Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)

Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (LV thạc sĩ)

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác

Tác giả luận văn ký và ghi rõ họ tên

MỤC LỤC

CHƯƠNG 1 TỔNG QUAN 3

1.1 Thực trạng vấn đề an ninh mạng tại Việt Nam 3

1.2 Xu hướng tương lai 6

1.3 Một số cách để kiểm tra độ an toàn của hệ thống mạng 7

CHƯƠNG 2 CÁC KIỂU KHAI THÁC VÀ TẤN CÔNG HỆ THỐNG CỦA HACKER 9

2.1 Tấn công trực tiếp 9

2.2 Kỹ thuật đánh lừa 9

2.3 Tấn công vào các lỗ hổng bảo mật 10

2.4 Nghe trộm 10

2.5 Kỹ thuật giả mạo địa chỉ 11

2.6 Tấn công vào hệ thống có cấu hình không an toàn 11

2.7 Tấn công dùng Cookies 12

2.8 Vô hiệu hóa dịch vụ 12

2.9 Kết luận chương 2 13

CHƯƠNG 3 KỸ THUẬT SNIFFING VÀ CÁC PHƯƠNG THỨC TẤN CÔNG MẠNG 14

3.1 Giới thiệu về Sniffing 14

3.1.1 Định nghĩa Sniffing 14

3.1.2 Vùng Sniffing 15

3.1.3 Các mối đe dọa về nghe lén 15

3.2 Cơ chế hoạt động của Sniffing 15

3.3 Các phương thức tấn công dựa trên nguyên lý Sniffing 19

3.3.1 Tấn công MAC 19

3.3.2 Tấn công dịch vụ DHCP 23

3.3.3 Tấn công giả mạo ARP 30

3.3.4 Tấn công DNS 36

3.3.5 So sánh các phương pháp tấn công 40

3.4 Kết luận chương 3 42

CHƯƠNG 4 CÁC PHƯƠNG PHÁP PHÒNG CHỐNG 43

4.1 Thiết lập Port-security trên thiết bị Switch 43

4.2 Phương pháp Ping 48

4.3 Phương pháp sử dụng DHCP Snooping 50

4.4 Phương pháp giăng bẫy (Decoy) 52

4.5 Đề xuất mô hình phát hiện và ngăn chặn Sniffing trái phép 53 4.6 Kết luận chương 4 57 CHƯƠNG 5 KẾT QUẢ VÀ BÀN LUẬN 58

DANH MỤC CÁC KÍ HIỆU, CHỮ VIẾT TẮT

MAC Media Access Control Đỉa chỉ thiết bị

LAN Local Area Network Mạng nội bộ

WAN Wide Area Network Mạng diện rộng

TCP Transmission Control Protocol Giao thức tuyền tin

IP Internet Protocol Bộ giao thức internet

ARP Address Resolution Protocol Giao thức phân giải địa chỉ

DHCP Dynamic Host Configuration Protocol Giao thức cấp phát địa chỉ tự động DNS Domain Name Service Dịch vụ phân giải tên miền

IDS Intrusion Detection System Phát hiện tấn công

VPN Virtual Protocol Network Mạng riêng ảo

FTP File Transfer Protocol Giao thức truyền file

SMTP Simple Mail Transfer Protocol Giao thức gửi nhận mail

WLAN Wireless Local Area Network Mạng không dây

SMNP Simple Network Management Protocol Giám sát, quản lý lưu lượng thiết

bị mạng từ xa

DANH MỤC CÁC BẢNG

Bảng 3.1 So sánh giữa các hình thức tần công 40Bảng 4.1 Danh sách thiết bị , phần mềm cài đặt 54

