thông tin, dữ liệu được thu thập từ các thiết bị điện tử như máy tính và các thiết bị lưu trữ thông tin, dữ liệu hay các thông tin, dữ liệu từ mạng máy tính, điện thoại di động, máy ảnh kỹ thuật số cũng như từ Internet
1.1.2 Đặc điểm của chứng cứ điện tử
Khai thác địa chỉ IP, các email logs, web server logs, "cookies", "URL", website, thông tin truy cập tài khoản do máy tính tự động tạo ra, là cách hữu hiệu
để chứng minh nguồn gốc truy cập trái phép, địa chỉ tấn công, các hành vi tấn
công mạng…
Hình thành tự động dưới dạng tín hiệu số và thời gian tồn tại có giới hạn, phụ thuộc vào thiết bị và phần mềm lưu trữ (cần kịp thời phát hiện, thu giữ và bảo quản) Dễ bị tác động, bị xóa hoặc thay đổi trong quá trình lưu trữ, truyền tải, sao chép , bởi các tác nhân như virus, dung lượng bộ nhớ, lệnh lưu trữ của phần mềm, phương pháp truy cập, mở, mã hóa, truyền tải trên mạng, sao lưu, cố ý hoặc
vô ý sửa đổi, xóa…
Về giá trị pháp lý của dữ liệu điện tử làm chứng cứ: chứng cứ điện tử có
thể phục hồi, phân tích, tìm được dữ liệu, kể cả đã bị xóa, bị ghi đè, dưới dạng
ẩn, đã mã hóa và làm cho có thể đọc được, nhìn thấy được, ghi lại, sử dụng làm chứng cứ
1.1.3 Các thuộc tính của chứng cứ điện tử
Trang 8Tính liên quan: Dữ liệu thu được có liên quan đến hành vi phạm tội, được
sử dụng để xác định các tình tiết của vụ án Tính liên quan thể hiện ở nguyên lý, công nghệ hình thành dấu vết điện tử, thông tin về không gian, thời gian hình thành dữ liệu (logfile, IP, siêu dữ liệu, hàm hash), địa chỉ lưu trữ, nội dung dữ liệu chứa thông tin về đối tượng, hành vi phạm tội, nơi hoạt động của đối tượng, cookies truy cập, nguồn gốc và nội dung email, chat, tin nhắn, công nghệ thanh toán thẻ, nạn nhân, thiệt hại
Tính hợp pháp: Chứng cứ phải được thu thập đúng luật, trong cả quá trình khám xét, thu giữ vật chứng, sử dụng công nghệ (thiết bị phần cứng và phần mềm) được cơ quan pháp luật công nhận, để sao lưu dữ liệu, bảo quản, phục hồi, phân tích, tìm kiếm và giám định dữ liệu làm chứng cứ Cơ quan điều tra phải thu thập theo đúng thủ tục tố tụng hình sự: Máy tính, máy điện thoại, email, USB, đĩa CD/DVD, dữ liệu thu từ máy chủ, chặn thư trên đường truyền phải được ghi vào biên bản, niêm phong theo đúng quy định, không bị tác động làm thay đổi dữ liệu kể từ khi thu giữ hợp pháp và không thể can thiệp để thay đổi Chuyên gia phục hồi dữ liệu sử dụng công nghệ và phần mềm phục hồi dữ liệu, như thiết bị chống ghi (Read Only- chỉ đọc) sao chép dữ liệu và chỉ sử dụng bản sao này để phục hồi, phân tích, tìm kiếm dữ liệu, chuyển thành dạng đọc được, nghe được,
nhìn thấy được
1.2 Tổng quan về Router
1.2.1 Giới thiệu về Router
Router (Bộ định tuyến) là một thiết bị mạng chuyển tiếp các gói dữ liệu giữa các mạng máy tính Router thực hiện các chức năng chỉ đạo hướng đi trên Internet Dữ liệu được gửi qua internet, chẳng hạn như trang web hoặc email,
ở dạng gói dữ liệu Một gói dữ liệu thường được chuyển tiếp từ Router này sang Router khác thông qua các mạng tạo thành một mạng nội bộ (ví dụ: Internet) cho đến khi đến được đích
Một bộ định tuyến được kết nối với hai hoặc nhiều dòng dữ liệu từ các mạng IP khác nhau Khi một gói dữ liệu xuất hiện, bộ định tuyến sẽ đọc thông tin địa chỉ mạng trong tiêu đề gói để xác định đích cuối cùng Sau đó, bằng cách
sử dụng thông tin trong bảng định tuyến hoặc chính sách định tuyến, nó sẽ hướng gói tin đến mạng tiếp theo trên hành trình của nó
Trang 91.2.2 Chức năng và vai trò của Router
1.2.2.1 Chức năng
Một số chức năng chính của Router:
