1/28/2016

AN TOÀN THÔNG TIN CHO CÁN BỘ KỸ THUẬT
Học viện Công nghệ Bưu chính Viễn thông

CHUYÊN ĐỀ 3

CÁC KỸ THUẬT TẤN CÔNG PHỔ BIẾN
VÀO HỆ THỐNG THÔNG TIN

1


1/28/2016

TỔNG QUAN NỘI DUNG

1. Khái quát kỹ thuật tấn công hệ thống máy
tính
2. Một số kỹ thuật tấn công phổ biến

3

2. Một số kỹ thuật tấn công phổ biến

2


1/28/2016

2. Một số kỹ thuật tấn công phổ biến

1. Tấn công Spoofing
2. Tấn công IP Fragmentation
3. Tấn công Packet Sniffing
4. Tấn công MitM (Man-in-the-Middle)
5. Tấn công Replay
6. Tấn công Session Hijacking
7. Tấn công TCP Sequence Prediction

5

2. Một số kỹ thuật tấn công phổ biến

8. Tấn công DoS và DDoS
 Ping of Death
 Land Attack
 SYN Flooding
9. Tấn công DNS
10. Tấn công Buffer Overflow
11. Tấn công Format String
12. Tấn công Back Door
13. Tấn công kiểu Social Engineering

6

3


1/28/2016


2.1. Tấn công giả mạo (Spoofing)

Spoofing
 Tấn công giả mạo (Spoofing) là tình huống một người/một
chương trình giả mạo thành công là một người khác/một
chương trình khác bằng cách làm sai lệch dữ liệu và do đó
đạt được một lợi thế không chính đáng.
 Có nhiều loại tấn công giả mạo như:
 Giả mạo IP
 Giả mạo MAC
 Giả mạo URL
 Giả mạo ARP
 Giả mạo DNS
 Giả mạo địa chỉ Email

8

4


1/28/2016

Giả mạo địa chỉ IP
 Giả mạo địa chỉ IP là kỹ thuật được dùng để chiếm quyền
truy cập trái phép vào máy tính. Kẻ tấn công sẽ gửi các
thông điệp đến một máy tính sử dụng một địa chỉ IP giả mạo
với mục đích lừa gạt để người nhận tin rằng thông điệp
được phát ra từ một máy tính đáng tin cậy.
 Có nhiều kỹ thuật hacker sử dụng để lấy được các địa chỉ IP
tin cậy, sau đó sửa đổi tiêu đề gói tin để chèn các địa chỉ giả

mạo. Tuy nhiên, các router và firewall thế hệ mới với cấu
hình thích hợp có thể ngăn chặn được giả mạo IP.

9

Giả mạo địa chỉ IP (tiếp)

A

www.abc.com

10.10.10.1

124.111.1.10



10.10.10.1 124.111.1.10
Src_IP

dst_IP

Any (>1024)
Src_port

80
dst_port

Giả mạo
11.11.11.1 134.117.1.60

Src_IP

dst_IP

Any (>1024)
Src_port

80
dst_port

10

5


1/28/2016

Giả mạo địa chỉ IP (tiếp)

11

Tại sao dễ dàng thực hiện tấn công giả mạo IP?
 Các lỗi trong cấu hình router
 Router chỉ quan tâm các địa chỉ đích
 Việc xác thực chỉ dựa trên các địa chỉ nguồn
 Thay đổi các trường trong gói tin IP rất dễ dàng

12

6



1/28/2016

Các biến thể của tấn công giả mạo IP
Có một số tấn công sử dụng giả mạo IP:
1. Non-blind spoofing
2. Blind spoofing
3. Tấn công chiếm kết nối (connection hijacking)
4. Tấn công từ chối dịch vụ (DoS)
5. Tấn công Smurf

13

Các biến thể của tấn công giả mạo IP (tiếp)
1. Non-blind spoofing
 Tấn công này xảy ra khi kẻ tấn công nằm trên cùng subnet
với mục tiêu bị tấn công. Khi đó, mục tiêu bị tấn công có thể
quan sát được các trường sequence và acknowledgement
của các gói tin.

14

7


1/28/2016

Mạo danh
Người

gửi
partner

Tôi đã nhận được gói
tin từ bạn tôi. Tôi sẽ xử
lý nó!