DANH MỤC CÁC HÌNH

Hình 1.1 Thống kê đối tượng sử dụng Internet ở Việt Nam 3

Hình 1.2 Thống kê độ tuổi người sử dụng Internet so với tổng dân số Việt Nam 4

Hình 2.1 Mô phỏng lỗ hổng hệ điều hành win 7 10

Hình 3.1 Mô phỏng quá trình Sniffing trong mạng 14

Hình 3.2 Cấu trúc gói tin TCP/IP 16

Hình 3.3 Một số giao thức mạng dễ bị Sniffing 18

Hình 3.4 Địa chỉ MAC của thiết bị 19

Hình 3.5 Mô tả hoạt động của bảng CAM 20

Hình 3.6 Quá trình chạy macof trên thiết bị hacker 21

Hình 3.7 Thực hiện truy cập web trên máy nạn nhân 22

Hình 3.8 User và pass của người sử dụng được chỉ ra trên máy hacker 22

Hình 3.9 Minh họa DHCP Rouge 26

Hình 3.10 Minh họa việc chuyển hướng người dùng 27

Hình 3.11Cấp phát DHCP giả mạo 28

Hình 3.12 Thực hiện quá trình DHCP spoofing 29

Hình 3.13 User và pass của victim được chỉ ra trên máy hacker 30

Hình 3.14 Quá trình ARP trong mạng 31

Hình 3.15 Cấu trúc gói tin trong mạng 32

Hình 3.16 Quá trình gửi giả mạo ARP 33

Hình 3.17 Quá trình rep lại gói tin ARP 33

Hình 3.18 Kết thúc quá trình tấn công 34

Hình 3.19 Mô phỏng giao thức tấn công giả mạo ARP 35

Hình 3.20 Cấu trúc phân cấp và phân tán hệ thống DNS 37

Hình 3.21 Phân tán các subdomain 37

Hình 3.22 Truy vấn kết quả trong hệ thống DNS 38

Hình 3.23 Mô phỏng cách thức tấn công 39

Hình 3.24 Minh họa Fake DNS 40

Hình 3.25 Minh họa giao diện website giả mạo vietcombank sau khi đã đổi DNS 41 Hình 4.1 Minh họa kiểu port-security trên thiết bị Cisco 44

Hình 4.2 topology mô phỏng cách phòng chống mac flood 45

Hình 4.3 kiểm tra mac trên thiết bị trước khi gắn máy victim 46

Hình 4.4 kiểm tra mac trên thiết bị sau khi gán sticky 47

Hình 4.5 Thực hiện gắn cổng f0/2 với 1 PC khác 47

Hình 4.6 Kiểm tra lại trạng thái port-security trên thiết bị SW 48

Hình 4.7 đổi địa chỉ MAC trên thiết bị 49

Hình 4.8 Mô hình DHCP Snooping 50

Hình 4.9 DHCP Snooping advanced 52

Hình 4.10 Mô hình đề xuất 54

Hình 4.14 Phát hiện và chỉ rõ máy vi phạm Error! Bookmark not defined.

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Trong thời đại hiện nay, vai trò của Công Nghệ Thông Tin và Internet vô cùng quan trọng Điều này kéo theo nhiều ngành kinh tế phụ thuộc vào Công Nghệ Thông Tin Chính vì vậy, nhiều ý đồ phá hoại, lấy cắp thông tin đang ngày càng gia tăng Trong những năm gần đây, với một số lượng lớn các Hacker đã tấn công lấy cắp những thông tin quan trọng, hàng triệu tài khoản ngân hàng, tài khoản thẻ VISA Chúng đã gây tổn thất lớn về tài chính cho doanh nghiệp, các cá nhân Giới tội phạm công nghệ cao ngày càng nhiều với những cách tấn công rất đa dạng đã khiến cho vấn đề về an ninh mạng được quan tâm hàng đầu trong hệ thống Công Nghệ Thông Tin

2 Tổng quan về vấn đề nghiên cứu

Nghe lén (Sniffing) được hiểu đơn giản là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng Là một tiến trình cho phép giám sát cuộc gọi và hội thoại internet bởi thành phần thứ ba Người nghe lén để thiết

bị lắng nghe giữa mạng thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet Nghe lén được sử dụng như công cụ để các nhà quản trị mạng theo dõi

và bảo trì hệ thống mạng Về mặt tiêu cực, nó được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng

3 Mục đích nghiên cứu

Thông qua kỹ thuật tấn công Sniffer, chúng ta có thể hiểu được phần nào, nguyên lý, cơ chế tấn công của hacker khi muốn ăn cắp thông tin tài khoản của người dùng, với các kỹ thuật như tấn công đầu độc DNS, ARP hoặc DHCP sẽ giúp cho kẻ tấn công có thể dễ dàng lấy được thông tin của người dùng khi họ không để ý, hoặc không cẩn thận khi trao đổi dữ liệu trong môi trường mạng công cộng Hơn thế nữa, nếu thông tin cá nhân của người dùng hoặc công ty bị hacker ăn cắp thì nguy cơ mất

dữ liệu hoặc dữ liệu bị truyền ra ngoài sẽ gây một thất thoát lớn cho công ty, và sẽ làm tổn hại nguồn tài chính của công ty hoặc doanh nghiệp

4 Đối tượng và phạm vi nghiên cứu

Sniffer là một trong những cách thức để đánh cắp thông tin trên mạng Việc nghiên cứu cách thức nghe lén này sẽ giúp đưa ra các giải pháp để phòng chống và gia tăng an ninh mạng Phần đồ án sẽ tập trung nghiên cứu các cuộc tấn công mang tính chất cá nhân Những cá nhân có thể dùng phương pháp sniffing vào các mục đích xấu để lấy cắp thông tin phục vụ cho cá nhân Cũng trong khuôn đồ án em tập trung vào việc nghiên cứu phương pháp sniffer trong mạng LAN Các giải pháp và đề xuất

mô hình phòng chống dò tìm trong mạng nội bộ là mạng LAN

Em xin được gửi lời cảm ơn chân thành nhất tới thầy TS Nguyễn Quốc Uy, người

đã tận tâm và hỗ trơ em hoàn thành luận văn Một lần nữa em xin cám ơn thầy!

