MỤC LỤCLỜI MỞ ĐẦU6DANH MỤC HÌNH VẼ7CHƯƠNG 1: GIỚI THIỆU81.1.Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạng81.2.Các kiểu tấn công mạng phổ biến81.3.Mục tiêu của báo cáo10CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNG122.1.Giới thiệu122.1.1.Khái niệm sniffing122.1.2.Cơ chế hoạt động của sniffing122.1.3.Phân loại sniffing132.1.4.Các hình thức tấn công142.2.Lắng nghe thông tin qua Hub142.2.1.Phương pháp tấn công142.4.Lắng nghe thông tin qua Span Port trên Switch172.5.Lắng nghe thông tin qua Gateway182.6.Chặn bắt thông tin dùng ARP – Poisoning192.6.1Cách thức hoạt động của ARP poisoning202.6.2Các biện pháp phòng chống222.7.Chặn bắt thông tin dùng DNS – Spoofing232.7.1Giao thức DNS232.7.2Phương pháp tấn công DNS – Spoofing242.7.3Các biện pháp phòng chống DNS Spoofing25CHƯƠNG 3: DEMO MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG SNIFFING273.1.Mô hình minh họa27TÀI LIỆU THAM KHẢO27 LỜI MỞ ĐẦUTheo thống kê và tính toán của Cục An toàn thông tin và Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) Bộ TTTT, năm 2016, Việt Nam phát hiện 135.190 cuộc tấn công mạng, tăng gấp hơn 3 lần so với năm 2015, trong đó có 10.276 cuộc tấn công lừa đảo (Phishing), 47.135 cuộc tấn công cài phần mềm độc hại (Malware) và 77.779 cuộc tấn công thay đổi giao diện (Deface). Trong đó, có 201 cuộc tấn công thay đổi giao diện vào các hệ thống có tên miền “.gov.vn”.Riêng trong nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 cuộc tấn công mạng vào các hệ thống thông tin của Việt Nam, bao gồm 1.522 cuộc tấn công lừa đảo, 3.792 cuộc tấn công cài đặt phần mềm độc hại và 989 cuộc tấn công thay đổi giao diện. Tổng số cuộc tấn công mạng vào các hệ thống thông tin sử dụng tên miền “.gov.vn” trong 6 tháng đầu năm 2017 là 25 cuộc.Các cuộc tấn công ngày nay ngày càng diễn biến phức tạp, với số lượng các cuộc tấn công mạng vào những cơ quan, tổ chức, doanh nghiệp có chiều hướng tăng so với các năm trước đây, nhất là các cuộc tấn công mạng vào hệ thống thông tin của cơ quan nhà nước và các doanh nghiệp lớn.Bài báo cáo sẽ giới thiệu tổng quát về phương pháp Hacker sử dụng để tấn công mạng, nói cụ thể về phương pháp tấn công sniffing và cách phòng chống. Nội dung bài báo cáo gồm 03 chương:CHƯƠNG 1: GIỚI THIỆUCHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH PHÒNG CHỐNGCHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CÔNG SNIFFING DANH MỤC HÌNH VẼHình 2.1: Cơ chế hoạt động của sniffingHình 2.2.1: Lắng nghe thông tin qua HubHình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thời điểmHình 2.3.1: Mô hình tấn công của MITMHình 2.4.1: Cơ chế hoạt động của Span portHình 2.5.1: Mô hình làm việc của GatewayHình 2.6.1: Cách thức hoạt động của ARPHình 2.6.2: Chặn bắt thông tin dùng ARP PoisoningHình 2.7.1: Mô hình tấn công DNS – spoofingHình 2.7.2: Tấn công giả mạo DNS sử dụng phương pháp ID Spoofing CHƯƠNG 1: GIỚI THIỆU1.1.Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạngTrong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghệ mạng ngày càng được đáp ứng tốt, tuy nhiên song song với việc đó là thực trạng tấn công trên mạng đang ngày một gia tăng, thì vấn đề bảo mật càng được chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin. Bảo mật hay an toàn thông tin là sự bảo vệ thông tin trước các mối đe dọa về thông tin lộ, thông tin không còn toàn vẹn và thông tin không sẵn sàng. Ngoài ra, nó còn là sự bảo vệ chống lại các nguy cơ về mất an toàn thông tin như nguy hiểm, thiệt hại, mất mát và các tội phạm khác. Bảo mật như là hình thức về mức độ bảo vệ thông tin bao gồm cấu trúc và quá trình xử lý để nâng cao bảo mật.Các nguyên tắc nền tảng của an ninh mạng:•Tính bí mật: Là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan trọng, nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với người dùng không được cấp phép. Đối với an ninh mạng thì tính bí mật rõ ràng là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất•Tính toàn vẹn: Là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thông tin và hệ thống. Có ba mục đích chính của việc đảm bảo tính toàn vẹn: Ngăn cản sự làm biến dạng nội dung thông tin của những người sử dụng không được phép.Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm của những người sử dụng được phép. Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài.•Tính sẵn sàng: Bảo đảm các người sử dụng hợp pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệ thống và tới mạng. Tính sẵn sàng có liên quan đến độ tin cậy của hệ thống. 1.2.Các kiểu tấn công mạng phổ biếnCó rất nhiều kiểu tấn công mạng để xâm nhập vào một hệ thống máy tính, nhưng phổ biến thường là các kiểu tấn công sau đây:•Tấn công trực tiếp: Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà…để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một chương trình tự động hoá về việc dò tìm mật khẩu này. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator). Hai chương trình thường được dùng cho phương pháp này là chương trình Sendmail và Rlogin của hệ thống Unix. Sendmail là một chương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C. Sendmail được chạy với quyền của người quản trị hệ thống do chương trình phải có quyền ghi vào hộp thư của người sử dụng. Vì Sendmail nhận trực tiếp các yêu cầu về mạng thư tín bên ngoài nên nó trở thành nguồn cung cấp những lỗ hổng bảo mật để truy cập hệ thống. Rlogin cho phép người sử dụng từ một máy trên mạng truy cập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhập tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài dòng nhập nên ta có thể đưa vào một xâu lệnh đã được tính toán trước để ghi đè lên mã chương trình của Rlogin, từ đó chiếm quyền truy cập.•Nghe trộm: Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface CardNIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet.•Giả mạo địa chỉ:Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (sourcerouting). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.•Vô hiệu các chức năng của hệ thống: Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác.•Sử dụng lỗi của người quản trị hệ thống:Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.•Tấn công vào yếu tố con người:Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng để có thể nâng cao được độ an toàn của hệ thống bảo vệ.1.3.Mục tiêu của báo cáoVới sự phát triển mạnh mẽ của mạng máy tính hiện nay, nhu cầu sử dụng mạng cho việc trao đổi và chia sẻ thông tin là rất lớn. Tuy nhiên, đi song song với việc đó thì an ninh mạng luôn là một nỗi lo khi các hình thức tấn công mạng ngày một nhiều và ngày càng trở nên tinh vi hơn. Do vậy việc nghiên cứu về các phương pháp tấn công mạng và cách phòng chống là điều tất yếu.Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNG SNIFFER” được thực hiện nhằm tìm hiểu về các kiểu tấn công phổ biến trên mạng. Cụ thể, bài báo cáo sẽ đi sâu vào nghiên cứu phương pháp tấn công sniffing và cách phòng chống.Mục tiêu đề ra là:Tìm hiểu một số kiểu tấn công phổ biến trên mạng.Tìm hiểu phương pháp tấn công sniffing.Cách phòng chống tấn công sniffing.
Trang 2MỤC LỤC
Trang 3LỜI MỞ ĐẦU
Theo thống kê và tính toán của Cục An toàn thông tin và Trung tâm Ứngcứu khẩn cấp máy tính Việt Nam (VNCERT) - Bộ TT&TT, năm 2016, Việt Namphát hiện 135.190 cuộc tấn công mạng, tăng gấp hơn 3 lần so với năm 2015, trong
đó có 10.276 cuộc tấn công lừa đảo (Phishing), 47.135 cuộc tấn công cài phầnmềm độc hại (Malware) và 77.779 cuộc tấn công thay đổi giao diện (Deface).Trong đó, có 201 cuộc tấn công thay đổi giao diện vào các hệ thống có tên miền
“.gov.vn”.
