Tấn công mạng

TỐng hợp các phương pháp tấn công mạng và cách phòng tránh

of Service (DoSDoS//DDoSDDoS) Attacks) Attacks

CácCác loạiloại tấntấn côngcông phầnphần mềmmềm

1

Nguyên tắc truyền thông tin

Cấu tạo gói tin TCP

Phần giữa IP và ứng dụng

2

Cấu tạo gói tin IP

Nguyên tắc truyền thông tin

3

Nguyên tắc truyền thông tin

Các gói tin chỉ ra địa chỉ, cổng đến từ

đó hệ thống mạng sẽ định hướng

chuyển gói tin

Các gói tin chỉ ra nguồn gửi để nơi

Nguyên tắc truyền thông tin

Nguyên tắc truyền thông tin

CácCác trạngtrạng tháithái kếtkết nốinối

LISTEN

SYN SYN SENT SENT

SYN SYN RECEIVED RECEIVED

ESTABLISHED

FIN

FIN WAIT WAIT 1 1

FIN FIN WAIT WAIT 1 1

FIN FIN WAIT WAIT 2 2

CLOSE CLOSE WAIT WAIT

CLOSING

LAST LAST ACK ACK

TIME TIME WAIT WAIT

CLOSED

6

Nguyên tắc truyền thông tin

Mô tả thông tin

• SYN SYN SENT SENT

đang đợi TCP ở xa gửi một gói tin TCP với

đang đợi TCP ở xa gửi một gói tin TCP với các cờ SYN và ACK được bật

•

• SYN SYN RECEIVED RECEIVED

đang đợi TCP ở xa gửi lại một tin báo nhận sau khi đã gửi cho TCP ở xa đó một tin báo nhận kết nối

7

Nguyên tắc truyền thông tin

Mô tả thông tin

•

• ESTABLISHED ESTABLISHED

cổng đã sẵn sàng nhận/gửi dữ liệu với TCP ở

xa (đặt bởi TCP client và server)

•

• TIME TIME WAIT WAIT

đang đợi qua đủ thời gian để chắc chắn là

đang đợi qua đủ thời gian để chắc chắn là TCP ở xa đã nhận được tin báo nhận về yêu cầu kết thúc kết nối của nó Theo

cầu kết thúc kết nối của nó Theo RFC 793 RFC 793, , một kết nối có thể ở tại trạng thái TIME

một kết nối có thể ở tại trạng thái WAIT trong vòng tối đa 4 phút.

TIME 8

Kết nối

Client: gửi gói tin SYN, tham số Client: gửi gói tin SYN, tham số sequence number sequence number

được gán cho một giá trị ngẫu nhiên

được gán cho một giá trị ngẫu nhiên X X

Server: gửi lại SYN Server: gửi lại SYN ACK, tham số ACK, tham số acknowledgment acknowledgment

Kết thúc phiên

+ Bước I: Client gửi đến FIN ACK

+ Bước II: Server gửi lại c ACK

+ Bước III: Server lại gửi FIN ACK

+ Bước IV: Client gửi lại ACK

10

Gói tin UDP

Cấu trúc UDP

11

Gói tin UDP

IPv IPv4 4 UDP UDP

12

Nguyên tắc Port scan

1 TCP Scan

Trên gói TCP/UDP có 16 bit dành cho

Port Number điều đó có nghĩa nó có

từ 1

từ 1 –– 65535 port 65535 port

Thường chỉ scan từ 1 Thường chỉ scan từ 1 1024.1024

Thường chỉ scan từ 1 Thường chỉ scan từ 1 1024.1024

Một số phương pháp:

13

Nguyên tắc Port scan

SYN Scan:

•

• Gửi SYN với một thông số Port Gửi SYN với một thông số Port

•

• Nhận SYN/ACK thì Client biết Port đó Nhận SYN/ACK thì Client biết Port đó

trên Server được mở

Nguyên tắc Port scan

NULL Scan Sure:

•

• Client gửi tới Server những gói TCP với Client gửi tới Server những gói TCP với

số port cần Scan không chứa thông số

• Client gửi gói TCP với số Port nhất định Client gửi gói TCP với số Port nhất định

cần Scan chứa nhiều Flag như: FIN,

URG, PSH

•

• Nếu Server trả về gói RST tôi biết port Nếu Server trả về gói RST tôi biết port

Nguyên tắc Port scan

TCP Connect:

•• gửi đến Server những gói tin yêu cầu kết nối gửi đến Server những gói tin yêu cầu kết nối

port cụ thể trên server

•• Nếu server trả về gói SYN/ACK thì mở cổng Nếu server trả về gói SYN/ACK thì mở cổng

đó.