CHƯƠNG 1 TỔNG QUAN

1.1 Thực trạng vấn đề an ninh mạng tại Việt Nam

Tại Việt Nam, số lượng các trường đào tạo về ngành an ninh mạng chưa nhiều, nên số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu Nhân lực ngành An Ninh Mạng hiện nay lại vừa thiếu về số lượng vừa không mạnh mẽ về chuyên môn Các doanh nghiệp tại việt nam hiện nay đa phần không chú trọng vào vấn đề an ninh mạng Thông tin, dữ liệu của doanh nghiệp chưa từng được để ý tới Các doanh nghiệp mới chỉ chú trọng tới việc backup dữ liệu chứ chưa tập trung vào việc bảo mật dữ liệu

Hình 1.1 Thống kê đối tượng sử dụng Internet ở Việt Nam

Hình 1.2 Thống kê độ tuổi người sử dụng Internet so với tổng dân số Việt Nam

Đa số các Doanh nghiệp Việt Nam hiện nay đã ý thức được tầm quan trọng của việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính là tài sản của Doanh nghiệp Đặc biệt là trong thời buổi mà hoạt động kinh doanh đang phát triển theo hướng số hóa Thất thoát thông tin cũng đồng nghĩa với việc túi tiền của Doanh nghiệp bị hao hụt Chính vì thế, vấn đề an ninh mạng cùng với nguồn nhân lực trong lĩnh vực này đang là một khó khăn thách thức với các doanh nghiệp

Năm 2016, mức thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam lên tới 10.400 tí, vượt qua mức 8.700 tí đồng năm 2015 Đây là kết quả từ chương trình đánh giá an ninh mạng được Tập đoàn công nghệ thực hiện vào tháng 12/2016 Mã độc mã hóa dữ liệu Ransomware, virus lây qua USB, vấn nạn tin nhắn rác và nguy cơ từ các cuộc tấn công có chủ đích APT là những chủ điểm nóng nhất của năm 2016 Bùng nổ mã độc mã hóa dữ liệu Ransomware

Đúng như dự báo trong tổng kết cuối năm 2015 của các chuyên gia, năm 2016

đã ghi nhận sự bùng nổ của mã độc mã hóa dữ liệu tống tiền ransomware Thống kê

từ hệ thống giám sát virus của cho thấy, có tới 16% lượng email lưu chuyển trong năm 2016 là email phát tán ransomware, nhiều gấp 20 lần năm 2015 Như vậy cứ trung bình 10 email nhận được trong năm 2016 thì người sử dụng sẽ gặp 1,6 email chứa ransomware, một con số rất đáng báo động

Ransomware chuyên mã hóa các file dữ liệu trên máy, khiến người sử dụng không thể mở file nếu không trả tiền chuộc cho hacker Số tiền chuộc khổng lồ hacker kiếm được chính là nguyên nhân dẫn tới sự bùng nổ của loại mã độc nguy hiểm này

Để phòng tránh, tốt nhất người dùng nên trang bị cho mình phần mềm diệt virus để được bảo vệ tự động, luôn mở file tải về từ email trong môi trường cách ly an toàn Safe Run

Hình 1.3 Ransomware mã hóa dữ liệu người dùng

Việc cắt bỏ tính năng Auto Run trong các hệ điều hành của Microsoft không làm cho virus USB trở nên hết thời Theo chương trình đánh giá an ninh mạng 2016 của,

tí lệ USB bị nhiễm virus trong năm 2016 vẫn ở mức rất cao 83%, không giảm so với

đó chỉ 11% là đến từ dòng virus lây trực tiếp bằng Auto Run, còn tới 89% là dòng W32.UsbFakeDrive

1.2 Xu hướng tương lai

Với thực trạng nhiều cơ quan, doanh nghiệp đã bị nhiễm mã độc gián điệp nằm vùng, năm 2017 sẽ còn tiếp tục chứng kiến nhiều cuộc tấn công có chủ đích APT với quy mô từ nhỏ tới lớn Mã độc mã hóa tống tiền tiếp tục bùng nổ, xuất hiện nhiều hình thức phát tán tinh vi và biến thể mới Mã độc trên di động tiếp tục tăng với nhiều dòng mã độc khai thác lỗ hổng nhằm chiếm quyền root, kiểm soát toàn bộ điện thoại

Bên cạnh đó, nhiều lỗ hổng nguy hiểm trên nền tảng Linux được phát hiện sẽ đặt các thiết bị chạy trên nền tảng này trước nguy cơ bị tấn công Sự bùng nổ thiết bị kết nối Internet (IoT) như Router WIFI, Camera IP khiến an ninh trên các thiết bị này thành vấn đề nóng IoT có thể sẽ là đích nhắm của hacker trong năm tới

Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay cả khi những thông tin không được giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó

Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ được

hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tím mật khẩu để tấn công vào hệ thống mạng

Yếu tố thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong công ty là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của công ty rất nhiều

Các yếu tố đảm bảo an toàn thông tin

An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và những dịch

vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi Mục tiêu

của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy các yêu cầu cần để đảm bảo an toàn thông tin như sau:

- Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng

- Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn

- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách

- Tính chính xác: Thông tin phải chính xác, tin cậy

- Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin

1.3 Một số cách để kiểm tra độ an toàn của hệ thống mạng

Xác định các lỗ hổng hệ thống Việc xác định các lỗ hổng hệ thống được bắt đầu từ các điểm truy cập vào hệ thống như:

- Kết nối mạng Internet

- Các điểm kết nối từ xa

- Kết nối các tổ chức khác

- Các môi trường truy cập vật lý hệ thống

- Các điểm truy cập người dùng

- Các điểm truy cập không dây

Ở mỗi điểm truy cập, ta phải xác định được các thông tin có thể truy cập và mức độ truy cập vào hệ thống

Xác định các mối đe đoá

Đây là một công việc khó khăn vì các mối đe dọa thường không xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trước Các hình thức và kỹ thuật tấn công đa dạng như:

- DoS/DDoS, BackDoor, Tràn bộ đệm,…

- Virus, Trojan Horse, Worm

- Social Engineering

CHƯƠNG 2 CÁC KIỂU KHAI THÁC VÀ TẤN CÔNG HỆ THỐNG CỦA HACKER

2.1 Tấn công trực tiếp

Sử dụng một máy tính để tấn công một máy tính khác với mục đích dò tìm mật

mã, tên tài khoản tương ứng,… Họ có thể sử dụng một số chương trình giải mã để giải mã các file chứa password trên hệ thống máy tính của nạn nhân Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị phát hiện Ngoài ra, hacker có thể tấn công trực tiếp thông qua các lỗi của chương trình hay hệ điều hành làm cho hệ thống

đó tê liệt hoặc hư hỏng Trong một số trường hợp, hacker đoạt được quyền của người quản trị hệ thống

Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống

Ví dụ: kỹ thuật đánh lừa Fake Email Login

Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì chúng ta phải nhập thông tin tài khoản của mình bao gồm username và password rồi gởi thông tin đến Mail Server xử lý Lợi dụng việc này, những người tấn công đã thiết kế một trng web giống hệt như trang đăng nhập mà chúng ta hay sử dụng Tuy nhiên, đó là một trang web giả và tất cả thông tin mà chúng ta điền vào đều được gởi đến cho họ Kết quả, chúng

ta bị đánh cắp mật khẩu Nếu là người quản trị mạng, chúng ta nên chú ý và dè chừng trước những email, những messengers, các cú điện thoại yêu cầu khai báo thông tin Những mối quan hệ cá nhân hay những cuộc tiếp xúc đều là một mối nguy hiểm tiềm tàng

2.3 Tấn công vào các lỗ hổng bảo mật

Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm khác, Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản

cũ mà mình đang sử dụng nếu không các hacker sẽ lợi dụng điều này để tấn công vào

Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing hoặc snooping Nó sẽ thu thập những thông tin quý giá về hệ thống như một packet chứa password và username của một ai đó Các chương trình nghe trộm còn được gọi là

các sniffing Các sniffing này có nhiệm vụ lắng nghe các cổng của một hệ thống mà hacker muốn nghe trộm Nó sẽ thu thập dữ liệu trên các cổng này và chuyển về cho hacker

Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng bức tường lửa(fire wall) Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt” Bức tường lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tào nguyên chia sẻ trong mạng nội bộ

Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của mình là một trong những máy tính của hệ thống cần tấn công Họ tự đặt địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống

Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống Các lỗ hổng này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình không an toàn Chẳng hạn như cấu hình máy chủ web cho phép ai cũng có quyền duyệt qua hệ thống thư mục Việc thiết lập như trên có thể làm

lộ các thông tin nhạy cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng

Nếu quản trị hệ thống cấu hình hệ thống không an toàn sẽ rất nguy hiểm vì nếu người tấn công duyệt qua được các file pass thì họ có thể download và giải mã

ra, khi đó họ có thể làm được nhiều thứ trên hệ thống

2.7 Tấn công dùng Cookies

Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website và trình duyệt của người dùng Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới 4KB) Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và những vùng mà họ đi qua trong site Những thông tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen,

Cookies được Browser của người dùng chấp nhận lưu trên đĩa cứng của máy tính, không phải Browser nào cũng hổ trợ cookies Can thiệp vào tham số trên URL Đây là cách tấn công đưa tham số trực tiếp vào URL Việc tấn công có thể dùng các câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi Điển hình cho kỹ thuật tấn công này là tấn công bằng lỗi “SQL INJECTION”

Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần một công cụ tấn công duy nhất là trình duyệt web và backdoor

Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là DOS (Denial of Service - Tấn công từ chối dịch vụ) Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu không đâu vào đâu đến các máy tính, thường là các server trên mạng Các yêu cầu này được gởi đến liên tục làm cho hệ thống nghẽn mạch và một số dịch vụ sẽ không đáp ứng được cho khách hàng

