Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)Kĩ thuật nghe lén Sniffer trên mạng internet và phương pháp phòng chống (tt)
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Trang 2MỞ ĐẦU
1 Tính cấp thiết của đề tài
Trong thời đại hiện nay, vai trò của Công Nghệ Thông Tin và Internet vô cùng quan trọng Điều này kéo theo nhiều ngành kinh tế phụ thuộc vào Công Nghệ Thông Tin Chính
vì vậy, nhiều ý đồ phá hoại, lấy cắp thông tin đang ngày càng gia tăng Trong những năm gần đây, với một số lượng lớn các Hacker đã tấn công lấy cắp những thông tin quan trọng, hàng triệu tài khoản ngân hàng, tài khoản thẻ VISA Chúng đã gây tổn thất lớn về tài chính cho doanh nghiệp, các cá nhân Giới tội phạm công nghệ cao ngày càng nhiều với những cách tấn công rất đa dạng đã khiến cho vấn đề về an ninh mạng được quan tâm hàng đầu trong hệ thống Công Nghệ Thông Tin
2 Tổng quan về vấn đề nghiên cứu
Nghe lén (Sniffing) được hiểu đơn giản là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng Là một tiến trình cho phép giám sát cuộc gọi
và hội thoại internet bởi thành phần thứ ba Người nghe lén để thiết bị lắng nghe giữa mạng thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet Nghe lén được
sử dụng như công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng Về mặt tiêu cực, nó được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng
để lấy các thông tin quan trọng
3 Mục đích nghiên cứu
Thông qua kỹ thuật tấn công Sniffer, chúng ta có thể hiểu được phần nào, nguyên lý,
cơ chế tấn công của hacker khi muốn ăn cắp thông tin tài khoản của người dùng, với các kỹ thuật như tấn công đầu độc DNS, ARP hoặc DHCP sẽ giúp cho kẻ tấn công có thể dễ dàng lấy được thông tin của người dùng khi họ không để ý, hoặc không cẩn thận khi trao đổi dữ liệu trong môi trường mạng công cộng Hơn thế nữa, nếu thông tin cá nhân của người dùng hoặc công ty bị hacker ăn cắp thì nguy cơ mất dữ liệu hoặc dữ liệu bị truyền ra ngoài sẽ gây một thất thoát lớn cho công ty, và sẽ làm tổn hại nguồn tài chính của công ty hoặc doanh nghiệp
4 Đối tượng và phạm vi nghiên cứu
Trang 3Sniffer là một trong những cách thức để đánh cắp thông tin trên mạng Việc nghiên cứu cách thức nghe lén này sẽ giúp đưa ra các giải pháp để phòng chống và gia tăng an ninh mạng Phần đồ án sẽ tập trung nghiên cứu các cuộc tấn công mang tính chất cá nhân Những
cá nhân có thể dùng phương pháp sniffing vào các mục đích xấu để lấy cắp thông tin phục
vụ cho cá nhân
Em xin được gửi lời cảm ơn chân thành nhất tới thầy TS Nguyễn Quốc Uy, người đã tận tâm và hỗ trơ em hoàn thành luận văn Một lần nữa em xin cám ơn thầy!
