TRƯỜNG ĐẠI HỌC SÀI GÒN
KHOA CÔNG NGHỆ THÔNG TIN
TẤN CÔNG
VÀ PHÒNG CHỐNG
TẤN CÔNG MẠNG LAN
SVTH : Ngô Văn Chơn
Hà Minh Thắng
Phan Thị Liêm
Bùi Quốc Thái GVHD: ThS. Lê Ngọc Kim Khánh
TP.Hồ Chí Minh, ngày 25 tháng 4 năm 2012
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 1
… …………………………………………………………………………………………
……………… ……………………………………………………………………………
…………………………… ………………………………………………………………
………………………………………… …………………………………………………
……………………………………………………… ……………………………………
…………………………………………………………………… ………………………
………………………………………………………………………………… …………
……………………………………………………………………………………………….
………………………………………………………………………………………………
………… …………………………………………………………………………………
……………………… ……………………………………………………………………
…………………………………… ………………………………………………………
………………………………………………… …………………………………………
……………………………………………………………… ……………………………
…………………………………………………………………………… ………………
………………………………………………………………………………………… …
………………………………………………………………………………………………
……… ……………………………………………………………………………………
…………………… ………………………………………………………………………
………………………………… …………………………………………………………
……………………………………………… ……………………………………………
…………………………………………………………… ………………………………
………………………………………………………………………… …………………
……………………………………………………………………………………… ……
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 3
MỤC LỤC
3 Tài liệu tham khảo 18
Phần 1: Tổng quan về mạng máy tính
1. Local Area Network - LAN (Mạng cục bộ)
Các máy tính cá nhân và các máy tính khác trong phạm vi một khu vực hạn
chế được nối với nhau bằng các dây cáp chất lượng tốt sao cho những người sử
dụng có thể trao đổi thông tin, dùng chung các thiết bị ngoại vi, và sử dụng các
chương trình cũng như các dữ liệu đã được lưu trữ trong một máy tính dành riêng
gọi là máy dịch vụ tệp (file).
Mạng LAN có nhiều quy mô và mức độ phức tạp khác nhau, nó có thể chỉ liên kết
vài ba máy tính cá nhân và dùng chung một thiết bị ngoại vi đắt tiền như máy in
lazer chẳng hạn. Các hệ thống phức tạp hơn thì có máy tính trung tâm (Máy chủ
Server) cho phép những người dùng trao đổi thông tin với nhau và thâm nhập vào
các cơ sở dữ liệu dùng chung.
Hình 1. Mạng LAN kết nối nhiều thiết bị
2. Phạm vi ứng dụng của mạng LAN
Mạng LAN thường được sử dụng để kết nối các máy tính trong gia đình,
trong một phòng Game, phòng NET, trong một toà nhà của Cơ quan, Trường
học Cự ly của mạng LAN giới hạn trong phạm vi có bán kính khoảng 100m-
Các máy tính có cự ly xa hơn thông thường người ta sử dụng mạng Internet để
trao đổi thông tin.
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 5
Phần 2: Tấn công và các biện pháp phòng chống tấn
công mạng LAN
1. Kĩ thuật tấn công Man In The Middle
Hình thức tấn công Man In The Middle tức là người ở giữa sử dụng hình thức Arp
các lớp thứ hai và thứ ba trong mô hình OSI. Lớp thứ hai (lớp data-link) sử dụng
địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực
tiếp. Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khả năng mở
rộng trên toàn cầu. Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với
nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp. Mỗi
lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên
một mạng truyền thông. Với lý do đó, ARP được tạo với RFC 826, “một giao thức
phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”.
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 7 Hình 3. Truyền thông ARP thông thường
Giả mạo Cache
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức
ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu
hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao
thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này có
nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và
máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 8 Hình 4. Giả mạo ARP
Công cụ để tấn công ARP Spoofing:
quyết với toàn bộ phân đoạn mạng.
