An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012 1 KHOA TIN HỌC QUẢN LÝ

AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN

Đánh Cắp Thông Tin Tài Khoản Trong Mạng LAN Và INTERNET
Giảng viên hướng dẫn:
GV. Trương Hoài Phan
Sinh viên thực hiện
1. Nguyễn Mạnh Lâm_K094061155
2. Lê Thị Kiều Oanh_K094061173
3. Lê Thị Thu_K094061188
4. Nguyễn Thị Thúy_K094061190
5. Đỗ Thị Thanh Trang_K094061202
TP Hồ Chí Minh - 2012

1.1.1.1.1.1.1.1
K09406
An Toàn Và Bảo Mật Hệ Thống Thông Tin

Nhóm 2 - K09406 - 2012 3
Mục Lục
A. GIỚI THIỆU SƠ LƯỢC 4
B. LOCAL AREA NETWORK 4
I. SSL Strip 4
1. SSL Strip 4
2. Cách thực hiện 7
3. Nhận xét và cách phòng chóng 8
II. Đánh Cắp Cookie, Cướp Session 8
1. ARP và việc đầu độc ARP 9
2. Cướp cookies và chiếm quyền điều khiển session 10
3. Kết luận và các biện pháp phòng chóng 18
III. DNS Spoofing 18
1. DNS Spoofing 18
2. Các bước thực hiện 20
3. Kết luận và cách phòng chóng 21
IV. Sniff Password Dùng Wireshark 22
1. Wireshark 22
2. Cách thực hiện 22
3. Kết luận và biện pháp phòng chóng 25
C. INTERNET NETWORK 25
I. Lấy Cắp Thông Tin Tài Khoản Yahoo, Gmail, Facebook Dùng Keylogger 25
1. Keylogger 25
2. Cách thực hiện 26
3. Kết luận – cách phòng chóng 30
II. Dùng Web Lừa Đảo 30
1. Cách thực hiện 30

tin quan trọng ví dụ các gói tin đăng nhập vào các website, email. Với nhiều phương pháp,
hacker có thể tiến hành sniff cookie, cướp sessison, thực hiện DNS spoofing để đưa nạn
nhân vào địa chỉ giả mạo.
B. LOCAL AREA NETWORK
I. SSL Strip
1. SSL Strip
SSL và HTTPS
Secure Socket Layers (SSL) hoặc Transport Layer Security (TLS) dưới sự thi
hành hiện đại hơn của nó, là các giao thức được thiết kế để cung cấp bảo mật cho
truyền thông mạng bằng phương pháp mã hóa. Giao thức này dễ được kết hợp với
các giao thức khác nhất để cung cấp một thực thi an toàn cho dịch vụ mà giao thức
cung cấp. Các ví dụ dẫn chứng ở đây gồm có SMTPS, IMAPS và HTTPS. Mục
tiêu tối thượng là tạo các kênh an toàn trên các mạng không an toàn.
Trong phần này, chúng tôi sẽ tập trung giới thiệu vào tấn công SSL trên
HTTP, được biết đến như HTTPS, vì nó là trường hợp sử dụng phổ biến nhất của
SSL. Có thể không nhận ra nhưng hầu như chắc chắn bạn đang sử dụng HTTPS
hàng ngày. Các dịch vụ email phổ biến nhất và các ứng dụng ngân hàng trực tuyến
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012 5
đều dựa vào HTTPS để bảo đảm truyền thông giữa trình duyệt web của bạn và các
máy chủ của họ được mã hóa an toàn. Nếu không sử dụng công nghệ này thì bất cứ
ai với một bộ “đánh hơi” gói dữ liệu trên mạng cũng đều có thể phát hiện ra được
username, password và bất cứ thứ gì được ẩn khác.
Quá trình được sử dụng bởi HTTPS để bảo đảm an toàn dữ liệu là xiết chặt
các trung tâm có liên quan đến việc phân phối các chứng chỉ giữa máy chủ, máy
khách và hãng thứ ba được tin cậy. Lấy một ví dụ về trường hợp có một người
dùng đang cố gắng kết nối đến một tài khoản email của Gmail. Quá trình này sẽ