Trang 4CHƯƠNG 1 TỔNG QUAN 1.1 Thực trạng vấn đề an ninh mạng tại Việt Nam
Tại Việt Nam, số lượng các trường đào tạo về ngành an ninh mạng chưa nhiều, nên số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu Nhân lực ngành An Ninh Mạng hiện nay lại vừa thiếu về số lượng vừa không mạnh mẽ về chuyên môn Các doanh nghiệp tại việt nam hiện nay đa phần không chú trọng vào vấn đề an ninh mạng Thông tin, dữ liệu của doanh nghiệp chưa từng được để ý tới Các doanh nghiệp mới chỉ chú trọng tới việc backup
dữ liệu chứ chưa tập trung vào việc bảo mật dữ liệu
Hình 1.1 Thống kê độ tuổi người sử dụng Internet so với tổng dân số Việt Nam
1.2 Xu hướng tương lai
Với thực trạng nhiều cơ quan, doanh nghiệp đã bị nhiễm mã độc gián điệp nằm vùng, năm 2017 sẽ còn tiếp tục chứng kiến nhiều cuộc tấn công có chủ đích APT với quy mô từ nhỏ tới lớn Mã độc mã hóa tống tiền tiếp tục bùng nổ, xuất hiện nhiều hình thức phát tán tinh vi và biến thể mới Mã độc trên di động tiếp tục tăng với nhiều dòng mã độc khai thác
lỗ hổng nhằm chiếm quyền root, kiểm soát toàn bộ điện thoại
1.3 Một số cách để kiểm tra độ an toàn của hệ thống mạng
Xác định các lỗ hổng hệ thống Việc xác định các lỗ hổng hệ thống được bắt đầu từ các điểm truy cập vào hệ thống như:
- Kết nối mạng Internet
Trang 5- Các điểm kết nối từ xa
- Kết nối các tổ chức khác
- Các môi trường truy cập vật lý hệ thống
- Các điểm truy cập người dùng
- Các điểm truy cập không dây
Trang 6CHƯƠNG 2 CÁC KIỂU KHAI THÁC VÀ TẤN CÔNG HỆ THỐNG
CỦA HACKER
2.1 Tấn công trực tiếp
Sử dụng một máy tính để tấn công một máy tính khác với mục đích dò tìm mật mã, tên tài khoản tương ứng,… Họ có thể sử dụng một số chương trình giải mã để giải mã các file chứa password trên hệ thống máy tính của nạn nhân
2.2 Kỹ thuật đánh lừa
Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và thâm nhập vào
hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống
2.3 Tấn công vào các lỗ hổng bảo mật
Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm khác, Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước
Hình 2.1 Mô phỏng lỗ hổng hệ điều hành win 7
2.4 Nghe trộm
Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc đọc trộm luồng dữ liệu truyền qua
Trang 72.5 Kỹ thuật giả mạo địa chỉ
Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng bức tường lửa(fire wall) Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt” Bức tường lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tào nguyên chia sẻ trong mạng nội bộ
2.6 Tấn công vào hệ thống có cấu hình không an toàn
Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống Các lỗ hổng này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình không an toàn
2.7 Tấn công dùng Cookies
Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website và trình duyệt của người dùng Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới 4KB)
2.8 Vô hiệu hóa dịch vụ
Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là DOS (Denial
of Service - Tấn công từ chối dịch vụ) Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu không đâu vào đâu đến các máy tính, thường là các server trên mạng
Trang 8CHƯƠNG 3 KỸ THUẬT SNIFFING VÀ CÁC PHƯƠNG THỨC
TẤN CÔNG MẠNG INTERNET 3.1 Giới thiệu về Sniffing
3.1.1 Định nghĩa Sniffing
Nghe lén (Sniffing) được hiểu đơn giản là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng Là một tiến trình cho phép giám sát cuộc gọi
và hội thoại internet bởi thành phần thứ ba
Hình 3.1 Mô phỏng quá trình Sniffing trong mạng
3.1.2 Vùng Sniffing
Nghe lén chủ yếu xảy ra ở mặt vật lý Nghĩa là kẻ tấn công phải tiếp cận và có thể điều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào đó
3.1.3 Các mối đe dọa về nghe lén
Bằng cách đặt gói tin trên mạng ở chế độ đa mode, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng, thông tin mạng Các gói tin nghe lén có thể chỉ bắt những thông tin trên cùng 1 miền mạng
3.2 Cơ chế họat động của Sniffing
