Tải bản đầy đủ (.pdf) (39 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Năng Mềm
    3. >>
  3. Kỹ năng lãnh đạo

Bài tập lớn môn an toàn mạng (42)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.43 MB, 39 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA AN TỒN THƠNG TIN

-----🙞🙜🕮🙞🙜-----

HỌC PHẦN: AN TỒN MẠNG
Báo cáo bài tập lớn:
Tìm hiểu về công cụ nghe lén Sniffing and Spoofing - DNSChef
Giảng viên hướng dẫn:
Sinh viên thực hiện:
Mã sinh viên:
Nhóm:

Hà Nội 2021

TS. Đặng Minh Tuấn
Trần Trọng Hiếu
B18DCAT090
02


MỤC LỤC

Danh sách các thuật ngữ tiếng Anh và viết tắt ....................................................... 4
Lời mở đầu ................................................................................................................. 5
I.

Tổng quan về Sniffing và Spoofing .................................................................. 6
1.

Tìm hiểu chung về Sniffing............................................................................ 6


1.1. Giới thiệu về Sniffer.................................................................................... 6
1.2. Đối tượng của Sniffing là: .......................................................................... 6
1.3. Mục đích sử dụng tấn cơng Sniffer. .......................................................... 6
1.4. Sniffing thường xảy ra ở đâu? ................................................................... 7
1.5. Mức độ nguy hiểm của Sniffing. ................................................................ 7
1.6. Các giao thức có thể sử dụng Sniffing. ..................................................... 7
1.7. Phương thức hoạt động của tấn công Sniffer. .......................................... 8
1.8. Phân loại Sniffing: ...................................................................................... 8

2.

Tìm hiểu chung về Spoofing .......................................................................... 9
2.1. Giới thiệu về Spoofing. ............................................................................... 9
2.2. Các cuộc tấn công Spoofing. ...................................................................... 9
2.3. Cách phát hiện tấn cơng Spoofing. .......................................................... 12
2.4. Cách phịng chống..................................................................................... 13

II. Giới thiệu chung về công cụ DNSChef ....................................................... 14
1.

Hướng dẫn cài đặt ........................................................................................ 15
1.1.

Dối với Linux: ........................................................................................ 15

1.2.

Đối với Windows: .................................................................................. 16



2.

III.

1.3.

Đối với OS X: ......................................................................................... 16

1.4.

Đối với IOS: ........................................................................................... 17

1.5.

Đối với Android: .................................................................................... 17

Hướng dẫn sử dụng. ..................................................................................... 18
2.1.

Khởi động DNSChef: ............................................................................ 18

2.2.

Chặn tất cả các câu trả lời. ................................................................... 19

2.3.

Lọc tên miền: ......................................................................................... 22

2.4.


Lọc ngược: .............................................................................................. 23

2.5.

Tệp định nghĩa bên ngồi: .................................................................... 23

2.6.

Lọc nâng cao: ......................................................................................... 25

2.7.

Các cấu hình khác: ................................................................................ 26

Tấn công giả mạo trang web và thu thập thông tin .................................. 27

1.

Kịch bản tấn công......................................................................................... 27

2.

Chuẩn bị công cụ:......................................................................................... 28

3.

Demo tấn công .............................................................................................. 28

IV.


Kết luận và nhận xét: ................................................................................... 37

Danh mục tài liệu tham khảo .................................................................................. 38


