Tải bản đầy đủ (.docx) (71 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Tìm hiểu về phương pháp tấn công Sniffer

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (578.12 KB, 71 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

THỰC TẬP CƠ SỞ CHUYÊN NGÀNH

NGHIÊN CỨU VỀ PHƯƠNG PHÁP TẤN CÔNG
SNIFFER VÀ CÁCH PHÒNG CHỐNG
Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số: 52.48.02.01

Tp. Hồ Chí Minh, tháng 10 năm 2018


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

THỰC TẬP CƠ SỞ CHUYÊN NGÀNH

NGHIÊN CỨU VỀ PHƯƠNG PHÁP TẤN CÔNG
SNIFFER VÀ CÁCH PHÒNG CHỐNG
Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin
Mã số: 52.48.02.01
Sinh viên thực hiện:Phạm Văn Đạt
Nguyễn Anh Huy
Trần Tấn Lực
Người hướng dẫn: ThS. Lê Thị Hồng Vân
Khoa Công nghệ Thông tin – Học viện Kỹ thuật Mật Mã



Tp. Hồ Chí Minh, tháng 10 năm 2018


LỜI CẢM ƠN
Để hoàn thành đề tài thực tập, lời đầu tiên em xin chân thành cảm ơn các
thầy giáo, cô giáo trong khoa Công nghệ Thông tin trường Học viện Kỹ thuật
Mật Mã, người đã dạy bảo, trang bị cho em những kiến thức bổ ích trong suốt
những năm học qua.
Em xin bày tỏ lòng biết ơn sâu sắc nhất tới ThS. Lê Thị Hồng Vân, người
đã tận tình hướng dẫn chúng em trong suốt quá trình làm đồ án này.
Một lần nữa em xin chân thành cảm ơn sự giúp đỡ của các thầy cô.
SINH VIÊN THỰC HIỆN
PHẠM VĂN ĐẠT
NGUYỄN ANH HUY
TRẦN TẤN LỰC


LỜI NÓI ĐẦU
Hiện nay, khi công nghệ thông tin đang phát triển ngày một mạnh mẽ,
mạng máy tính là một thành phần không thể thiếu đối với các hệ thống thông tin
của mọi tổ chức. Hơn nữa, hầu hết các giao dịch, dịch vụ của xã hội đều được
triển khai trên mạng. Nhưng liệu khi chúng ta tham gia vào hoạt động trên mạng
thông tin như vậy chúng ta có được an toàn hay không? Đó là câu hỏi được đặt
thường xuyên. Nếu chúng ta không khắc phục các nhược điểm này thì môi
trường mạng sẽ trở nên màu mỡ cho những hacker, gây ra sự thất thoát thông tin
và tiền bạc. Do đó bảo mật trong mạng cũng đang là vấn đề được đặt ra hàng
đầu.
Hiểu được các vấn đề đó, nhóm chúng em đã quyết định chọn đề tài
“Nghiên cứu các phương pháp tấn công mạng và phòng chống” và phương pháp
tấn công mạng mà nhóm chúng em nghiên cứu là Sniffer. Đề tài này sẽ tập trung

mô phỏng các phương thức tấn công tổng quát trên mạng thông qua các chương
trình sniffer và tìm hiểu các phương pháp phát hiện cũng như phòng chống
sniffer sao cho hiệu quả nhất.
Nội dung đề tài gồm có 4 phần được chia thành 4 chương: Chương đầu là
cái nhìn tổng quan về an ninh mạng hiện nay, chương tiếp theo là giới thiệu về
sniffer, chương tiếp theo là nêu ra các phương pháp tấn công sniffer và phòng
chống và chương cuối cùng là các ví dụ minh họa của thể của các phương pháp
tấn công và phòng chống.


MỤC LỤC


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

DANH MỤC CÁC TỪ VIẾT TẮT
AAA

Authentication Authorization Accounting

ACK
ACL

Acknowledgement
Access Control List

AD


Administrative Distance

ARP
BPDU
CAM
CDP
CIA

Address Resolution Protocol
Bridge Protocol Data Unit
Content Addressable Memory
Cisco Discovery Protocol
Confidentiality Integrity Availability

DHCP

Dynamic Host Configuration Protocol

DNS
Dot1q
DTP

Domain Name Service
IEEE 802.1Q
Dynamic Trunk Protocol

IP
ISL
LAN


Internet Protocol
Inter switch Link
Local Area Network

MAC
MAN
NAT
OSI

Media Access Control
Metropolitan Area Network
Network Address Translation
Open Systems Interconnection Model

PDU

Protocol Data Unit

PDU

Protocol Data Unit

RAM

Random Access Memory

SSH

Secure Shell


TCP
TCP/IP
UDP
VLAN

Transmission Control Protocol
Transmission control Protocol / Internet Protocol
User Datagram Protocol
Virtual LAN

WAN

Wide Area Network

URL

Uniform Resource Locator

DSL

Digital Subscriber Line

Phạm Đạt – Anh Huy – Tấn Lực

7


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân


ISP

Internet Service Provider

SQL

Structured Query Language

SSL

Secure Sockets Layer

VPN

Virtual Private Network

POP3

Post Office Protocol Version 3

TFTP

Trial File Transfer Protocol

RIP

Routing Information Protocol

GUI


Graphic User Interface

DANH MỤC HÌNH VẼ

DANH MỤC BẢNG

Phạm Đạt – Anh Huy – Tấn Lực

8


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1.