1.2 Giả danh DNS
Truyền Thông DNS
Giao thức Domain Naming System (DNS) được định nghĩa trong RFC 1034/1035
có thể được xem như là một trong những giao thức quan trọng nhất được sử dụng trong
Internet. Nói ngắn ngọn để dễ hiểu, bất cứ khi nào ta đánh một địa chỉ web chẳng hạn
như http://www.google.com vào trình duyệt, yêu cầu DNS sẽ được đưa đến máy chủ
DNS để tìm ra địa chỉ IP tương xứng với tên miền mà ta vừa nhập. Các router và các
thiết bị kết nối Internet sẽ không hiểu google.com là gì, chúng chỉ hiểu các địa chỉ
chẳng hạn như 74.125.95.103.
Máy chủ DNS làm việc bằng cách lưu một cơ sở dữ liệu các entry (được gọi là bản
ghi tài nguyên) địa chỉ IP để bản đồ hóa tên DNS, truyền thông các bản ghi tài nguyên
đó đến máy khách và đến máy chủ DNS khác. đây ta sẽ không đi vào giới thiệu các
khía cạnh về kiến trúc hay thậm chí các kiểu lưu lượng DNS khác nhau, mà chỉ giới
thiệu một phiên giao dịch DNS cơ bản. Hình 5. Truy vấn và hồi đáp DNS
DNS hoạt động theo hình thức truy vấn và đáp trả (query/response). Một máy
khách cần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến máy
chủ DNS, máy chủ DNS này sẽ gửi thông tin được yêu cầu trong gói đáp trả của nó.
Đứng ở góc độ máy khách , chỉ có hai gói xuất hiện lúc này là truy vấn và đáp trả.
Hình 6. Truy vấn và hồi đáp DNS bằng đệ quy
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 10
Nguyên lý giả mạo DNS:
* Không dựa vào DNS cho các hệ thống bảo mật: Trên các hệ thống an toàn và
có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt nhất để không
sử dụng đến DNS. Nếu dùng phần mềm sử dụng hostname để thực hiện một số công
việc của nó thì chúng cần phải được điều chỉnh cho phù hợp trong file cấu hình thiết
bị.
* Sử dụng IDS: Một hệ thống phát hiện xâm nhập, khi được đt và triển khai
đúng, có thể vạch mt các hình thức giả mạo ARP cache và giả mạo DNS.
* Sử dụng DNSSEC: DNSSEC là một giải pháp thay thế mới cho DNS, sử dụng
các bản ghi DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy vấn. Tuy
DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được chấp thuận là “tương lai
của DNS”.
Kết luận:
Giả mạo DNS là một hình thức tấn công MITM khá nguy hiểm khi được đi sử
dụng với mục đích ăn cắp thông tin. Sử dụng công nghệ này những kẻ tấn công có thể
tận dụng các kỹ thuật giả mạo để đánh cắp các thông tin quan trọng của người dùng,
hay cài đt malware trên một ổ đĩa bị khai thác, hoc gây ra một tấn công từ chối dịch
vụ.
1.3 Chiếm quyền điều khiển session
Nguyên lý
Thuật ngữ chiếm quyền điều khiển session (session hijacking) chứa đựng một loạt
các tấn công khác nhau. Nhìn chung, các tấn công có liên quan đến sự khai thác
session giữa các thiết bị đều được coi là chiếm quyền điều khiển session. Khi đề
cập đến một session, chúng ta sẽ nói về kết nối giữa các thiết bị mà trong đó có
trạng thái đàm thoại được thiết lập khi kết nối chính thức được tạo, kết nối này
được duy trì và phải sử dụng một quá trình nào đó để ngắt nó. Khi nói về các
session, lý thuyết có đôi chút lộn xộn, chính vì vậy chúng ta hãy xem xét một
session theo một cảm nhận thực tế hơn.
