An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
1
KHOA TIN HỌC QUẢN LÝ
AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN
Đánh Cắp Thông Tin Tài Khoản Trong Mạng LAN Và INTERNET
Giảng viên hướng dẫn:
GV. Trương Hoài Phan
Sinh viên thực hiện
1. Nguyễn Mạnh Lâm_K094061155
2. Lê Thị Kiều Oanh_K094061173
3. Lê Thị Thu_K094061188
4. Nguyễn Thị Thúy_K094061190
5. Đỗ Thị Thanh Trang_K094061202
TP Hồ Chí Minh - 2012
1.1.1.1.1.1.1.1
K09406
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
2
NHẬN XÉT CỦA GIẢNG VIÊN
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
3
Mục Lục
A. GIỚI THIỆU SƠ LƯỢC 4
B. LOCAL AREA NETWORK 4
I. SSL Strip 4
1. SSL Strip 4
2. Cách thực hiện 7
3. Nhận xét và cách phòng chóng 8
II. Đánh Cắp Cookie, Cướp Session 8
1. ARP và việc đầu độc ARP 9
2. Cướp cookies và chiếm quyền điều khiển session 10
3. Kết luận và các biện pháp phòng chóng 18
III. DNS Spoofing 18
1. DNS Spoofing 18
2. Các bước thực hiện 20
3. Kết luận và cách phòng chóng 21
IV. Sniff Password Dùng Wireshark 22
1. Wireshark 22
2. Cách thực hiện 22
3. Kết luận và biện pháp phòng chóng 25
C. INTERNET NETWORK 25
I. Lấy Cắp Thông Tin Tài Khoản Yahoo, Gmail, Facebook Dùng Keylogger 25
1. Keylogger 25
2. Cách thực hiện 26
3. Kết luận – cách phòng chóng 30
II. Dùng Web Lừa Đảo 30
1. Cách thực hiện 30
2. Ngữ cảnh và mục đích đạt được 32
3. Nhận xét và cách phòng chóng 32
D. DANH SÁCH NHÓM – PHÂN CÔNG VIỆC 32
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
4
A. GIỚI THIỆU SƠ LƯỢC
Mạng cục bộ(Local Area Network) dùng để kết nối các máy tính với nhau trong 1 khu vực.
Kết nối được thực hiện thông qua môi trường truyền thông tốc độ cao như dây cáp. Các LAN
cũng có thể kết nối với nhau thành WAN. LAN thường bao gồm một máy chủ (server , host) còn
gọi là máy phúc vụ. Máy chủ thường là máy có bộ xử lý (CPU) tốc độ cao, bộ nhớ (RAM) và đĩa
cứng (HD) lớn.
Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồm các mạng
máy tính được liên kết với nhau. Hệ thống này truyền thông tin theo kiểu nối chuyển gói dữ liệu
(packet switching) dựa trên một giao thức liên mạng đã được chuẩn hóa giao thức IP. Hệ thống
này bao gồm hàng ngàn mạng máy tính nhỏ hơn của các doanh nghiệp, của các viện nghiên cứu
và các trường đại học, của nguười dùng cá nhân, và các chính phủ trên toàn cầu.
Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế
TCP/IP. Nó cũng là một kĩ thuật bảo mật, được phát triển nhằm giúp đỡ các nhà quản trị mạng
khai thác và kiểm tra dữ liệu lưu thông trên mạng 1 cách hiệu quả.
Có 2 loại sniffer đó là: active sniffer và passive sniffer.
Quá trình sniffer:
- Bước 1: Tiến hành đầu độc ARP, sử dụng các tool như ettercap chạy trên linux và cain &
abel chạy trên windows.
- Bước 2: Sau khi đầu độc ARP, máy hacker trở thành kẻ dứng giữa, sniff các gói tin được
trao đổi giữa máy nạn nhân và gateway. Qua đó hacker có thể bắt các gói tin chứa thông
tin quan trọng ví dụ các gói tin đăng nhập vào các website, email. Với nhiều phương pháp,
hacker có thể tiến hành sniff cookie, cướp sessison, thực hiện DNS spoofing để đưa nạn
nhân vào địa chỉ giả mạo.
