Tìm hiểu lỗ hổng và các phương thức tấn công Sniffing

Sniffing là một quá trình theo dõi và nắm bắt tất cả các gói dữ liệu đi qua một mạng nhất định bằng các công cụ nghe trộm. Hiện nay, nhiều cổng Switch của các doanh nghiệp, tổ chức được mở, do đó bất kỳ ai ở một vị trí xác định cũng có thể truy cập vào mạng bằng cáp Ethernet. Từ đó kẻ tấn công có thể thu được các thông tin nhạy cảm bằng cách khai thác các lỗ hổng trong cấu hình router hay chặn bắt lưu lượng email được gửi qua lại trong doanh nghiệp đó.Trong bài báo cáo này chúng ta sẽ tìm hiểu việc nghe trộm. Nghe trộm giúp chúng ta quan sát tất cả các loại giao thông mạng, dù mạng được bảo vệ hay không. Những thông tin nghe trộm được có thể hữu ích cho tấn công và tạo trở ngại cho nạn nhân. Bên cạnh đó, chúng ta sẽ tìm hiểu nhiều loại tấn công như Media Access Control (MAC), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) Poisoning, MAC Spoofing, DNS Poisoning.

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

BÁO CÁO TIỂU LUẬN

TÌM HIỂU VỀ SNIFFING

Giảng viên hướng dẫn: TS Đinh Trường Duy

Môn học: Kiểm thử xâm nhập

Thành viên nhóm: Châu Phan Hoài Linh

Nguyễn Lê Đức Anh Trương Như Đạt Nguyễn Gia Huy

HÀ NỘI, THÁNG 3/2023

MỤC LỤC

I, TỔNG QUAN 3

* Tìm hiểu về Sniffing 3

II, PHÁT HIỆN LỖ HỔNG 3

1, Cách Sniffer làm việc 3

2, MAC Attacks 4

3, DHCP Attacks 5

4, DNS Poisoning 8

III, ĐÁNH GIÁ MỨC ĐỘ NGHIÊM TRỌNG 9

1, MAC Attacks 9

2, DNS Poisning 10

3, ARP Poisning 11

4, DHCP Attacks 11

IV, GIẢI PHÁP KHẮC PHỤC 12

V, KẾT LUẬN 14

TÀI LIỆU THAM KHẢO 15

BẢNG PHÂN CÔNG NHIỆM VỤ:

1 Châu Phan Hoài Linh

(nhóm trưởng) + Tìm hiểu tổng quan và phát hiệnlỗ hổng

+ Thuyết trình

2 Nguyễn Gia Huy + Đánh giá mức độ nghiêm trọng

của lỗ hổng

+ Viết báo cáo tiểu luận

3 Nguyễn Lê Đức Anh + Giải pháp khắc phục

+ Thiết kế slide PP

4 Trương Như Đạt + Tóm tắt và kết luận

+ Thực hiện demo

I, TỔNG QUAN

* Tìm hiểu về Sniffing

Sniffing là một quá trình theo dõi và nắm bắt tất cả các gói dữ liệu đi qua một mạng nhất định bằng các công cụ nghe trộm Hiện nay, nhiều cổng Switch của các doanh nghiệp, tổ chức được mở, do đó bất kỳ ai ở một vị trí xác định cũng có thể truy cập vào mạng bằng cáp Ethernet Từ đó kẻ tấn công có thể thu được các thông tin nhạy cảm bằng cách khai thác các lỗ hổng trong cấu hình router hay chặn bắt lưu lượng email được gửi qua lại trong doanh nghiệp đó

Trong bài báo cáo này chúng ta sẽ tìm hiểu việc nghe trộm Nghe trộm giúp chúng

ta quan sát tất cả các loại giao thông mạng, dù mạng được bảo vệ hay không Những thông tin nghe trộm được có thể hữu ích cho tấn công và tạo trở ngại cho nạn nhân Bên cạnh đó, chúng ta sẽ tìm hiểu nhiều loại tấn công như Media Access Control (MAC), Dynamic Host Configuration Protocol (DHCP), Address Resolution Protocol (ARP) Poisoning, MAC Spoofing, DNS Poisoning

II, PHÁT HIỆN LỖ HỔNG

1, Cách Sniffer làm việc

- Sniffer chuyển NIC của một hệ thống sang chế độ hỗn tạp để nó lắng nghe tất cả dữ liệu được truyền trên phân đoạn của nó Sniffer có thể liên tục theo dõi tất cả lưu lượng mạng đến máy tính thông qua NIC bằng cách giải mã thông tin được gói gọn trong gói dữ liệu