Danh sách các thuật ngữ tiếng Anh và viết tắt
Viết tắt

Thuật ngữ tiếng Anh

Thuật ngữ tiếng Việt

DOS

Disk Operating System

Hệ điều hành mã nguồn mở

HTTP

Hyper Text Transfer Protocol

Giao thức truyền tải siêu văn bản

TCP

Transmission Control Protocol

Giao thức điều khiển truyền vận


UDP

User Datagram Protocol

Giao thức dữ liệu người dùng

IPv4

Internet Protocol version 4

Giao thức mạng phiên bản 4

IPv6

Internet Protocol version 6

Giao thức mạng phiên bản 6


Lời mở đầu
Ngày nay, internet là thứ chúng ta không thể thiếu trong cuộc sống của mỗi chúng
ta. Mà đa phần các ứng dụng internet trong ngày nay sử dụng mơ hình máy chủ - máy
khách. Sau rất nhiều nghiên cứu phân tích và thống kê, chúng ta kết luận rằng mơ hình giao
tiếp này rất dễ bị tấn cơng bởi nhiều các mối đe dọa như tấn công từ chối dịch vụ (DOS) ,
tấn công nghe lén – giả mạo ( Snifffing and spoofing),.v.v.. Trong tài liệu này chúng ta chủ
yếu tập trung vào các nội dung tấn công nghe lén – giả mạo (Snifffing and spoofing) bằng
công cụ DNSChef. Chúng ta cũng tìm hiểu về cách thức cài đặt và hoạt động của cơng cụ
này để có thể phát hiện, hiểu được và chuẩn bị sẵn sàng cũng như cách khắc phục mỗi khi
các cuộc tấn công xảy ra.

Sniffer là thuật ngữ thường dùng của các điệp viên, ám chỉ việc nghe lén thông tin
của đối phương. Trong mơi trường bảo mật thơng tin thì sniffer là những cơng cụ có khả
năng chặn bắt các gói tin trong quá trình truyền và hiển thị dưới dạng giao diện đồ họa hay
dịng lệnh để có thể theo dõi dễ dàng. Một số ứng dụng sniffer cao cấp không những có thể
đánh cắp các gói tin mà cịn ráp chúng lại thành dữ liệu ban đầu như là các thư điện tử hay
tài liệu gốc.
Sniffer được dùng để đánh chặn dữ liệu giữa hai hệ thống và tùy thuộc vào công cụ
cũng như cơ chế bảo mật được thiết lập mà các hacker có thể đánh cắp các thơng bí mật
như tài khoản người dùng và mật khẩu đăng nhập vào Web, FTP, Email, POP3/SMTP hay
các tin nhắn nhanh bằng chương trình Yahoo ! Messenger, Skype, ICQ. Ngày nay, sniffer
khơng những được sử dụng bởi các hacker mà ngay cả các chuyên gia bảo mật hày những
quản trị mạng cũng thường hay sử dụng chúng để dị tìm lỗi, khắc phục sự cố hay tìm kiếm
các luồng thơng tin bất thường trên hệ thống mạng.
Spoofing - Bất kỳ loại hành vi nào mà kẻ tấn công che giấu như một người dùng
đích thực hoặc một thiết bị để bảo mật một cái gì đó thơng tin có lợi hoặc quan trọng cho
lợi ích của họ được gọi là giả mạo. Có nhiều loại giả mạo khác nhau như giả mạo trang


web, giả mạo email và giả mạo ip . Các phương pháp phổ biến khác bao gồm tấn công giả
mạo ARP và tấn công giả mạo máy chủ DNS.
I.

Tổng quan về Sniffing và Spoofing

1. Tìm hiểu chung về Sniffing
1.1. Giới thiệu về Sniffer.

- Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là Sniffer
Network Analyzer. Tấn công Sniffer được hiểu đơn giản như là một chương trình cố gắng
nghe ngóng. Các lưu lượng thơng tin trên (trong một hệ thống mạng). Tương tự như là thiết

bị cho phép nghe lén trên đường dây điện thoại. Chỉ khác nhau ở mơi trường là các chương
trình Sniffer thực hiện nghe lén trong mơi trường mạng máy tính.
1.2. Đối tượng của Sniffing là:

- Password(Từ Email, Web, SMB, FTP, SQL hoặc Telnet).
- Các thơng tin về thẻ tín dụng.
- Văn bản của các Email.
- Các tập tin di đông trên mạng (Tập tin Email, FTP, SMB)
1.3. Mục đích sử dụng tấn công Sniffer.

- Tấn công Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau. Nó có thể là
một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. Cũng
như theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng
máy tính với mục đích đánh hơi, nghe lén các thơng tin trên đoạn mạng này…Dưới đây là
một số tính năng của Sniffer được sử dụng theo cả hướng tích cực và tiêu cực :
+ Tự động chụp các tên người sử dụng (Username) và mật khẩu khơng được mã hố
(Clear Text Password). Tính năng này thường được các Hacker sử dụng để tấn công
hệthống của bạn.
+ Chuyển đổi dữ liệu trên đường truyền để những quản trị viên có thể đọc và hiểu
được ý nghĩa của những dữ liệu đó. Bằng cách nhìn vào lưu lượng của hệ thống cho phép


các quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống lưu lượng của
mạng.
1.4. Sniffing thường xảy ra ở đâu?

