Tải bản đầy đủ (.pdf) (74 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Tiến sĩ

Phát hiện và ngăn chặn xâm nhập trái phép

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.08 MB, 74 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

VŨ ĐÌNH LUÂN

PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP

LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT MÁY TÍNH

Hà Nội – Năm 2018


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

VŨ ĐÌNH LUÂN

PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP

Chuyên ngành : KỸ THUẬT MÁY TÍNH

LUẬN VĂN THẠC SĨ KỸ THUẬT
KỸ THUẬT MÁY TÍNH

NGƯỜI HƯỚNG DẪN KHOA HỌC :
PGS. TS. NGUYỄN LINH GIANG

Hà Nội – Năm 2018




LỜI CẢM ƠN
Trước tiên em xin gửi lời cảm ơn sâu sắc tới thầy PGS.TS Nguyễn Linh
Giang, người đã tận tình hướng dẫn và giúp đỡ em để hồn thành luận văn tốt
nghiệp này.
Em cũng xin bày tỏ lòng biết ơn chân thành tới các thầy cô giáo trong Bộ mơn
Truyền Thơng và Mạng Máy Tính nói riêng, cũng như các thầy cô trong Viện Công
Nghệ Thông Tin và Truyền Thơng Đại Học Bách Khoa Hà Nội nói chung, đã giảng
dạy và truyền đạt cho em những kiến thức hữu ích để em hồn thành tốt các mơn
học tại trường.
Cuối cùng, dù đã rất nỗ lực thực hiện bài luận văn nhưng do kiến thức và thiết
bị còn hạn chế nên trong bài khơng thể tránh khỏi những thiếu sót. Em kính mong
thầy cơ giáo và các bạn sinh viên đóng góp ý kiến để cho đề tài này ngày càng hồn
thiện hơn.

Học viên thực hiện
Vũ Đình Ln

i


LỜI CAM ĐOAN
Em xin cam đoan kết quả đạt được trong luận văn là sản phẩm của riêng cá
nhân em dưới sự hướng dẫn của PGS. TS. Nguyễn Linh Giang và không sao chép
của bất kỳ ai. Những điều được trình bày trong tồn bộ nội dung của luận văn, hoặc
là của cá nhân hoặc là được tổng hợp từ nhiều nguồn tài liệu. Tất cả các tài liệu
tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp pháp.
Em xin hoàn toàn chịu trách nhiệm theo quy định cho lời cam đoan của mình.
Hà Nội, ngày 28 tháng 01 năm 2018

Người cam đoan

Vũ Đình Luân

ii


MỤC LỤC
Chương 1. Giới thiệu chung về an ninh mạng ............................................................ 2
1.1. Vai trò của Internet ............................................................................................ 2
1.1.1. Nguồn gốc hình thành Internet. ...................................................................... 2
1.1.2. Vai trị của Internet ......................................................................................... 3
1.2. Sự cần thiết của an ninh mạng .......................................................................... 4
Chương 2. Các hình thức tấn cơng mạng. .................................................................. 6
2.1. Trình tự của một cuộc tấn công......................................................................... 7
2.1.1. Xác định mục tiêu còn sống hay đã chết ........................................................ 7
2.1.2. Thu thập thông tin về mục tiêu (Reconnaissance attacks) ........................... 10
2.1.3. Xâm nhập hệ thống mục tiêu (Access attacks) ............................................ 13
2.1.4. Phá hoại ( Destroit attack) ............................................................................ 14
2.2. Các hình thức tấn công mạng .......................................................................... 15
2.2.1. Host attack .................................................................................................... 15
2.2.2. Network attack ............................................................................................. 21
Chương 3. Giới thiệu về thiết bị IPS của Cisco ........................................................ 24
3.1. Giới thiệu về các thế hệ thiết bị bảo mật. ....................................................... 24
3.2. Chính sách bảo mật .......................................................................................... 28
3.2.1. Vai trị của các chính sách bảo mật .............................................................. 29
3.2.2. Thành phần của một chính sách bảo mật ..................................................... 29
3.3. Phần cứng của thiết bị Cisco IPS .................................................................... 30
3.3.1. Cisco ASA 5500 Series IPS Edition ............................................................ 30
3.3.2. Cisco IPS 4200 series sensors ...................................................................... 34

3.4. Phần mềm hệ điều hành Cisco IOS ................................................................. 38

iii


3.4.1. Giới thiệu chung ........................................................................................... 38
3.4.2. Các thành phần chính của IOS IPS .............................................................. 40
3.5. Hoạt động của Cisco IPS .................................................................................. 48
3.5.1. Quá trình lọc tin ............................................................................................ 49
3.5.2. Quá trình kiểm tra dấu hiệu .......................................................................... 49
3.5.3. Đáp ứng lại các sự tấn công ......................................................................... 50
3.5.4. Báo cáo của Cisco IPS.................................................................................. 51
3.6. Mơ hình của Cisco sử dụng IPS....................................................................... 52
Chương 4. Triển khai sử dụng IPS để ngăn chặn tấn công mạng .......................... 54
4.1 Giới thiệu ............................................................................................................ 54
4.2. Triển khai xâm nhập vào server và ngăn chặn xâm nhập bằng IPS ........... 54
4.2.1. u cầu: ........................................................................................................ 54
4.2.2. Mơ hình và kịch bản tấn công ...................................................................... 54
4.2.3. Các bước tiến hành ....................................................................................... 55
4.2.4. Kết quả ......................................................................................................... 62
Chương 5. Kết luận ..................................................................................................... 64