Nạn nhân

15

Bắt tay 3 bước:

Kẻ tấn công

SYN(A)
ACK(A+1) SYN(B)
ACK(B+1)

A

B
Host tin cậy

16

8


1/28/2016


Các biến thể của tấn công giả mạo IP (tiếp)
2. Blind spoofing
 Tấn công này có thể xảy ra từ bên ngoài, do đó không thể
truy cập được giá trị sequence và acknowledgement của gói
tin. Kẻ tấn công thường gửi nhiều gói tin đến các máy tính
mục tiêu để lấy mẫu giá trị sequence.
 Tấn công này sử dụng giả mạo để can thiệp vào một kết nối
(hoặc tạo ra một kết nối) không cùng subnet với mục tiêu.

17

flooding attack
Người
gửi

Ô hay, có rất nhiều
gói tin đến. Nhưng
gói nào mới là thật
sự?

Nạn nhân

18

9


1/28/2016


Các biến thể của tấn công giả mạo IP (tiếp)
3. Tấn công chiếm kết nối (connection hijacking)
 Trong kiểu tấn công này, bên tấn công chặn một kết nối hợp
lệ giữa hai host để kiểm soát thông tin và sau đó loại bỏ
hoặc thay đổi các thông tin được gửi bởi một trong những
bên tham gia lúc đầu mà họ không biết.

19

Reflection attack

Người
gửi

Ô hay, có quá
nhiều gói tin trả
lời không đi kèm
yêu cầu…

Gói tin IP giả mạo
src: nạn nhân
dst: reflector

reflector

Nạn nhân
20

10



1/28/2016

Các biến thể của tấn công giả mạo IP (tiếp)
4. Tấn công từ chối dịch vụ (DoS)
 Khi tiến hành các cuộc tấn công, kẻ tấn công giả mạo IP
nguồn khiến việc truy tìm và ngăn chặn DoS trở nên khó
khăn. Do đó khi nhiều máy đã bị hack tham gia vào các cuộc
tấn công, rất khó khăn để có thể nhanh chóng ngăn chặn
các lưu lượng truy cập này.
 Giả mạo IP hầu như luôn được sử dụng trong tấn công từ
chối dịch vụ (DoS), trong đó kẻ tấn công tiêu hao băng thông
và tài nguyên bằng cách gây ngập lụt các mục tiêu với rất
nhiều gói tin trong một khoảng thời gian ngắn.

21

Các biến thể của tấn công giả mạo IP (tiếp)
5. Tấn công Smurf
 Gửi gói tin ICMP ping với địa chỉ IP nguồn giả mạo tới một
mạng LAN, rồi sau đó gói tin này sẽ được quảng bá đến tất
cả các host trên mạng LAN
 Mỗi host sẽ gửi một gói tin trả lời đến địa chỉ IP giả mạo, từ
đó dẫn tới từ chối dịch vụ.

22

11



1/28/2016

Tấn công “Smurf”

Giống gói tin ping hợp lệ
“Bạn còn sống chứ?”
yêu cầu từ nạn nhân

1 ICMP Echo Req
Src: địa chỉ nạn nhân
Dest: địa chỉ quảng bá

Mọi host trong mạng gửi gói
ping trả lời (ICMP
Echo Reply) tới nạn nhân

router

Luồng các gói tin ping
trả lời tràn ngập máy
nạn nhân

Nạn nhân

23

Giả mạo địa chỉ MAC
 Kẻ tấn công nghe lén địa chỉ MAC của máy trạm hợp pháp
trong mạng, sau đó dùng địa chỉ MAC đó để truy cập mạng.
 Bằng cách dùng địa chỉ MAC ăn cắp được của nạn nhân, kẻ

tấn công có thể nhận được tất cả các lưu lượng đi từ máy
nạn nhân tới đích.

24

12


1/28/2016

Giả mạo địa chỉ MAC (tiếp)

 Nếu MAC được quyền thực thi trong mạng, kẻ tấn công có
thể có quyền thực thi trong mạng đó.
 Kẻ tấn công có thể tiến hành nhận dạng một ai đó trên mạng
 Công cụ giả mạo MAC trên MS Windows:
 SMAC 2.0

25

Email Spoofing

26

13


1/28/2016

2.2. Tấn công phân mảnh IP

(IP fragmentation)

Định dạng IP datagram
số hiệu phiên bản
giao thức IP
độ dài header
(bytes)
“kiểu” của dữ liệu
số hop còn lại
tối đa
(giảm xuống tại
mỗi router)
giao thức lớp trên