B. LOCAL AREA NETWORK
I. SSL Strip
1. SSL Strip
SSL và HTTPS
Secure Socket Layers (SSL) hoặc Transport Layer Security (TLS) dưới sự thi
hành hiện đại hơn của nó, là các giao thức được thiết kế để cung cấp bảo mật cho
truyền thông mạng bằng phương pháp mã hóa. Giao thức này dễ được kết hợp với
các giao thức khác nhất để cung cấp một thực thi an toàn cho dịch vụ mà giao thức
cung cấp. Các ví dụ dẫn chứng ở đây gồm có SMTPS, IMAPS và HTTPS. Mục
tiêu tối thượng là tạo các kênh an toàn trên các mạng không an toàn.
Trong phần này, chúng tôi sẽ tập trung giới thiệu vào tấn công SSL trên
HTTP, được biết đến như HTTPS, vì nó là trường hợp sử dụng phổ biến nhất của
SSL. Có thể không nhận ra nhưng hầu như chắc chắn bạn đang sử dụng HTTPS
hàng ngày. Các dịch vụ email phổ biến nhất và các ứng dụng ngân hàng trực tuyến
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
5
đều dựa vào HTTPS để bảo đảm truyền thông giữa trình duyệt web của bạn và các
máy chủ của họ được mã hóa an toàn. Nếu không sử dụng công nghệ này thì bất cứ
ai với một bộ “đánh hơi” gói dữ liệu trên mạng cũng đều có thể phát hiện ra được
username, password và bất cứ thứ gì được ẩn khác.
Quá trình được sử dụng bởi HTTPS để bảo đảm an toàn dữ liệu là xiết chặt
các trung tâm có liên quan đến việc phân phối các chứng chỉ giữa máy chủ, máy
khách và hãng thứ ba được tin cậy. Lấy một ví dụ về trường hợp có một người
dùng đang cố gắng kết nối đến một tài khoản email của Gmail. Quá trình này sẽ
gồm có một vài bước dễ nhận thấy, các bước này đã được đơn giản hóa trong hình
1 bên dưới.
Hình 1: Quá trình truyền thông HTTPS
Quá trình được phác thảo trong hình 1 không phải là một quá trình chi tiết,
tuy nhiên về cơ bản nó sẽ làm việc như sau:
- Trình duyệt máy khách kết nối đến gle. trên cổng 80
bằng cách sử dụng HTTP
- Máy chủ redirect phiên bản HTTPS máy khách của site này bằng cách sử
dụng HTTP code 302.
- Máy khách kết nối đến trên cổng 443.
- Máy chủ sẽ cung cấp một chứng chỉ cho máy khách gồm có chữ ký số của
nó. Chứng chỉ này được sử dụng để thẩm định sự nhận dạng của site.
- Máy khách sử dụng chứng chỉ này và thẩm định chứng chỉ này với danh
sách các nhà thẩm định chứng chỉ tin cậy của nó.
- Truyền thông mã hóa sẽ xảy ra sau đó.
Nếu quá trình hợp lệ hóa chứng chỉ thất bại thì điều đó có nghĩa rằng các
website đã thất bại trong việc thẩm định sự nhận dạng của nó. Tại điểm này,
người dùng sẽ thấy xuất hiện một lỗi thẩm định chứng chỉ và họ vẫn có thể tiếp
tục với những rủi ro có thể, vì rất có thể sẽ không có sự truyền thông thực sự với
website mà họ nghĩ họ cần truy cập đến.
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
6
Quá trình này được xem là an toàn cao cách đây một vài năm khi có một
tấn công đã công bố rằng nó có thể chiếm quyền điều khiển thành công quá trình
truyền thông. Quá trình này không liên quan đến bản thân việc phá hủy
(defeating) SSL, mà đúng hơn là phá hủy “cầu nối” giữa truyền thông không mã
hóa và mã hóa.