− Để tạo phân đoạn: Bộ định tuyến đóng vai trò chính để phân đoạn mạng internet hình thành mạng nội bộ trong khu vực cư trú hoặc doanh nghiệp Bộ định tuyến di chuyển đến tất cả các gói từ mạng nội bộ đến Internet Chức năng chính của bộ định tuyến là lưu lượng truy cập web dành riêng cho internet bên ngoài vào mạng internet như một mối quan tâm an toàn Nó cũng giúp bỏ qua thiệt hại của dữ liệu từ một gói dữ liệu được chuyển đến mạng sai
− Để gán địa chỉ IP: IP (Internet Protocol) là yếu tố rất cần thiết cho mọi
hệ thống máy tính vì địa chỉ IP có nghĩa là địa chỉ nào được gán cho máy tính qua mạng Với sự trợ giúp của IP, tất cả các gói truyền thông được gửi và nhận qua mạng Giao thức cấu hình máy chủ động (DHCP) cho phép chuyển địa chỉ IP đến từng máy tính được liên kết với mạng Hầu hết các bộ định tuyến được kích hoạt với giao thức DHCP qua internet được sử dụng cho các loại mạng nhỏ gia đình và văn phòng
− Như một Tường lửa: Tường lửa giúp cung cấp khả năng bảo vệ khỏi những kẻ xâm nhập và người dùng độc hại qua các mạng nội bộ Tường lửa cho phép chặn lưu lượng truy cập trái phép hoặc không mong muốn Tường lửa là phần mềm được cài đặt trên mỗi máy tính qua mạng, nhưng các bộ định tuyến được xác định qua internet cùng với phần mềm và phần mềm tường lửa
− Chia sẻ tài nguyên: Bộ định tuyến cũng giúp nhiều người dùng chia
sẻ tài nguyên như fax, máy quét, máy in và thư mục tệp trên ổ đĩa được đặt từ xa Không cần phải cài đặt máy in cho mọi người dùng qua mạng, vì vậy nó giúp tiết kiệm thêm tiền và không gian cho việc đặt máy in Tất cả các tệp và thư mục được lưu trữ trên ổ cứng của người dùng có thể được chia sẻ trên toàn bộ mạng mà không cần in hoặc sao chép
Trang 10Hình 1.1: Chức năng của Router
1.2.2.2 Vai trò
Router là thiết bị hoạt động trên lớp mạng của mô hình OSI, có chức năng chính là định tuyến dữ liệu giữa các mạng/ LAN Nó chứa bảng định tuyến dựa trên giao thức định tuyến tĩnh/ động Gói tin mà bộ định tuyến nhận được sẽ được kiểm tra địa chỉ IP đích của nó, dựa trên đó gói tin sẽ được chuyển tiếp đến mạng đích sau khi kiểm tra chéo trong bảng định tuyến của nó
Hình 1.2: Vị trí của Router trong mô hình OSI
Trang 111.2.3 Bảng định tuyến
1.2.3.1 Khái niệm
Trong mạng IP sử dụng chuyển mạch gói, khi số lượng người dùng và số node mạng trung chuyển là rất lớn, yêu cầu đặt ra là các node mạng phải thông minh hơn, tự động tìm được tuyến đường tốt nhất để đi đến đích (best route) Vì vậy, người ta đã sinh ra các giao thức định tuyến (Routing Protocol) để tìm được best route Và các best route này sẽ được lưu lại trong một database để khi có gói tin đến, Router sẽ tra database và tìm ra được đường đi cho gói tin => database này chính là bảng định tuyến (Routing Table)
− Địa chỉ IP của next-hop Router (next-hop IP), hoặc địa chỉ của một mạng kết nối trực tiếp (directly connected IP address): Là địa chỉ của đích đến tiếp theo (Router) có thể chuyển tiếp gói tin đến đích
− Network interface: Là cổng của Router được sử dụng để gửi gói tin đến next-hop
− Cờ (flags): Cho biết nguồn cập nhật của tuyến (route) Ví dụ: S – Static Route, C – Connected Route, O – OSPF Route…
− Metric: Là thông tin về metric của một tuyến đường, thể hiện “khoảng cách” từ Router hiện tại đến destination IP Giá trị này chỉ có ý nghĩa
so sánh khi các route sử dụng cùng một giao thức định tuyến
− Administrative Distance (AD): Tham số ưu tiên mà người quản trị đặt cho các tuyến trong bảng định tuyến, được gán cho các giao thức Nếu tuyến được cập nhật từ giao thức, nó sẽ mang giá trị AD của giao thức
