Hoạt động của Sniffer • Hacker sử dụng các gói tin nghe lén hoặc giả mạo lan truyền vào trong mạng thông qua Switch hoặc Hub.. DHCP Request/Reply Message DHCPDISCOVER Client Broadcast đ
Trang 1KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG
Trang 2NỘI DUNG
• Module 01: Tổng quan An ninh mạng
• Module 02: Kỹ thuật tấn công
• Module 03: Kỹ thuật mã hóa
• Module 04: Bảo mật hệ điều hành
• Module 05: Bảo mật ứng dụng
• Module 06: Virus và mã độc
• Module 07: Các công cụ phân tích an ninh mạng
• Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu
• Ôn tập
• Báo cáo đồ án
• Thi cuối khóa
Module 02: Kỹ thuật tấn công
Trang 3Module 02: KỸ THUẬT TẤN CÔNG
• Lesson 01: Footprinting và Reconnaissance
• Lesson 02: Google Hacking
• Lesson 03: Scanning Networks
• Lesson 04: Enumeration
• Lesson 05: System Hacking
• Lesson 06: Sniffer
• Lesson 07: Social Engineering
• Lesson 08: Denial of Service
• Lesson 09: Session Hijacking
• Lesson 10: SQL Injection
• Lesson 11: Hacking Wireless Networks
• Lesson 12: Buffer Overflow
Trang 4SNIFFER
Trang 5Nội dung
• Khái niệm và ảnh hưởng của Sniifing trong không gian mạng
• Hoạt động của Sniffing
• Phân loại Sniffing
• Các hình thức tấn công dựa trên Sniffing
Trang 6Khái niệm Sniffing
• Sniffer là phương pháp nghe lén các gói tin trong mạng nội bộ (Kẻ tấn công và nạn nhân có chung Subnet IP)
• Thông tin người dùng có thể bị truy xuất và sử dụng bất hợp pháp khi hệ thống bị Sniffing
Trang 7Tác hại của Sniffing
Telnet Password
Email Traffic
Web Traffic
Chat Sessions
FTP Password DNS Traffic
Syslog Traffic
Router Configuration
Trang 8Hoạt động của Sniffer
• Hacker sử dụng các gói tin nghe lén (hoặc giả mạo) lan truyền vào trong mạng thông qua Switch hoặc Hub
• Người tấn công có thể bắt và phân tích tất cả các Traffic
Attacker
Capture
Trang 9Các nguy cơ dẫn tới Sniffing
• Hệ thống doanh nghiệp sử dụng nhiều Switch, trong đó
mở ra những Port không cần thiết
• Hacker có thể gắn các Laptop vào Port và tiến hành Sniffing
• Không tiến hành phân chia Subnet cho hệ thống
• Cơ chế bảo mật lỏng lẻo
• Nhân viên không được phổ biến về các mối nguy hại
Trang 10Sniffer hoạt động như thế nào?