- Sniffing chủ yếu xảy ra ở mặt vật lý. Nghĩa là kẻ tấn công phải tiếp cận. Và có thể
điều khiển một thành phần của hệ thống mạng. Chẳng hạn như một máy tính nào đó. Ví dụ
kẻ tấn cơng có thể dùng laptop hoặc PC trong các dịch vụ Internet, các quán café WiFi,
trong hệ thống mạng nội bộ doanh nghiệp, v.v… Trường hợp hệ thống máy tính nghe trộm.

Và kẻ tấn cơng ở cách xa nhau. Kẻ tấn cơng tìm cách điều khiển một máy tính nào đó trong
hệ thống. Rồi cài đặt trình nghe lén vào máy đó để thực hiện nghe trộm từ xa.
1.5. Mức độ nguy hiểm của Sniffing.

- Hiện nay, nghe trộm mạng thực hiện rất dễ dàng. Bởi có q nhiều cơng cụ giúp
thực hiện như Yersinia, Ettercap, Mana, Rebind, Responder… Các công cụ này ngày càng
được “tối ưu hóa” để dễ sử dụng. Và tránh bị phát hiện sử được thực thi. So với các kiểu
tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm. Bởi nó có thể ghi lại tồn bộ thơng
tin được truyền dẫn trên mạng. Và người sử dụng không biết là đang bị nghe trộm lúc nào.
Do máy tính của họ vẫn hoạt động bình thường, khơng có dấu hiệu bị xâm hại.
Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó. Và hầu như chỉ có
thể phòng chống trong thế bị động. Nghĩa là chỉ phát hiện được bị nghe trộm khi đang ở
tình trạng bị nghe trộm.
1.6. Các giao thức có thể sử dụng Sniffing.

- Telnet và Rlogin : ghi lại các thông tin như Password, usernames.
- HTTP: Các dữ liệu gởi đi mà không mã hóa.
- SMTP : Password và dữ liệu gởi đi khơng mã hóa.
- NNTP : Password và dữ liệu gởi đi khơng mã hóa.
- POP : Password và dữ liệu gởi đi khơng mã hóa.
- FTP : Password và dữ liệu gởi đi khơng mã hóa.


- IMAP : Password và dữ liệu gởi đi không mã hóa.
1.7. Phương thức hoạt động của tấn cơng Sniffer.

- Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ. Theo một khái niệm
này thì tất cả các máy tính trên một hệ thống mạng cục bộ. Đều có thể chia sẻ đường truyền
của hệ thống mạng đó. Hiểu một cách khác tất cả các máy tính đó. Đều có khả năng nhìn
thấy lưu lượng dữ liệu. Được truyền trên đường truyền chung đó. Như vậy phần cứng

Ethernet được xây dựng với tính năng lọc. Và bỏ qua tất cả những dữ liệu không thuộc
đường truyền chung với nó.
- Nó thực hiện được điều này trên nguyên lý. Bỏ qua tất cả những Frame có địa chỉ
MAC khơng hợp lệ đối với nó. Khi Sniffer được tắt tính năng lọc này. Và sử dụng chế độ
hỗn tạp (promiscuous mode). Nó có thể nhìn thấy tất cả lưu lượng thông tin từ máy B đến
máy C. Hay bất cứ lưu lượng thông tin giữa bất kỳ máy nào trên hệ thống mạng. Miễn là
chúng cùng nằm trên một hệ thống mạng.
1.8. Phân loại Sniffing:

a. Active:
- Chủ yếu hoạt động trong mơi trường có các thiết bị chuyển mạch gói, phổ biến hiện
nay là các dạng mạch sử dụng Switch. Kẻ tấn công thực hiện sniffing dựa trên cơ chế ARP
và RARP (2 cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi các
gói tin đầu độc, mà cụ thể ở đây là phát đi các gói thơng báo cho máy gửi gói tin là "tôi là
người nhận" mặc không phải là "người nhận". Ngồi ra, các sniffer cịn có thểdùng phương
pháp giả địa chỉ MAC, thay đổi MAC của bản thân thành MAC của một máy hợp lệ và qua
được chức năng lọc MAC của thiết bị, qua đó ép dịng dữ liệu đi qua card mạng của mình.
Tuy nhiên, do gói tin phải gửi đi nên sẽ chiếm băng thông. Nếu thực hiện sniffing q nhiều
máy trong mạng thì lượng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các gói tin giả mạo)
có thể dẫn đến nghẽn mạng.
b. Passive:


- Chủ yếu hoạt động trong mơi trường khơng có các thiết bị chuyển mạch gói, phổ
biến hiện nay là các dạng mạng sử dụng Hub. Do khơng có các thiết bị chuyển mạch gói
nên các gói tin được broadcast đi trong mạng. Chính vì vậy, việc thực hiện sniffing là khá
đơn giản. Kẻ tấn công không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từPort
về (dù host nhận gói tin khơng phải là nơi đến của gói tin đó). Hình thức sniffing này rất
khó phát hiện do các máy tự broadcast các gói tin. Ngày nay hình thức này thường ít được
sử dụng do Hub khơng cịn được ưa chuộng nhiều, thay vào đó là Switch.

2. Tìm hiểu chung về Spoofing
2.1. Giới thiệu về Spoofing.

- Spoofing là hành động ngụy trang một thông tin liên lạc của một một nguồn tin cậy,
xác định bằng một nguồn khơng xác định.
- Spoofing có thể áp dụng cho email, cuộc gọi điện thoại và trang web hoặc có thể
mang tính kỹ thuật hơn, chẳng hạn như máy tính giả mạo địa chỉ IP, Giao thức phân giải
địa chỉ (ARP) hoặc máy chủ Hệ thống tên miền (DNS).
- Việc giả mạo có thể được sử dụng để có quyền truy cập vào thơng tin cá nhân của
mục tiêu, phát tán phần mềm độc hại thông qua các liên kết hoặc tệp đính kèm bị nhiễm,
bỏ qua các kiểm soát truy cập mạng hoặc phân phối lại lưu lượng để thực hiện một cuộc
tấn công từ chối dịch vụ. Lừa đảo thường là cách một diễn viên xấu có được quyền truy cập
để thực hiện một cuộc tấn công mạng lớn hơn như một mối đe dọa dai dẳng tiên tiến hoặc
một cuộc tấn công trung gian.
2.2. Các cuộc tấn công Spoofing.

a. Giả mạo email.
- Giả mạo email là hành động gửi email có địa chỉ người gửi sai, thường là một phần
của cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin của nạn nhân, lây nhiễm
máytính của nạn nhân bằng phần mềm độc hại hoặc là để xin tiền. Điển hình cho các email
độc hại bao gồm ransomware , phần mềm quảng cáo, tiền điện tử , Trojan (như Emotet )
hoặc phần mềm độc hại làm nơ lệ máy tính của bạn trong botnet (xem DDoS ).


- Nhưng một địa chỉ email giả mạo không phải lúc nào cũng đủ để đánh lừa người
bình thường. Hãy tưởng tượng nhận được một email lừa đảo với địa chỉ giống như địa chỉ
Facebook trong trường người gửi, nhưng phần thân của email được viết bằng văn bản cơ
bản, khơng có thiết kế hay HTML nào để nói về ngay cả logo khơng phải là logo. Đó khơng
phải là thứ chúng tơi quen nhận được từ Facebook và nó sẽ giơ cờ đỏ. Theo đó, email lừa
đảo thường sẽ bao gồm một sự kết hợp của các tính năng lừa đảo:

+ Địa chỉ người gửi sai được thiết kế trông giống như từ một người bạn biết và tin
tưởng có thể là một người bạn, đồng nghiệp, thành viên gia đình hoặc cơng ty bạn kinh
doanh. Trong một thay đổi gần đây, một lỗi trong Gmail cho phép những kẻ lừa đảo gửi
email mà khơng có địa chỉ người gửi mà khơng phải là một người dùng bình thường của
bạn có thể nhìn thấy. Phải mất một số bí quyết kỹ thuật để xem chuỗi mã độc được sử dụng
để làm cho trường "From" xuất hiện trống.
+ Trong trường hợp của một cơng ty hoặc tổ chức, email có thể bao gồm nhãn hiệu
quen thuộc; ví dụ: logo, màu sắc, phông chữ, nút gọi hành động, v.v.
+ Các cuộc tấn công lừa đảo Spear nhắm vào một cá nhân hoặc nhóm nhỏ trong một
cơng ty và sẽ bao gồm ngơn ngữ được cá nhân hóa và địa chỉ người nhận theo tên.
b. Giả mạo website.
- Giả mạo website là tất cả về việc làm cho một trang web độc hại trông giống như
một trang web hợp pháp. Trang web giả mạo này sẽ trông giống như trang đăng nhập cho
một trang web mà bạn thường xuyên sử dụng cho đến thương hiệu, giao diện người dùng
và thậm chí là một tên miền giả mạo trông giống nhau ngay từ cái nhìn đầu tiên. Tội phạm
mạng sử dụng các trang web giả mạo để nắm bắt tên người dùng và mật khẩu của bạn (còn
gọi là giả mạo đăng nhập) hoặc thả phần mềm độc hại vào máy tính của bạn ( tải xuống
theo ổ đĩa ). Một trang web giả mạo thường sẽ được sử dụng cùng với một trị giả mạo
email, trong đó email sẽ liên kết đến trang web.
- Cũng đáng lưu ý rằng một trang web giả mạo không giống như một trang web bị tấn
công. Trong trường hợp hack trang web , trang web thực sự đã bị xâm phạm và tiếp quản
bởi tội phạm mạng khơng có sự giả mạo hay giả mạo liên quan. Trong các quảng cáo độc


hại, tội phạm mạng đã lợi dụng các kênh quảng cáo hợp pháp để hiển thị quảng cáo độc hại
trên các trang web đáng tin cậy. Những quảng cáo này bí mật tải phần mềm độc hại vào
máy tính của nạn nhân.
c. Giả mạo tin nhắn.
- Giả mạo SMS là gửi tin nhắn văn bản với số điện thoại hoặc ID người gửi của người
khác. Nếu bạn đã từng gửi tin nhắn văn bản từ máy tính xách tay của mình, bạn đã gimạo

số điện thoại của chính mình để gửi văn bản, vì văn bản khơng thực sự bắt nguồn từ điện
thoại của bạn. Các công ty thường giả mạo số riêng của họ, nhằm mục đích tiếp thị và thuận
tiện cho người tiêu dùng, bằng cách thay thế số dài bằng ID người gửi chữvà số ngắn và dễ
nhớ. Những kẻ lừa đảo làm điều tương tự mà che giấu danh tính thực sự của họ đằng sau
một ID người gửi chữ và số, thường đóng giả là một công ty hoặc tổ chức hợp pháp. Các
văn bản giả mạo thường sẽ bao gồm các liên kết đến các trang web lừa đảo SMS ( smishing
) hoặc tải xuống phần mềm độc hại.
d. Giả mạo IP.
- Giả mạo IP được sử dụng khi ai đó muốn ẩn hoặc ngụy trang vị trí mà họ đang gửi
hoặc yêu cầu dữ liệu trực tuyến. Vì nó áp dụng cho các mối đe dọa trực tuyến, giả mạo địa
chỉ IP được sử dụng trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS) để ngăn chặn
lưu lượng độc hại bị lọc ra và để ẩn vị trí của kẻ tấn công.
e. Tấn công người đứng giữa(Mitm).
- Việc sử dụng Wi-Fi miễn phí ví dụ như tại quán cà phê. Nếu một tên tội phạm mạng
đã hack Wi-Fi hoặc tạo ra một mạng Wi-Fi lừa đảo khác ở cùng địa điểm? Trong cả hai
trường hợp, có một thiết lập hồn hảo cho một cuộc tấn công người đứng giữa , được đặt
tên như vậy vì tội phạm mạng có thể chặn lưu lượng truy cập web giữa hai bên. Việc giả
mạo phát huy tác dụng khi bọn tội phạm thay đổi liên lạc giữa các bên để định tuyến lại
tiền hoặc thu hút thông tin cá nhân nhạy cảm như số thẻ tín dụng hoặc thơng tin đăng nhập.