- Passive Sniffer (Sniffer thụ động)

Đây là loại nghe trộm không cần gửi thêm gói tin hoặc can thiệp vào các thiết bị như hub để nhận gói tin Như chúng ta đã biết, hub truyền gói tin đến port của nó

Kẻ tấn công có thể lợi dụng điểm này để dễ dàng quan sát giao thông truyền qua mạng Do đó Passive Sniffer rất khó bị phát hiện

- Active Sniffer (Sniffer chủ động)

Đây là loại nghe trộm mà kẻ tấn công cần gửi thêm gói tin đến thiết bị đã kết nối như switch để nhận gói tin Như đã nói, switch chỉ truyền gói tin unicast đến một port nhất định Kẻ tấn công sử dụng một số kĩ thuật như MAC Flooding, DHCP Attacks, DNS poisoning, Switch Port Stealing, ARP Poisoning, và Spoofing để quan sát giao thông truyền qua switch

Sniffer chủ động liên quan đến việc tiêm các gói phân giải địa chỉ vào mạng để làm tràn ngập bảng Bộ nhớ có thể định địa chỉ nội dung (CAM) của bộ chuyển mạch, bảng CAM có nhiệm vụ theo dõi máy chủ nào được kết nối với port nào

Các lỗ hổng trong các giao thức dễ bị nghe trộm

- HTTP, POP, IMAP, SMTP, FTP, NNTP: Dữ liệu và mật khẩu được gửi ở dạng văn bản rõ ràng

- Telnet and Rlogin: keylogger (trình theo dõi thao tác bàn phím) bao gồm cả tên người dùng và mật khẩu

2, MAC Attacks

- Tấn công địa chỉ MAC (MAC Attacks) và bảng CAM (CAM Table)

+ Media Access Control Address (địa chỉ kiểm soát truy cập phương tiện) hay địa chỉ MAC là địa chỉ vật lí của một thiết bị Địa chỉ MAC là một số định danh 48-bits duy nhất đặt cho thiết bị hệ thống để giao tiếp ở tầng liên kết dữ liệu Địa chỉ MAC bao gồm Object Unique Identifier (QUI) 24-bits và Network Interface Controller (NIC) 24-bits Nếu có nhiều NIC thì thiết bị sẽ có nhiều địa chỉ MAC khác nhau

+ Bảng địa chỉ MAC hay bảng CAM (Content-Addressable Memory) được sử dụng trong switch Ethernet để ghi lại địa chỉ MAC cũng như những thông tin liên quan để chuyển tiếp gói tin Bảng CAM là bảng ghi lại thông tin của địa chỉ MAC như VLAN liên quan, kiểu học và các thông số port Các thông số này giúp chuyển tiếp gói tin ở tầng liên kết dữ liệu

- Cách hoạt động của bảng CAM: Một kịch bản đơn giản để hiểu nguyên lý hoạt động của bảng CAM như sau:

Máy A là máy gửi tin, một mạng gồm một switch và 2 máy B,C được kết nối với switch Bảng CAM chỉ lưu địa chỉ MAC và cổng port của 2 máy A và C

Giả sử máy A gửi một gói tin ARP đến cho máy B trong mạng Khi gói tin đi đến Switch, nó sẽ xem xét bản ghi địa chỉ MAC và port của máy B trong bảng CAM Nếu không có bản ghi đó, switch sẽ broadcast ARP đến tất cả các máy trong mạng là B và C

Các máy tính B và C sẽ kiểm tra xem đại chỉ đích có phải là địa chỉ của mình hay không? Máy B xác định địa chỉ đích là của mình và gửi lại địa chỉ MAC của mình cho Switch Switch sẽ cập nhật địa chỉ MAC và port của B vào bảng CAM đồng thời gửi gói tin từ máy A đến cho máy B

Tấn công bảng địa chỉ MAC

3, DHCP Attacks

DHCP là quá trình phân chia động địa chỉ MAC sao cho các địa chỉ này được chỉ

định tự động và tái sử dụng khi host không cần chúng Thời gian Round Trip (RTT) đo khoảng thời gian từ khi phát hiện DHCP server đến khi nhận được địa chỉ IP đã thuê