iv


DANH SÁCH CÁC HÌNH
Hình 2.1.1.1. Cấu trúc một gói tin IP v4 .....................................................................7
Hình 2.1.1.2. Ví dụ sử dụng lệnh ping ........................................................................9
Hình 2.1.2.1. Kết quả capture gói tin ........................................................................11
Hình 2.1.2.2. Sau một số cơng đoạn giải mã đã có thể thu được user và pass .........12

Hình 2.1.3. Phần mềm khai thác lỗ hổng Metasploit ................................................14
Hình 2.2.1.1. Các tùy chọn của lệnh ping .................................................................16
Hình 2.2.1.2.1. Cấu trúc IP với trường offset ...........................................................17
Hình 2.2.1.2.2. Ngun tắc của tấn cơng Teardrop ..................................................18
Hình 2.2.1.3.1. Giao thức bắt tay 3 bước khi kết nối TCP........................................18
Hình 2.2.1.3.2. Ngun tắc tấn cơng SYN attack .....................................................19
Hình 2.2.2.1. Ngun tắc tấn cơng Smurf Attack .....................................................22
Hình 2.2.2.2. Ngun tắc tấn cơng DDoS .................................................................23
Hình 3.1.1. Sự gia tăng của các hình thức tấn cơng mạng ........................................24
Hình 3.1.2. Mơ hình sử dụng firewall .......................................................................25
Hình 3.1.3. Mơ hình sử dụng IDS .............................................................................26
Hình 3.1.4. Mơ hình sử dụng IPS..............................................................................26
Hình 3.2.1 Các chính sách an ninh mạng ..................................................................28
Hình 3.2.2. Sơ đồ minh họa mạng Campus ..............................................................30
Hình 3.3.1. Giải pháp công nghệ khi sử dụng ASA 5500 IPS Edition .....................31
Hình 3.3.1.1. Giải pháp tổng thể sử dụng Cisco ASA 5500 IPS Edition .................32
Hình 3.3.1.2.1. Giải pháp bổ sung được tích hợp vào Cisco ASA 5500 IPS Edition ......32
Hình 3.3.1.2.2. Bảng order các components dành cho ASA 5500 Series .................33
Hình 3.3.1.3. Các thiết bị chuẩn của ASA 5500 IPS Series .....................................33
Hình 3.3.2.1.1. Sơ đồ triển khai IPS .........................................................................35
Hình 3.3.2.1.2. Thang đánh giá hiệu năng của Cisco IPS.........................................36
Hình 3.3.2.2. Các lựa chọn bổ sung ..........................................................................36
Hình 3.3.2.3. Thơng số kỹ thuật của Cisco IPS chuẩn..............................................37
Hình 3.4.1.1. Mối quan hệ giữa các IOS của Cisco ..................................................38
v


Hình 3.4.1.2. Mơ hình kỹ thuật Flooding..................................................................39
Hình 3.4.1.3. Mơ hình kỹ thuật Fragmentation .........................................................40
Hình 3.4.1.4. Mơ hình kỹ thuật mã hóa Encryption..................................................40

Hình 3.4.2.2.1. Các dạng Engine và cơng dụng ........................................................42
Hình 3.4.2.2.3. Dạng Flood Engine ..........................................................................43
Hình 3.4.2.2.4. Cấu trúc Meta Engine ......................................................................44
Hình 3.4.2.2.5. Dạng Service Engine ........................................................................45
Hình 3.4.2.2.6. Dạng String Engine ..........................................................................45
Hình 3.4.2.2.7. Dạng Sweep Engine .........................................................................45
Hình 3.4.2.2.8. Dạng Trojan Engine .........................................................................46
Hình 3.4.2.2.9. Dạng AIC Engine .............................................................................46
Hình 3.4.2.4. Đặc tính cơng nghệ mạng tự bảo vệ của Cisco ...................................47
Hình 3.5.4. Minh họa một thơng báo sự kiện của Cisco IPS ....................................51
Hình 3.6.2. Mơ hình bảo vệ Host IPS .......................................................................53
Hình 3.6.3. Mơ hình bảo vệ Network IPS .................................................................53
Hình 4.2.2: Mơ hình mạng sử dụng IPS Cisco .........................................................54
Hình 4.2.3.1 DNS Server 2003 .................................................................................55
Hình 4.2.3.2 Windows XP ........................................................................................56
Hình 4.2.3.3 DNS Server 2003 .................................................................................56
Hình 4.2.3.4 Giao diện Metasploit ............................................................................58
Hình 4.2.3.5 Khai thác lỗ hổng trên Metasploit ........................................................58
Hình 4.2.3.6 Xâm nhập thành cơng DNS Server ......................................................60
Hình 4.2.2.1. Trước khi sử dụng IPS ........................................................................62
Hình 4.2.2.2. Sau khi triển khai sử dụng IPS. ...........................................................63