Thực tiễn về an ninh mạng hiện nay

Năm 2017, thiệt hại mà virus máy tính gây ra đối với người dùng Việt
Nam đã lên đến 12.300 tỷ đồng, tương đương 540 triệu USD, vượt xa mốc
10.400 tỷ đồng của năm 2016. Kết quả này được đưa ra từ chương trình đánh giá
an ninh mạng do Tập đoàn Bkav thực hiện vào tháng 12/2017. Mức thiệt hại tại
Việt Nam đã đạt kỷ lục trong nhiều năm trở lại đây. Ở các nền kinh tế khổng lồ
như Mỹ, Trung Quốc, Nhật Bản, Đức tội phạm gây ra tổng thiệt hại lên đến 200
tỷ USD mỗi năm. Bức tranh toàn cảnh an ninh mạng tại Việt Nam trong năm
2017 còn có các điểm nóng: gia tăng tấn công trên các thiết bị IoT, công nghệ
sinh trắc học mới nhất liên tục bị qua mặt, bùng nổ tin tức giả mạo, mã độc đào

tiền ảo và nỗi ám ảnh Wannay Cry.
1.1.1.

Tấn công thiết bị IoT

Trong năm 2017 thiết bị IoT như Router Wifi, Camera.. trở thành đích
nhắm của Hacker mà điển hình là sự bùng nổ của các biến thể mã độc Mirai,
trong đó có biến thể nhắm đến mục tiêu là Việt Nam. Bên cạnh đó còn lỗ hổng
Blueborne trong công nghệ kết nối không dây Bluetooth đẩy 8.2 tỷ thiết bị IoT
trên toàn cầu sử dụng công nghệ này rơi vào tình trạng nguy hiểm. Hay Krack,
lỗ hổng cho phép Hacker xâm nhập hầu hết mạng Wifi mà công cần mật khẩu,
khiến các thiết bị IoT có kết nối Wifi đối mặt với cuộc tấn công mạng với quy
mô lớn chưa từng có.
Phạm Đạt – Anh Huy – Tấn Lực

9


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

Lý giải cho việc gia tăng các cuộc tấn công và các thiết bị IoT, nhà sản
xuất thường để mật khẩu quản trị mặc định và không khuyến cáo khách hàng đổi
thông số của thiết bị trước khi đưa vào sử dụng. Trong khi đó, người dùng chưa
có thói quen quan tâm đến an ninh của thiết bị, thường không thay đổi mật khẩu
mặc định. Một số nghiên cứu cho thấy có tới 76% camera IP tại Việt Nam hiện
vẫn sử dụng tài khoản và mật khẩu được nhà sản xuất cài đặt sẵn. Việc cập nhật
bản vá lỗi cho lỗ hổng trên thiết bị IoT cũng không đơn giản như cập nhật cho
phần mềm, đòi hỏi sự can thiệp trực tiếp từ phía người dùng với kiến thức mạng

máy tính. Do đó, khả năng người dùng lơ là, không quan tâm đến lỗ hổng dù
được khuyến cáo rất cao.
1.1.2.

Đảm bảo an toàn trong công nghệ sinh trắc học

Trong năm 2017, hàng loạt các công nghệ sinh trắc học được đưa ra trong
xác thực thông tin người dùng, đặc biệt là các công nghệ nhận diện hình ảnh.
Tuy nhiên, các công nghệ này chưa đủ hoàn thiện và đang còn tồn tại những lỗ
hổng. Các chuyên gia đã chỉ ra công nghệ nhận diện mống mắt (Iris Scanner trên
Galaxy S8 của Samsung) và công nghệ nhận diện khuôn mặt (Face ID trên
Iphone X của Apple) không đảm bảo an toàn có thể vượt qua dễ dàng.
Mật khẩu là giải pháp xác thực được sử dụng nhiều nhất hiện nay, nhưng
ý thức sử dụng mật khẩu của người dùng chưa cao. Trong năm vừa qua, một số
vụ mất tiền trong tài khoản vào các website, đường link lạ hay sử dụng chung
mật khẩu cho nhiều tài khoản là những thói quen người dùng cần thay đổi để
đảm bảo an toàn. Theo thống kê có tới 55% người sử dụng dùng chung 1 mật
khẩu cho các dịch vụ trực tuyến khác nhau.
1.1.3.