Máy chủ DHCP duy trì thông tin cấu hình TCP/IP trong cơ sở dữ liệu, chẳng hạn như các tham số cấu hình TCP/IP hợp lệ, địa chỉ IP hợp lệ và thời hạn thuê do máy chủ cung cấp Nó cung cấp các cấu hình địa chỉ cho các máy khách hỗ trợ DHCP dưới dạng

ưu đãi cho thuê

a) Hoạt động của DHCP

- Máy khách broadcast yêu cầu DHCPDISCOVER/SOLICIT để yêu cầu thông báo cấu hình DHCP

- Agent chuyển tiếp DHCP nắm bắt yêu cầu của máy khách và unicast (gửi đơn mục tiêu) nó đến các máy chủ DHCP có sẵn trong mạng

- Máy chủ DHCP unicast DHCPOFFER/ADVERTISE, chứa địa chỉ MAC của máy khách và máy chủ

- Agent chuyển tiếp quảng bá DHCPOFFER/ADVERTISE trong mạng con của máy khách

- Client gửi DHCPREQUEST/REQUEST yêu cầu DHCP server cung cấp thông tin cấu hình DHCP

- Máy chủ DHCP gửi bản tin DHCPACK/REPLY unicast đến khách hàng với cấu hình và thông tin IP

Cách thức hoạt động của Replay agent và DHCPv6 server tương tự như IPv4 Relay agent và DHCPv4 Server DHCP server nhận yêu cầu và chỉ định địa chỉ IP, DNS, thời gian thuê và các thông tin khác cho client trong khi replay server chuyển tiếp tin nhắn DHCP

Tấn công DHCP

b) Tấn công DHCP Starvation

- Đây là tấn công từ chối dịch vụ trên DHCP Server Trong tấn công này, kẻ tấn công gửi yêu cầu ảo với địa chỉ MAC giả để truyền đến DHCP Server, từ đó

thuê tất cả địa chỉ IP trong bộ trữ IP Sau khi tất cả địa chỉ IP được phân  phát, những user tiếp theo sẽ không nhận được địa chỉ IP hay gia hạn hợp đồng thuê

Tấn công DHCP Starvation có thể được thực hiện bởi các công cụ như

“Dhcpstarv” hay “Yersinia’.

+ Dhcpstarv: dhcpstarv thực hiện tấn công bỏ đói DHCP Nó yêu cầu thuê DHCP trên giao diện được chỉ định, lưu chúng và gia hạn thường xuyên + Yersinia: Yersinia là một framework để thực hiện các cuộc tấn công layer

2 Nó được thiết kế để tận dụng lợi thế của một số điểm yếu trong các giao thức mạng khác nhau Nó giả vờ là một khuôn khổ vững chắc để phân tích

và thử nghiệm các mạng và hệ thống được triển khai

c) Tấn công Rogue DHCP Server

Tấn công này được thực hiện bằng cách triển khai rogue DHCP Server trong

hệ thống cùng với tấn công starvation Khi server DHCP chính thống đang bị tấn công từ chối dịch vụ, DHCP client không thể nhận được địa chỉ IP Những gói tin DHCP Discovery (IPv4) hoặc Solicit (IPv6) tiếp theo được phản hồi bởi DHCP server giả với những thông số thiết lập hướng giao thông mạng về phía nó

- Chống lại tấn công DHCP Starvation và Rogue Server:

+ DHCP Snooping: Một người có thể dễ dàng đem một server DHCP vào môi trường hệ thống, dù vô tình hay hữu ý DHCP Snooping là kĩ thuật phòng tránh việc đó Để giảm thiểu tấn công, tính năng DHCP snooping được kích hoạt trên thiết bị hệ thống để nhận diện những port đáng tin cậy

từ những giao thông DHCP chính thống

Những port khác phản hồi yêu cầu DHCP sẽ bị bỏ qua Đây là tính năng bảo mật bằng cách lọc tin nhắn DHCP không đáng tin bằng cách xây dựng bảng gắn kết DHCP snooping DHCP snooping có khả năng phân biệt giữa giao diện không đáng tin (kết nối với user/host cuối) và giao diện đáng tin (kết nối với DHCP server chính thống hoặc thiết bị đáng tin cậy)