Moxie Marlinspike, một chuyên gia nghiên cứu bảo mật hàng đầu đã cho
rằng trong hầu hết các trường hợp, SSL chưa bao giờ bị trực tiếp tấn công. Hầu
hết thời gian một kết nối SSL được khởi tạo thông qua HTTPS nên nguyên nhân
có thể là do ai đó đã redirect một HTTPS thông qua một mã đáp trả HTTP 302
hoặc họ kích vào liên kết direct họ đến một site HTTPS, chẳng hạn như nút đăng
nhập. Ý tưởng ở đây là rằng nếu bạn tấn công một phiên giao dịch từ một kết nối
không an toàn đến một kết nối an toàn, trong trường hợp này là từ HTTP vào
HTTPS, bạn sẽ tấn công cầu nối và có thể “man-in-the-middle” kết nối SSL trước
khi nó xuất hiện. Để thực hiện hiệu quả điều này, Moxie đã tạo một công cụ
SSLstrip, chúng ta sẽ sử dụng công cụ này dưới đây.
Quá trình thực hiện khá đơn giản và gợi nhớ lại các tấn công mà chúng ta
đã nghiên cứu trong các phần trước của loạt bài. Nó được phác thảo như trong
hình 2 bên dưới.
Hình 2: Chiếm quyền điều khiển truyền thông HTTPS
Quá trình được phác thảo trong hình 2 làm việc như sau:
- Lưu lượng giữa máy khách và máy chủ đầu tiên sẽ bị chặn
- Khi bắt gặp một HTTPS URL, sslstrip sẽ thay thế nó bằng một liên kết
HTTP và sẽ ánh xạ những thay đổi của nó.
- Máy tấn công sẽ cung cấp các chứng chỉ cho máy chủ web và giả mạo
máy khách.
- Lưu lượng được nhận trở lại từ website an toàn và được cung cấp trở lại
cho máy khách.
Quá trình làm việc khá tốt, máy chủ có liên quan vẫn nhận lưu lượng SSL
mà không hề biết về sự khác biệt này. Chỉ có một sự khác biệt rõ rệt trong trải
nghiệm người dùng là lưu lượng sẽ không được cắm cờ HTTPS trong trình duyệt,
vì vậy một người dùng có kinh nghiệm sẽ có thể thấy đó là một điều dị thường.
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
7
2. Cách thực hiện
Bước 1: Tiến hành đầu độc ARP
Bước 2: Cấu hình để chuyển tiếp IP.
Bước 3: Cấu hình IPTables để định tuyến đúng lưu lượng HTTP.
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
8
Bước 4: Chạy SSL strip.
Khi hoàn tất, bạn sẽ có thể chiếm quyền điều khiển bất cứ kết nối SSL nào
đang được thiết lập. Từ đây, bạn có thể khởi chạy tiện ích “đánh hơi” dữ liệu và thu
thập mật khẩu, các thông tin nhận dạng cá nhân khác như số thẻ tín dụng, từ lưu
lượng.
3. Nhận xét và cách phòng chóng
Như được giới thiệu ở trên, việc chiếm quyền điều khiển SSL theo cách này
là hầu như không thể phát hiện từ phía trình chủ vì máy chủ cứ tưởng nó vẫn
truyền thông bình thường với máy khách. Nó không hề có ý tưởng rằng đang
truyền thông với một client bởi proxy. Việc nâng cấp trình duyệt cũng khá quan
trọng. Khuyến cáo nên sử dụng các trình duyệt khác Internet explorer.
II. Đánh Cắp Cookie, Cướp Session
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
9
1. ARP và việc đầu độc ARP
Đầu tiên để hiểu rõ hơn về quá trình đánh cắp cookies bằng BackTrack4,
chúng ta cần tìm hiểu một chút về ARP và việc đầu độc ARP. Vậy ARP là gì?
Trên thực tế, các card mạng (NIC) chỉ có thể kết nối với nhau theo địa chỉ
MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy ta phải có một cơ chế để
chuyển đổi các dạng địa chỉ này qua lại với nhau. Từ đó ta có giao thức phân giải
địa chỉ: Address Resolution Protocol (ARP).
Vậy ARP hoạt động trong mạng Lan như thế nào? Hiểu rõ cơ chế hoạt động
của Arp sẽ giúp chúng ta dễ dàng hiểu về việc thế nào là đầu độc ARP. Khi một
thiết bị mạng muốn biết địa chỉ MAC của một thiết bị nào đó mà nó đã biết địa chỉ
ở tầng network, nó sẽ gửi một ARP request bao gồm địa chỉ MAC của nó và địa
chỉ IP của thiết bị mà nó cần biết địa chỉ MAC. Mỗi một thiết bị nhận được request
này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu
trùng địa chỉ thì thiết bị đó phải gửi ngược lại cho thiết bị gửi ARP request một gói
tin (trong đó có chưa địa chỉ MAC của mình).
Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao
thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được
cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng
giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này
có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác
và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc
gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi
ARP “độc”. Khi các ARP reply “đôc” này đến được các máy tính đã gửi request,
máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để
truyền thông, tuy nhiên thực chất nạn nhân lại đang truyền thông với một kẻ tấn
công.
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
10
2. Cướp cookies và chiếm quyền điều khiển session
Thuật ngữ chiếm quyền điều khiển session (session hijacking) chứa đựng
một loạt các tấn công khác nhau. Nhìn chung, các tấn công có liên quan đến sự
khai thác session giữa các thiết bị đều được coi là chiếm quyền điều khiển session.
Khi trở thành kẻ đứng giữa (Man in the midle), hacker có thể bắt các gói tin
lưu thông trên card mạng của nạn nhân, qua đó Hacker có thể phân tích và tìm
được cookie, cướp session của nạn nhân, sử dụng tài khoản trực tuyến của nạn
nhân mà không cần thông qua chứng thực username/password.
Trên thực tế, không có thứ gì đi qua mạng được an toàn, và dữ liệu session
cũng không có gì khác biệt. Nguyên lý ẩn sau hầu hết các hình thức chiếm quyền
điều khiển session là nếu có thể chặn phần nào đó dung để thiết lập một session,
khi đó hacker có thể sử dụng dữ liệu đó để thủ vai một trong số những thành phần
có liên quan trong truyền thông và từ đó có thể truy cập các thông tin session.
Để hiểu rõ về vấn đề cướp cookies và chiếm quyền điều khiển session,
nhóm thiết lập một kịch bản nạn nhân đăng nhập vào facebook và hacker sẽ tiến
hành cướp cookies của nạn nhân và dùng nó để vào facebook của nạn nhân mà
không cần username và password.
Trong kịch bản ví dụ mà đưa ra, nhóm sẽ thực hiện một tấn công chiếm
quyền điều khiển session bằng cách chặn sự truyền thông của một người dùng đang
đăng nhập vào tài khoản Facebook của anh ta. Và lợi dụng sự truyền thông bị chặn
này, nhóm sẽ đóng vai người dùng đó và truy cập vào tài khoản từ máy tính đang
dùng để tấn công. Để thực hiện vụ tấn công, nhóm sử dụng Back Track 4.
Đầu tiên từ máy của nạn nhân, nạn nhân đăng nhập vào facebook
Trang giao diện Home của tài khoản nạn nhân
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
11
Các thông số Netword của máy nạn nhân
c 1: Máy tính dùng để tấn công khởi động Back Track 4, và vào phần Konsole
( ô vuông đỏ trong hình) để tiến hành việc đầu tiên là đầu độc ARP
c 2: Trong cửa sổ Konsole, gõ dòng lệnh ettercap –T –p –M arp
/192.168.1.100/ /192.168.1.1/ -i eth0 ( eth0 vì đang sử dụng mạng có dây) trong đó
192.168.1.100 là IP Adress của máy nạn nhân và 192.168.1.1 là Default Gateway
của máy nạn nhân
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
12
Sau khi gõ dòng lệnh và nhấn enter, Back Track 4 sẽ thông báo đã đầu độc ARP
thành công và các thông báo về việc nạn nhân đăng nhập facebook được hiển thị
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
13
c 3: Sau khi đầu độc ARP, nhóm tiến hành capture lưu lượng và phân tích các
gói dữ liệu này, vì ARP đã bị đầu độc nên các gói dữ liệu sẽ được bảo đảm capture
đúng.