(defeating) SSL, mà đúng hơn là phá hủy “cầu nối” giữa truyền thông không mã
hóa và mã hóa.
Moxie Marlinspike, một chuyên gia nghiên cứu bảo mật hàng đầu đã cho
rằng trong hầu hết các trường hợp, SSL chưa bao giờ bị trực tiếp tấn công. Hầu
hết thời gian một kết nối SSL được khởi tạo thông qua HTTPS nên nguyên nhân
có thể là do ai đó đã redirect một HTTPS thông qua một mã đáp trả HTTP 302
hoặc họ kích vào liên kết direct họ đến một site HTTPS, chẳng hạn như nút đăng
nhập. Ý tưởng ở đây là rằng nếu bạn tấn công một phiên giao dịch từ một kết nối
không an toàn đến một kết nối an toàn, trong trường hợp này là từ HTTP vào
HTTPS, bạn sẽ tấn công cầu nối và có thể “man-in-the-middle” kết nối SSL trước
khi nó xuất hiện. Để thực hiện hiệu quả điều này, Moxie đã tạo một công cụ
SSLstrip, chúng ta sẽ sử dụng công cụ này dưới đây.
Quá trình thực hiện khá đơn giản và gợi nhớ lại các tấn công mà chúng ta
đã nghiên cứu trong các phần trước của loạt bài. Nó được phác thảo như trong
hình 2 bên dưới.

Hình 2: Chiếm quyền điều khiển truyền thông HTTPS
Quá trình được phác thảo trong hình 2 làm việc như sau:
- Lưu lượng giữa máy khách và máy chủ đầu tiên sẽ bị chặn
- Khi bắt gặp một HTTPS URL, sslstrip sẽ thay thế nó bằng một liên kết
HTTP và sẽ ánh xạ những thay đổi của nó.
- Máy tấn công sẽ cung cấp các chứng chỉ cho máy chủ web và giả mạo
máy khách.
- Lưu lượng được nhận trở lại từ website an toàn và được cung cấp trở lại
cho máy khách.
Quá trình làm việc khá tốt, máy chủ có liên quan vẫn nhận lưu lượng SSL
mà không hề biết về sự khác biệt này. Chỉ có một sự khác biệt rõ rệt trong trải
nghiệm người dùng là lưu lượng sẽ không được cắm cờ HTTPS trong trình duyệt,
vì vậy một người dùng có kinh nghiệm sẽ có thể thấy đó là một điều dị thường.
An Toàn Và Bảo Mật Hệ Thống Thông Tin

An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012 9
1. ARP và việc đầu độc ARP
Đầu tiên để hiểu rõ hơn về quá trình đánh cắp cookies bằng BackTrack4,
chúng ta cần tìm hiểu một chút về ARP và việc đầu độc ARP. Vậy ARP là gì?
Trên thực tế, các card mạng (NIC) chỉ có thể kết nối với nhau theo địa chỉ
MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy ta phải có một cơ chế để
chuyển đổi các dạng địa chỉ này qua lại với nhau. Từ đó ta có giao thức phân giải
địa chỉ: Address Resolution Protocol (ARP).
Vậy ARP hoạt động trong mạng Lan như thế nào? Hiểu rõ cơ chế hoạt động
của Arp sẽ giúp chúng ta dễ dàng hiểu về việc thế nào là đầu độc ARP. Khi một
thiết bị mạng muốn biết địa chỉ MAC của một thiết bị nào đó mà nó đã biết địa chỉ
ở tầng network, nó sẽ gửi một ARP request bao gồm địa chỉ MAC của nó và địa
chỉ IP của thiết bị mà nó cần biết địa chỉ MAC. Mỗi một thiết bị nhận được request
này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu
trùng địa chỉ thì thiết bị đó phải gửi ngược lại cho thiết bị gửi ARP request một gói
tin (trong đó có chưa địa chỉ MAC của mình).
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao
thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được
cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng
giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này
có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác
và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc
gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi
ARP “độc”. Khi các ARP reply “đôc” này đến được các máy tính đã gửi request,
máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để
truyền thông, tuy nhiên thực chất nạn nhân lại đang truyền thông với một kẻ tấn