• Sniffer chuyển NIC của máy tính sang chế độ Promiscous có thể lắng nghe tất cả dữ liệu đang vận chuyện qua Segment mà nó kết nối
• Sniffer có thể đọc được toàn bộ nội dung dựa và cách phân giải gói tin bắt được (Decapsulation)
Sniffer
Pomiscucous Mode
Switch
Trang 11Phương thức tấn công Switch
MAC Flooding DNS Poisoning
DHCP Attacks Password Sniffing Spoofing Attack ARP Poisoning
Switch
Trang 12Phân loại Sniffing
• Passive Sniffing
• Active Sniffing
Trang 13Phân loại Sniffing: Passive Sniffing
Thực hiện Sniffing thông qua một Hub Trên Hub, dữ liệu sẽ được đẩy ra tất cả các Port
Không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port về
Thường ít sử dụng do ngày nay Hub không còn được
ưa chuộng nhiều, thay vào đó là Switch
Trang 14Phân loại Sniffing: Active Sniffing
• Được thực hiện trên
Switch
• Sniffer gửi ra những gói
tin giả mạo nhằm mục
đích thu thập dữ liệu
trên mạng
DHCP Starvation
Trang 15Các giao thức dễ bị tấn công Sniffing
Password và dữ liệu gửi dưới dạng clear text
Password và dữ liệu gửi dưới dạng clear text
Password và dữ liệu gửi dưới dạng clear text
Password và dữ liệu gửi dưới dạng clear text
Trang 16Ảnh hưởng của Sniffing trong
mô hình OSI
Application Presentation Session Transport Network Data Link Physical
Trang 17Sniffing Tool
DNS Poisoning
Spoofing Attack
ARP Poisoning
DHCP Attack
MAC Attack
Các loại tấn công dạng Sniffing
Trang 18Sniffing Tool
DNS Poisoning
Spoofing Attack
ARP Poisoning
DHCP Attack
MAC Attack
MAC Attack
Trang 19MAC Address/CAM Table
• Bảng CAM (Content Address Memory) có dung lượng hữu hạn
• Bảng CAM lưu trữ các địa chỉ MAC đang hoạt động trên Port cùng thông số VLAN tương ứng
Trang 20Hoạt động của bảng CAM
Trang 21Tràn bảng CAM
ra tất cả các Port của Switch (Flooding)
• Việc này sau đó làm Switch chuyển mạch như Hub
• Quá trình tấn công tràn bảng MAC sẽ lây lan sang các Switch lân cận
Trang 22MAC Flooding
• MAC Flooding tấn công làm tràn bảng CAM của Switch bằng cách phát ra vô số các gói tin với MAC giả mạo, không có thật
MAC Address Flood
User1
Trang 23User1
User2
Trang 24MAC A MAC C MAC D
…
Phòng thủ MAC Attack
• Port Security: Gán tĩnh địa chỉ MAC trên Port được chỉ định Chỉ cho phép dữ liệu xuất phát từ MAC này đi vào Port
SwitchX(config)#interface FastEthernet 0/1
SwitchX(config-if)# switchport mode access
SwitchX(config-if)# switchport port-security
SwitchX(config-if)# switchport port-security maximum 1
SwitchX(config-if)# switchport port-security mac-address {MAC Adress | sticky}
SwitchX(config-if)# switchport port-security violation {shutdown |
Switch
Trang 25Sniffing Tool
DNS Poisoning
Spoofing Attack
ARP Poisoning
DHCP Attack
MAC Attack
DHCP Attack
Trang 26Hoạt động của DHCP
• DHCP Server cấp phát, quản lý thông tin cấu hình TCP/IP của các Client như địa chỉ IP, Default Gateway, DNS Server, và khoảng thời gian được cấp phát
Trang 27DHCP Request/Reply Message
DHCPDISCOVER Client Broadcast để xác định vị trí Server
DHCPOFFER Server trả lời DHCPDISCOVER bằng gói Offer hỏi những tham số
DHCPACK Server gửi cho Client các tham số cấu hình cần thiết
DHCPNAK Server thông báo với Client đã sử dụng sai địa chỉ lớp mạng (Có
thể do Client tự thay đổi), hoặc đã hết hạn sử dụng IP được cấp
DHCPDECLINE Client thông báo với Server địa chỉ lớp mạng đã được sử dụng
DHCPRELEASE
Client thông báo với Server hủy bỏ IP được cấp, trả về cho Server
và dừng đếm khoảng thời gian Release
DHCPINFORM Client xin cấp một số thông số phụ khi Client đã có địa chỉ IP
Trang 28DHCP Request (Broadcast) x (Size of Scope)
DHCP ACK (Unicast) x (Size of Scope)
Trang 29Rogue DHCP Server Attack (Giả mạo DHCP Server)
• Attacker giả mạo DHCP Server cấp thông tin cấu hình TCP/IP cho Client
Thông tin cài đặt TCP/IP sai lệch:
• Attacker làm Gateway
• Attacker làm DNS Server
• Từ chối dịch vụ vì sai IP
Trang 31bản tin DHCP Reply đi vào
nó
DHCP Reply vào, do đó nên cấu hình trên đường Uplink tới DHCP Server thật
Trang 32Phòng thủ DHCP Starvation và Rogue
Server Attack
• Bật tính năng DHCP Snooping
• Cấu hình Trusted Interface trên Switch
• Số lượng các Packet DHCP cho phép qua trong 1 giây
• Bật tính năng DHCP Snooping trên VLAN
• Tắt tính năng mang thông tin về Port gửi DHCP Request (Chỉ một số Server hỗ trợ)
Switch(config)# ip dhcp snooping
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate [rate]
Switch(config-if)# ip dhcp snooping vlan [vlan-id]
Trang 33Sniffing Tool
DNS Poisoning
Spoofing Attack
ARP Poisoning
DHCP Attack
MAC Attack
ARP Poisoning
Trang 34ARP (Address Resolution Protocol)
là gì?