vi


DANH SÁCH CÁC TỪ VIẾT TẮT

Advanced Research Projects Agency




ARPA

Wide area Network



WAN

Local Area Network



LAN

Internet Services Provider



ISP

Network Address Translation



NAT

Intrusion Detection System




IDS

vii


LỜI NÓI ĐẦU
Thế giới ngày nay đang bước vào kỷ nguyên của cuộc cách mạng 4.0 vì thế
mà Internet đã trở thành một thành phần không thể thiếu trong đời sống xã hội. Mọi
người ở bất kể nơi đâu đều có thể du lịch, mua bán, trao đổi, học hỏi,… với hầu hết
mọi nơi trên thế giới. Với một lượng thông tin lớn trao đổi thường xuyên trên
Internet, việc cần đảm bảo sự hoạt động ổn định và của các hệ thống tham gia
Internet, ngăn chặn việc tấn công và đột nhập trái phép vào các hệ thống là hết sức
quan trọng. Chính vì thế, vấn đề an ninh mạng đang đặt ra những thách thức lớn
hơn bao giờ hết bởi gần đây, các cuộc tấn công phá hoại mạng diễn ra với số lượng
và độ nguy hiểm ngày càng gia tăng, trình độ của hacker ngày càng cao. Vì thế, cần
có những thiết bị đặc dụng để bảo mật thơng tin, đảm bảo an tồn cho hệ thống
đứng vững trước bất cứ đợt tấn công nào. Trong khuôn khổ luận văn này, em xin
trình bày về các hình thức tấn công mạng và phương pháp ngăn chặn xâm nhập
bằng thiết bị Intrusion Prevention Service (IPS) của Cisco với 5 chương như sau:
▪ Chương 1. Giới thiệu chung về an ninh mạng.
Chương này giới thiệu khái quát về lịch sử ra đời, vai trò của Internet cũng như
những mối nguy hiểm có thể do Internet đem lại.
▪ Chương 2. Các hình thức tấn cơng mạng.
Chương này giới thiệu về quy trình của một đợt tấn cơng mạng và các hình thức của
các đợt tấn công mạng.
▪ Chương 3. Giới thiệu về thiết bị IPS của Cisco.
Chương này giới thiệu về các dòng thiết bị IPS của Cisco cả về phần mềm cũng như
phần cứng của thiết bị.
▪ Chương 4. Triển khai sử dụng IPS để ngăn chặn tấn công mạng.

Chương này sẽ triển khai tấn công và ngăn chặn tấn công bằng IPS Cisco
▪ Chương 5. Kết luận

1


CHƯƠNG 1. GIỚI THIỆU CHUNG VỀ AN NINH MẠNG
Chương này nhằm xác định nguồn gốc và vai trò của Internet trong cuộc sống hiện
nay cũng như những nguy cơ, rủi ro trong khi truy cập Internet.

1.1. Vai trò của Internet
1.1.1. Nguồn gốc hình thành Internet.
Mạng Internet ngày nay có tiền thân là mạng ARPANET. Cơ quan quản lý dự án
nghiên cứu phát triển của Bộ Quốc phòng Mỹ ARPA đã đề nghị liên kết 4 địa điểm
đầu tiên vào tháng 7 nǎm 1968. Bốn địa điểm đầu tiên đó là:
Viện Nghiên cứu Stamford
Trường Đại học tổng hợp California ở Los Angeles
UC - Santa Barbara
Trường Đại học tổng hợp Utah.
Trong thuật ngữ ngày nay, chúng ta có thể gọi mạng mà người ta đã xây dựng như
trên là mạng Liên khu vực WAN mặc dù nó nhỏ hơn nhiều. Bốn địa điểm trên được
nối thành mạng vào nǎm 1969 đã đánh dấu sự ra đời của Internet ngày nay: Mạng
được biết đến dưới cái tên ARPANET đã hình thành. Giao thức cơ sở cho liên lạc
trên Internet là TCP/IP và NCP. Buổi đầu, máy tính và đường liên lạc có khâu xử lý
rất chậm, với đường dây dài thì khu chuyển tín hiệu nhanh nhất là 50 kilobits/giây.
Số lượng máy tính nối vào mạng rất ít (chỉ 200 máy chủ vào nǎm vào nǎm 1981).
ARPANET càng phát triển khi càng có nhiều máy kết nối - rất nhiều trong số này là
từ các cơ quan của Bộ Quốc Phòng hoặc những trường đại học nghiên cứu với các
đầu nối vào bộ quốc phòng. Đây là những giao điểm trên mạng. Trong khi
ARPANET đang cố gắng chiếm lĩnh mạng quốc gia thì một nghiên cứu tại Trung

tâm nghiên cứu Xeroc Corporation's Palo Alto đã phát triển một kỹ thuật được sử
dụng trong mạng cục bộ LAN là Ethernet. Theo thời gian, Ethernet trở nên là một
trong những tiêu chuẩn quan trọng để cung cấp một mạng cục bộ. Trong thời gian
này, DARPA (đặt lại tên từ ARPA) chuyển sang hợp nhất TCP/IP vào version hệ
2