Tin tức giả mạo tràn lan trên các trang mạng xã hội

Sự bùng nổ của tin tức giả mạo mang lại không ít phiền toái cho người sử
dụng mạng xã hội trong năm vừa qua. Tại Mỹ, giả mạo tràn ngập trên Facebook,
Google, Twitter… đắc biệt liên quan tới các sự kiện lớn. Trong đó không thể
không nhắc tới sự kiện Facebook rò rỉ thông tin các nhân của hơn 87 triệu tài
khoản tại Mỹ cho Cambridge Analytica và ảnh hưởng đến cuộc bầu cử tổng
Phạm Đạt – Anh Huy – Tấn Lực

10



Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

thống tại nước này nhờ vào những quảng cáo vận động tranh cử. Tại Việt Nam,
số liệu thống kê từ chương trình đánh giá an ninh mạng cho thấy, 63% người
dùng thường xuyên đọc tin tức giả mạo trên mạng Facebook, trong đó có 40% là
nạn nhân hàng ngày. Không chỉ khiến người đọc hoang mang, tin tức giả mạo
còn tiềm ẩn nguy cơ bất ổn xã hội khi kẻ xấu cố tình đưa tin sai sự thật đến tình
hình kinh tế, chính trị của đất nước.
Các chuyên gia phân tích, bản chất của tin tức giả mạo tràn lan cũng
tương tự như sự gây lây lan của virus máy tính, đó là tấn công vào sức đề kháng
của người dùng. Chúng ta cần xây dựng cho mình khả năng đề kháng trước các
thông tin giả mạo, bằng cách biết đặt ra nghi vấn, tốt hơn nữa là chủ động kiểm
chứng khi nhận được thông tin từ nguồn không tin tưởng. Nếu không trang bị
được sức đề kháng tốt, gặp thông tin giả mạo người đọc dễ dàng tin tưởng, thậm
chí còn chia sẻ mà không cần kiểm chứng.
1.1.4.

Mã độc đào tiền ảo

Năm 2017 chứng kiến sự tăng giá chóng mặt của đồng tiền ảo Bitcoin, tạo
cơn sốt toàn cầu. Điều này cũng đã thúc đẩy Hacker gia tăng mạnh mẽ các hình
thức tấn công nhằm đến máy tính người dùng thành công cụ đào tiền ảo. Hiện có
hai hình thức tấn công phổ biến nhất được Hacker sử dụng là khai thác lỗ hổng
Website và lợi dụng mạng xã hội để phát tán Virus.
Hacker thường chọn các website có nhiều người truy cập để tấn công và
cài mã độc có chức năng đào tiền ảo lên đó. Khi người dùng truy cập vào các

Website này, mã độc sẽ được kích hoạt. Với hơn 40% website tại Việt Nam tồn
tại lỗ hổng có thể xâm nhập, khai thác, đây sẽ là đích nhắm của hacker trong
việc phát tán mã độc đào tiền ảo.
Một hình thức khác mà Hacker phát tán mã độc đào tiền ảo là thông qua
mạng xã hội. Sau khi lây nhiễm, mã độc sẽ âm thầm sử dụng tài nguyên của máy
nạn nhân để chạy các chương trình đào tiền. Gần đây, mã độc lây qua Facebook
bùng phát từ ngày 19/12 và làm náo loạn Internet Việt Nam. Thống kê từ hệ

Phạm Đạt – Anh Huy – Tấn Lực

11


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

thống giám sát Virus của Bkav, đã có hơn 23.000 máy tính tại Việt Nam nhiễm
loại mã độc này.
1.1.5.

Nỗi ám ảnh virus Wannay Cry

Máy tính bị nhiễm virus WannaCry là do truy cập các trang web, các link
không an toàn như web đen, website giả mạo, đồ trụy, quảng cáo… Khi bị tấn
công toàn bộ thông tin, dữ liệu trên máy tính của bạn đều bị khóa và bạn sẽ nhận
thông báo về số tiền chuộc từ 300 USD – 600 USD bằng cách thanh toán qua
tiền ảo Bitcoin để lấy lại dữ liệu trong khoản thời gian nào đó, nếu bạn không
chuộc đúng thời gian thì dữ liệu của bạn sẽ bị mất.
Là cuộc tấn công mạng lớn chưa từng có từ trước tới nay và gây thiệt hại

lớn cho hơn 150 quốc gia, trong đó chịu tổn thất nặng nề là các sở y tế, bệnh
viện Anh Quốc, bộ nội vụ Nga, hệ thống máy tính Trung Quốc… Wannay Cry
đang là nỗi sợ, nỗi ám ảnh của mọi người. Các sở y tế Anh chịu thiệt hại nặng nề
nhất trong cuộc tấn công này. Theo thống kê ngày 14/5 đã có ít nhất tới 48/240
(gần 20%) các sở ý tế, bệnh viện tại anh phải chịu hậu quả của cuộc tấn công.
Toàn bộ máy tính, điện thoại, thiết bị phẫu thuật đều ngừng hoạt động, tất cả các
hoạt động thăm khám đề phải tạm dừng. Theo báo Vnexpress.vn hơn 1.000 máy
tính của bộ nội vụ Nga đã bị phá hủy. Công ty viễn thông Nga MegaFon cũng là
nạn nhân của bọn Hacker Shadow Brokers, công ty đã phải tắt mạng nội bộ công
ty để ngăn chặn cuộc tấn công. Còn ở Trung Quốc theo báo điện VTC News thì
toàn bộ ATM của các ngân hàng bị tê liệt và hiển thị thông báo khoản tiền chuộc
cho hacker, không chỉ có vậy mà hàng loạt máy tính của nước này cũng bị
nhiễm virus và hiển thị thông báo phải bỏ tiền chuộc để khôi phục lại máy tính.
Để hạn chế việc lây lan virus thì bạn nên cập nhập bản vá lỗi mới nhất của
HDH, cập nhật các chương trình Antivirus, sao lưu dữ liệu, không nhấp vào các
đường link lạ. Khi máy bị nhiễm virus thì lập tức tắt máy để tránh lây lan trong
mạng LAN.
1.2.