Đôi khi, những yêu cầu có trong tấn công từ chối dịch vụ là hợp lệ Ví dụ một thông điệp có hành vi tấn công, nó hoàn toàn hợp lệ về mặt kỹ thuật Những thông điệp hợp lệ này sẽ gởi cùng một lúc Vì trong một thời điểm mà server nhận quá nhiều yêu cầu nên dẫn đến tình trạng là không tiếp nhận thêm các yêu cầu Đó là biểu hiện của từ chối dịch vụ

2.9 Kết luận chương 2

Chương 2 tập trung mô tả về các kiểu tấn công trong mạng Một số cách tấn công rất phổ biến như tấn công vào các lỗ hổng bảo mật, tấn công vào mạng có cấu hình không cao Đặc biệt là kiểu tấn công dựa vào địa chỉ MAC Thông qua chương này chúng

ta có cái nhìn tổng thể về các phương thức phổ biến được hacker dùng để tấn công hệ thống mạng nội bộ của công ty Đặc biệt là các phương pháp tấn công dựa vào địa chỉ MAC Từ các nguyên lý tấn công được đưa ra như vậy thì người quản trị mạng, quản trị hệ thống cần nhìn nhận, đánh giá lại hệ thống của mình, xem xét lại các nguy

cơ rủi ro và dễ bị tấn công trực tiếp

CHƯƠNG 3 KỸ THUẬT SNIFFING VÀ CÁC PHƯƠNG

Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết

bị điện thoại hoặc hai thiết bị đầu cuối trên internet Nghe lén được sử dụng như công

cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng Về mặt tiêu cực, nó được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng

Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được truyền qua mạng Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường

là những dữ liệu ở dạng nhị phân Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng

Hình 3.1 Mô phỏng quá trình Sniffing trong mạng

3.1.3 Các mối đe dọa về nghe lén

Bằng cách đặt gói tin trên mạng ở chế độ đa mode, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng, thông tin mạng Các gói tin nghe lén có thể chỉ bắt những thông tin trên cùng 1 miền mạng Nhưng thông thường thì laptop có thể tham gia vào mạng và thực thi Hơn thế nữa, trên switch có nhiều port được mở nên nguy cơ về nghe lén là rất cao

Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công cụ giúp thực hiện như Cain&Able, Ettercap, Ethereal, Dsniff, TCPDump, Sniffit, …Các công cụ này ngày càng được tối ưu hóa, để dễ sử dụng và tránh bị phát hiện khi được thực thi So với các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm, bởi nó có thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng, và người sử dụng không biết là đang bị nghe lén lúc nào do máy tính của họ vẫn hoạt động bình thường, không có dấu hiệu bị xâm hại Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó, và hầu như chỉ có thể phòng chống trong thế bị động (Passive) – nghĩa

là chỉ phát hiện được bị nghe trộm khi đang ở tình trạng bị nghe trộm

3.2 Cơ chế hoạt động của Sniffing

3.2.1 Cấu trúc bản tin TCP/IP

Giao thức TCP/IP Giao thức TCP/IP được phát triển từ mạng ARPANET và Internet và được dùng như giao thức mạng và vận chuyển trên mạng Internet TCP

(Transmission Control Protocol) là giao thức thuộc tầng vận chuyển và IP (Internet Protocol) là giao thức thuộc tầng mạng của mô hình OSI Họ giao thức TCP/IP hiện nay là giao thức được sử dụng rộng rãi nhất để liên kết các máy tính và các mạng Hiện nay các máy tính của hầu hết các mạng có thể sử dụng giao thức TCP/IP để liên kết với nhau thông qua nhiều hệ thống mạng với kỹ thuật khác nhau Giao thức TCP/IP thực chất là một họ giao thức cho phép các hệ thống mạng cùng làm việc với nhau thông qua việc cung cấp phương tiện truyền thông liên mạng

Hình 3.2 Cấu trúc gói tin TCP/IP

Đơn vị dữ liệu dùng trong IP được gọi là gói tin (datagram), có khuôn dạng thức của gói tin IP Ý nghĩa của thông số như sau: Giao thức TCP/IP 3/13

VER (4 bits): chỉ version hiện hành của giao thức IP hiện được cài đặt, Việc có chỉ

số version cho phép có các trao đổi giữa các hệ thống sử dụng version cũ và hệ thống

- Type of service (8 bits): đặc tả các tham số về dịch vụ nhằm thông báo cho mạng biết dịch vụ nào mà gói tin muốn được sử dụng, chẳng hạn ưu tiên, thời hạn chậm trễ, năng suất truyền và độ tin cậy

- D (Delay) (1 bit): chỉ độ trễ yêu cầu trong đó D = 0 gói tin có độ trễ bình thường

D = 1 gói tin độ trễ thấp T (Throughput) (1 bit): chỉ độ thông lượng yêu cầu sử dụng để truyền gói tin với lựa chọn truyền trên đường thông suất thấp hay đường thông suất cao T = 0 thông lượng bình thường và T = 1 thông lượng cao

- R (Reliability) (1 bit): chỉ độ tin cậy yêu cầu R = 0 độ tin cậy bình thường R = 1