- Lưu ý bên lề: Mặc dù các cuộc tấn công MitM thường chặn dữ liệu trong mạng WiFi, một hình thức tấn cơng MitM khác chặn dữ liệu trong trình duyệt. Đây được gọi là một
người đàn ơng trong cuộc tấn cơng trình duyệt (MitB).
2.3. Cách phát hiện tấn cơng Spoofing.

a. Giả mạo Website.
- Khơng có biểu tượng khóa hoặc thanh màu xanh lá cây. Tất cả các trang web an
tồn, có uy tín cần phải có chứng chỉ SSL , có nghĩa là cơ quan chứng nhận của bên thứ ba
đã xác minh rằng địa chỉ web thực sự thuộc về tổ chức được xác minh. Một điều cần lưu ý,
chứng chỉ SSL hiện miễn phí và dễ dàng có được . Mặc dù một trang web có thể có ổ khóa,

điều đó khơng có nghĩa đó là vấn đề thực sự. Chỉ cần nhớ, khơng có gì là an toàn 100 phần
trăm trên Internet.
- Trang web này khơng sử dụng mã hóa tập tin. HTTP , hay Giao thức truyền siêu văn
bản, cũng cũ như Internet và nó đề cập đến các quy tắc được sử dụng khi chia sẻ tệp trên
web. Các trang web hợp pháp hầu như sẽ luôn sử dụng HTTPS , phiên bản được mã hóa
của HTTP, khi truyền dữ liệu qua lại. Nếu bạn đang ở trên một trang đăng nhập và bạn thấy
"http" trái ngược với "https" trong thanh địa chỉ của trình duyệt, bạn nên nghi ngờ.
- Sử dụng một trình quản lý mật khẩu. Trình quản lý mật khẩu như 1Password sẽ tự
động điền thông tin đăng nhập của bạn cho bất kỳ trang web hợp pháp nào bạn lưu trong
kho mật khẩu của mình. Tuy nhiên, nếu bạn điều hướng đến một trang web giả mạo, trình
quản lý mật khẩu của bạn sẽ không nhận ra trang web đó và khơng điền vào các trường tên
người dùng và mật khẩu cho bạn một dấu hiệu tốt bạn đang bị giả mạo.
b. Giả mạo Email.
- Google nội dung của email. Một tìm kiếm nhanh có thể cho bạn biết nếu một email
lừa đảo đã biết đang tìm đường trên web.
- Liên kết nhúng có URL bất thường. Bạn có thể kiểm tra URL trước khi nhấp bằng
cách di chuột qua chúng bằng con trỏ của bạn.


- Typose, ngữ pháp xấu và cú pháp bất thường. Những kẻ lừa đảo không đọc được
công việc của họ.
- Cảnh giác với các tập tin đính kèm Đặc biệt khi đến từ một người gửi khơng xác
định.
2.4. Cách phịng chống.

- Đầu tiên và quan trọng nhất là phải học cách phát hiện một cuộc tấn công giả mạo.
- Một số biện pháp phổ biến như sau:
+ Bật bộ lọc thư rác. Điều này sẽ ngăn phần lớn các email giả mạo không bao giờ
được gửi đến hộp thư đến.
+ Đừng nhấp vào liên kết hoặc mở tệp đính kèm trong email nếu email đến từ một