đăng nhập vào tài khoản Facebook của anh ta. Và lợi dụng sự truyền thông bị chặn
này, nhóm sẽ đóng vai người dùng đó và truy cập vào tài khoản từ máy tính đang
dùng để tấn công. Để thực hiện vụ tấn công, nhóm sử dụng Back Track 4.
Đầu tiên từ máy của nạn nhân, nạn nhân đăng nhập vào facebook Trang giao diện Home của tài khoản nạn nhân
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012 11

Các thông số Netword của máy nạn nhân c 1: Máy tính dùng để tấn công khởi động Back Track 4, và vào phần Konsole
( ô vuông đỏ trong hình) để tiến hành việc đầu tiên là đầu độc ARP
c 2: Trong cửa sổ Konsole, gõ dòng lệnh ettercap –T –p –M arp
/192.168.1.100/ /192.168.1.1/ -i eth0 ( eth0 vì đang sử dụng mạng có dây) trong đó
192.168.1.100 là IP Adress của máy nạn nhân và 192.168.1.1 là Default Gateway
của máy nạn nhân
Nhóm 2 - K09406 - 2012 14

Sau khi chọn, Wireshark sẽ bắt đầu tiến hành capture các gói dữ liệu từ máy tính
nạn nhân

Sau khi Wireshark capture xong, vì nhóm đang tiến hành đánh cắp cookies
nên sẽ chỉ quan tâm tới những gói liên quan cookies của nạn nhân, nên nhóm sẽ lọc
ra những gói liên quan đến cookies của nạn nhân

An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012 15

c 4: Từ những gói đã được lọc ra, nhóm tìm kiếm gói thông tin nào có chứa
cookies liên quan tới việc nạn nhân đăng nhập Facebook để tiến hành đánh cắp nó

Sau
khi đã tìm ra gói chứa cookies của nạn nhân, nhóm tiến hành đánh cắp cookies
Những thông tin về cookies của nạn nhân được nhóm lấy ra, nhưng nhóm chỉ quan
tâm tới c_user và xs
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012


18 3. Kết luận và các biện pháp phòng chóng
Bằng phương pháp đánh cắp cookie, hacker có thể thâm nhập vào tài khoản
của nạn nhân, giả mạo nạn nhân để phục vụ cho ý đồ của mình, chủ yếu là lừa đảo.
Tuy nhiên không thể chiếm được tài khoản của victim vì không biết password. Chỉ
cần user chủ động out ra, ngay lập tức cookie bị xóa => hacker dù bắt được nhưng
không thể sự dụng vì cookie này đã hết hiệu lực.
Ngoài ra có một số biện pháp phòng tránh những yếu tố nguy cơ:
Truy cp ti nhà: Cơ hội để ai đó có thể chặn lưu lượng của bạn trên mạng
gia đình ít hơn nhiều so với mạng ở nơi làm việc. Điều này không phải vì máy tính
ở nhà của bạn thường an toàn hơn, mà vấn đề là bạn chỉ có một hoặc hai máy tính
tại nhà. Trên mạng LAN ở nơi khác (ví dụ nơi bạn làm việc), bạn không biết những
gì đang diễn ra bên dưới tiền sảnh hoặc trong văn phòng chi nhánh cách đó 200
dặm, vì vậy nguồn tấn công tiềm ẩn là rất nhiều. Cần biết rằng một trong những
mục tiêu lớn nhất của tấn công chiếm quyền điều khiển session là tài khoản ngân
hàng trực tuyến, tuy nhiên ngoài ra nó còn được áp dụng cho mọi thứ.
Cn có s hiu bit v tn công: Những kẻ tấn công tinh vi, kể cả đến các
hacker dày dạn nhất cũng vẫn có thể mắc lỗi và để lại dấu vết đã tấn công bạn.
Việc biết thời điểm nào bạn bị đăng nhập vào các dịch vụ dựa trên session có thể
giúp bạn xác định được rằng liệu có ai đó đang rình rập mình hay không. Do đó
nhiệm vụ của bạn là cần phải canh chừng mọi thứ, quan tâm đến thời gian đăng
nhập gần nhất để bảo đảm mọi thứ vẫn diễn ra tốt đẹp.
Bo mt tt cho các máy tính bên trong: Các tấn công này thường được
thực thi từ bên trong mạng. Do đó nếu các thiết bị mạng của bạn an toàn thì cơ hội
cho kẻ tấn công thỏa hiệp được các host bên trong mạng của bạn sẽ ít đi, và từ đó
giảm được nguy cơ tấn công chiếm quyền điều khiển session.
III. DNS Spoofing

bản.