Nhu cầu về an ninh mạng

Phạm Đạt – Anh Huy – Tấn Lực

12


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân


Trong bối cảnh an ninh mạng đáng báo động như hiện nay, cộng đồng
quốc tế và nhiều nước trên toàn thế giới đang tăng cường các biện pháp đối phó
với những mối đe dọa đến từ không gian mạng. Các nước có hạ tầng hệ thống
công nghệ thông tin phát triển đã coi an ninh mạng là một bộ phận của tổng thể
chiến lược quốc phòng chung.
Mỹ đã thành lập Bộ Chỉ huy Tác chiến mạng với nhiệm vụ bảo vệ hệ
thống hạ tầng mạng của Mỹ cũng như tấn công hệ thống của nước khác (trong
trường hợp có chiến tranh). Liên minh châu Âu (EU) cũng như Anh, Nga đều có
các cơ quan chuyên trách về lĩnh vực an ninh mạng. Anh hiện cũng đã xây dựng
Trung tâm An ninh mạng và năng lực toàn cầu để đảm bảo an ninh mạng và hỗ
trợ các nước phát triển các kế hoạch toàn diện nhằm đối phó với các mối đe dọa
qua Internet. Đức cũng khẳng định nước này đang nhìn nhận một cách nghiêm
túc về các mối đe dọa can thiệp chính quốc nội của đất nước, bao gồm cả thông
qua không gian mạng. Cơ quan tình báo nước này còn có kế hoạch đầu tư 130
triệu USD trong vòng 5 năm tới thành lập một đội trinh sát kỹ thuật với khoảng
100 thành viên. Và còn nhiều nước khác trên toàn cầu cũng đang đặc biệt quan
tâm và chú trọng tới việc ứng phó với các mối đe dọa an ninh mạng.
Việc Việt Nam ta những năm gần đây cũng gặp phải nhiều cuộc tấn công
mạng, đe dọa tới nền kinh tế. Mới đây “Luật an ninh mạng năm 2018” đã được
thông qua. Trình điều 3 trong “Luật an ninh mạng năm 2018” như sau:
Điều 3. Chính sách của Nhà nước về an ninh mạng
1. Ưu tiên bảo vệ an ninh mạng trong quốc phòng, an ninh, phát
triển kinh tế - xã hội, khoa học, công nghệ và đối ngoại.
2. Xây dựng không gian mạng lành mạnh, không gây phương hại
đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp
của cơ quan, tổ chức, cá nhân.

Phạm Đạt – Anh Huy – Tấn Lực

13



Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

3. Ưu tiên nguồn lực xây dựng lực lượng chuyên trách bảo vệ an
ninh mạng; nâng cao năng lực cho lực lượng bảo vệ an ninh mạng và tổ
chức, cá nhân tham gia bảo vệ an ninh mạng; ưu tiên đầu tư cho nghiên
cứu, phát triển khoa học, công nghệ để bảo vệ an ninh mạng.
4. Khuyến khích, tạo điều kiện để tổ chức, cá nhân tham gia bảo vệ
an ninh mạng, xử lý các nguy cơ đe dọa an ninh mạng; nghiên cứu, phát
triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng;
phối hợp với cơ quan chức năng trong bảo vệ an ninh mạng.
5. Tăng cường hợp tác quốc tế về an ninh mạng.
Và còn nhiều chính sách phòng chống tấn công mạng và các hiệp hội liên
minh về vấn đề an toàn thông tin được ra đời.

1.3.

Nguyên lý đảm bảo an ninh mạng
1.3.1. Tam giác CIA trong bảo mật

Trong cuộc chiến bảo mật đầy khốc liệt của các chuyên gia an toàn thông
tin. Mọi người đừng vội nghĩ tới các công nghệ hay cách thức để đảm bảo an
toàn cho hệ thống thông tin. Trước hết, mọi người phải hiểu được những mục
đích và mục tiêu cần đạt khi làm công tác bảo mật, trong phần này tôi sẽ giớ
thiệu cho mọi người ba mục tiêu cơ bản mà cốt lõi của việc đảm bảo an toàn
thông tin. Ba mục tiêu này còn được gọi là tam giác bảo mật CIA
(Confidentiality - Integrity - Availability).