người gửi không xác định. Nếu có cơ hội email là hợp pháp, liên hệ với người gửi thông
qua một số kênh khác và xác nhận nội dung của email.
+ Đăng nhập thông qua một tab hoặc cửa sổ riêng biệt. Nếu nhận được email hoặc tin
nhắn văn bản đáng ngờ, yêu cầu đăng nhập vào tài khoản và thực hiện một số hành động,
ví dụ: xác minh thơng tin, đừng nhấp vào liên kết được cung cấp. Thay vào đó, hãy mở một
tab hoặc cửa sổ khác và điều hướng đến trang web trực tiếp. Ngồi ra, đăng nhập thơng qua
ứng dụng chun dụng trên điện thoại hoặc máy tính bảng.
+ Nhấc điện thoại lên. Nếu đã nhận được một email đáng ngờ, được cho là từ một
người mà đã biết, đừng ngại gọi điện hoặc nhắn tin cho người gửi và xác nhận rằng họ thực
sựđã gửi email. Việc này sẽ tránh được việc giả mạo để nhờ mua thẻ điện thoại hay chuyển
khoản ngân hàng…
+ Hiển thị phần mở rộng tập tin trong Windows. Windows khơng hiển thị tiện ích mở
rộng tệp theo mặc định, nhưng có thể thay đổi cài đặt đó bằng cách nhấp vào tab "Xem"
trong File Explorer, sau đó chọn hộp để hiển thị tiện ích mở rộng tệp. Mặc dù điều này sẽ
không ngăn chặn tội phạm mạng giả mạo các tiện ích mở rộng tệp, ít nhất sẽ có thểthấy các
tiện ích mở rộng giả mạo và tránh mở các tệp độc hại đó.


+ Đầu tư vào một chương trình an ninh mạng tốt. Trong trường hợp nhấp vào liên
kếthoặc tệp đính kèm xấu, đừng lo lắng, một chương trình an ninh mạng tốt sẽ có thể cảnh
báo bạn về mối đe dọa, ngăn chặn việc tải xuống và ngăn phần mềm độc hại xâm nhập vào
hệ thống hoặc mạng. Ví dụ, Malwarebytes có các sản phẩm bảo mật khơng gian mạng cho
Windows , Mac và Chromebook .
II.

Giới thiệu chung về công cụ DNSChef

DNSChef là một DNS proxy (còn gọi là “DNS giả”) có thể cấu hình cao dành cho
Người kiểm duyệt và nhà phân tích phần mềm độc hại. Bạn có thể sử dụng chương trình
này để phân tích lưu lượng mạng ứng dụng và giả mạo yêu cầu cho domain để trỏ đến một

máy cục bộ dể chấm dứt hoặc đánh chặn thay vì một máy chủ thực ở đâu đó trên internet.
Không giống như các DNS proxy, chỉ đơn giản là trỏ tất cả các truy vấn DNS về
một địa chỉ IP duy nhất, DNSChef có khả năng giả mạo phản hồi dựa trên danh sách miền
độc quyền, hỗ trợ nhiều loại bản ghi DNS, khớp miền với ký tự đại diện, ủy quyền phản
hồi thực cho các miền không khớp, xác định các tệp cấu hình bên ngồi, IPv6 và nhiều tính
năng khác.


Việc sử dụng DNS proxy được khuyến nghị trong cách trường hợp không thể buộc
ứng dụng trực tiếp sử dụng một số máy chủ proxy khác. Ví dụ: một số ứng dụng di động
hoàn toàn bỏ qua cài đặt OS HTTP Proxy. Trong những trường hợp này, việc sử dụng máy
chủ DNS proxy như DNSChef sẽ cho phép bạn đánh lừa ứng dụng đó chuyển tiếp các kết
nối đến đích mong muốn.
1. Hướng dẫn cài đặt
Trước khi có thể bắt đầu sử dụng DNSChef, ta phải cấu hình máy của mình
để sử dụng máy chủ đinh danh DNS với cơng cụ chạy trên đó. Chúng ta có một số
tùy chọn dựa trên hệ điều hành được sử dụng nhiều nhất hiện nay:
1.1.

Dối với Linux:

- Chỉnh sửa “/etc/Resolutionv.conf “ để bao gồm một dịng trên cùng với máy
chủ phân tích lưu lượng của bạn (ví dụ: thêm “namesever 127.0.0.1”, nếu bạn
đang chạy máy cục bộ). Ngồi ra bạn có thể thêm địa chỉ máy chủ DNS bằng
các công cụ như Network Manager (Trình quản lý mạng). Bên trong Network
manager, mở Cài đặt IPv4, chọn “Chỉ địa chỉ tự động DHCP” hoặc “Thủ công”
từ hộp thả xuống “Phương Pháp” và chỉnh sửa hộp văn bản “Máy chủ DNS”
để bao gồm địa chỉ DNSChef đang chạy,



Đối với Windows:

1.2.