Khởi động Wireshark trong BackTrack 4
Giao diện chính của Wirsshack hiện ra, nhóm chọn eth0 vì đang sử dụng mạng có
dây
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
14
Sau khi chọn, Wireshark sẽ bắt đầu tiến hành capture các gói dữ liệu từ máy tính
nạn nhân
Sau khi Wireshark capture xong, vì nhóm đang tiến hành đánh cắp cookies
nên sẽ chỉ quan tâm tới những gói liên quan cookies của nạn nhân, nên nhóm sẽ lọc
ra những gói liên quan đến cookies của nạn nhân
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
15
c 4: Từ những gói đã được lọc ra, nhóm tìm kiếm gói thông tin nào có chứa
cookies liên quan tới việc nạn nhân đăng nhập Facebook để tiến hành đánh cắp nó
Sau
khi đã tìm ra gói chứa cookies của nạn nhân, nhóm tiến hành đánh cắp cookies
Những thông tin về cookies của nạn nhân được nhóm lấy ra, nhưng nhóm chỉ quan
tâm tới c_user và xs
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
16
c 5: Từ những thông tin về cookies của nạn nhân mà nhóm cướp được, nhóm
tạo cookie c_user và xs cho trình duyệt, để làm việc này, nhóm dùng trình duyệt
Firefox và Add On Cookies Manager+
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
17
Trong giao diện để Add Cookies, nhóm tiến hành add hai cookie c_user và xs
c 6: Hoàn tất, nhóm đã tiến hành cướp cookies xong, cuối cùng nhóm mở trình
duyệt lên và gõ vào thanh địa chỉ facebook.com, trình duyệt sẽ đưa tới facebook
của nạn nhân
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
18
3. Kết luận và các biện pháp phòng chóng
Bằng phương pháp đánh cắp cookie, hacker có thể thâm nhập vào tài khoản
của nạn nhân, giả mạo nạn nhân để phục vụ cho ý đồ của mình, chủ yếu là lừa đảo.
Tuy nhiên không thể chiếm được tài khoản của victim vì không biết password. Chỉ
cần user chủ động out ra, ngay lập tức cookie bị xóa => hacker dù bắt được nhưng
không thể sự dụng vì cookie này đã hết hiệu lực.
Ngoài ra có một số biện pháp phòng tránh những yếu tố nguy cơ:
Truy cp ti nhà: Cơ hội để ai đó có thể chặn lưu lượng của bạn trên mạng
gia đình ít hơn nhiều so với mạng ở nơi làm việc. Điều này không phải vì máy tính
ở nhà của bạn thường an toàn hơn, mà vấn đề là bạn chỉ có một hoặc hai máy tính
tại nhà. Trên mạng LAN ở nơi khác (ví dụ nơi bạn làm việc), bạn không biết những
gì đang diễn ra bên dưới tiền sảnh hoặc trong văn phòng chi nhánh cách đó 200
dặm, vì vậy nguồn tấn công tiềm ẩn là rất nhiều. Cần biết rằng một trong những
mục tiêu lớn nhất của tấn công chiếm quyền điều khiển session là tài khoản ngân
hàng trực tuyến, tuy nhiên ngoài ra nó còn được áp dụng cho mọi thứ.
Cn có s hiu bit v tn công: Những kẻ tấn công tinh vi, kể cả đến các
hacker dày dạn nhất cũng vẫn có thể mắc lỗi và để lại dấu vết đã tấn công bạn.
Việc biết thời điểm nào bạn bị đăng nhập vào các dịch vụ dựa trên session có thể
giúp bạn xác định được rằng liệu có ai đó đang rình rập mình hay không. Do đó
nhiệm vụ của bạn là cần phải canh chừng mọi thứ, quan tâm đến thời gian đăng
nhập gần nhất để bảo đảm mọi thứ vẫn diễn ra tốt đẹp.
Bo mt tt cho các máy tính bên trong: Các tấn công này thường được
thực thi từ bên trong mạng. Do đó nếu các thiết bị mạng của bạn an toàn thì cơ hội
cho kẻ tấn công thỏa hiệp được các host bên trong mạng của bạn sẽ ít đi, và từ đó
giảm được nguy cơ tấn công chiếm quyền điều khiển session.
III. DNS Spoofing
1. DNS Spoofing
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
19
Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin
DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó, ví
dụ, www.yahoo.com có IP XXX.XX.XX.XX, thì cố gắng này sẽ được gửi đến một
địa chỉ www.24h.com.vn giả mạo cư trú ở địa chỉ IP YYY.YY.YY.YY, đây là địa
chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin tài khoản ngân hàng trực
tuyến từ người dùng.