Phạm Đạt – Anh Huy – Tấn Lực

14


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

Hình 1.1: Mô hình tam giác bảo mật CIA


Confidentiality: Tính bí mật
Tính bí mật của thông tin được đại diện bảo quyền READ – Đọc.
Tính bí mật của thông tin là mức độ bảo mật cần thiết nhằm đảm bảo

những dữ liệu quan trong không bị rò rỉ hay lộ thông tin. Kẻ tấn công có thể
thực hiện nhiều phương pháp nhằm đạt được mục đích là lấy những thông tin
mong muốn. Những phương thức đó có thể là giám sát hệ thống mạng, lấy các
file chứa mật khẩu, hay Social engineering. Thông tin có thể bị lộ do không sử
dụng các phương thức đủ mạnh khi truyền hay lưu trữ thông tin.
Sau đây là một số phương thức để đảm bảo được tính bí mật:


Khóa kín và niêm phong thiết bị.
Yêu cầu đối tượng cung cấp credential, ví dụ: username +




password hay đặc điểm sinh trắc để xác thực.
Sử dụng Firewall hoắc ACL trên Router để ngăn chặn truy



cập trái phép.
Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh





như SSL/TLS, AEC,…
Integrity: Tính toàn vẹn
Tính toàn vẹn của thông tin được đại diện bởi quyền MODIFY – Sửa đổi.
Tính toàn vẹn của thông tin là mức độ bảo mật cần thiết nhằm đảm bảo độ

tin tưởng của thông tin không bị thay đổi chỉ được chỉnh sửa bởi người có thẩm
quyền. Kẻ tấn công có thể thực hiện nhiều phương thức nhằm thay đổi những

Phạm Đạt – Anh Huy – Tấn Lực

15


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

thông tin mong muốn. Những phương thức đó có thể là đột nhập vượt qua các

quá trình sách thực hoặc tấn công khai thác lỗ hổng bảo mật của hệ thống. Ngoài
ra một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc
của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ
một nguồn đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.
Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:







Thay đổi giao diện trang chủ của một Website.
Chặn đứng và thay đổi gói tin được gửi qua mạng.
Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
Do có sự cố trên đường truyền tín hiệu bị nhiễu hoặc suy hao

dẫn đến thông tin bị sai lệch.
Availability: Tính sẵn sàng
Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin

phải luôn luôn sẵn sàng khi cần thiết. Điều đó có nghĩa rằng hệ thống tính toán
sử dụng để lưu trữ và xử lý thông tin, có một hệ thống điều khiển bảo mật sử
dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động
chính xác. Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời
điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện,
hỏng phần cứng, cập nhật, nâng cấp hệ thống… đảm bảo tính sẵn sàng cũng có
nghĩa là tránh được tấn công từ chối dịch vụ.
Để tăng khả năng chống chọi với các cuộc tấn công cũng như duy trì độ
sẵn sàng của hệ thống ta có thể áp dụng một số kỹ thuật như:



Load Balancing: Để phân phối lưu lượng truy cập mạng



hoặc ứng dụng trên một số máy chủ.
Clustering: Là một kiến trúc nhằm đảm bảo nâng cao khả



năng sẵn sàng cho các hệ thống mạng máy tính.
Redundancy: Là hệ thống dự phòng như Server dự phòng,


1.3.2.

Switch dự phòng, Router dự phòng…
Failover: Là một mô hình chịu lỗi hay còn gọi là Cluster.
Bảo mật AAA

Phạm Đạt – Anh Huy – Tấn Lực

16


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân


Nhiều kỹ thuật khác nhau đã được áp dụng để thực thi cơ chế xác thực.
Cơ chế xác thực dùng tên đăng nhập và mật khẩu là cơ chế truyền thống và vẫn
được sử dụng rộng rãi hiện nay.

Hình 1.2: Mô hình bảo mật AAA

Chiến lược bảo mật hệ thống AAA (Authentication – Authorization Accounting) được xem là bước tiếp cận cơ bản và là chiến lược nền tảng để thực
thi các chính sách bảo mật trên hệ thống được mô tả theo mô hình CIA
(Confidentiality - Integrity - Availability)


Authentication - Tính xác thực
Mình tạm dịch Authentication là xác thực, chỉ quá trình định danh (hay

xác định) một tài khoản đang vào hệ thống chính là người đó chứ không phải ai
khác. Đây là bước ban đầu của mọi hệ thống có yếu tố người dùng. Nếu không
có bước xác thực này, hệ thống của bạn sẽ không biết được người đang truy cập
vào hệ thống là ai để có các phản hồi phù hợp.
Bước xác thực này rất quen thuộc và thông dụng, thường biểu hiện ở hình
thức đơn giản nhất chính là form đăng nhập vào hệ thống. Đây là mô hình xác
thực dựa trên yếu tố “mật khẩu”. Mật khẩu là một trong những phương pháp
được triển khai cho hệ thống xác thực (authentication). Một số phương thức xác
thực thông dụng khác là khóa (public & private), sinh học (vân tay, tròng mắt,
khuôn mặt)…


Authorization - Danh tính

Phạm Đạt – Anh Huy – Tấn Lực


17


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

Sau khi xác định được “danh tính” của tài khoản thì hệ thống mới chỉ trả
lời được câu hỏi “Đó là ai?”, chúng ta sẽ tiến hành một bước quan trọng không
kém đó là trả lời câu hỏi “Người đó có thể làm được gì?”, hay xác định quyền
(phân quyền) của tài khoản hiện tại vừa mới được xác thực.
Hệ thống của bạn có thể sẽ rất phức tạp bởi nhiều tính năng quan trọng và
mạng lưới phòng ban dày đặc và cần phân chia quyền sử dụng rõ ràng nên việc
thiết kế một hệ thống phân quyền cho từng thành viên là một việc làm cực kỳ
quan trọng và cần thiết.
Để hệ thống “phân quyền” vận hành hoàn chỉnh, chúng ta nên thiết kế hai
thành phần riêng là phân quyền theo nhóm (Role-based) và phân quyền theo đối
tượng (tài khoản…) cụ thể (Object-based).