32 bits
type of
ver head.
len service

length
fragment
16-bit identifier flgs
offset
time to upper
header
layer
live
checksum

tổng độ dài

datagram (bytes)
dành cho việc
phân mảnh/
tổng hợp

32 bit địa chỉ IP nguồn
32 bit địa chỉ IP đích
tùy chọn (nếu có)

dữ liệu
(độ dài thay đổi,
tùy theo đoạn TCP
hoặc UDP)

ví dụ: trường
timestamp
ghi nhận đường đi,
danh sách các
router
để đi đến
28

14


1/28/2016

Phân mảnh và tập hợp lại gói tin IP

length ID fragflag offset

=4000 =x
=0
=0

Ví dụ
 4000 byte

datagram
 MTU = 1500 bytes

1 datagram lớn thành một vài datagram nhỏ hơn

length ID fragflag offset
=1500 =x
=1
=0
1480 bytes trong
trường dữ liệu

length ID fragflag offset
=1500 =x
=1
=185

offset =
1480/8

length ID fragflag offset
=1040 =x
=0

=370

29

Tấn công phân mảnh IP
 Tấn công phân mảnh IP
 Giá trị offset quá nhỏ
 Xác định các gói nhỏ bất thường
 Có thể vượt qua một số thiết bị lọc gói tin

 Sự chồng lấn các mảnh IP
 Giá trị offset xác định sự chồng lấn
 Tấn công Teardrop

30

15


1/28/2016

Tấn công phân mảnh IP (tiếp)
 Router và Internet Gateway là các thiết bị chung
 Các gói tin được phân mảnh không đúng thường được
chuyển tiếp với lưu lượng khác.
 Yêu cầu “kiểm tra Statefull”

31

2.3. Tấn công Packet Sniffing


16


1/28/2016

Định tuyến IP

Alice

Office gateway
Packet

121.42.33.12

Source 121.42.33.12
Destination 132.14.11.51
5
Sequence

Bob
132.14.11.1

ISP

132.14.11.51

121.42.33.1

 Định tuyến internet sử dụng địa chỉ IP số

 Định tuyến điển hình sử dụng một số hops.
33

Packet Sniffing
 Promiscuous Network Interface Card (Cạc giao diện mạng
ngẫu nhiên) đọc tất cả các gói tin
 Đọc tất cả các dữ liệu được mã hóa (e.g., “ngrep”)
 ftp, telnet gửi mật khẩu rõ ràng

Eve

Alice

Network

Bob

34

17


1/28/2016

Xem xét các thiết bị kết nối
 Hub
 Switch
 Router

35


Hub
 Hub về cơ bản là bộ lặp
(repeater) tại tầng vật lý:
 Các bit đến từ một liên kết và đi đến
các liên kết khác theo cùng tỷ lệ
 Không có vùng đệm cho khung dữ
liệu (frame)

twisted pair

hub

 Không sử dụng CSMA/CD tại hub:
các adapter sẽ phát hiện xung đột
 Cung cấp chức năng quản trị mạng

36

18


1/28/2016

Sniffing
 Kẻ tấn công nằm bên
trong firewall
 Yêu cầu:
 Host của kẻ tấn công được
kết nối với môi trường chia

sẻ
 NIC phải ở trong “chế độ
ngẫu nhiên”

 Lấy và chuyển đi
 Các userid và password
 Số thẻ tín dụng
 Các cuộc hội thoại email bí mật

 Tấn công Island hopping:

• Xử lý tất cả các khung đến
NIC

 Sniffer có 2 thành phần:

 Đi qua các máy tính đơn (ví dụ,
vi rút)
 Cài đặt sniffer, quan sát
password, đi qua nhiều máy,
cài đặt các sniffer

 Bắt gói tin
 Phân tích gói tin
37

Sniffing thụ động
 Dễ dàng sniff:
 Lưu lượng 802.11 (802.11 traffic)
 Lưu lượng Ethernet qua một hub

• Bất kỳ gói tin nào gửi cho hub cũng được quảng bá đến tất cả các giao diện
• Không đúng cho một switch

 Lưu lượng cable modem

 Các sniffer thông dụng
 Wireshark
 tcpdump (for unix)
 Snort (sniffing và kiểm tra xâm nhập)

38

19


1/28/2016

Sniffing chủ động qua một switch

Làm thế nào kẻ tấn công có thể sniff các gói tin đến/từ một nạn nhân?
Kẻ tấn công

switch

Nạn nhân

Có thể lấy được các gói tin của nạn nhân đi đến kẻ tấn công!