điều hành UNIX của trường Đại học tổng hợp California ở Berkeley. Với sự hợp
nhất như vậy tạo nên một thế mạnh trên thị trường, những trạm làm việc độc lập sử
dụng UNIX, TCP/IP cũng có thể dễ dàng xây dựng vào phần mềm hệ điều hành, và
những nhà cung cấp máy tính như Sun cũng chế tạo một cửa cho Ethernet. TCP/IP
trên Ethernet đã trở thành một cách thức thông dụng để trạm làm việc nối đến trạm
khác. Trong thập kỷ 1980, máy tính cá nhân được sử dụng rộng rãi trong các công
ty và trường Đại học trên thế giới. Mạng Ethernet kết nối các PC trở thành phổ biến.
Các nhà sản xuất phần mềm thương mại cũng đưa ra những chương trình cho phép
máy PC và máy UNIX giao tiếp cùng một ngôn ngữ trên mạng. Vào giữa thập kỷ
1980, giao thức TCP/IP được dùng trong một số kết nối WAN và cũng được sử
dụng cho các mạng LAN và mạng liên khu vực (Campus wide). Giai đoạn này tạo
nên một sự bùng nổ phát triển. Thuật ngữ "Internet" xuất hiện lần đầu vào khoảng
1974 trong khi mạng vẫn được gọi là ARPANET cho đến 1980, khi Bộ Quốc phòng
Mỹ quyết định tách riêng phần mạng về quân sự thành "MILNET". Cái tên
ARPANET vẫn được sử dụng cho phần mạng (phi quân sự) còn lại dành cho các
trường đại học và cơ quan nghiên cứu. Vào thời điểm này, ARPANET (hay
Internet) cịn ở qui mơ rất nhỏ. Mốc lịch sử quan trọng của Internet được chọn vào
giữa thập kỷ 1980, khi tổ chức khoa học quốc gia Mỹ NSF thành lập mạng liên kết
các trung tâm máy tính lớn với nhau gọi là NSFNET. Nhiều doanh nghiệp đã
chuyển từ ARPANET sang NSFNET và do đó sau gần 20 nǎm hoạt động
ARPANET khơng cịn hiệu quả nữa và đã ngừng hoạt động vào khoảng nǎm 1990.
Sự hình thành mạng backbone của NSFNET và những mạng vùng khác đã tạo một
môi trường thuận lợi cho sự phát triển của Internet. Tới nǎm 1995, NSFNET thu lại

thành một mạng nghiên cứu. Internet thì vẫn tiếp tục phát triển.
1.1.2. Vai trị của Internet
Trong thời đại của cuộc cách mạng công nghiệp 4.0. Internet ngày nay trở thành
một phần không thể thiếu của cuộc sống. Bằng thế mạnh của mình, Internet đã thay
đổi toàn diện cuộc sống con người.

3


Internet đang giúp cho:
▪ Con người có thể kết nối với một người khác ở rất xa về mặt địa lý
▪ Truyền tải các thông tin như voice, video, dữ liệu, hình ảnh tới với nhiều
người, nhiều thiết bị…
▪ Hỗ trợ tìm kiếm thơng tin, trị chuyện trực tuyến, thư điện tử
▪ Hỗ trợ việc trao đổi kinh nghiệm, chuyển giao công nghệ
▪ Hỗ trợ thương mại điện tử, họp trực tuyến, các dịch vụ y tế, giáo dục, giải
trí, trao đổi, chia sẻ thông tin…
▪ Quảng cáo, tin tức………..
Internet có rất nhiều các lợi ích cho mọi mặt của đời sống. Đối với mỗi phương
diện, Internet lại có một lợi ích khác nhau. Nhưng bên cạnh mặt lợi, bao giờ cũng đi
kèm mặt hại. Ngồi bề nổi của mình, Internet cịn mang trong nó một bề chìm với
rất nhiều yếu tố độc hại, như buôn bán các mặt hàng bất hợp pháp, truyền bá văn
hóa phẩm khơng lành mạnh……….. Và mặt trái mà Internet mang lại chính là các
cuộc tấn công, xâm nhập bất hợp pháp nhằm chiếm đoạt các thơng tin cá nhân bí
mật nhằm mục đích xấu. Đây là yếu tố độc hại nhất của Internet trong thời buổi
thương mại điện tử ngày càng phát triển như hiện nay.
1.2. Sự cần thiết của an ninh mạng
Internet có rất nhiều lợi ích cho cộng đồng nhưng nó cũng bao gồm rất nhiều bất
cập. Giả sử một ngân hàng kết nối Internet, điều này đồng nghĩa với việc dữ liệu về
khách hàng như tài khoản, Bank ID, password, thông tin khách hàng đều có thể truy

cập từ Internet. Và một khi những thông tin này lọt vào kẻ xấu thì đồng nghĩa với
việc tài khoản đó đã mất. Các thơng tin trên Internet có thể vơ ích với một người
khơng cần thơng tin đó, nhưng với người khác nó lại mang 1 ý nghĩa rất lớn.
Mỗi năm, thiệt hại có thể lên tới hàng tỷ USD chỉ bởi các cuộc tấn cơng mạng và
xâm nhập mạng. Hàng năm có tới hàng trăm biến thể virus, trojan, spyware hay