+ Bảo mật port: Kích hoạt bảo mật port cũng giúp giảm thiểu những tấn công này bằng cách giới hạn số lượng địa chỉ MAC trên port có thể học, thiết lập hoạt động vi phạm, thời gian lão hóa, …

d) ARP Poisoning (Giao thức phân giải địa chỉ ARP)

ARP là một giao thức không quốc tịch sử dụng trong miền truyền tin để đảm bảo truyền thông bằng cách phân giải địa chỉ IP thành ánh xạ địa chỉ máy MAC

Nó hỗ trợ ánh xạ địa chỉ L2 và L3

ARP bảo đảm kết nối giữa địa chỉ MAC và địa chỉ IP Bằng cách truyền đi ARP yêu cầu cùng với địa chỉ IP, switch sẽ biết được thông tin về địa chỉ MAC kết nối từ phản hồi của host Trong trường hợp không có hoặc không tìm được ánh

xạ, nguồn sẽ gửi bản tin đến tất cả các nodes Chỉ có node với địa chỉ MAC kết hợp với IP đó phản hồi yêu cầu, chuyển tiếp gói tin chứa ánh xạ địa chỉ MAC Switch sẽ ghi nhớ địa chỉ MAC và thông tin về port kết nối vào bảng CAM cố định độ dài

Nguồn tạo ra ARP yêu cầu bằng cách gửi một gói tin ARP Một node có địa chỉ MAC nhận được yêu cầu sẽ phản hồi lại gói tin Frame sẽ tràn ra tất cả các port (trừ port nhận frame) nếu đầu vào bảng CAM quá tải Điều này cũng xảy ra khi địa chỉ MAC đích trong frame là địa chỉ truyền tin

Kĩ thuật MAC flooding được dùng để chuyển switch thành một hub, trong đó switch bắt đầu truyền gói tin Trong trường hợp này, user có thể lấy gói tin không dành cho mình

Tấn công ARP

4, DNS Poisoning

DNS Poisoning là một kỹ thuật đánh lừa máy chủ DNS tin rằng nó đã nhận được thông tin xác thực trong khi thực tế thì không Nó dẫn đến việc thay thế địa chỉ IP giả ở cấp DNS nơi địa chỉ web được chuyển đổi thành địa chỉ IP số DNS Poisoning cho phép

kẻ tấn công thay thế các mục nhập địa chỉ IP cho một trang đích trên một máy chủ DNS nhất định bằng địa chỉ IP của máy chủ mà kẻ đó kiểm soát Kẻ tấn công có thể tạo các mục DNS giả mạo cho máy chủ (chứa nội dung độc hại) có cùng tên với tên của máy chủ mục tiêu

a) Giả mạo DNS mạng nội bộ (Intranet DNS Spoofing)

Intranet DNS Spoofing thường được thực hiện trong mạng LAN với Switced Network Với sự hỗ trợ của kĩ thuật ARP poisoning, kẻ tấn công sẽ triển khai Intranet DNS Spoofing Kẻ tấn công nghe trộm gói tin, trích rút ID của yêu cầu DNS và phản hồi bằng bản dịch IP sai để hướng giao thông đến mình Kẻ tấn công phải hành động nhanh chóng trước khi DNS server chính thống giải quyết lệnh hỏi

b) Internet DNS Spoofing

Internet DNS Spoofing được thực hiện bằng cách thay thế thiết lập DNS trên máy mục tiêu Tất cả lệnh hỏi DNS được hướng đến DNS server ác ý mà kẻ tấn công điều khiển Internet DNS Spoofing thường được thực hiện nhờ triển khai Trojan hay sửa đổi thiết lập DNS để chuyển hướng giao thông mạng

c) Proxy Server DNS Poisoning

Giống như Internet DNS Spoofing, Proxy Server DNS poisoning được triển khai bằng cách thay thế thiết lập DNS từ trình duyệt web của mục tiêu Tất cả lệnh hỏi sẽ được hướng đến server ác ý để hướng giao thông mạng đến thiết bị của kẻ tấn công

d) DNS Cache Poisoning

Như chúng ta biết, người dùng Internet sử dụng DNS của nhà cung cấp dịch

vụ internet (ISP) Trong hệ thống, những tổ chức sử dụng DNS Server của mình

để cải thiện hoạt động bằng cách ghi bộ nhớ đệm thường xuyên DNS Cache poisoning được thực hiện nhờ khai thác sai sót trong phần mềm DNS Kẻ tấn công thêm hay chỉnh sửa đầu vào bộ nhớ đệm DNS, từ đó hướng giao thông mạng đến site ác ý Khi Internal DNS server không thể xác nhận tính hợp lệ của phản hồi DNS từ DNS server có thẩm quyền, nó cập nhật đầu vào cục bộ để giải quyết yêu cầu của user