ARP là giao thức ánh xạ địa chỉ IP để tìm ra địa chỉ vật lý của thiết bị trong
mạng Local
ARP gửi gói tin Request để tìm địa chỉ vật lý của thiết bị
Khi một thiết bị muốn liên lạc với thiết bị khác, nó tìm địa chỉ MAC đích trong ARP cache Nếu không có, nó broadcast gói Request ra toàn mạng
Tất cả các thiết bị nhận được gói Request sẽ so sánh IP của chúng với IP đích trong gói Request
Nếu có thiết bị nào có IP trùng IP đích trong gói Request, thiết bị đó sẽ gửi
gói tin Reply đính kèm MAC của mình
I need MAC address of 192.168.1.1 (Broadcast)
Trang 35ARP Spoofing Attack
• Attacker có thể giả mạo gói tin ARP để thu thập dữ liệu trên mạng
• ARP Spoofing tạo ra một lượng lớn các gói ARP Request
và Reply nhằm đưa Switch vào tình trạng quá tải
• Việc Attacker làm tràn ARP cache của máy tính nạn nhân còn gọi là Poisoning
• Bảng ARP bị tràn bởi vô số các gói ARP giả mạo, lúc này Attacker có thể thu thập được toàn bộ dữ liệu qua Switch
Trang 36Hoạt động của ARP Spoofing
Send ARP Request
Hey 10.1.1.1, are you there?
đó giả mạo như User hợp pháp
Các User hợp pháp gửi ARP Response
Trang 37Các nguy cơ xuất phát từ ARP Spoofing
• Bằng cách giả mạo các gói tin ARP, Attacker có thể chuyển hướng tất cả các kết nối giữa hai thiết bị khiến toàn bộ traffic đi về máy của mình
– Từ chối dịch vụ – Chặn dữ liệu – Nghe lén cuộc gọi VoIP – Đánh cắp Password
Attack
Trang 38DHCP Snooping xây dựng bảng ánh xạ IP- MAC phục vụ cho việc kiểm soát của DAI
Trusted Trusted
Trang 39Phòng thủ ARP Poisoning
• Cấu hình kích hoạt DAI trên các VLAN
• Cấu hình Trusted và Untrusted Interface trên Switch
• Cấu hình DAI loại bỏ các gói ARP nếu địa chỉ IP không hợp lệ
• Kiểm tra
Switch(config)# ip arp inspection vlan [vlan_id,vlan_id,…]
Switch(config-if)# ip arp inspection trust
Switch(config-if)# ip arp inspection validate {[src-mac]
[dst-mac] [ip]}
Switch# show ip dhcp snooping bindings Switch# show ip arp inspection
Trang 40Sniffing Tool
DNS Poisoning
Spoofing Attack
ARP Poisoning
DHCP Attack
MAC Attack
Spoofing Attack
Trang 41MAC Spoofing/Duplicating
• Hiện tượng nhân bản một địa chỉ MAC dựa vào các công
cụ Sniff hệ thống mạng nhằm lấy địa chỉ MAC hợp pháp của Client khi tham gia vào mạng
• Bằng cách lắng nghe trên mạng, một User giả mạo có thể sử dụng địa chỉ MAC của User hợp lệ để thu thập các gói tin gửi cho User hợp lệ này
My MAC address
is A:B:C:D:E
No, my MAC address is A:B:C:D:E
Attacker
Internet
Rule: Allow A:B:C:D:E
User hợp lệ
Trang 42Các nguy cơ xuất phát từ
Spoofing Attack
• IP Spoofing
– Ping of death – ICMP unreachable storm – SYN flood
– Địa chỉ IP tin cậy có thể bị giả mạo