4


adware được ra đời với các tính năng ngày càng mạng hơn trước. Vì vậy việc đảm
bảo an ninh mạng ngày càng trở thành một vấn đề trong nền công nghiệp công nghệ
thông tin hiện nay. Rất nhiều những đợt tấn công mạng là do những người không ý
thức được việc họ làm, hoặc thậm chí là họ khơng biết là họ đang tấn công mạng.
Các tools để tấn công mạng ngày càng đơn giản, dễ sử dụng, thậm chí có cả một
cộng đồng (forum) hướng dẫn cách sử dụng tool đó để tấn cơng mạng. Người khơng
hiểu biết mà có ý đồ xấu hồn tồn có thể sử dụng những tool đó để tấn cơng mà
khơng cần mất nhiều thời gian để tìm hiểu về phương thức hoạt động hay hậu quả
của nó gây ra.
Bên cạnh những người như vậy cịn có những người cố ý tấn cơng với mục đích
xấu. Họ đã biết hậu quả như thế nào nhưng họ vẫn thực hiện để đạt được mục đích
của họ. Những người này thường sẽ tìm hiểu về những lỗ hổng trong hệ thống của
nạn nhân rồi tìm cách sử dụng những lỗ hổng này để tấn công nạn nhân. Những
người này thường có kiến thức khá vững vàng, họ có thể tấn cơng trực tiếp hoặc tạo
lập nên 1 hệ thống của riêng họ để tấn công nạn nhân với mục đích gây hậu quả cao
nhất cho nạn nhân.
Vì thế dù vơ tình hay cố tình, mỗi hệ thống đều cần được bảo đảm an toàn trước
nguy cơ tiềm ẩn ở trên Internet.
Như vậy có thể thấy Internet đã góp sức rất lớn vào cuộc sống hiện đại, giúp con
người đạt được nhiều mục đích. Song bên cạnh mặt lợi cần phát huy cũng ln có
những mặt tiêu cực cần phải tìm cách loại bỏ hoặc hạn chế tới mức tối thiểu.


5


CHƯƠNG 2. CÁC HÌNH THỨC TẤN CƠNG MẠNG.
Có rất nhiều hình thức tấn cơng mạng, song tất cả các hình thức tấn công đều thực
hiện đầy đủ các bước sau:


Đầu tiên, hacker thực hiện xác định mục tiêu còn sống (online) hay đã chết
(offline), phổ thông là bằng cách dùng lệnh ping. Một số mục tiêu sử dụng
phương pháp phòng ngự là chặn ping, giả mạo là mình đang offline, nhưng
hacker vẫn có thể sử dụng các cơng cụ khác để xác định chắc chắn là mục
tiêu vẫn đang online.



Sau khi xác định được mục tiêu, hacker tiến hành bước tiếp theo là dị tìm
các thơng tin về mục tiêu. Các thơng tin này hacker có thể có được bằng cách
chặn bắt gói tin, hay sử dụng các cơng cụ để xác định mục tiêu đang chạy
dịch vụ gì, đang mở port nào, hay có những lỗ hổng gì để hacker tiến hành
khai thác, hoặc thậm chí hacker có thể dị ra mục tiêu đang sử dụng hệ điều
hành gì, cài phần mềm gì và những lỗi của những phần mềm này.



Bước tiếp theo hacker bắt đầu tiến hành xâm nhập. Bằng cách lợi dụng
những lỗ hổng trên hệ thống của nạn nhân, hacker có thể xâm nhập hoặc
chiếm quyền sử dụng máy tính của nạn nhân bằng cách cài trojan hay sử
dụng keylog để lấy thơng tin bí mật của nạn nhân mà nạn nhân không hề

biết. Bằng cách này, hacker có thể thu thập được nhiều nhất những thứ có lợi
nhất cho mình. Đây là bước nguy hiểm nhất của các đợt tấn cơng mạng,
hacker có thể sử dụng những thơng tin có được của nạn nhân để giả mạo nạn
nhân.