Riêng trong nửa đầu năm 2017, Trung tâm VNCERT ghi nhận 6.303 cuộctấn công mạng vào các hệ thống thông tin của Việt Nam, bao gồm 1.522 cuộc tấncông lừa đảo, 3.792 cuộc tấn công cài đặt phần mềm độc hại và 989 cuộc tấn côngthay đổi giao diện Tổng số cuộc tấn công mạng vào các hệ thống thông tin sử
dụng tên miền “.gov.vn” trong 6 tháng đầu năm 2017 là 25 cuộc.
Các cuộc tấn công ngày nay ngày càng diễn biến phức tạp, với số lượngcác cuộc tấn công mạng vào những cơ quan, tổ chức, doanh nghiệp có chiềuhướng tăng so với các năm trước đây, nhất là các cuộc tấn công mạng vào hệthống thông tin của cơ quan nhà nước và các doanh nghiệp lớn
Bài báo cáo sẽ giới thiệu tổng quát về phương pháp Hacker sử dụng để tấncông mạng, nói cụ thể về phương pháp tấn công sniffing và cách phòng chống.Nội dung bài báo cáo gồm 03 chương:
CHƯƠNG 1: GIỚI THIỆU
CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH
PHÒNG CHỐNG CHƯƠNG 3: DEMO PHƯƠNG PHÁP TẤN CÔNG SNIFFING
Trang 4DANH MỤC HÌNH VẼ
Hình 2.1: Cơ chế hoạt động của sniffing
Hình 2.2.1: Lắng nghe thông tin qua Hub
Hình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thời điểmHình 2.3.1: Mô hình tấn công của MITM
Hình 2.4.1: Cơ chế hoạt động của Span port
Hình 2.5.1: Mô hình làm việc của Gateway
Hình 2.6.1: Cách thức hoạt động của ARP
Hình 2.6.2: Chặn bắt thông tin dùng ARP Poisoning
Hình 2.7.1: Mô hình tấn công DNS – spoofing
Hình 2.7.2: Tấn công giả mạo DNS sử dụng phương pháp ID Spoofing
Trang 5CHƯƠNG 1: GIỚI THIỆU
1.1.Tổng quan về an ninh mạng và các nguy cơ gây mất an ninh mạng
Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữliệu đang trở nên rất được quan tâm Khi cơ sở hạ tầng và các công nghệ mạngngày càng được đáp ứng tốt, tuy nhiên song song với việc đó là thực trạng tấncông trên mạng đang ngày một gia tăng, thì vấn đề bảo mật càng được chú trọnghơn Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ màcác doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin Bảo mật hay
an toàn thông tin là sự bảo vệ thông tin trước các mối đe dọa về "thông tin lộ",
"thông tin không còn toàn vẹn" và "thông tin không sẵn sàng" Ngoài ra, nó còn
là sự bảo vệ chống lại các nguy cơ về mất an toàn thông tin như "nguy hiểm",
"thiệt hại", "mất mát" và các tội phạm khác Bảo mật như là hình thức về mức
độ bảo vệ thông tin bao gồm "cấu trúc" và "quá trình xử lý" để nâng cao bảomật
Các nguyên tắc nền tảng của an ninh mạng:
• Tính bí mật: Là sự ngăn ngừa việc tiết lộ trái phép những thông tin quantrọng, nhạy cảm Đó là khả năng đảm bảo mức độ bí mật cần thiết đượctuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với ngườidùng không được cấp phép Đối với an ninh mạng thì tính bí mật rõ ràng
là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất
• Tính toàn vẹn: Là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữliệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thôngtin và hệ thống Có ba mục đích chính của việc đảm bảo tính toàn vẹn:
- Ngăn cản sự làm biến dạng nội dung thông tin của những người sửdụng không được phép
- Ngăn cản sự làm biến dạng nội dung thông tin không được phéphoặc không chủ tâm của những người sử dụng được phép
- Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài
• Tính sẵn sàng: Bảo đảm các người sử dụng hợp pháp của hệ thống có khảnăng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệthống và tới mạng Tính sẵn sàng có liên quan đến độ tin cậy của hệthống
1.2.Các kiểu tấn công mạng phổ biến
Có rất nhiều kiểu tấn công mạng để xâm nhập vào một hệ thống máy tính,
Trang 6• Tấn công trực tiếp:
Những cuộc tấn công trực tiếp thông thường được sử dụng tronggiai đoạn đầu để chiếm quyền truy nhập bên trong Một phương pháp tấncông cổ điển là dò tìm tên người sử dụng và mật khẩu Đây là phươngpháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào
để bắt đầu Kẻ tấn công có thể sử dụng những thông tin như tên ngườidùng, ngày sinh, địa chỉ, số nhà…để đoán mật khẩu Trong trường hợp cóđược danh sách người sử dụng và những thông tin về môi trường làmviệc, có một chương trình tự động hoá về việc dò tìm mật khẩu này Trongmột số trường hợp phương pháp này cho phép kẻ tấn công có được quyềncủa người quản trị hệ thống (root hay administrator)
Hai chương trình thường được dùng cho phương pháp này làchương trình Sendmail và Rlogin của hệ thống Unix Sendmail là mộtchương trình phức tạp với mã nguồn bao gồm hàng ngàn dòng lệnh C.Sendmail được chạy với quyền của người quản trị hệ thống do chươngtrình phải có quyền ghi vào hộp thư của người sử dụng Vì Sendmail nhậntrực tiếp các yêu cầu về mạng thư tín bên ngoài nên nó trở thành nguồncung cấp những lỗ hổng bảo mật để truy cập hệ thống Rlogin cho phépngười sử dụng từ một máy trên mạng truy cập từ xa vào một máy khác sửdụng tài nguyên của máy này Trong quá trình nhập tên và mật khẩu củangười sử dụng, rlogin không kiểm tra độ dài dòng nhập nên ta có thể đưavào một xâu lệnh đã được tính toán trước để ghi đè lên mã chương trìnhcủa Rlogin, từ đó chiếm quyền truy cập
• Nghe trộm:
Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin
có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển quamạng Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đãchiếm được quyền truy nhập hệ thống, thông qua các chương trình chophép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độnhận toàn bộ các thông tin lưu truyền trên mạng Những thông tin nàycũng có thể dễ dàng lấy được trên Internet
• Giả mạo địa chỉ:
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử
Trang 7này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IPgiả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là
an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các góitin IP phải gửi đi
• Vô hiệu các chức năng của hệ thống:
Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiệnchức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được,
do những phương tiện được tổ chức tấn công cũng chính là các phươngtiện để làm việc và truy nhập thông tin trên mạng Ví dụ sử dụng lệnhping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độtính toán và khả năng của mạng để trả lời các lệnh này, không còn các tàinguyên để thực hiện những công việc có ích khác
• Sử dụng lỗi của người quản trị hệ thống:
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuynhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng chophép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ
• Tấn công vào yếu tố con người:
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làmmột người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truynhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hìnhcủa hệ thống để thực hiện các phương pháp tấn công khác Với kiểu tấncông này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, vàchỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầubảo mật để đề cao cảnh giác với những hiện tượng đáng nghi Nói chungyếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào,
và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng để
có thể nâng cao được độ an toàn của hệ thống bảo vệ
1.3.Mục tiêu của báo cáo
Với sự phát triển mạnh mẽ của mạng máy tính hiện nay, nhu cầu sử dụngmạng cho việc trao đổi và chia sẻ thông tin là rất lớn Tuy nhiên, đi song songvới việc đó thì an ninh mạng luôn là một nỗi lo khi các hình thức tấn công mạngngày một nhiều và ngày càng trở nên tinh vi hơn Do vậy việc nghiên cứu về cácphương pháp tấn công mạng và cách phòng chống là điều tất yếu
Trang 8Bài báo cáo “NGHIÊN CỨU CÁC PHƯƠNG PHÁP TẤN CÔNGSNIFFER” được thực hiện nhằm tìm hiểu về các kiểu tấn công phổ biến trênmạng Cụ thể, bài báo cáo sẽ đi sâu vào nghiên cứu phương pháp tấn côngsniffing và cách phòng chống.