Trong bài này chúng tôi sẽ giới thiệu cho các bạn về hành động chiếm quyền điều
khiển session có liên quan đến các session HTTP. Nếu để ý một số website mà bạn
truy cập có yêu cầu thông tin đăng nhập thì chúng chính là các ví dụ tuyệt vời cho
[Type text] Trang 13
Do có nhiều hình thức chiếm quyền điều khiển session khác nhau nên cách thức
phòng chống cũng cần thay đổi theo chúng. Giống như các tấn công MITM khác
mà chúng ta đã đánh giá, tấn công chiếm quyền điều khiển session khó phát hiện và
thậm chí còn khó khăn hơn trong việc phòng chống vì nó phần lớn là tấn công thụ
động. Trừ khi người dùng mã độc thực hiện một số hành động rõ ràng khi anh ta
truy cập session đang bị chiếm quyền điều khiển, bằng không bạn có thể sẽ không
bao giờ biết tấn công đó đang diễn ra. Đây là một số thứ mà bạn có thể thực hiện để
phòng chống tấn công này:
Truy cập ngân hàng trực tuyến tại nhà - Cơ hội để ai đó có thể chn lưu
lượng của bạn trên mạng gia đình ít hơn nhiều so với mạng ở nơi làm việc.
Điều này không phải vì máy tính ở nhà của bạn thường an toàn hơn, mà vấn
đề là bạn chỉ có một hoc hai máy tính tại nhà, hầu hết chỉ phải lo lắng về
tấn công chiếm quyền điều khiển session nếu con bạn đã hơn 14 tuổi và đã
bắt đầu xem các đoạn video hacking trên YouTube rồi từ đó học và làm
theo. Trên mạng công ty, bạn không biết những gì đang diễn ra bên dưới tiền
sảnh hoc trong văn phòng chi nhánh cách đó 200 dm, vì vậy nguồn tấn
công tiềm ẩn là rất nhiều. Cần biết rằng một trong những mục tiêu lớn nhất
của tấn công chiếm quyền điều khiển session là tài khoản ngân hàng trực
tuyến, tuy nhiên ngoài ra nó còn được áp dụng cho mọi thứ.
Cần c sự hiu biết về tấn công - Những kẻ tấn công tinh vi, kể cả đến các
hacker dày dạn nhất cũng vẫn có thể mắc lỗi và để lại dấu vết đã tấn công
bạn. Việc biết thời điểm nào bạn bị đăng nhập vào các dịch vụ dựa trên
session có thể giúp bạn xác định được rằng liệu có ai đó đang rình rập mình
hay không. Do đó nhiệm vụ của bạn là cần phải canh chừng mọi thứ, quan
tâm đến thời gian đăng nhập gần nhất để bảo đảm mọi thứ vẫn diễn ra tốt
đẹp.
Bảo mật tốt cho các máy tính bên trong - Các tấn công này thường được
bộ “đánh hơi” gói dữ liệu trên mạng cũng đều có thể phát hiện ra được username,
password và bất cứ thứ gì được ẩn khác.
Quá trình được sử dụng bởi HTTPS để bảo đảm an toàn dữ liệu là xiết cht các
trung tâm có liên quan đến việc phân phối các chứng chỉ giữa máy chủ, máy khách
và hãng thứ ba được tin cậy. Lấy một ví dụ về trường hợp có một người dùng đang
cố gắng kết nối đến một tài khoản email của Gmail. Quá trình này sẽ gồm có một
vài bước dễ nhận thấy, các bước này đã được đơn giản hóa trong hình 1 bên dưới.
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 15 Hình 10. Quá trình truyền thông HTTPS
Quá trình được phác thảo trong hình 1 không phải là một quá trình chi tiết, tuy
nhiên về cơ bản nó sẽ làm việc như sau:
Trình duyệt máy khách kết nối đến http://mail.google.com trên cổng 80 bằng
cách sử dụng HTTP.
Máy chủ redirect phiên bản HTTPS máy khách của site này bằng cách sử dụng
HTTP code 302.
Máy khách kết nối đến https://mail.google.com trên cổng 443.
Máy chủ sẽ cung cấp một chứng chỉ cho máy khách gồm có chữ ký số của nó.
Chứng chỉ này được sử dụng để thẩm định sự nhận dạng của site.
Máy khách sử dụng chứng chỉ này và thẩm định chứng chỉ này với danh sách
các nhà thẩm định chứng chỉ tin cậy của nó.