Nếu như bước xâm nhập thành cơng, thì bước cuối cùng sẽ là phá hoại. Ở
bước này, hacker sẽ chính thức tiến hành các cuộc tấn cơng mạng bằng rất
nhiều phương thức để gây thiệt hại lớn tùy thuộc vào mục đích tấn cơng của
hacker. Đây là bước nguy hiểm thứ nhì trong các cuộc tấn cơng mạng, song
lại là bước có kết quả khó khắc phục nhất. Hacker sẽ dùng các biện pháp
mạnh tay để nhằm làm tê liệt hệ thống của nạn nhân, khiến hệ thống không
đủ sức chịu đựng và rơi vào trạng thái offline.
6


2.1. Trình tự của một cuộc tấn cơng
2.1.1. Xác định mục tiêu còn sống hay đã chết
Chỉ bằng lệnh ping đơn giản, hacker có thể xác định được là mục tiêu có tồn tại hay
khơng. Hiện nay các nhà cung cấp dịch vụ ISP vẫn đang sử dụng IP version 4 để
đánh địa chỉ. Cấu trúc một gói tin IP v4 như sau:

Hình 2.1.1.1. Cấu trúc một gói tin IP v4
Trong cấu trúc này, các trường cần chú ý là Source IP Address và Destination IP
Address. Hai trường này chỉ ra địa chỉ nguồn và địa chỉ đích của gói tin.
Các địa chỉ này bao gồm 2 loại là public và private:


Public là địa chỉ xuất hiện trên Internet




Private là địa chỉ xuất hiện trong mạng Intranet.

IP v4 sử dụng 32 bit để đánh dấu địa chỉ nên tối đa sẽ có 232 = 4.294.967.296 địa
chỉ mạng. Con số này là chưa đủ so với nhu cầu nên người ta phân ra làm 2 loại địa
chỉ IP public và IP private. IP public chỉ xuất hiện trên Internet nên IP này chỉ được
sử dụng duy nhất trên thế giới, còn IP private xuất hiện trong mạng Intranet nên có
thể sử dụng nhiều lần trong nhiều mạng Intranet.

7


Bên cạnh 2 loại địa chỉ này, còn phát sinh vấn đề là làm sao các IP private có thể
truy cập tài ngun Internet được. Chính vì thế giao thức NAT được ra đời. Giao
thức này giúp chuyển đổi từ IP private thàng IP public một cách dễ dàng giúp cho
các thiết bị sử dụng IP private có thể truy cập Internet bằng địa chỉ IP public. Với cả
2 loại địa chỉ IP này, người ta lại chia ra thành 5 lớp khác nhau là A, B, C, D và E.


Lớp A: gồm 8 bits Network và 24 bits Host, cung cấp khoảng 16 tỷ địa chỉ
IP nằm trong dải từ 1.0.0.1 tới 126.255.255.254



Lớp B: gồm 16 bits Network và 16 bits Host, cung cấp khoảng 65000 địa
chỉ IP nằm trong dải từ 128.1.0.1 tới 191.255.255.254




Lớp C: gồm 24 bits Network và 8 bits Host cung cấp 254 địa chỉ IP nằm
trong dải từ 192.0.1.1 tới 223.255.255.254



Lớp D: gồm các địa chỉ Multicast nằm trong dải từ 224.0.0.0 tới
239.255.255.255



Lớp E: gồm các địa chỉ phục vụ mục đích nghiên cứu nằm trong dải
240.0.0.0 tới 254.255.255.254

Với các lớp A, B, C thì dải IP private là 10.0.0.0 tới 10.255.255.254, 172.16.0.0 tới
172.16.255.254 và 192.168.1.0 tới 192.168.1.254. Tất cả các địa chỉ có 8 bit tận
cùng bằng 00000000 (tương ứng với x.x.x.0) đều là địa chỉ mạng và 11111111
(tương ứng với x.x.x.255) đều là địa chỉ Broadcast, các địa chỉ này không được sử
dụng để đánh dấu cho thiết bị.
Phân biệt Broadcast, Multicast và Unicast:


Broadcast là địa chỉ sẽ được sử dụng khi muốn gửi thơng tin tới tồn bộ các
thiết bị trong mạng.



Multicast là địa chỉ sẽ được sử dụng khi muốn gửi thơng tin tới một nhóm
các thiết bị được định sẵn trong mạng.




Unicast là địa chỉ sẽ được sử dụng khi muốn gửi thông tin tới một thiết bị
biết trước.

8


Hiện nay địa chỉ IP v4 đang dần cạn kiệt, thế giới đang dần chuyển sang cách đánh
địa chỉ mới sử dụng IP v6. IP v6 sử dụng không gian địa chỉ là 128 bit nên số lượng
địa chỉ IP có thể cấp là rất lớn. Mặt khác, IP v6 hiện chưa được ứng dụng rộng rãi
nên các cuộc tấn công mạng hiện nay chủ yếu là nhằm vào IP v4.
Giao thức ICMP được sử dụng trong lệnh ping bao gồm 2 gói tin:


Khi ping, máy nguồn sẽ gửi một bản tin ICMP echo request tới máy đích



Khi máy đích nhận được, nó sẽ gửi trả về bản tin ICMP echo reply để xác
nhận gói tin request kia, đồng thời xác nhận là đích cịn sống.

Việc thực hiện 1 lệnh ping là hoàn toàn đơn giản, hỗ trợ trên bất cứ hệ điều hành
nào nên việc xác định mục tiêu để tấn cơng cịn online hay khơng là khơng khó. Chỉ
cần sử dụng cấu trúc lệnh: ping ip_target là đã có thể xác định được mục tiêu.