III, ĐÁNH GIÁ MỨC ĐỘ NGHIÊM TRỌNG

1, MAC Attacks

Khi bảng CAM trên switch đã đầy, lưu lượng truy cập yêu cầu ARP sẽ tràn ngập trên mọi cổng của switch Điều này sẽ thay đổi hành vi của Switch để đặt lại thành chế

độ học tập, phát trên mọi cổng tương tự như một Hub

Cuộc tấn công này cũng sẽ lấp đầy bảng CAM của các switch liền kề MAC Flooding liên quan đến việc làm ngập bảng CAM với địa chỉ MAC giả mạo và các cặp IP cho đến khi nó đầy Sau đó, Switch hoạt động như một hub bằng cách phát các gói đến tất

cả các máy trên mạng và những kẻ tấn công có thể đánh hơi lưu lượng một cách dễ dàng

MAC Flooding là một kỹ thuật tấn công mạng phổ biến, có thể gây ra những hậu quả nghiêm trọng cho hệ thống mạng Dưới đây là đánh giá mức độ nghiêm trọng của MAC Flooding:

- Độ ảnh hưởng: MAC Flooding có thể gây ra những ảnh hưởng nghiêm trọng đến hệ thống mạng, trong đó bao gồm:

+ Gián đoạn hoạt động của hệ thống mạng

+ Làm chậm tốc độ truyền dữ liệu trên mạng.

+ Gây ra sự cố về bảo mật và an ninh mạng

- Độ khả năng khai thác: Kỹ thuật MAC Flooding được sử dụng rộng rãi bởi các hacker

và tấn công này khá đơn giản để thực hiện Người tấn công có thể sử dụng các công cụ miễn phí như Cain and Abel, Ettercap hoặc THC-IPV6 để thực hiện tấn công này Vì vậy,

độ khả năng khai thác của MAC Flooding là rất cao

- Độ phổ biến: MAC Flooding là một kỹ thuật tấn công phổ biến và đã được sử dụng trong nhiều cuộc tấn công mạng Đặc biệt, nó thường được sử dụng để tấn công các hệ thống mạng có kiến trúc cũ hoặc không được cập nhật đầy đủ các bản vá bảo mật mới nhất Do đó, độ phổ biến của MAC Flooding là khá cao

=> MAC Flooding là một kỹ thuật tấn công nguy hiểm, có thể gây ra những ảnh hưởng nghiêm trọng cho hệ thống mạng Nó dễ dàng để thực hiện và phổ biến, vì vậy việc bảo

vệ mạng khỏi tấn công này là rất quan trọng

2, DNS Poisning

DNS Poisoning là một kỹ thuật tấn công mạng đáng sợ, có thể gây ra những hậu quả nghiêm trọng cho hệ thống mạng Dưới đây là đánh giá mức độ nghiêm trọng của DNS Poisoning:

- Độ ảnh hưởng: DNS Poisoning có thể gây ra những ảnh hưởng nghiêm trọng đến hệ thống mạng, trong đó bao gồm:

+ Đưa người dùng đến các trang web giả mạo hoặc độc hại, dẫn đến mất thông tin cá nhân và tài khoản ngân hàng

+ Gây gián đoạn hoạt động của hệ thống mạng

+ Làm chậm tốc độ truyền dữ liệu trên mạng

+ Gây ra sự cố về bảo mật và an ninh mạng

- Độ khả năng khai thác: DNS Poisoning là một kỹ thuật tấn công mạng phức tạp và khó khăn để thực hiện Tuy nhiên, nó đã được sử dụng thành công trong nhiều cuộc tấn công mạng và có thể được thực hiện bằng cách sử dụng các công cụ và kỹ thuật tấn công miễn phí như Metasploit Framework, Cain and Abel hoặc DNS Spoofing Tool Vì vậy, độ khả năng khai thác của DNS Poisoning là khá cao

- Độ phổ biến: DNS Poisoning là một kỹ thuật tấn công mạng phổ biến và đã được sử dụng trong nhiều cuộc tấn công mạng Nó thường được sử dụng để tấn công các hệ thống