Mục tiêu đề ra là:
Tìm hiểu một số kiểu tấn công phổ biến trên mạng
Tìm hiểu phương pháp tấn công sniffing
Cách phòng chống tấn công sniffing
Trang 9CHƯƠNG 2: PHƯƠNG PHÁP TẤN CÔNG SNIFFING VÀ CÁCH
PHÒNG CHỐNG
2.1.Giới thiệu
2.1.1. Khái niệm sniffing
Sniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặcđiểm của cơ chế TCP/IP Người nghe lén để thiết bị lắng nghe giữa mạng mangthông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet Nghelén được sử dụng như công cụ để các nhà quản trị mạng theo dõi, bảo trì hệthống mạng và có thể kiểm tra các dữ liệu ra vào mạng Về mặt tiêu cực, nóđược sử dụng với mục đích nghe lén các thông tin trên mạng để lấy các thông tinquan trọng
2.1.2. Cơ chế hoạt động của sniffing
Những giao dịch giữa các hệ thống mạng máy tính thường là những dữliệu ở dạng nhị phân Bởi vậy để hiểu được những dữ liệu này, các chương trìnhnghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mãcác dữ liệu ở dạng nhị phân để hiểu được chúng
Hình 2.1: Cơ chế hoạt động của sniffing
Trong môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy
B thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơchế loan tin (broadcast) Các máy khác nhận được gói tin này sẽ tiến hành sosánh yêu cầu về địa chỉ MAC của frame gói tin với địa chỉ đích Nếu trùng lậpthì sẽ nhận, còn không thì cho qua Do gói tin từ A được gửi đến B nên khi so
Trang 10sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếpnhận.
Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ “tựnhận” bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đếngói tin có đích đến không phải là nó, do sniffer chuyển card mạng của máy sangchế độ hỗn tạp (promiscuous mode) Promiscuous mode là chế độ đặc biệt Khicard mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không
bị ràng buộc kiểm tra địa chỉ đích đến
Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin
đến những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu
“tự nhận” như ở Hub không thực hiện được Tuy nhiên, kẻ tấn công có thể dùngcác cơ chế khác để tấn công trong môi trường Switch như ARP spoofing, MACspoofing, MAC duplicating, DNS spoofing, v.v…
2.1.3. Phân loại sniffing
Passive sniffing: Chủ yếu hoạt động trong môi trường không có các thiết
bị chuyển mạch gói, phổ biến hiện nay là các dạng mạng sử dụng Hub Dokhông có các thiết bị chuyển mạch gói nên các gói tin được broadcast đitrong mạng Chính vì vậy, việc thực hiện sniffing là khá đơn giản Kẻ tấncông không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port
về (dù host nhận gói tin không phải là nơi đến của gói tin đó) Hình thứcsniffing này rất khó phát hiện do các máy tự broadcast các gói tin Ngàynay hình thức này thường ít được sử dụng do Hub không còn được ưachuộng nhiều, thay vào đó là Switch
Active sniffing: Chủ yếu hoạt động trong môi trường có các thiết bịchuyển mạch gói, phổ biến hiện nay là các dạng mạch sử dụng Switch Kẻtấn công thực hiện sniffing dựa trên cơ chế ARP và RARP (2 cơ chếchuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi cácgói tin đầu độc, mà cụ thể ở đây là phát đi các gói thông báo cho máy gửigói tin là “tôi là người nhận” mặc không phải là “người nhận” Ngoài ra,các sniffer còn có thể dùng phương pháp giả địa chỉ MAC, thay đổi MACcủa bản thân thành MAC của một máy hợp lệ và qua được chức năng lọcMAC của thiết bị, qua đó ép dòng dữ liệu đi qua card mạng của mình Tuynhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông Nếu thực hiện
Trang 11sniffing quá nhiều máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (doliên tục gửi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng.