ACK Scan:

•• Scan này nhằm mục đích tìm những Access Scan này nhằm mục đích tìm những Access

Controll List trên Server Client cố gắng kết

nối tới Server bằng gói ICMP

•• nhận được gói tin là Host Unreachable thì nhận được gói tin là Host Unreachable thì

client sẽ hiểu port đó trên server đã bị lọc.

16

Công cụ portscan

Tự xây dựng dựa trên cấu mô tả

RPC Scan: Kiểm tra dịch vụ RPC

Windows Scan: tương tự như ACK

Scan, nhưng nó có thể chỉ thực hiện

trên một số port nhất định

FTP Scan: Có thể sử dụng để xem

dịch vụ FTP có được sử dụng trên

Server hay không

IDLE: cho phép kiểm tra tình trạng

của máy chủ

17

• Nếu mạng sử dụng là switch thì cần Nếu mạng sử dụng là switch thì cần

phải sử dụng phương pháp man

phải sử dụng phương pháp man – – in in – –

the

the middle middle

Nghe lén bằng phần mềm gián điệp 19

Eavesdropping attack

Một số phương pháp phòng chống:

Sử dụng switch thay cho hub

Giám sát địa chỉ MAC

Sử dụng cơ chế mã hóa truyền tin,

và mã hóa theo thời gian

21

Eavesdropping attack

Sử dụng các dịch vụ mã hóa trong

liên kết: SSL (Secure Sockets Layer), thiết lập IPSec và mạng riêng ảo VNP (Virtual Private Network),… sử dụng

SSH (Secure Shell Host) thay cho

Telnet, Rlogin; dùng SFTP (secure

FTP) thay vì FTP; dùng giao thức

https thay cho http v.v…

22

Eavesdropping attack

Sử dụng các phần mềm phát hiện sự hoạt động của các chương trình nghe lén trên mạng như AntiSniff,

PromiScan, Promqry and PromqryUI,

ARPwatch, Ettercap, v.v… Riêng với

Eavesdropping attack

Tạo ra các gói tin có địa chỉ IP giả

mạo không là địa chỉ máy gửi gói tin

Vượt qua các kiểm soát về nguồn Vượt qua các kiểm soát về nguồn gốc gốc địa chỉ ip

TCP spoofing

Ta có Ta có 2 2 loại giả mạo địa chỉ IP:loại giả mạo địa chỉ IP:

Giả mạo bằng cách bắt gói (nonGiả mạo bằng cách bắt gói

(non blind spoofing)

blind spoofing), , phânphân tíchtích sốsố thứthứ tựtự, ,

cho

cho máymáy cùngcùng mạngmạng

Giả mạo địa chỉ IP từ xa (blind

Giả mạo địa chỉ IP từ xa (blind

spoofing ):

spoofing ): kháckhác mạngmạng, , có có đượcđược số số

TCP sequence chính xác là rất

khó.Tuy nhiên ,

khó.Tuy nhiên , với một số kĩ thuật,với một số kĩ thuật,

chẳng hạn như định tuyến theo địa

chỉ nguồn,máy tấn công cũng có thể

xác định chính xác

xác định chính xác đượcđược chỉ số đó.chỉ số đó 26

ĐỊNH TUYẾN THEO NGUỒN

IP source routing là một cơ chế cho

phép một máy nguồn chỉ ra đường đi một cách cụ thể và không phụ thuộc

vào bảng định tuyến của các router

KẻKẻ tấntấn côngcông gửigửi góigói tin tin vàvà đưađưa rara

KẻKẻ tấntấn côngcông gửigửi góigói tin tin vàvà đưađưa rara

CHỐNG GIẢ MẠO ĐỊA CHỈ IP

Để làm giảm nguy cơ tấn công giả

mạo địa chỉ IP cho một hệ thống

mạng,ta có thể sử dụng các phương

pháp sau:

Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập

Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập

(Access Control List

(Access Control List ACL) trên các ACL) trên các

interface của router

interface của router Một ACL có thể Một ACL có thể

dc dùng để loại bỏ những traffic từ

bên ngoài mà lại

bên ngoài mà lại đượcđược đóng gói bởi đóng gói bởi

một địa chỉ trong mạng cục bộ khi bị

lôi cuốn vào một cuộc tấn công Ddos

29

CHỐNG GIẢ MẠO ĐỊA CHỈ IP

DùngDùng mật mã xác thực.Nếu cả hai mật mã xác thực.Nếu cả hai

đầu của cuộc nói chuyện đã

đầu của cuộc nói chuyện đã đượcđược xác xác thực,

thực, khả năng tấn công theo kiểu khả năng tấn công theo kiểu

M

Manan inin thethe middle có thể middle có thể đượcđược ngăn ngăn

cản

Mã hoá traffic giữa các thiết bị (giữa Mã hoá traffic giữa các thiết bị (giữa

2 router,hoặc giữa 2 hệ thống cuối

và router) bằng một IPSec tunnel

30

cấu trúctrúc góigói tin IP tin IP

MặcMặc dùdù khôngkhông cócó giảigiải pháppháp dễdễ dàngdàng

Man in in the the middle Attack middle Attack

33

1.Khái niệm

Tấn công khi làm cho hai bên kết

nối, hiểu nhầm người thứ

nối, hiểu nhầm người thứ 3 3 là đối tác là đối tác

• Máy kết nối nhầm, hoặc xác thực nhầm Máy kết nối nhầm, hoặc xác thực nhầm

Tấn công bằng làm giả tín hiệu tính

hiệu ARP

•

• Gửi các thông điệp map giữa IP và MAC Gửi các thông điệp map giữa IP và MAC

34

1.Khái niệm

35

1.Khái 1.Khái niệm niệm

Tấn công vào DNS

•

• Dựa trên cơ chế gửi và nhận địa chỉ IP Dựa trên cơ chế gửi và nhận địa chỉ IP

thông qua tên miền

•

• Gửi một địa chỉ IP khác với địa chỉ tên Gửi một địa chỉ IP khác với địa chỉ tên

miền

36

1.Khái niệm

Tấn công vào DNS

37

a Phương thức tấn công giả mạo

truyền tin.tin

a.a.2 2 TruyềnTruyền thôngthông AR AR GiaoGiao thứcthức ARP ARP

hai vàvà thứthứ baba củacủa mômô hìnhhình OSI OSI

////LớpLớp thứthứ haihai ((lớplớp datadata link) link) sửsử dụngdụng

Giả mạo AP, ARP đưa ra trang web

trung gian để giả các giao thức SSL,

…

41

4 Công cụ MITM tấn công

Có một số công cụ để nhận ra một

cuộc tấn công MITM

cuộc tấn công MITM Những công cụ Những công cụ

này đặc biệt hiệu quả trong môi

trường mạng LAN, bởi vì họ thực hiện các chức năng thêm, như khả năng

giả mạo arp cho phép đánh chặn của

giao tiếp giữa các máy

PacketCreator

Ettercap

Dsniff

5 Cách chống lại tấn công

5 Cách chống lại tấn công MITM MITM

BảoBảo mậtmật vậtvật lýlý (Physical security) (Physical security) làlà

phương

phương pháppháp tốttốt nhấtnhất đểđể chốngchống lạilại

kiểu

kiểu tấntấn côngcông nàynày

NgoàiNgoài rara, , tata cócó thểthể ngănngăn chặnchặn hìnhhình

6

6 hình hình thức thức tấn tấn công công MITM: MITM:

GiảGiả mạomạo ARP CacheARP Cache

ChiếmChiếm quyềnquyền điểuđiểu khiểnkhiển SSLSSL

DNS SpoofingDNS Spoofing

45

Replay attack

((tấn công phát lại tấn công phát lại))

46

• Sử dụng phương pháp xác thực lại theo Sử dụng phương pháp xác thực lại theo

thời gian (sau thời gian kết nối)

47

Mô hình

HIJACKING ATTACK

Kẻ tấn công chiếm quyền điều

khiển

Nghe lén trao đổi

Gửi tín hiệu cắt kết nối client

Tiếp tục kết nối với server

Tiếp tục kết nối với server

49

HIJACKING

HIJACKING ATTACK ATTACK

50

I Thế nào là một kẻ tấn công

chiếm quyền điều khiển?