độ tin cậy cao Total Length (16 bits): chỉ độ dài toàn bộ gói tin, kể cả phần đầu tính theo đơn vị byte với chiều dài tối đa là 65535 bytes

- Time to Live (8 bits): qui định thời gian tồn tại (tính bằng giây) của gói tin trong mạng để tránh tình trạng một gói tin bị quẩn trên mạng Thời gian này được cho bởi trạm gửi và được giảm đi (thường qui ước là 1 đơn vị) khi datagram đi qua mỗi router của liên mạng

- Protocol (8 bits): chỉ giao thức tầng trên kế tiếp sẽ nhận vùng dữ liệu ở trạm đích (hiện tại thường là TCP hoặc UDP được cài đặt trên IP) Ví dụ: TCP có giá trị trường Protocol là 6, UDP có giá trị trường Protocol là 17 Header Checksum (16 bits): Mã kiểm soát lỗi của header gói tin IP Source Address (32 bits): Địa chỉ của máy nguồn Destination Address (32 bits): địa chỉ của máy đích Giao thức TCP/IP 5/13 Options (độ dài thay đổi):

3.2.2 Nguyên tắc hoạt động của Sniffing

Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được truyền qua mạng Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường

là những dữ liệu ở dạng nhị phân Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng Để hiểu cơ chế hoạt động thì cần hiểu được nguyên tắc chuyển tải các khung (frame) của lớp Datalink từ các gói tin ở lớp Network trong mô hình OSI Cụ thể là qua hai loại thiết

bị tập trung các node mạng sử dụng phổ biến hiện nay là Hub và Switch

- Ở môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy B thì đồng

thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast) Các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu về địa chỉ MAC của frame gói tin với địa chỉ đích Nếu trùng lập thì sẽ nhận, còn không thì cho qua Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếp nhận

Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ tự “nhận” bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đến gói tin có đích đến không phải là nó, nhờ card mạng được đặt ở chế độ hỗn tạp (promiscuous mode) Promiscuous mode là chế độ đặc biệt Khi card mạng được đặt dưới chế

độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến

- Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến

những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu “tự nhận” như ở Hub không thực hiện được Tuy nhiên, kẻ tấn công có thể dùng các

cơ chế khác để tấn công trong môi trường Switch như ARP spoofing, MAC spoofing, MAC duplicating, DNS spoofing, vv…

Hình 3 3

Hình 3.3 Một số giao thức mạng dễ bị Sniffing

3.3 Các phương thức tấn công dựa trên nguyên lý Sniffing

3.3.1 Tấn công MAC

3.3.1.1 Địa chỉ MAC

Trong mô hình OSI (Open Systems Interconnection) hay mô hình tham chiếu kết nối các hệ thống mở thì địa chỉ MAC (Media Access Control) nằm ở lớp 2 (lớp liên kết dữ liệu hay Data Link Layer) Nói một cách đơn giản, địa chỉ MAC là địa chỉ vật lý hay còn gọi là số nhận dạng (Identification number) của thiết bị Mỗi thiết bị (card mạng, modem, router ) được nhà sản xuất (NSX) chỉ định và gán sẵn 1 địa chỉ nhất định; thường được viết theo 2 dạng: MM:MM:MM:SS:SS:SS (cách nhau bởi dấu:) hay MM-MM-MM-SS-SS-SS (cách nhau bởi dấu -)

Hình 3.4 Địa chỉ MAC của thiết bị

Địa chỉ MAC là một số 48 bit được biểu diễn bằng 12 số hexa (hệ số thập lục phân), trong đó 24 bit đầu (MM:MM:MM) là mã số của nhà sản xuất (Linksys, 3COM ) và 24 bit sau (SS:SS:SS) là số seri của từng card mạng được NSX gán Như vậy sẽ không xảy ra trường hợp hai thiết bị trùng nhau địa chỉ vật lý vì số nhận dạng

ID này đã được lưu trong chip ROM trên mỗi thiết bị trong quá trình sản xuất, người dùng không thể thay đổi được

3.3.1.2 Kỹ thuật tấn công địa chỉ MAC trong mạng

Đây là một kỹ thuật tấn công trong LAN rất phổ biến Mục đích của kỹ thuật này là chiếm dụng toàn bộ bandwidth toàn bộ mạng LAN bằng các broadcast traffic Thoạt nhìn thì chỉ là mục đích phá hoại nhưng đối tượng tấn công có thể đi xa hơn khi tận dụng để nghe lén packet của người khác Một mục đích nguy hiểm hơn hẳn Switch thì có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC và port vật lý trên switch Tấn công MAC là tấn công làm ngập lụt switch với một số lượng lớn yêu cầu, lúc này switch hoạt động như hub và lúc này các gói tin sẽ được gửi ra tất cả các máy trên cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén Ngập lụt MAC làm cho

bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau

và gửi đến switch

Bảng CAM của switch thì có kích thước giới hạn Nó chỉ lưu trữ thông tin như địa chỉ MAC gắn với cổng tương ứng trên switch cùng với các tham số miền mạng vlan Cấu trúc bảng địa chỉ mac trên thiết bị:

Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của nó, coi thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi gói tin ARP đến switch để hỏi địa chỉ MAC của máy B Máy B lúc này nhận được gói tin

Hình 3 5

Hình 3.5 Mô tả hoạt động của bảng CAM

gửi phản hồi lại cho máy A sau đó các gói tin được lưu chuyển từ A đến B mà không chuyển sang các máy khác

3.3.1.3 Mô phỏng quá trình tấn công địa chỉ MAC

1 Chạy chương trình giả mạo gói tin với nhiều loại địa chỉ MAC nguồn gửi tới switch chương trình giả mạo gói tin với nhiều loại địa chỉ MAC nguồn gửi tới switch Ở đây chúng ta sử dụng hệ điều hành mã nguồn mở Linux Dùng nhánh Kali để thực hiện các tool này Mở giao diện dòng lệnh, tiến hành gõ lệnh macof -i eth0 Khi gõ lệnh phải chỉ đúng ra cổng sẽ dùng để tiên hành gửi bản tin ra ngoài

Hình 3.6 Quá trình chạy macof trên thiết bị hacker

2 Thực hiện truy cập web trên thiết bị máy victim Trên máy tính nạn nhân dùng 1 phần mềm trình duyệt web bất ki để tạo 1 lượng bản tin chạy trong mạng Nạn nhân sẽ dùng 1 trình duyệt web truy cập 1 trang web http Và yêu cầu đăng nhập nạn nhân thực hiện nhập user và pass cho lần đăng nhập này

Hình 3.7 Thực hiện truy cập web trên máy nạn nhân

3 Bắt gói tin trên mạng và xem pass Khi xuất hiện gói tin trong mạng Trên máy hacker ta mở phần mềm nghe lén gói tin để xử lý toàn bộ lưu lượng gói tin trong mạng đi qua card của nó Ta có thể lọc các thông tin để xem Dùng từ khóa “ password” để lọc ra toàn bộ những gói tin có liên quan tới password Như hình thì

ta đã thấy được password của victim

Hình 3.8 User và pass của người sử dụng được chỉ ra trên máy hacker

3.3.2 Tấn công dịch vụ DHCP

Dynamic Host Configuration Protocol (DHCP)

DHCP là một giao thức cấu hình tự động địa chỉ IP được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP Máy tính được cấu hình một cách tự động

vì thế sẽ giảm việc can thiệp vào hệ thống mạng Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng Mục đích quan trọng nhất

là tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP Nếu không có DHCP, các máy có thể cấu hình IP thủ công Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, cụ thể như DNS Hiện nay DHCP có 2 version: cho IPv4 và IPv6

Dich vụ DHCP là một thuận lới rất lớn đối với người điều hành mạng Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công

Nói một cách tổng quan hơn DHCP là dich vụ mang đến cho chúng ta nhiều lợi điểm trong công tác quản trị và duy trì một mạng TCP/IP như:

- Tập chung quản trị thông tin về cấu hình IP

- Cấu hình động các máy

- Cấu hình IP cho các máy một cách liền mạch

- Sự linh hoạt, khả năng mở rộng

Chức năng DHCP:

Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng vào các tài nguyên của nó Không có DHCP, cấu hình IP phải được thực hiện một cách thủ công cho các máy tính mới, các máy tính di chuyển từ mạng con này sang mạng con khác, và các máy tính được loại bỏ khỏi mạng Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự động và tập trung DHCP server bảo quản vùng của các địa chỉ IP và giải phóng một địa chỉ với bất cứ DHCP client có thể khi nó có thể ghi lên mạng Bởi vì các địa chỉ IP là động hơn tĩnh,

các địa chỉ không còn được trả lại một cách tự động trong sử dụng đối với các vùng cấp phát lại

Cách hoạt động của DHCP

DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc Nó tự động gán lại các địa chỉ chưa được sử dụng DHCP cho thuê địa chỉ trong một khoảng thời gian, có nghĩa là những địa chỉ nầy sẽ còn dùng được cho các hệ thống khác Chúng ta hiếm khi bị hết địa chỉ DHCP tự động gán địa chỉ IP thích hợp với mạng con chứa máy trạm này Cũng vậy, DHCP tự động gán địa chỉ cho người dùng di động tại mạng con họ kết nối

Trình tự thuê Địa chỉ IP DHCP là một giao thức Internet có nguồn gốc ở BOOTP (bootstrap protocol), được dùng để cấu hình các trạm không đĩa DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong BOOTP, trong đó có khả năng gán địa chỉ Sự tương tự này cũng cho phép các bộ định tuyến hiện nay chuyển tiếp các thông điệp BOOTP giữa các mạng con cũng có thể chuyển tiếp các thông điệp DHCP Vì thế, máy chủ DHCP có thể đánh địa chỉ IP cho nhiều mạng con