3.2.1 Cấu trúc bản tin TCP/IP
Bản tin TCP/IP được thể hiện như hình vẽ bên dưới Trong gói tin TCP/IP có cấu trúc các trường bản tin Trong mỗi trường bản tin lại chứa thông tin về các trường điều khiển luông thông tin
Trang 9
3.2.2 Nguyên tắc hoạt động của Sniffing
Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được truyền qua mạng Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân
3.3 Các phương thức tấn công dựa trên nguyên lý Sniffing
3.3.1 Tấn công MAC
3.3.1.1 Địa chỉ MAC
Hình 3.2 Địa chỉ MAC của thiết bị
3.3.1.2 Kỹ thuật tấn công địa chỉ MAC trong mạng
Đây là một kỹ thuật tấn công trong LAN rất phổ biến Mục đích của kỹ thuật này là chiếm dụng toàn bộ bandwidth toàn bộ mạng LAN bằng các broadcast traffic Thoạt nhìn thì chỉ là mục đích phá hoại nhưng đối tượng tấn công có thể đi xa hơn khi tận dụng để nghe lén packet của người khác Một mục đích nguy hiểm hơn hẳn
Trang 10Bảng CAM của switch thì có kích thước giới hạn Nó chỉ lưu trữ thông tin như địa
chỉ MAC gắn với cổng tương ứng trên switch cùng với các tham số miền mạng vlan Cấu
trúc bảng địa chỉ mac trên thiết bị:
3.3.1.3 M
ô phỏn
g quá trình tấn công địa chỉ MA
C
1 Chạy chương trình giả mạo gói tin với nhiều loại địa chỉ MAC nguồn gửi tới switch
chương trình giả mạo gói tin với nhiều loại địa chỉ MAC nguồn gửi tới switch
Hình 3.4 Quá trình chạy macof trên thiết bị hacker
2 Thực hiện truy cập web trên thiết bị máy victim
Hình 3 5
Hình 3.3 Mô tả hoạt động của bảng CAM
Trang 11Hình 3.5 Thực hiện truy cập web trên máy nạn nhân
3 Bắt gói tin trên mạng và xem pass
Hình 3.6 User và pass của người sử dụng được chỉ ra trên máy hacker
3.3.2 Tấn công dịch vụ DHCP
Dynamic Host Configuration Protocol (DHCP)
DHCP là một giao thức cấu hình tự động địa chỉ IP được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP Máy tính được cấu hình một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mạng Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng Mục đích quan trọng nhất là tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP Dich vụ DHCP là một thuận lới rất lớn đối với người điều hành mạng Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công
Trang 123.3.2.1 Phương thức tấn công
Demo quá trình DHCP Snoofing
1 Thực hiện dhcp snoofing trên máy attack
Hình 3.7 Thực hiện quá trình DHCP spoofing
2 Kết quả thực hiện:
Khi chạy tool DHCP Spoofing
Trang 13Hình 3.8 User và pass của victim được chỉ ra trên máy hacker
3.3.3 Tấn công giả mạo ARP
ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp datalink Quá trình thực hiện bằng cách: một thiết bị IP trong mạng gửi một gói tin local broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa chỉ phần cứng (địa chỉ lớp datalink ) hay còn gọi là Mac Address của mình.Ban đầu ARP chỉ được sử dụng trong mạng Ethernet để phân giải địa chỉ IP và địa chỉ MAC Nhưng ngày nay ARP đã được ứng dụng rộng rãi và dùng trong các công nghệ khác dựa trên lớp hai
3.3.3.2 Cơ chế hoạt động
Quá trình thực hiện ARP được bắt đầu khi một thiết bị nguồn trong một mạng IP có nhu cầu gửi một gói tin IP Trước hết thiết bị đó phải xác định xem địa chỉ IP đích của gói tin có phải nằm cùng trong mạng nội bộ của mình hay không Nếu đúng vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích Nếu địa chỉ IP đích nằm trên mạng khác, thì thiết bị sẽ gửi gói tin đến một trong các router nằm cùng trên mạng nội bộ để router này làm nhiệm vụ forward gói tin
2.2.3.2 phương thức tấn công
Trang 14ARP là giao thức ánh xạ địa chỉ IP đến địa chỉ vật lý được nhận diện Giao thức ARP
sẽ quảng bá miền mạng của máy để tìm địa chỉ vật lý Khi một máy cần giao tiếp với máy khác, và nó tìm trong bảng ARP của mình, nếu địa chỉ MAC không được tìm thấy trong bảng,
3.3.4 Tấn công DNS
3.3.4.1 DNS là gì:
DNS (Domain Name System), là Hệ thống tên miền được phát minh vào năm 1984 cho Internet, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất
kì nguồn lực tham gia vào Internet Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho những người tham gia Quan trọng nhất là, nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới
3.3.4.2 Các đặc điểm của DNS
Cơ sở dữ liệu phân tán và phân cấp:
Hình 3.9 Cấu trúc phân cấp và phân tán hệ thống DNS
Trang 15Hình 3.10 Phân tán các subdomain
3.3.4.3 Nguyên lý hoạt động của hệ thống DNS
DNS hoạt động theo hình thức truy vấn và đáp trả (Query/response)
Khi máy chủ DNS nhận được yêu cầu phân giải địa chỉ (request) từ máy trạm, nó sẽ tra cứu
bộ đêm (Cache) và trả về địa chỉ IP tương ứng
Hình 3.11 Truy vấn kết quả trong hệ thống DNS
Trang 16Tấn công giả mạo ARP Khó thực hiện Thấp Trung bình
Tấn công DNS Khó thực hiện Thấp Cao
Đối việc việc tấn công vào trực tiếp người sử dụng (tấn công MAC, tấn công giả mạo ARP) thì người bị tấn công sẽ chịu ảnh hưởng trực tiếp, các lưu lượng của các user khác trong mạng không bị ảnh hưởng nhiều
Trang 17CHƯƠNG 4 CÁC PHƯƠNG PHÁP PHÒNG CHỐNG
4.1 Thiết lập Port-sercurity trên thiết bị Switch
Sử dụng tính năng port security để giới hạn đầu vào interface bằng cách hạn chế và xác định địa chỉ MAC của các máy trạm được phép truy cập vào Khi chỉ định địa chỉ secure MAC đến một cổng bảo mật, cổng không chuyển tiếp các gói tin với địa chỉ nguồn bên ngoài nhóm của các địa chỉ đã xác định Nếu hạn chế số lượng địa chỉ secure MAC tới một cổng và chỉ định một địa chỉ secure MAC, các máy trạm thuộc port đó được đảm bảo đầy đủ băng thông
Có thể cho phép port tự động cấu hình địa chỉ secure MAC với địa chỉ MAC của thiết bị kết nối
Hình 4.1 Minh họa kiểu port-security trên thiết bị Cisco
Kịch bản mô phỏng cho cách thức dùng port-security như sau:
Hình 4.2 topology mô phỏng cách phòng chống mac flood
Trang 18Phân tích mô hình:
Như trong phần kịch bản trên
Sơ đồ kết nối:
- 1 modern đồng thời là thiết bị định tuyến trong mạng Router 1941
- 1 thiết bị chuyển mạch Switch
- 1 máy tính của người sử dụng
- 1 máy tính của Attack
Vùng mạng Lan giả dụ có địa chỉ 10.0.0.0/24
Máy tính victim và máy tính của attacker được cấp phát bằng tay với địa chỉ Ip tương ứng: PC-Victim: 10.0.0.2
PC-Attacker: 10.0.0.3/24
Hình 4.3 kiểm tra mac trên thiết bị trước khi gắn máy victim
Hình 4.4 kiểm tra mac trên thiết bị sau khi gán sticky
Trang 19Hình 4.5 Thực hiện gắn cổng f0/2 với 1 PC khác
Hình 4.6 Kiểm tra lại trạng thái port-security trên thiết bị SW
Nếu để ở chế độ Shutdown thì chúng ta lập tức bảo vệ được thiết bị của mình nhưng đồng nghĩa với việc báo động nguy hiểm cho hacker biết về trạng thái bảo mật của thiết bị
4.2 Phương pháp Ping
Hầu hết các chương trình Sniffer được cài đặt trên các máy tính trong mạng sử dụng TCP/IP Stack Bởi vậy khi chúng ta gửi yêu cầu đến những máy tính này, chúng sẽ phản hồi lại cho chúng ta kết quả Chúng ta hãy gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào đó trong mạng (máy mà chúng ta cần kiểm tra xem có bị cài đặt Sniffer hay không), nhưng không thông qua Adapter Ethernet của nó
Trang 20Hình 4.7 đổi địa chỉ MAC trên thiết bị
4.3 Phương pháp sử dụng DHCP Snooping
Đối với trường hợp người tấn công sử dụng gói tin DHCP request để lấy xin cấp phát địa chỉ ip hợp pháp Sau đó kẻ tấn công sử dụng chính dải Ip này để giả lam DHCP trong mạng Thì cách phát hiện đơn giản nhất là chúng ta sẽ chặn pha respond từ chính DHCP giả mạo
Trang 21Hình 4.8 Mô hình DHCP Snooping
Cấu hình DHCP snooping trên thiết bị Cisco như sau:
SW1(config)#ip dhcp snooping SW1(config)#ip dhcp snooping vlan 1 SW1(config)#interface f0/1
SW1(config-if)#ip dhcp snooping trust SW1(config)#interface f0/1
SW1(config-if)#ip dhcp snooping limit rate 25
Như ở trên thì chúng ta bổ sung thêm câu lệnh snooping limit rate 25 Việc này giới hạn trên 1 cổng của thiết bị về gói tin DHCP request được phép gửi đi Tránh việc attack dùng các địa chỉ mac giả và dhcp request để chiếm lấy địa chỉ IP bất hợp pháp Mở rộng mô hình DHCP snooping với mạng đa lớp theo mô hình core-access