NgheNghe lénlén thôngthông tin tin liênliên lạclạc

ĐợiĐợi kếtkết thúcthúc quáquá trìnhtrình xácxác thựcthực

GửiGửi tíntín hiệuhiệu yêuyêu cầucầu kếtkết thúcthúc

TiếpTiếp tụctục liênliên kếtkết vớivới máymáy còncòn lạilại

TiếpTiếp tụctục liênliên kếtkết vớivới máymáy còncòn lạilại

51

II Giải pháp

Tiến hành mã hóa phiên

Xác thực phiên theo thời gian

52

V Công cụ kẻ tấn công chiếm

quyền điều khiển sử dụng:

Có một vài chương trình có sẵn có

thể thực hiện được việc chiếm quyền

điều khiển

Dưới đây là một vài chương trình

thuộc loại này:

Tấn công

từ chối dịch vụ

(DoS Attacks)

54

Tấn công từ chối dịch vụ

Tấn công làm cho một hệ thống nào

đó bị quá tải không thể cung cấp

dịch vụ hoặc phải ngưng hoạt động

Tấn công kiểu này chỉ làm gián đoạn

hoạt động của hệ thống chứ rất ít có

khả năng thâm nhập hay chiếm được thông tin dữ liệu của nó

55

Các loại tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ cổ điển

DoS (Denial of Service)

Tấn công từ chối dịch vụ phân tán

DDoS (Distributed Denial of

Biến thể của tấn công DoS

Mục tiêu tấn công DoS

Mục tiêu nhằm chiếm dụng các tài

nguyên của hệ thống (máy chủ) như: Bandwidth, Kernel Table, Swap

Space, Cache, Hardisk, RAM, CPU,…

Làm hoạt động của hệ thống bị quá

Làm hoạt động của hệ thống bị quá

tải dẫn đến không thể đáp ứng được

các yêu cầu (request) hợp lệ nữa

58

Tấn công từ chối dịch vụ cổ điển

Là phương thức xuất hiện đầu tiên,

giản đơn nhất trong kiểu tấn công từ

chối dịch vụ.Các kiểu tấn công thuộc

phương thức này rất đa dạng

Ví dụ một dạng tấn công tiêu biểu:

Ví dụ một dạng tấn công tiêu biểu:

•

• SYN Attack SYN Attack

59

Bắt tay ba chiều trong kết nối TCP

60

Bắt tay ba chiều trong kết nối TCP

BướcBước 1: Client (1: Client (máymáy kháchkhách) ) sẽsẽ gửigửi

các

các góigói tin (packet tin (packet chứachứa SYN=1).SYN=1)

BướcBước 2: Server 2: Server sẽsẽ gửigửi lạilại góigói tin tin

việc yêuyêu cầucầu nàynày

BướcBước 3: 3: CuốiCuối cùngcùng, client , client hoànhoàn tấttất

DoS dùng kỹ thuật SYN Flood

62

DoS dùng kỹ thuật SYN Flood

Hacker cài một chương trình phá

hoại (malicious code) vào client

Client không hồi đáp tín hiệu ACK

(bước 3) về cho server

Server không còn tài nguyên phục vụ

Server không còn tài nguyên phục vụ cho những yêu cầu truy cập hợp lệ

63

DoS dùng kỹ thuật SYN Flood

64

Tấn công từ chối dịch vụ kiểu phân tán

(DDoS)

Xuất hiện vào mùa thu 1999

So với tấn công DoS cổ điển, sức

mạnh của DDoS cao hơn gấp nhiều

lần

Hầu hết các cuộc tấn công DDoS

Hầu hết các cuộc tấn công DDoS

nhằm vào việc chiếm dụng băng

thông (bandwidth) gây nghẽn mạch

hệ thống dẫn đến hệ thống ngưng

hoạt động

65

Tấn công từ chối dịch vụ kiểu phân tán

(DDoS)

67

Tấn công từ chối dịch vụ kiểu phân tán

để đồng loạt gửi ào ạt các gói tin

để đồng loạt gửi ào ạt các gói tin

(packet) với số lượng rất lớn

nhằm chiếm dụng tài nguyên và làm

tràn ngập đường truyền của một mục tiêu xác định nào đó

68

Tấn công từ chối dịch vụ kiểu phân tán

(DDoS)

69

Tấn công từ chối dịch vụ phản xạ nhiều

vùng DRDoS

Xuất hiện vào đầu năm 2002, là kiểu

tấn công mới nhất, mạnh nhất trong họ DoS

Nếu được thực hiện bởi kẻ tấn công có

tay nghề thì nó có thể hạ gục bất cứ hệ

thống nào trên thế giới trong phút

chốc.

DRDoS là sự phối hợp giữa hai kiểu DoS

DRDoS là sự phối hợp giữa hai kiểu DoS

và DDoS.