đó Giá trị này nằm trong khoảng từ 0 đến 255, càng bé càng ưu tiên
255 có nghĩa là tuyến không bao giờ được sử dụng
Trang 12Hình 1.3: Dữ liệu hiển thị trên bảng định tuyến
Bảng Routing lưu trữ thông tin về:
− Các Router kết nối trực tiếp với nó: Các tuyến này chính là các tuyến kết nối trực tiếp với các giao diện (interface) cổng của Router
− Các Router từ xa: Là các Router kết nối với các Router khác trên mạng Bộ định tuyến có thể đc cấu hình static, hoặc học qua giao thức định tuyến động dynamic routing bằng cách để các Router trên mạng trao đổi thông tin các route mà chúng biết
− Tuyến đường default Route: Khi một đích nào đó không có tuyến đường đến trong bảng định tuyến, Router sẽ sử dụng default route (là phương án cuối cùng-tuyến đường cuối cùng) để chuyển gói tín ra Bảng định tuyến cũng có thông tin về cách thức học tuyến, mức độ đáng tin cậy và đánh giá tuyến đường
1.2.4 Giao thức định tuyến Router
Giao thức định tuyến là tập hợp các quy tắc xác định được sử dụng bởi các
bộ định tuyến để giao tiếp giữa nguồn và đích Nó không di chuyển thông tin từ nguồn đến đích mà chỉ cập nhật bảng định tuyến có chứa thông tin
Các giao thức của Bộ định tuyến mạng giúp xác định cách các bộ định tuyến giao tiếp với nhau Nó cho phép mạng chọn các tuyến giữa hai nút bất kỳ trên mạng máy tính
Các giao thức định tuyến được chia thành hai loại cơ bản:
Trang 13− Định tuyến tĩnh: Định tuyến tĩnh hoạt động tốt nhất khi mạng nhỏ và lưu lượng truy cập có thể dự đoán được
− Định tuyến động: Sử dụng các chỉ số để xác định đường dẫn mà bộ định tuyến nên sử dụng gửi một gói tin về đích của nó Các giao thức định tuyến động bao gồm: Routing Information Protocol (RIP), Border Gateway Protocol (BGP), Interior Gateway Routing Protocol (IGRP), and Open Shortest Path First (OSPF) Định tuyến động có thể được chia thành hai loại lớn: link-state hoặc định tuyến vectơ khoảng cách (DVR)
1.2.4.1 RIP
Routing Information Protocol (RIP) là giao thức định tuyến vector khoảng cách Mỗi router sẽ gửi toàn bộ bảng định tuyến của nó cho router láng giềng theo định kỳ 30s/lần Thông tin này lại tiếp tục được láng giềng lan truyền tiếp cho các láng giềng khác và cứ thế lan truyền ra mọi router trên toàn mạng RIP chỉ sử dụng metric là hop-count để tính ra tuyến đường tốt nhất tới mạng đích Vì sử dụng tiêu chí định tuyến là hop-count và bị giới hạn ở số hop là 15 nên giao thức này chỉ được sử dụng trong các mạng nhỏ dưới 15 hop (15 router) RIP có 2 phiên bản là RIP version 1 (RIPv1) và RIP version 2 (RIPv2)
1.2.4.2 OSPF
OSPF là giao thức định tuyến link-state điển hình, nó được sử dụng như một phương thức định tuyến thay thế cho RIP Mỗi router khi chạy giao thức sẽ gửi các trạng thái đường link của nó cho tất cả các router trong vùng (area) Sau một thời gian trao đổi, các router sẽ đồng nhất được bảng cơ sở dữ liệu trạng thái đường link (Link State Database – LSDB) với nhau, mỗi router đều có được bản
đồ mạng của cả vùng Từ đó mỗi router sẽ chạy giải thuật Dijkstra tính toán ra một cây đường đi ngắn nhất (Shortest Path Tree) và dựa vào cây này để xây dựng
nên bảng định tuyến
Trang 14CHƯƠNG 2: THU THẬP VÀ PHÂN TÍCH
CHỨNG CỨ TỪ ROUTER 2.1 Thu thập và phân tích chứng cứ từ mạng
Có 2 phương pháp để thu thập và phân tích chứng cứ từ mạng là:
− Phân tích gói tin
− Phân tích thống kê lưu lượng mạng
2.1.1 Phân tích gói tin
Phân tích gói tin thông thường được quy vào việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và phiên dịch các dữ liệu sống như là luồng đang lưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công