Accounting – Kiểm toán, kiểm tra
Quá trình cuối cùng của hệ thống phân quyền gọi là Accounting (hay còn

gọi là Auditing), mình tạm dịch là kiểm tra hay ghi log. Quá trình kiểm tra là
công đoạn ghi lại các hành động của người sau khi đã thực hiện một chức năng
nào đó trong hệ thống.
Tùy theo nhu cầu kiểm tra (ghi log) mà bạn sẽ ra quyết định nên ghi lại
những hành động nào của user hoặc có thể ghi lại hết nếu hệ thống của bạn yêu
cầu như vậy. Việc ghi log là khá nặng nếu bạn triển khai cho toàn bộ hệ thống,
bởi mỗi tài khoản khi vào hệ thống, họ có thể thao tác khá nhiều trên website,

mỗi thao tác đều được ghi lại sẽ khiến cho hệ thống log của bạn ngày càng phình
to, nếu không có kế hoạch và phân tích rõ ràng thì việc ghi log nhiều khi sẽ
không đem lại tác dụng nhiều và thông tin trong log rất dễ bị nhiễu.
Việc ghi log có hai tác dụng rõ ràng là đánh giá, theo dõi hoạt động của
thành viên (nhân viên…) trên hệ thống và điều tra khi có sự cố mất mát, sai lệch,
Phạm Đạt – Anh Huy – Tấn Lực

18


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

rò rỉ thông tin mà không rõ nguyên nhân. Nếu được thiết kế tốt, hệ thống log sẽ
giúp cho mọi hoạt động của hệ thống bạn được rõ ràng, minh bạch và an toàn.
Có 2 giao thức được dùng trong dịch vụ AAA:


TACACS (Terminal Access Controller Access Control System): Là
giao thức chuẩn hóa sử dụng giao hướng kết nối (connection-



1.4.



oriented) là TCP trên port 49 .
RADIUS (Remote Authentication Dial-In User Service): Là giao

thức dựa trên mô hình Client-Server, dùng giao thức UDP.
Một số phương pháp tấn công mạng
1.4.1. Tấn công Dos – DDos
a. Khái niệm
DoS

Dos tên đầy đủ là Denial of Service là một hình thức tấn công từ chối
dịch vụ. Đây là hình thức tấn công khá phổ biến, nó khiến cho các máy tính mục
tiêu không thể xử lý kịp các tác vụ và dẫn đến quá tải. Các cuộc tấn công DoS
thường nhắm vào các máy chủ ảo (VPS) hay Web Server của ngân hàng, tài
chính hay các trang thương mại điện tử…
Tấn công DoS thường chỉ đường tấn công từ một địa chỉ duy nhất, tức là
nó xuất phát từ một điểm địa chỉ có một dải IP thôi nên bạn có thể phát hiện và
ngăn chặn.


DDoS

DDoS có tên đầy đủ là Distributed Denial of Service là một biến thể của
tấn công DoS. Đây là một hình thức tấn công từ chối dịch vụ phân tán, nó làm
cho người bị tân công không thể sử dụng một dịch vụ nào đó, nó có thể khiến
bạn không thể kết nối với một dịch vụ Internet, hoặc nó có thể làm ngưng hoạt
động của máy tính, một mạng LAN nội bộ hoặc thậm chí là cả một hệ thống
mạng.
Tấn công DDoS mạnh hơn DoS rất nhiều, điểm mạnh của hình thức này là
nó được phân tán từ nhiều dải IP khác nhau, chính vì thế mà khó phát hiện và
khó ngăn chặn.
Phạm Đạt – Anh Huy – Tấn Lực

19



Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

Các kiểu tấn công
Các kiểu tấn công DoS
SYN Flood Attack
Ping Flood Attack
Teardrop Attack
• Các kiểu tấn công DDoS
 Đánh vào băng thông (Bandwidth)
 Tấn công vào giao thức
 Tấn công bằng các gói tin bất thường
 Tấn công qua phần mềm trung gian
 Các cuộc tấn công dùng Proxy
c. Mục đích tấn công của Hacker
• Làm tiêu tốn tài nguyên của hệ thống, có thể làm hết băng thông, đầy
b.









dung lượng lưu trên đĩa hoặc tăng thời gian xử lý.