Mục tiêu chính của DRDoS là chiếm

đoạt toàn bộ băng thông của máy chủ,

tức là làm tắc nghẽn hoàn toàn đường

kết nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy

chủ.

70

Tấn công từ chối dịch vụ phản xạ nhiều

vùng DRDoS

Với nhiều server lớn tham gia nên

server mục tiêu nhanh chóng bị quá

tải, bandwidth bị chiếm dụng bởi

server lớn

Tính “nghệ thuật” là ở chỗ chỉ cần với

Tính “nghệ thuật” là ở chỗ chỉ cần với một máy tính với modem 56kbps,

một hacker lành nghề có thể đánh

bại bất cứ máy chủ nào trong giây lát

mà không cần chiếm đoạt bất cứ

máy nào để làm phương tiện thực

hiện tấn công

72

Tấn công reset mật khẩu

Nghe lén mật khẩu

Tấn công dò mật khẩu

74

Tấn công reset mật khẩu

Nghe lén

•

• Nghe lén, trộm mật khẩu lưu trữ vật lý Nghe lén, trộm mật khẩu lưu trữ vật lý

•

• Nghe lén thông tin từ đó nhận được được Nghe lén thông tin từ đó nhận được được

mật khẩu không mã hóa

•

• Nghe lén và lưu nhận mật khẩu đã mã hóa Nghe lén và lưu nhận mật khẩu đã mã hóa

từ đó tiến hành gửi lại xác thực sau

76

Dò mật khẩu

•

• Dò mật khẩu từ thông tin thu nhận được từ Dò mật khẩu từ thông tin thu nhận được từ

đối tượng bị tấn công

login không thành công không thành công

o Không dùng Không dùng passwordspasswords ddạạng clear textng clear text

o Dùng Dùng strong passwordsstrong passwords

78

Định nghnh nghĩĩaa

Misuse of Privilege Attack ( Cu Misuse of Privilege Attack ( Cuộ ộc t c tấ ấn công s n công sử

dụ ụng sai các ng sai các đặ đặc quy c quyề ền) là m n) là mộ ột lo t loạ ại ph i phầ ần m n mề ềm m ttấ ấn công, trong n công, trong đ đó k ó kẻ ẻ ttấ ấn công s n công sử ử d dụ ụng ng đặ đặc c

quyề ền qu n quả ản tr n trịị h hệ ệ th thố ống ng để để truy c truy cậ ập d p dữ ữ liliệ ệu u

nhạ ạy c y cả ảm m Lo Loạ ại t i tấ ấn công này th n công này thườ ường liên quan ng liên quan

nhạ ạy c y cả ảm m Lo Loạ ại t i tấ ấn công này th n công này thườ ường liên quan ng liên quan đế

đến m n mộ ột nhân viên, v t nhân viên, vớ ới m i mộ ột s t số ố quy quyề ền qu n quả ản tr n trịị

trên mộ ột máy tính, m t máy tính, mộ ột nhóm các máy móc hay t nhóm các máy móc hay

mộ ột s t số ố ph phầ ần c n củ ủa h a hệ ệ th thố ống m ng mạ ạng ng

79

Ví dụ

Mộột qut quảản trn trịị mmạạng có khng có khảả nnăăng truy cng truy cậập p

vào các tậập tin p tin về thông tin cá nhân về thông tin cá nhân

đượ

được lc lưưu tru trữữ trong ctrong cơơ ssởở ddữữ liliệệu là mu là mộột t

trong nhữững tài nguyên quan trng tài nguyên quan trọọngng như là như là

cơ sở dữ liệu nhận dạng của công an

cơ sở dữ liệu nhận dạng của công an

Từừ các tcác tậập tin p tin về thông tin cá nhân về thông tin cá nhân

cơ sở dữ liệu nhận dạng của công an

cơ sở dữ liệu nhận dạng của công an

Từừ các tcác tậập tin p tin về thông tin cá nhân về thông tin cá nhân

này

này, anh ta có th, anh ta có thểể llấấy tên y tên đầđầy y đủđủ, , địđịa cha chỉỉ, ,

sốố an sinh xã han sinh xã hộội, và các di, và các dữữ liliệệu khác, mà u khác, mà

có

có ththểể có thcó thểể bán cho nhbán cho nhữững ngng ngườười có thi có thể

sửử ddụụng nó cho tng nó cho tộội phi phạạm liên quan m liên quan đếđến n

gian lậận nhn nhậận dn dạạng.ng

81