Truyền thông mã hóa sẽ xảy ra sau đó.
Nếu quá trình hợp lệ hóa chứng chỉ thất bại thì điều đó có nghĩa rằng các website
đã thất bại trong việc thẩm định sự nhận dạng của nó. Tại điểm này, người dùng sẽ
thấy xuất hiện một lỗi thẩm định chứng chỉ và họ vẫn có thể tiếp tục với những rủi
ro có thể, vì rất có thể sẽ không có sự truyền thông thực sự với website mà họ nghĩ
Máy tấn công sẽ cung cấp các chứng chỉ cho máy chủ web và giả mạo máy
khách.
Lưu lượng được nhận trở lại từ website an toàn và được cung cấp trở lại cho
máy khách.
Quá trình làm việc khá tốt, máy chủ có liên quan vẫn nhận lưu lượng SSL mà
không hề biết về sự khác biệt này. Chỉ có một sự khác biệt rõ rệt trong trải nghiệm
người dùng là lưu lượng sẽ không được cắm cờ HTTPS trong trình duyệt, vì vậy
một người dùng có kinh nghiệm sẽ có thể thấy đó là một điều dị thường.
Biện pháp phòng chống
Như được giới thiệu ở trên, việc chiếm quyền điều khiển SSL theo cách này là hầu
như không thể phát hiện từ phía trình chủ vì máy chủ cứ tưởng nó vẫn truyền thông
bình thường với máy khách. Nó không hề có ý tưởng rằng đang truyền thông với
một client bởi proxy. May mắn thay, có một vài thứ có thể thực hiện từ bối cảnh
trình khách để phát hiện và ngăn chn các kiểu tấn công này.
Sử dụng kết nối an toàn HTTPS – Khi bạn thực hiện tấn công được mô tả ở
đây, nó sẽ lấy đi khía cạnh an toàn của kết nối, thứ có thể xác định được trong
trình duyệt. Điều này có nghĩa rằng nếu bạn đăng nhập vào tài khoản ngân hàng
trực tuyến và thấy rằng nó chỉ là một kết nối HTTP chuẩn thì chắc chắn có thứ
gì đó sai ở đây. Bất cứ khi nào trình duyệt mà bạn chọn sử dụng cũng cần bảo
đảm rằng bạn biết cách phân biệt các kết nối an toàn với những kết nối không
an toàn.
Lưu tài khoản ngân hàng trực tuyến ở nhà – Cơ hội cho ai đó có thể chn lưu
lượng của bạn trên mạng gia đình sẽ ít hơn nhiều so với mạng ở nơi làm việc của
bạn. Điều này không phải vì máy tính gia đình của bạn an toàn hơn (mà sự thật
có lẽ là kém an toàn hơn), nhưng sự thật nếu chỉ có một hoc hai máy tính ở nhà
thì các bạn chỉ phải quan tâm đến việc chiếm quyền điều khiển session nếu có ai
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 17
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ
thống được chia như sau:
- Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương thức tấn
công theo DoS (Dinal of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ
ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không
làm phá hỏng dữ liệu hoc đạt được quyền truy nhập bất hợp pháp.
Tấn công và phòng chống tấn công mạng LAN
[Type text] Trang 18
- Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên
hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung
bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn
đến mất hoc lộ thông tin yêu cầu bảo mật.
- Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy
nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ
hệ thống.
Để khai thác các lỗ hổng bảo mật, chúng tôi sử dụng công cụ là Metasploit
Framework, có thể chạy được trên Windows lẫn Linux.
2.2 Phòng chống
- Luôn update các bản vá lỗi mới nhất từ nhà sản xuất
- Enable Firewall chỉ mở những cổng cần thiết cho các ứng dụng
- Có thiết bị IDS phát hiện xâm nhập
- Có Firewall chống Scan các Service đang chạy.
3 Kết luận
4 Tài liệu tham khảo
+ www.quantrimang.com.vn
+ www.google.com
Copyright: Tài liệu đại học ©