Hình 2.1.1.2. Ví dụ sử dụng lệnh ping
Tuy nhiên hiện nay có một số ứng dụng đã thực hiện được phương thức chặn ping.
Mặc dù mục tiêu đang online, nhưng khi ping tới mục tiêu thì kết quả trả về lại là
kết quả giống khi mục tiêu offline:


9


2.1.1.3. Kết quả thu được khi dùng các phương pháp chặn ICMP
Điều này khơng hề khiến hacker nản chí, bởi họ có thể sử dụng rất nhiều thơng tin
khác để thu thập thông tin về mục tiêu đang online hay offline, có chặn ping hay
khơng. Bởi đơn giản, hacker chỉ cần gửi một yêu cầu khác không phải là giao thức
ICMP tới mục tiêu mà có trả lời thì mục tiêu hoàn toàn bị lộ. Nguyên nhân là do các
mục tiêu này chỉ có thể chặn được một số giao thức đơn giản như ICMP, cịn các
giao thức khác thì phải mở dịch vụ như HTTP, HTTPS, FTP,…
2.1.2. Thu thập thông tin về mục tiêu (Reconnaissance attacks)
Tới bước này, hacker bắt đầu sử dụng các cơng cụ có sẵn hoặc tự viết ra để thu thập
thông tin về mục tiêu. Các thơng tin này giúp ích rất nhiều cho việc tấn công cũng
như xâm nhập của hacker. Đơn giản nhất, hacker có thể tìm cách bắt các gói tin từ
mục tiêu (packet sniffer). Bằng phương pháp bắt gói tin này, những mục tiêu bảo
mật kém sẽ bị lộ đầu tiên, bởi vì với các mục tiêu này, các gói tin hầu như khơng
mã hóa, thậm chí cả account và password cũng ở dạng clear text, hacker dễ dàng
đọc được mà không tốn nhiều công sức:

10


Hình 2.1.2.1. Kết quả capture gói tin
và đây là kết quả sau khi thực hiện giải mã bằng công cụ Shell Konsole:

11


Hình 2.1.2.2. Sau một số cơng đoạn giải mã đã có thể thu được user và pass

Các gói tin được mã hóa sẽ gây khó dễ cho hacker, tuy nhiên việc phá mã hóa là
hồn tồn có thể thực hiện được. Một số phương thức có thể sử dụng để giảm thiểu
việc bắt gói tin này là: xác thực (authentication), mã hóa (cryptography).


Xác thực là phương pháp sử dụng thơng tin mã hóa giữa những địa chỉ đã
tin cậy với nhau. Có nhiều cách xác thực, nhưng thường sử dụng xác thực
thông qua account. Những địa chỉ tin cậy sẽ trao đổi account cho nhau rồi
mới thiết lập phiên kết nối, hacker dù có bắt được những thơng tin này cũng
khơng có giá trị bởi khơng có account để xác thực.



Mã hóa là phương pháp thường được sử dụng nhiều nhất. Kỹ thuật này giúp
cho thông tin truyền đi không ở dạng clear text mà sẽ ở dạng mã hóa phức
tạp. Hacker bắt được thông tin, song phải mất nhiều thời gian thì hacker

12


mới giải mã được những thơng tin đó. Kỹ thuật này tỏ ra hiệu quả hơn hẳn,
bởi nếu một kênh truyền đã được mã hóa thì việc giải mã của hacker dù
nhanh cũng khơng hồn tồn chính xác là thơng tin ban đầu.
Sau khi tiến hành bắt gói tin, hacker sẽ tiến hành scan các port mà mục tiêu đang
mở nhằm xác định những dịch vụ nào mục tiêu đang chạy, xác định hệ điều hành
của mục tiêu, và thậm chí là xác định được mục tiêu đang có những lỗ hổng nào
chưa được vá.
Việc thu thập thông tin về mục tiêu là bước quan trọng nhất của bất cứ hình thức tấn
cơng hay xâm nhập mạng nào, vì thế hacker có thể bỏ rất nhiều cơng sức và thời
gian vào bước này để có thể tìm ra những điểm yếu của hệ thống mục tiêu, cũng

như hoạt động, các cách thức bố trí hệ thống phịng thủ của mục tiêu.
2.1.3. Xâm nhập hệ thống mục tiêu (Access attacks)
Ở bước này, những lỗ hổng, điểm yếu mà hacker đã khai thác được ở bước trước sẽ
được tận dụng triệt để. Hacker có thể sử dụng lỗ hổng của hệ điều hành để khai thác
các thơng tin có lợi cho mình, hoặc thậm chí là đoạt ln quyền điều khiển hệ thống
của mục tiêu. Việc thực hiện rất đơn giản, hacker sử dụng những thông tin đã thu
thập được ở bước trên và các cơng cụ có thể tìm kiếm được ln có sẵn trên mạng,
hoặc thậm chí viết ra hẳn 1 công cụ để khai thác lỗ hổng theo mục đích sử dụng.
Nếu mục tiêu chưa được cập nhật các bản vá cho các lỗ hổng mà hacker tìm ra thì
gần như chắc chắn hacker có thể xâm nhập và chiếm quyền điều khiển hệ thống của
nạn nhân. Với các máy tính thì những lỗ hổng mà hacker có thể khai thác là hệ điều
hành, các phần mềm chưa được vá lỗi hoặc các phần mềm lậu,… Với các thiết bị
mạng, các lỗ hổng hacker có thể khai thác là hệ điều hành mạng, hoặc thậm chí là
các trình duyệt dùng để cấu hình cho thiết bị mạng.
Hậu quả của hoạt động xâm nhập này là rất lớn. Bằng việc chiếm được quyền trên
hệ thống của nạn nhân, hacker hoàn tồn có thể có được những thơng tin cá nhân,
điều khiển toàn bộ hệ thống của nạn nhân mà nạn nhân không hề biết.