Hình 1: Truy vấn và đáp trả DNS
DNS hoạt động theo hình thức truy vấn và đáp trả (query/response). Một
máy khách cần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến
máy chủ DNS, máy chủ DNS này sẽ gửi thông tin được yêu cầu trong gói đáp trả
của nó. Đứng trên phối cảnh máy khách, chỉ có hai gói xuất hiện lúc này là truy
vấn và đáp trả.
Kịch bản này sẽ có đôi chút phức tạp khi xem xét đến sự hồi quy DNS. Nhờ
có cấu trúc thứ bậc DNS của Internet, các máy chủ DNS cần có khả năng truyền
thông với nhau để đưa ra câu trả lời cho các truy vấn được đệ trình bởi máy khách.
Nếu tất cả đều diễn ra thuận lợi như mong đợi, máy chủ DNS bên trong của chúng
ta sẽ biết tên để bản đồ hóa địa chỉ IP cho máy chủ bên trong mạng nội bộ, tuy
nhiên không thể mong đợi nó biết địa chỉ tương quan giữa Google hoặc Dell. Đây
là nơi sự đệ quy đóng vai trò quan trọng. Sự đệ quy diễn ra khi một máy chủ DNS
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012 20
truy vấn máy chủ DNS khác với tư cách máy khách tạo yêu cầu. Về bản chất, cách
thức này sẽ biến một máy chủ DNS thành một máy khách
2. Các bước thực hiện
: Mở file etter.dns  Trỏ dns của tên miền về ip nào đó

đúng, có thể vạch mặt các hình thức giả mạo ARP cache và giả mạo DNS.
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012 22
- S dng DNSSEC: DNSSEC là một giải pháp thay thế mới cho DNS, sử
dụng các bản ghi DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy
vấn. Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được
chấp thuận là “tương lai của DNS”.
IV. Sniff Password Dùng Wireshark
1. Wireshark
Là công cụ dùng để phân tích các giao thức của mạng cho phép xem chi tiết
các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích
VoIP.
Có thể đọc/ghi nhiều dạng file như tcpdump (libpcap), Catapult DCT2000,
Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®,
… Dữ liệu nén dạng gzip bắt được có thể giải nén ngay lập tức, cung cấp nhiều
phương thức giải nén như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP,
…
Làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11,
PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI,…
Hacker sniff được gói tin và bắt được usernam/password truy cập vào các diễn đàn
với chuỗi mật khẩu đã bị mã hóa md5, hacker tiến hành dò password và tìm ra kết
quả
Quy trình mã hóa và chứng thực:
Bước 1: client chạy hàm md5 mã hóa password viết bằng javascript rồi gửi lên
server bằng phương thức POST hoặc GET.
Bước 2: Server nhận chuỗi mã hóa và tiến hành dò với database.
Bước 3: Server thông báo thành công. User log in.

Nhóm 2 - K09406 - 2012 25 3. Kết luận và biện pháp phòng chóng
Dùng lnh:
- ipconfig /all xem MAC của mình
- arp -a xem bảng ARP trên máy mình, kiểm tra MAC của B có phải đúng là
MAC B hay không.
- arp -d * xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị
tấn công cũng mất, và máy tính sẽ bắt đầu học lại. Nhưng nếu máy tấn công
vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô
ích
- arp -s gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không
đầu độc được IP này nữa. Nhưng việc này không khả thi cho mạng lớn, nhiều
máy tính, và có sự thay đổi IP (ví dụ dùng DHCP).
Dùng phn mm :
Chúng ta có thể cài đặt phần mềm Anti ARP để tránh việc nhận ARP Reply
giả mạo

Dynamic ARP Inspection : Switch sẽ dựa vào bảng DHCP Snooping
Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lệ hay không, nếu
không hợp lệ sẽ DROP ngay

C. INTERNET NETWORK
I. Lấy Cắp Thông Tin Tài Khoản Yahoo, Gmail, Facebook Dùng Keylogger
1. Keylogger
Keylogger là một chương trình máy tính nhằm mục đích theo dõi và ghi lại