Phá vỡ các thành phần vật lý của mạng máy tính.
Làm tắc nghẽn thông tin liên lạc ra bên ngoài.
Phá vỡ các thông tin cấu hình như thông tin định tuyến.
Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên



TCP
Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất






kỳ một công việc nào đó.
Những lỗi gọi tức thì trong microcode của máy tính.
Những lỗi gọi tức thì trong chuối chỉ thị, dẫn đến máy tính rơi vào



trạng thái hoạt động không ổn định hoặc bị đơ.
Những lỗi có thể khai thác được ở HDH dẫn đến việc thiếu sót tài




nguyên hoặc bị thrashing.
Gây ra crash hệ thống.
Tấn công từ chối dịch vụ iFrame: Trong một trang HTML có thể gọi




đến trang Web nào đó với rất nhiều yêu cầu và trong rất nhiều lần







cho đến khi băng thông của trang web đó bị quá hạn.
d. Cách phát hiện tấn công
Mạng chậm một cách bất thường khi bạn mở file hoặc một Website/
Blog nào đó
Bạn không thể truy cập vào một số trang Web/ Blog nào đó
Hoặc bạn không thể truy cập vào được trang Web/ Blog nào cả.
Lượng thư rác tăng đột biến.
e. Cách phòng chống
Phòng chống DoS

Phạm Đạt – Anh Huy – Tấn Lực

20


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân




Cập nhật những bản patch khi những công ty sản xuất về



HDH đưa ra nhắc nhở cho các lỗ hổng mới.
Cài đặt trên Router hoặc Firewall block để ngăn chặn một số



gói tin có kích thước lớn quá mức.
Giới hạn số lượng gói tin ICMP và SYN trên giao diện định



tuyến.
Lọc địa chỉ IP riêng bằng danh sách điều khiển truy cập bộ



định tuyến
Áp dụng bộ lọc xâm nhập và lọc ta trên tất cả các bộ định
tuyến.



Phòng chống DDoS
 Phòng chống theo thời điểm tấn công
Bảng 1.1: Phòng chống tấn công theo thời điểm


Thời điểm bị tấn
công
Trước khi bị tấn
công

Trong khi bị tấn
công

Sau khi bị tấn công

Phạm Đạt – Anh Huy – Tấn Lực

Công việc cần làm
- Chính sách bảo mật chặt chẽ.
- Cập nhật hệ thống và vá lỗ hổng thường
xuyên.
- Có hệ thống theo dõi realtime bất thường xảy
ra trong hệ thống và cảnh báo sự cố.
- Phát hiện nhận dạng và ngăn chặn tấn công
càng nhanh càng tốt để dịch vụ vẫn hoạt động
bình thường
- Lần dấu vết và truy tìm nguồn gốc của cuộc
tấn công.
- Truy tìm theo log ghi nhận được để phân tích
và ngăn chặn các cuộc tấn công tiềm ẩn có thể
xảy ra sắp tới

21



Tấn công Sniffer và cách phòng chống


ThS. Lê Thị Hồng Vân

Phòng chống theo vị trí triển khai
Bảng 1.2: Phòng chống tấn công theo vị trí

Ví trí triển khai

Công việc cần làm

- Lọc gói tin giả mạo tại Router/ Switch/
Gần mạng nguồn Gateway/ Modem.
tấn công
- Sử dụng tường lửa hoặc proxy có thể nhận
dạng và giới hạn các gói tin không hợp lệ.
- Nhận dạng IP và các yêu cầu giả mạo.
- Tiếp tục lọc và đánh dấu gói tin hợp lệ để hệ
thống bị tấn công có thể nhận diện gói tin nào
hợp lệ và gói tin nào đang tấn công. Các bước
Gần mạng đích tấn
thực hiện:
công
o Lọc IP theo history log
o Lọc IP theo kết nối đồng thời
o Tỷ lệ gói tin truyền qua theo IP

Tại mạng đích tấn

công

Phạm Đạt – Anh Huy – Tấn Lực

- Thực hiện trên Router/ Switch/ Gateway/
Modem và triển khai trên máy chủ (máy bị tấn
công). Các biện pháp bao gồm: Lọc gói tin, phát
hiện các gói tin độc hại.

22


Tấn công Sniffer và cách phòng chống


ThS. Lê Thị Hồng Vân

Phòng chống theo giao thức mạng
• Network layer – Tầng mạng
o Lọc gói tin dựa theo địa chỉ IP, theo các chính sách đã
o

được thiết lập sẵn
Tăng Backlogs size để tăng khả năng chấp nhận kết

o

nối mới của hệ thống máy tính
Giảm thời gian chờ nhận gói tin xác thực kết nối TCPACK, giúp máy chủ hủy bỏ các kết nối không được
xác thực trong khoảng thời gian ngắn, điều này giúp

giải phóng lượng tài nguyên đang bị chiếm dữ của các

o


kết nối không tin cậy.
SYN Cookies với mục đích chỉ cấp tài nguyên cho

những yêu cầu hợp lệ.
Application layer – Tầng ứng dụng
o Giới hạn tối thiểu các hành vi truy cập, ví dụ như giới
hạn kết nối đồng thời truy cập từ 1 IP hay giới hạn tỷ
lệ kết nối không quá 100 request trong 1 phút. Nếu quá
o

ngưỡng này truy cập bị block.
Coi log trong Log ứng dụng là công cụ chính để rà soát