Giao thức Domain Naming System (DNS) như được định nghĩa trong RFC
1034/1035 có thể được xem như là một trong những giao thức quan trọng nhất
được sử dụng trong Internet. Nói ngắn ngọn để dễ hiểu, bất cứ khi nào bạn đánh
một địa chỉ web chẳng hạn như vào trình duyệt, yêu cầu
DNS sẽ được đưa đến máy chủ DNS để tìm ra địa chỉ IP tương xứng với tên miền
mà bạn vừa nhập. Các router và các thiết bị kết nối Internet sẽ không hiểu
google.com là gì, chúng chỉ hiểu các địa chỉ chẳng hạn như 74.125.95.103.
Máy chủ DSN làm việc bằng cách lưu một cơ sở dữ liệu các entry (được gọi
là bản ghi tài nguyên) địa chỉ IP để bản đồ hóa tên DNS, truyền thông các bản ghi
tài nguyên đó đến máy khách và đến máy chủ DNS khác. Kiến trúc máy chủ DNS
trong toàn doanh nghiệp và Internet là một thứ khá phức tạp. Như một vấn đề của
thực tế, bạn có thể hình dung chúng như các quyển sổ chuyên dụng cho kiến trúc
DNS. Chúng tôi sẽ không đi vào giới thiệu các khía cạnh về kiến trúc hay thậm chí
các kiểu lưu lượng DNS khác nhau, mà chỉ giới thiệu một phiên giao dịch DNS cơ
bản.
Hình 1: Truy vấn và đáp trả DNS
DNS hoạt động theo hình thức truy vấn và đáp trả (query/response). Một
máy khách cần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến
máy chủ DNS, máy chủ DNS này sẽ gửi thông tin được yêu cầu trong gói đáp trả
của nó. Đứng trên phối cảnh máy khách, chỉ có hai gói xuất hiện lúc này là truy
vấn và đáp trả.
Kịch bản này sẽ có đôi chút phức tạp khi xem xét đến sự hồi quy DNS. Nhờ
có cấu trúc thứ bậc DNS của Internet, các máy chủ DNS cần có khả năng truyền
thông với nhau để đưa ra câu trả lời cho các truy vấn được đệ trình bởi máy khách.
Nếu tất cả đều diễn ra thuận lợi như mong đợi, máy chủ DNS bên trong của chúng
ta sẽ biết tên để bản đồ hóa địa chỉ IP cho máy chủ bên trong mạng nội bộ, tuy
nhiên không thể mong đợi nó biết địa chỉ tương quan giữa Google hoặc Dell. Đây
là nơi sự đệ quy đóng vai trò quan trọng. Sự đệ quy diễn ra khi một máy chủ DNS
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
20
truy vấn máy chủ DNS khác với tư cách máy khách tạo yêu cầu. Về bản chất, cách
thức này sẽ biến một máy chủ DNS thành một máy khách
2. Các bước thực hiện
: Mở file etter.dns
Trỏ dns của tên miền về ip nào đó
: Đầu độc arp của victim và dùng plug-in dns_spoof
c 4: Khi victim truy cập các tên miền đã sửa ở bước 2 ta nhận được thông báo
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
21
c 5: chạy trang www.yahoo.com để xem kết quả giả mạo DNS Spoofing
3. Kết luận và cách phòng chóng
Khá khó phòng chống việc giả mạo DNS vì có khá ít các dấu hiệu tấn công.
Thông thường, bạn không hề biết DNS của mình bị giả mạo cho tới khi điều đó xảy
ra, đây là một phương pháp tấn công cực kì nguy hiểm. Biện pháp phòng chống:
- Bo v các máy tính bên trong ca bn: Các tấn công giống như trên
thường được thực thi từ bên trong mạng của bạn. Nếu các thiết bị mạng của
an toàn thì sẽ bạn sẽ giảm được khả năng các host bị thỏa hiệp và được sử
dụng để khởi chạy tấn công giả mạo.