Quá trình đạt được địa chỉ IP được mô tả dưới đây:

- Bước 1: Máy trạm khởi động với “địa chỉ IP trắng” cho phép liên lạc với máy chủ DHCP bằng giao thức TCP/IP Nó chuẩn bị một thông điệp chứa địa chỉ MAC (ví dụ địa chỉ của card Ethernet) và tên máy tính Thông điệp nầy có thể chứa địa chỉ IP trước đây đã thuê Máy trạm phát tán liên tục thông điệp này lên mạng cho đến khi nhận được phản hồi từ máy chủ

- Bước 2: Mọi máy chủ DHCP có thể nhận thông điệp và chuẩn bị địa chỉ IP cho máy trạm Nếu máy chủ có cấu hình hợp lệ cho máy trạm, nó chuẩn bị thông điệp “chào hàng” chứa địa chỉ MAC của khách, mặt nạ mạng con (subnet mask), địa chỉ IP của máy chủ và thời gian cho thuê Địa chỉ “chào

hàng” được đánh dấu là “reserve” (để dành) Máy chủ DHCP phát tán thông điệp chào hàng này lên mạng

- Bước 3: Khi khách nhận thông điệp chào hàng và chấp nhận một trong các địa chỉ IP, máy trạm phát tán thông điệp này để khẳng định nó đã chấp nhận địa chỉ IP và từ máy chủ DHCP nào

- Bước 4: Cuối cùng, máy chủ DHCP khẳng định toàn bộ sự việc với máy trạm Để ý rằng lúc đầu máy trạm phát tán yêu cầu về địa chỉ IP lên mạng, nghĩa là mọi máy chủ DHCP đều có thể nhận thông điệp nầy Do đó, có thể có nhiều hơn một máy chủ DHCP tìm cách cho thuê địa chỉ IP bằng cách gởi thông điệp chào hàng Máy trạm chỉ chấp nhận một thông điệp chào hàng, sau đó phát tán thông điệp khẳng định lên mạng Vì thông điệp nầy được phát tán, tất cả máy chủ DHCP có thể nhận được nó Thông điệp chứa địa chỉ IP của máy chủ DHCP vừa cho thuê, vì thế các máy chủ DHCP khác rút lại thông điệp chào hàng của mình và hoàn trả địa chỉ IP vào vùng địa chỉ, để dành cho khách hàng khác

3.3.2.1 Phương thức tấn công

Để hiểu được cách tấn công dịch vụ DHCP đầu tiên ta cần nắm được cách thức cấp phát và nhận ip từ máy trạm đến máy chủ Đầu tiên, một DHCP client muốn nhận mới một địa chỉ IP (chứ không phải muốn phục hồi lại thời gian “thuê” của một địa

chỉ IP mà nó đang sử dụng) sẽ gửi lên toàn mạng (broadcast) một thông điệp DHCP Discover có chứa địa chỉ MAC của nó để tìm kiếm sự hiện diện của DHCP server

Nếu tồn tại sự hoạt động của (các) DHCP server thuộc cùng subnet với DHCP

client trên thì (các) server này sẽ phản hồi lại cho client bằng một thông điệp DHCP Offer có chứa một địa chỉ IP (và các thiết lập TCP/IP khác) như là một lời đề nghị

cho “thuê” (lease) địa chỉ Ngay khi nhận được gói DHCP Offer đến đầu tiên, client

sẽ trả lời lại cho server (dĩ nhiên là gửi cho server nào mà nó nhận được gói DHCP Offer đến đầu tiên trong trường hợp có nhiều DHCP server nằm cùng subnet với nó)

một thông điệp DHCP Request như là sự chấp thuận lời đề nghị cho “thuê” trên

Cuối cùng, server gửi lại cho client thông điệp DHCP Acknowledgment để xác nhận

lần cuối “hợp đồng cho thuê địa chỉ” với client Và từ đây client có thể sử dụng địa chỉ IP vừa “thuê” được để truyền thông với các máy khác trên mạng

Như vậy, nhìn chung DHCP làm việc khá đơn giản nhưng điểm mấu chốt ở đây là xuyên suốt quá trình trao đổi thông điệp giữa server và client không hề có sự xác thực hay kiểm soát truy cập nào Server không có cách nào biết được rằng nó có đang liên lạc với một legitimate client

Khả năng trong mạng xuất hiện các rogue DHCP client và rogue DHCP server (rogue tạm dịch là máy “DHCP giả”, tức là một máy giả tạo, bị điều khiển để thực hiện các hành vi xấu) tạo ra nhiều vấn đề đáng quan tâm Một rogue server có thể cung cấp cho các legitimate client các thông số cấu hình TCP/IP giả và trái phép như: địa chỉ IP không hợp lệ, sai subnet mask, hoặc sai địa chỉ của default gateway, DNS server nhằm ngăn chặn client truy cập tài nguyên, dịch vụ trong mạng nội bộ hoặc Internet (đây là hình thức của tấn công DoS)

Hình 3.9 Minh họa DHCP Rouge