cụ được sử dụng để bắt dữ liệu thô và đang lưu chuyển trên đường dây Phân tích gói tin có thể giúp chúng ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định au hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại và tìm
ra các ứng dụng không được bảo mật
Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền của mạng Quá trình này đơn giản là đặt “máy nghe” vào đúng vị trí vật lý nào trong một mạng máy tính Việc nghe các gói tin không đơn giản chỉ là cắm một máy xách tay vào mạng và bắt gói Thực tế, nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích các gói tin Thách thức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng phần cứng được sử dụng để kết nối các thiết bị với nhau Lý do là vì 3 loại thiết
bị chính (hub, switch, router) có nguyên lý hoạt động rất khác nhau Và điều này đòi hỏi ta phải nắm rõ được cấu trúc vật lý của mạng mà ta đang phân tích
2.1.2 Phân tích thống kê lưu lượng
Ngoài phân tích gói tin vi, việc phân tích thống kê lưu lượng cũng cần thiết
để điều tra tội phạm máy tính Có thể các tội phạm mạng thực hiện tấn công lên băng thông mạng (tấn công từ chối dịch vụ), hoặc lợi dụng mộ các thông tin từ các máy trong hệ thống (tấn công ARP) Như vậy, khi thực hiện phân tích thống
kê lưu lượng mạng có thể dễ dàng phát hiện ra kẻ tấn công
Thông lượng của một mạng có thể được đo bằng các công cụ có sẵn trên các nền tảng khác nhau Lý do để đo thông lượng trong mạng là mọi người thường quan tâm đến dữ liệu tối đa trong mỗi giây của một liên kết thông tin liên lạc hay
Trang 15một truy cập mạng Một phương pháp điển hình thực hiện việc đo đạc này là chuyện một tập tin lớn từ một hệ thống sang một hệ thống khác và đo thời gian cần thiết để hoàn tất việc chuyển giao hay sao chép tập tin Thông lượng sau đó được tính bằng cách chia kích thước tập tin theo thời gian để có được kết quả theo megabit, kilobit hay bịt trên mỗi giây Tuy nhiên, kết quả của một lần tính như vậy sẽ dẫn đến việc thông lượng trên thực tế ít hơn thông lượng dữ liệu tối đa trên
lý thuyết, làm người ta tin rằng liên kết thông tin liên lạc của họ là không chính xác Trên thực tế, có rất nhiều các chi phí chiếm trong thông lượng ngoài các chi phí truyền tải, bao gồm cả độ trễ, kích thước cửa sổ và hạn chế của hệ thống, có nghĩa là các kết quả không phản ánh được thông lượng tối đa đạt được
2.2 Các loại tấn công Router
Các bộ định tuyến có thể bị tấn công bằng cách giành quyền truy cập vào
bộ định tuyến và thay đổi tệp cấu hình, khởi chạy các cuộc tấn công DoS, làm ngập băng thông hoặc nhiễm độc bảng định tuyến Các cuộc tấn công này có thể
là tấn công và chạy hoặc liên tục Từ chối dịch vụ các cuộc tấn công nhắm vào các bộ định tuyến Nếu kẻ tấn công có thể buộc bộ định tuyến ngừng chuyển tiếp các gói, sau đó tất cả các máy chủ phía sau bộ định tuyến bị vô hiệu hóa một cách hiệu quả
có thể có trong một mạng khi Router đã được truy cập
Kẻ tấn công đã giành được quyền truy cập vào Router có thể ngắt liên lạc,
vô hiệu hóa Router, dừng giao tiếp giữa các mạng bị xâm nhập,cũng như quan sát
và ghi lại nhật ký trên cả hai đến và đi của luồng mạng
2.2.2 Các loại tấn công Router
Trang 16− Tiêu thụ tài nguyên: Làm ngập bộ định tuyến với nhiều kết nối đang
là giành quyền truy cập vào mạng trong hầu hết các trường hợp
Smurf là một ví dụ về một cuộc tấn công DoS thông thường Smurf khai thác Giao thức ICMP bằng cách gửi một gói ping giả mạo được gửi đến địa chỉ phát sóng và có địa chỉ nguồn được liệt kê là nạn nhân Trên một mạng đa truy cập, nhiều hệ thống có thể trả lời Nạn nhân bị ngập trong các phản hồi ping