- Không da vào DNS cho các h thng bo mt: Trên các hệ thống an toàn
và có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt
nhất để không sử dụng đến DNS. Nếu bạn có phần mềm sử dụng hostname
để thực hiện một số công việc của nó thì chúng cần phải được điều chỉnh
những gì cần thiết trong file cấu hình thiết bị.
- S dng IDS: Một hệ thống phát hiện xâm nhập, khi được đặt và triển khai
đúng, có thể vạch mặt các hình thức giả mạo ARP cache và giả mạo DNS.
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
22
- S dng DNSSEC: DNSSEC là một giải pháp thay thế mới cho DNS, sử
dụng các bản ghi DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy
vấn. Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được
chấp thuận là “tương lai của DNS”.
IV. Sniff Password Dùng Wireshark
1. Wireshark
Là công cụ dùng để phân tích các giao thức của mạng cho phép xem chi tiết
các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích
VoIP.
Có thể đọc/ghi nhiều dạng file như tcpdump (libpcap), Catapult DCT2000,
Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer®,
… Dữ liệu nén dạng gzip bắt được có thể giải nén ngay lập tức, cung cấp nhiều
phương thức giải nén như IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP,
…
Làm việc với nhiều loại kết nối mạng, bao gồm Ethernet, IEEE 802.11,
PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI,…
Hacker sniff được gói tin và bắt được usernam/password truy cập vào các diễn đàn
với chuỗi mật khẩu đã bị mã hóa md5, hacker tiến hành dò password và tìm ra kết
quả
Quy trình mã hóa và chứng thực:
Bước 1: client chạy hàm md5 mã hóa password viết bằng javascript rồi gửi lên
server bằng phương thức POST hoặc GET.
Bước 2: Server nhận chuỗi mã hóa và tiến hành dò với database.
Bước 3: Server thông báo thành công. User log in.
2. Cách thực hiện
Bước 1: Đầu độc ARP, cơ chế: để xây dựng ARP table, máy tính sẽ gửi các
ARP request, sau đó nhận lại các ARP reply. Hệ thống hoàn toàn không có cơ chế
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
23
xác minh xem thông tin của ARP reply đó là thật hay giả, thông tin này sẽ được lưu
lại vào ARP table để sử dụng. Lợi dụng điểm yếu này người tấn công sẽ thực hiện
đầu độc hệ thống ARP bằng cách gởi một đáp ứng ARP không yêu cầu đến host
mục tiêu. Một đáp ứng ARP giả sẽ chứa địa chỉ phần cứng của thiết bị bình thường
và địa chỉ IP của thiết bị có ý đồ xấu
Bước 2: Chạy wireshark tiến hành bắt gói tin đăng nhập vào diễn đàn vn-
zoom.com.
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
24
Bước 3: Sau khi có username và chuỗi mã hóa md5, hacker tiến hành save page
đăng nhập của diễn đàn và chỉnh sửa các value, sau đó gửi username và chuỗi mã
hóa password.
An Toàn Và Bảo Mật Hệ Thống Thông Tin
Nhóm 2 - K09406 - 2012
25
3. Kết luận và biện pháp phòng chóng
Dùng lnh:
- ipconfig /all xem MAC của mình
- arp -a xem bảng ARP trên máy mình, kiểm tra MAC của B có phải đúng là
MAC B hay không.
- arp -d * xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị
tấn công cũng mất, và máy tính sẽ bắt đầu học lại. Nhưng nếu máy tấn công
vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô
ích
- arp -s gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không
đầu độc được IP này nữa. Nhưng việc này không khả thi cho mạng lớn, nhiều
máy tính, và có sự thay đổi IP (ví dụ dùng DHCP).
Dùng phn mm :
Chúng ta có thể cài đặt phần mềm Anti ARP để tránh việc nhận ARP Reply
giả mạo
Dynamic ARP Inspection : Switch sẽ dựa vào bảng DHCP Snooping
Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lệ hay không, nếu
không hợp lệ sẽ DROP ngay
C. INTERNET NETWORK
I. Lấy Cắp Thông Tin Tài Khoản Yahoo, Gmail, Facebook Dùng Keylogger
1. Keylogger
Keylogger là một chương trình máy tính nhằm mục đích theo dõi và ghi lại
mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài
đặt nó sử dụng. Vì chức năng mang tính vi phạm vào riêng tư của người khác này