39


Sniffing qua một switch:
cách tiếp cận làm tràn bộ nhớ switch
 Host gửi ngập tràn các frames với các địa chỉ MAC nguồn
ngẫu nhiên
 Bảng chuyển tiếp của switch sẽ được điền đầy với các địa chỉ MAC
không có thật
 Khi “gói tin tốt đi đến,” địa chỉ MAC đích sẽ không nằm trong bộ nhớ
của switch
 Switch gửi quảng bá các gói tin thật đến tất cả các liên kết

 Sniff tất cả các gói tin quảng bá

40

20


1/28/2016

Cách phòng thủ
 Gắn các địa chỉ MAC vào cổng switch
 Có sẵn trên các switch cao cấp
 Cấu hình phức tạp

 Ưu tiên cho ánh xạ hiện có
 Chỉ thay thế chúng khi timeout đã hết

41

Sniffing qua LAN: phá hoại bảng ARP của nạn nhân


Ý tưởng: có lưu lượng của
client được chuyển đến kẻ
tấn công
(1) Gửi các đáp ứng ARP giả,
ánh xạ địa chỉ IP của router
thành địa chỉ MAC của kẻ
tấn công

Kẻ tấn
công

(0) Sniff tất cả các frame đến.
Cấu hình để các gói IP đến từ nạn nhân
được chuyển tiếp đến router mặc định

(3) Các gói tin được chuyển tiếp từ host
của kẻ tấn công tới router mặc định.

switch
Nạn nhân (2) Nạn nhân gửi lưu lượng
đã đến
ra thế giới bên ngoài. Bảng ARP bị
phá hoại là nguyên nhân làm cho lưu
lượng được gửi đến kẻ tấn công.

Router
mặc định
cho LAN


Thế giới
bên ngoài

42

21


1/28/2016

Các công cụ sniffing mạnh
 Dsniff và ettercap
 Làm tràn bộ nhớ switch
 Phá hoại bảng ARP

43

Phòng thủ Sniffing
 Mã hóa dữ liệu: IPsec, SSL, PGP, SSH
 Không sử dụng hub: chuyển hoàn toàn sang mạng chuyển mạch.
 Sử dụng mã hóa cho cả không dây và các kênh cáp.
 Cấu hình các switch với địa chỉ MAC
 Tắt tính năng tự học (biết ánh xạ giữa các cổng và các địa chỉ MAC)
 Loại bỏ vấn đề tràn bộ nhớ

 Các hệ thống kiểm tra xâm nhập
 Xem xét được số lượng lớn đáp ứng ARP

 Honeypot
 Tạo mật khẩu giả mạo và gửi mật khẩu qua mạng

 Xác định kẻ tấn công khi họ sử dụng mật khẩu
44

22


1/28/2016

2.4. Tấn công MitM
(Man-in-the-Middle)

Kịch bản chung

Server

Kẻ tấn công

Client

46

23


1/28/2016

Các kịch bản tấn công MITM
 Cách tấn công khác nhau trong các tình huống khác nhau
LOCAL AREA NETWORK:
- Phá hoại ARP

- Giả mạo DNS
- Đánh cắp cổng

- STP mangling

TỪ LOCAL TỚI REMOTE (qua gateway):
- Phá hoại ARP
- Giả mạo DNS
- ICMP redirection - Giả mạo IRDP

- Giả mạo DHCP
- route mangling

REMOTE:
- Phá hoại DNS

- route mangling

- traffic tunneling

47

Ví dụ local MIMT: giả mạo DNS
 Nếu kẻ tấn công nghe trộm được ID của bản tin DNS
request, họ có thể gửi trả lời trước server DNS thật

MITM

HOST


serverX.localdomain.in

DNS

10.1.1.1
10.1.1.50

48

24


1/28/2016

Các công cụ dùng trong giả mạo DNS
 ettercap ()
 Phantom plugin

 dsniff ( /> Dnsspoof

 zodiac ( />
49

Ví dụ local tới remote MIMT: chuyển hướng ICMP
 Nếu kẻ tấn công có thể bắt chuyển hướng gói ICMP nhằm
chuyển lưu lượng tới chúng

T

G1


AT
ICMP redirect to AT

H

50

25