Một ví dụ khác về cuộc tấn công DoS là SYN flood SYN làm gián đoạn giao thức TCP bằng cách gửi một lượng lớn số lượng gói tin giả với cờ SYN được đặt Số lượng lớn TCP nửa mở này kết nối lấp đầy bộ đệm trên hệ thống của nạn nhân và ngăn nó chấp nhận các kết nối hợp pháp Hệ thống kết nối với Internet cung cấp các dịch vụ như HTTP hoặc SMTP đặc biệt dễ bị tấn công
Tấn công DDoS là kiểu tấn công DoS thứ hai và được coi là tấn công đa giao thức Các cuộc tấn công DDoS sử dụng các gói ICMP, UDP và TCP Một trong những điểm khác biệt giữa DoS và DDoS là một cuộc tấn công DDoS bao gồm hai các giai đoạn Đầu tiên, trong quá trình pre attack, hacker phải xâm nhập các máy tính nằm rải rác trên Internet và tải phần mềm lên các máy khách này để
hỗ trợ trong cuộc tấn công
Mục tiêu cho một cuộc tấn công như vậy bao gồm người dùng băng thông rộng, người dùng gia đình, mạng cấu hình kém, trường cao đẳng và đại học Những đứa trẻ viết kịch bản từ khắp nơi trên thế giới có thể tiêu tốn vô số giờ quét các hệ thống được bảo vệ kém Sau khi hoàn thành bước này, bước thứ hai
có thể bắt đầu Bước thứ hai là cuộc tấn công thực sự Tại thời điểm này, kẻ tấn công hướng dẫn các bậc thầy giao tiếp với các thây ma để khởi động cuộc tấn công
Các gói ICMP và UDP có thể dễ dàng bị chặn tại bộ định tuyến, nhưng các gói TCP rất khó giảm thiểu Các cuộc tấn công DoS dựa trên TCP có hai dạng:
− Định hướng kết nối: Các cuộc tấn công này hoàn thành quá trình bắt tay 3 bên để thiết lập một kết nối Địa chỉ IP nguồn có thể được xác định tại đây
− Không kết nối: Các gói này SYN khó theo dõi vì nguồn
Trang 17Một ví dụ về công cụ DDOS là Tribal Flood Network (TFN) TFN là công
cụ đầu tiên công cụ DDoS dựa trên UNIX-based FN có thể khởi chạy ICMP, Smurf, UDP và tấn công SYN floods Nó sử dụng cổng UDP 31335 và cổng TCP
27665
2.2.2.2 Routing Table Poisoning
Loại tấn công này gửi các bản cập nhật định tuyến giả mạo hoặc sửa đổi tuyến đường chính hãng cập nhật các gói đến các nút khác mà kẻ tấn công cố gắng gây ra từ chối dịch vụ Routing Table Poisoning có thể gây ra từ chối hoàn toàn dịch vụ hoặc dẫn đến định tuyến dưới mức tối ưu hoặc tắc nghẽn trong các phần của mạng
2.2.2.3 Tấn công Hit-and-Run
Một trong những cuộc tấn công bộ định tuyến phổ biến nhất là tấn công Hit-and-Run và chúng được thiết kế như một cuộc tấn công một lần vào một mạng hoặc bộ định tuyến cụ thể
Các cuộc tấn công Hit-and-Run thường được gọi là 'tấn công thử nghiệm'
và cũng xảy ra khi dữ liệu độc hại được đưa vào bộ định tuyến thông qua mã Thông thường, nếu kẻ tấn công không thành công trong lần thử đầu tiên, chúng
có thể hoặc không thể tiến triển và thực hiện thêm các nỗ lực khác trên hệ thống
2.2.2.4 Tấn công dai dẳng
Các cuộc tấn công bộ định tuyến liên tục rất giống với hit-and-run, trong
đó cả hai đều tìm cách đưa các gói dữ liệu có hại thường xuyên vào bộ định tuyến
và mạng, giúp tin tặc giành quyền kiểm soát
Tuy nhiên, không giống như các cuộc tấn công hit and run các cuộc tấn công dai dẳng đúng như tên gọi của nó Trong khi các cuộc tấn công hit và run sẽ bắt đầu và kết thúc như một lần duy nhất, các cuộc tấn công dai dẳng có thể xảy
ra và tiếp tục xảy ra cho đến khi kẻ tấn công đạt được mục tiêu của chúng
Những kẻ tấn công sẽ tiếp tục đưa các gói có hại vào bảng định tuyến, vì vậy rất
dễ nhầm lẫn giữa một cuộc tấn công dai dẳng với một kẻ tấn công đầu độc bảng định tuyến