các bất thường, hành vi rà quét.
1.4.2. Tấn công APT
a. Khái niệm
APT là viết tắt của Advanced Persistent Threat – thuật ngữ rộng dùng để
mô tả một chiến dịch tấn công, thường do một nhóm các kẻ tấn công, sử dụng
kỹ thuật tấn công nâng cao để có thể hiện diện và tồn tại lâu dài trên mạng
Internet nhằm khai thác dữ liệu có độ nhạy cảm cao.
Thực hiện tấn công APT đòi hỏi nhiều tài nguyên hơn tấn công ứng dụng
web bình thường. Những kẻ phạm tội thường là những nhóm tội phạm mạng có
kinh nghiệm và có hỗ trợ tài chính rất lớn. Một số cuộc tấn công APT còn được
chính phủ tài trợ và được sử dụng làm vũ khí chiến tranh mạng.
b.


Mục đích tấn công của Hacker

Phạm Đạt – Anh Huy – Tấn Lực

23


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

Mục tiêu chính của những vụ tấn công này, thường được lựa chọn và
nghiên cứu cẩn thận. Chúng thường bao gồm các doanh nghiệp lớn, các tổ chức
an ninh và cơ quan chính phủ.
Mục đích của chúng thường là: đánh cắp tài sản trí tuệ (ví dụ như bí mật
thương mại hoặc bằng sáng chế), xâm phạm thông tin nhạy cảm (ví dụ như dữ
liệu cá nhân của nhân viên), phá hủy cơ sở hạ tầng quan trọng của tổ chức nào
đó (ví dụ như CSDL, máy chủ quản trị), chiếm đoạt tên miền của tổ chức nào
đó…
c.

Tiến trình của cuộc tấn công ATP

Hình 1.3: Tiến trình tấn công APT


Giai đoạn 1: Xâm nhập

Các doanh nghiệp thường bị xâm nhập thông qua các con đường sau: ứng

dụng web, tài nguyên mạng và sự bất cẩn của nhân viên. Bắt đầu kẻ tấn công
thường cố gắng tải lên các tập tin độc hại thông qua các lỗ hổng web, ứng dụng
mạng hoặc qua kỹ thuật tấn công lừa đảo, đây là các mối đe dọa mà các tổ chức
lớn phải đối mặt. Ngoài ra, kẻ tấn công có thể đồng thời thực hiện một cuộc tấn
công DDoS chống lại mục tiêu. Điều này thường được dùng để đánh lạc hướng
nhân viên quản trị, làm cho họ mất cảnh giác hơn.

Phạm Đạt – Anh Huy – Tấn Lực

24


Tấn công Sniffer và cách phòng chống

ThS. Lê Thị Hồng Vân

Khi đã thâm nhập được vào mạng của mục tiêu, kẻ tấn công nhanh chóng
cài đặt một cửa hậu để có thể truy cập dễ dàng hơn, cũng có thể là một mã độc
ẩn cho phép truy cập từ xa. Mã độc cũng có thể đến từ các loại Trojan được đánh
dấu như những phần mềm hợp pháp.


Giai đoạn 2: Mở rộng phạm vi

Sau khi đứng vững trong mạng mục tiêu, kẻ tấn công chuyển sang mở
rộng sự hiện diện của họ trong mạng mục tiêu.
Kẻ tấn công sẽ thực hiện rà quét các hệ thống khác trong mạng, thu thập
thông tin của các nhân viên, thực hiện phát tán các mã độc để chiếm quyền truy
cập vào các dữ liệu nhạy cảm nhất. Bằng cách này, kẻ tấn công có thể thu thập
các thông tin kinh doanh quan trọng, bao gồm thông tin về dòng sản phẩm, dữ

liệu nhân viên và hồ sơ tài chính.
Tùy thuộc và mục tiêu tấn công cuối cùng, dữ liệu tích lũy có thể được
bán cho một công ty cạnh tranh, sửa đổi và phá hủy một dòng sản phẩm của
công ty hoặc được sử dụng để chiếm toàn bộ tổ chức. Nếu động lực là phá hoại,
giai đoạn này được sử dụng để kiểm soát các chức năng quan trọng và thao tác
chúng theo một trình tự để gây ra thiệt hại tối đa. Chẳng hạn như việc kẻ tấn
công xóa toàn bộ CSDL của công ty và làm sập hệ thống mạng để kéo dài thời
gian khôi phục dữ liệu.


Giai đoạn 3: Khai thác

Trong khi tấn công APT được tiến hành, thông tin bị đánh cắp thường
được lưu trữ ở một vị trí an toàn mạng đang bị tấn công. Khi dữ liệu đã thu thập
đủ, kẻ tấn công phải xuất dữ liệu mà không bị phát hiện.
Thông thường, các chiến thuật gây ra các nhiễu loạn được sử dụng để
đánh lừa đội ngũ bảo vệ của các công ty để thông tin có thể chuyển ra ngoài.
Điều này có thể xảy ra dưới dạng tấn công DDoS, các cuộc rà quét website và
ứng dụng mạng.
d.

Phát hiện và ngăn chặn

Phạm Đạt – Anh Huy – Tấn Lực

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×