2.1.4. Các hình thức tấn công
Sniffing là hình thức nghe lén thông tin trên mạng nhằm khai thác hiệuquả hơn tài nguyên mạng, theo dõi thông tin bất hợp pháp Tuy nhiên, sau nàycác hacker dùng sniffing để lấy các thông tin nhạy cảm, do đó cũng có thể coi đó
là 1 hình thức hack Có khá nhiều các phương pháp để thực hiện sniffing, dù làtấn công chủ động hay bị động Bài báo cáo sẽ nói cụ thể về 6 phương pháp tấncông sniffing:
1) Lắng nghe thông tin qua Hub2) Lắng nghe thông tin qua Span Port trên Switch3) Lắng nghe thông tin qua nút trung gian
4) Lắng nghe thông tin qua Gateway5) Chặn bắt thông tin dùng ARP – poisoning 6) Chặn bắt thông tin dùng DNS – spoofing
2.2.Lắng nghe thông tin qua Hub
2.2.1. Phương pháp tấn công
Sniffing trên mạng môi trường Hub là 1 giấc mơ đối với bất kỳ ai, bởi góitin được gửi đi qua thiết bị Hub thì sẽ đi qua tất cả các cổng kết nối với Hub đó.Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tất
cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast)
Trang 12Hình 2.2.1: Lắng nghe thông tin qua Hub
Để phân tích lưu lượng đi qua 1 máy tính kết nối với 1 thiết bị Hub thì chỉcần kết nối một packet sniffer tới 1 cổng còn trống trên Hub Tuy nhiên, nhữnggiao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhịphân Vì thế các chương trình nghe lén phải có chức năng giải mã dữ liệu ở dạngnhị phân để hiểu được chúng Ngoài ra, kẻ tấn công sẽ chuyển card mạng sangchế độ Promiscuous Chế độ Promiscuous cho phép card mạng nhìn thấy tất cảcác gói tin đi qua hệ thống dây mạng Khi card mạng được đặt dưới chế độ này,
nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đíchđến Từ đó, kẻ tấn công có thể thấy được tất cả truyền thông đến và đi từ máytính đó, cũng như truyền thông giữa các thiết bị khác kết nối với thiết bị Hub
Tuy nhiên, ngày nay mạng Hub không còn được ưa chuộng bởi vì chỉ có 1thiết bị duy nhất có thể truyền thông tại một thời điểm, 1 thiết bị kết nối qua 1Hub phải cạnh tranh băng thông với các thiết bị khác cũng đang cố gắng truyềnthông qua thiết bị Hub đó Khi hai hay nhiều thiết bị truyền thông ngay tại cùngmột thời điểm, sẽ dễ xảy ra xung đột
Trang 13
Hình 2.2.2: Xung đột khi nhiều thiết bị cùng truyền thông tại một thời
điểmKết quả gây ra sẽ là mất mát gói tin, và các thiết bị sẽ phải truyền lại các gói tin
đó, khiến cho mạng càng trở nên tắc nghẽn Khi đến 1 mức xung đột nào đó,thiết bị sẽ phải truyền lại một gói tin đến tận 3,4 lần và sẽ làm giảm hiệu năngcủa mạng Ngoài ra, hình thức tấn công qua Hub rất khó bị phát hiện do các máy
tự broadcast các gói tin
2.3.Lắng nghe thông tin qua nút trung gian
Hình 2.3.1: Mô hình tấn công của MITM
Trang 14Kẻ tấn công đang mạo danh cả hai bên của cuộc trò chuyện để có quyền truy cập vào tài khoản Điều này tương ứng với một cuộc trò chuyện giữa khách hàng và máy chủ hay các cuộc trò chuyện giữa người với người Kẻ tấn công chặn một publickey và với key này có thể giả mạo thông tin đăng nhập của một trong hai bên để lừa người dùng ở hai bên rằng họ đang nói chuyện với nhau một cách an toàn
Có thể hiểu nôm na là:
Trong quá trình 2 đối tượng trao đổi khóa công khai cho nhau để tiến hành trao đ
ổi dữ liệu thì người thứ 3can thiệp vào cuộc trò chuyện đó và đánh cắp khóa công khai của 2 đối tượng trên
Sau đó kẻ tấn công sẽ dùng khóa công khai lấy được để tạo niềm tin với 2 đối tượng kia, từ đó sẽ trở thành người ở giữa luân chuyển dữ liệu
2.4. Lắng nghe thông tin qua Span Port trên Switch
SPAN(Switch Port Analyzer- cổng chuyển đổi phân tích máy) cho phépbạn thu thập thông tin từ một cổng đến một cổng khác trên cùng một Switch
SPAN san chép tất cả các đơn vị dữ liệu giao thức quy định cho một Port
và truyền đến port đích của SPAN