• MAC Spoofing
– Attacker có thể sử dụng MAC đang hoạt động trên mạng
– Attacker có thể định danh mình như một người dùng hợp lệ
Attacker
Trang 44port-Phòng thủ Spoofing Attack
User B
DHCP Snooping Enabled Dynamic ARP Inspection Enabled
IP Source Gurad Enabled
10.10.10.2
10.10.10.1 MAC A
10.10.10.2 MAC C
10.10.10.1 MAC C
Trang 45Sniffing Tool
DNS Poisoning
Spoofing Attack
ARP Poisoning
DHCP Attack
MAC Attack
DNS Poisoning
Trang 46Kỹ thuật DNS Poisoning
• Kỹ thuật DNS Poisoning đánh lừa DNS Server rằng nó
đã nhận được thông tin phân giải địa chỉ trong khi thực
tế nó không nhận được gì
• Kết quả là tên miền được phân giải ra một địa chỉ IP khác địa chỉ hợp lệ
Trang 47Một số kỹ thuật DNS Poisoning
Intranet DNS Spoofing (Local Network)
Internet DNS Spoofing (Remote Network)
Trang 48Attacker bắt gói và chuyển hướng tới Website thật
Trang 49Website thật:
istudy.vn
200.0.0.254
Website giả 65.0.0.2
Trang 50Proxy Server DNS Poisoning
Attacker chuyển các Request của User tới Website giả
Trang 51DNS Cache Poisoning
• Attacker làm thay đổi các Record lưu trữ của DNS Server,
do đó DNS Server sẽ query vào địa chỉ IP của một Website giả được thiết lập bởi Attacker
• Nếu DNS Server không xác minh lại các gói tin DNS Response, nó sẽ lưu trữ những Record với các IP sai lệch
Trang 52Query for DNS Info
Internal DNS User
Trang 53Triển khai DNSSEC
Cấu hình cho người dùng một Port ngẫu nhiên làm Source Port (nằm trong khoảng định sẵn) cho mỗi gói query gửi đi Cấu hình Firewall loại bỏ các gói tin DNS đi ra Externel DNS Server
Hạn chế sử dụng dịch vụ DNS, bằng cách phân quyền cho User
Sử dụng cách hạn chế tần suất DNS Non-Existent Domain (NXDOMAIN)
Trang 54Sniffing Tool
DNS Poisoning
Spoofing Attack
ARP Poisoning
DHCP Attack
MAC Attack
Sniffing Tool
Trang 55Sniffing Tool: Wireshark
• Tool miễn phí dùng để bắt các gói tin trên giao diện mạng của máy tính
• Wireshark có thể bắt được hầu hết các gói tin trong mạng hiện nay như Ethernet, 802.11, PPP/HDLC, ATM, Bluetooth, Token Ring, Frame Relay, FDDI, …
Attacker Wireshark Tool Network Victim
Trang 56Sniffing Tool: Wireshark
Trang 57Sniffing Tool: Wireshark Follow TCP
Stream
Trang 58Sniffing Tool: Wireshark Filter
Hiển thị tất cả các gói TCP có từ
‘traffic’
udp contains 33:27:58
Hiển thị tất cả các gói UDP trong đó
Trang 59Sniffing Tool: Cain & Abel
Trang 60Tóm lược bài học
• Sniffing là phương thức nghe lén các gói tin trên mạng
• Phương thức sử dụng trong Sniffing rất đa dạng: DHCP Attack, ARP Poisoning, DNS Poisoning, Spoofing,…
• Phòng chống Sniffing bằng một số phương thức bảo mật như: DHCP Snooping, DAI, IP Source Guard, DNSSEC,…