13


Hình 2.1.3. Phần mềm khai thác lỗ hổng Metasploit
Bằng phần mềm khai thác lỗ hổng rất dễ sử dụng này, hacker hoặc ngay cả người
khơng có chút kiến thức nào về xâm nhập mạng cũng hồn tồn có thể sử dụng. Tuy
nhiên các lỗ hổng được đưa ra trong phần mềm này là những lỗ hổng sẽ được các
hãng phần mềm vá ngay khi phần mềm được cập nhật lỗ hổng. Vì thế để đạt được
hiệu quả cao nhất, thơng thường hacker sẽ sử dụng phần mềm của riêng họ để khai
thác những lỗi do riêng họ phát hiện ra.
Các lỗ hổng của phần mềm cũng như cách để khai thác các lỗ hổng này đều có thể
xem và sử dụng một cách công khai tại trang: />2.1.4. Phá hoại ( Destroit attack)

Đây là loại tấn công phổ biến nhất trong tấn công mạng. Hacker sẽ sử dụng những
phương thức tấn cơng mạnh mẽ vào mục tiêu với mục đích gây thiệt hại lớn nhất
cho nạn nhân và cũng là để phô trương thanh thế của hacker. Ở Việt Nam gần đây
xuất hiện khá nhiều những hình thức tấn cơng kiểu này, thường gặp ở các forum
hoặc các website của các cơng ty,….
Có rất nhiều các hình thức phá hoại, nhưng chúng được chia thành một số hình thức
như sau:

14




Host attack: ở hình thức này, hacker sẽ tấn cơng vào những host cụ thể, quy
mô nhỏ và thường chỉ có một vài máy tham gia vào q trình tấn cơng.



Network attack: với hình thức này, hacker sẽ huy động một hệ thống các
máy tính nối mạng để tấn cơng vào hệ thống của nạn nhân. Phương pháp
tấn công này đưa tới hiệu quả cao nhất và gây thiệt hại lâu dài cho hệ thống
của nạn nhân.

Thực chất cả 2 hình thức tấn cơng này đều mang tính chất từ chối dịch vụ, có nghĩa
là hacker sẽ tìm cách chiếm dụng tài nguyên của hệ thống để các yêu cầu khác tới
hệ thống sẽ khơng cịn tài ngun để sử dụng.

2.2. Các hình thức tấn cơng mạng
2.2.1. Host attack
Host attack có rất nhiều hình thức tấn cơng. Dạng tấn cơng này cũng cịn được gọi

là tấn cơng từ chối dịch vụ DoS (Denial of Service) và thường có quy mơ nhỏ.
Thường chia thành các hình thức sau:
2.2.1.1. Ping of death
Bình thường, gói tin ICMP có kích thước mặc định là 56 bytes. Tuy nhiên bằng
cách thay đổi kích thước gói tin ICMP này, các hệ thống yếu sẽ không thể xử lý kịp.
Khi ấy, mục tiêu sẽ phản ứng bằng cách treo hệ thống hoặc restart lại hệ thống
khiến cho mục đích của ping of death được hồn thành. Phương pháp tấn cơng này
hết sức đơn giản, có thể thực hiện ở trên bất cứ máy tính nào chỉ bằng vài câu lệnh
như trong Windows là: C:\> ping -l size –w target. –l là tham số cho biết ta sẽ thay
đổi kích thước gói tin là size bytes, -w cho biết sẽ phải lặp lại lệnh cho tới khi
Timeout và target chính là mục tiêu.

15


Hình 2.2.1.1. Các tùy chọn của lệnh ping
Phương pháp tấn công này hết sức đơn giản, chỉ hiệu quả với host có hệ thống yếu.
Với các hệ thống ngày nay, phương pháp tấn công này không đem lại nhiều hiệu
quả.
2.2.1.2. Teardrop
Bình thường, tất cả các dữ liệu di chuyển trên mạng từ hệ thống nguồn tới hệ thống
đích để phải trải qua 2 quá trình sau:


Ở hệ thống nguồn: dữ liệu sẽ được chia ra làm nhiều mảnh nhỏ, mỗi mảnh
sẽ có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói
dữ liệu sẽ được chuyển đi.




Ở hệ thống đích: dựa vào các giá trị offset, hệ thống sẽ sắp xếp lại các gói
dữ liệu thành dữ liệu hoàn chỉnh theo đúng thứ tự ban đầu.

16


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×