- Chọn Networl Conections từ của sổ Control Panel. Tiếp theo chọn một
trong các kết nối (Ví dụ: Local Area Conection), nhấp chuột phải vào nó
và chọn Properties. Từ hộp thoại mới xuất hiện,, chọn “Internet Protocol
version 4 (TCP/IP)” và nhấp vào Properties. Cuối cùng, chọn “Use the
following DNS server addresses” và nhập địa chỉ IP với DNS đang chạy.


1.3.

dụ:

đang

chạy

máy

cục

bộ,

hãy

nhập

127.0.0.1


Đối với OS X:

-Mở “System Preferences” và nhấp vào biểu tượng “Network”. Chọn giao diện
hoạt động và điền vào trường “Máy chủ DNS”. Nếu bạn đang sử dụng Airport


thì bạn sẽ phải nhấp vào nút “Advanced ...“ và chỉnh sửa máy chủ DNS từ đó.
Ngồi ra, bạn có thể chỉnh sửa “/ etc / Resolutionv.conf “ và thêm một máy
chủ định danh giả vào đầu ở đó (ví dụ: "máy chủ tên 127.0.0.1").
1.4.

Đối với IOS:

-Mở “Cài đặt” và chọn “Wi-Fi” và nhấp vào dấu chấm than ở bên phải của một
Điểm truy cập đang hoạt động từ danh sách. Chỉnh sửa mục nhập DNS để trỏ đến
máy chủ có DNSChef đang chạy. Đảm bảo rằng bạn đã tắt giao diện Di động (nếu
có).

1.5.

Đối với Android:

-Mở “Cài đặt” và chọn “Không dây và mạng”. Nhấp vào “Cài đặt Wi-Fi” và chọn
“Nâng cao” sau khi nhấn nút “Tùy chọn” trên điện thoại. Hộp kiểm Bật “Sử dụng
IP tĩnh” và định cấu hình máy chủ DNS tùy chỉnh.


Nếu khơng có khả năng sửa đổi cài đặt DNS của các thiết bị theo cách thủ cơng thì
chúng ta có thể có một số tùy chọn liên quan đến các kỹ thuật như ARP Spoofing và các

phương pháp sáng tạo khác có thể tham khảo trên internet.
Cuối cùng, bạn cần phải cấu hình một dịch vụ giả mạo, nơi DNSChef sẽ chỉ ra tất cả
các yêu cầu. Ví dụ: nếu bạn đang cố chặn lưu lượng truy cập web, bạn phải khởi động một
máy chủ web riêng biệt chạy trên cổng 80 hoặc thiết lập proxy web (ví dụ: Burp) để chặn
lưu lượng truy cập. DNSChef sẽ trỏ các truy vấn tới máy chủ proxy / máy chủ của bạn với
các dịch vụ được định cấu hình đúng.
2. Hướng dẫn sử dụng.
2.1.

Khởi động DNSChef:

DNSChef là một ứng dụng đa nền tảng được phát triển bằng Python sẽ chạy trên hầu
hết các nền tảng có trình thơng dịch Python. Bạn có thể sử dụng tệp thực thi “dnschef.exe”
được cung cấp để chạy nó trên máy chủ Windows mà khơng cần cài đặt trình thơng dịch
Python. Hướng dẫn này sẽ tập trung vào môi trường Unix (tương tự trên Linux), tuy nhiên
tất cả các ví dụ dưới đây đã được thử nghiệm trên Windows.


Nếu khơng có bất kỳ tham số nào, DNSChef sẽ chạy ở chế độ proxy đầy đủ. Điều này
có nghĩa là tất cả các yêu cầu sẽ đơn giản được chuyển tiếp đến một máy chủ DNS ngược
dòng (8.8.8.8 theo mặc định) và quay trở lại máy chủ lưu trữ.

DNSChef có hỗ trợ đầy đủ cho IPv6 có thể được kích hoạt bằng cách sử dụng cờ “ 6” hoặc “ - ipv6 “. Nó hoạt động chính xác như chế độ IPv4 ngoại trừ giao diện lắng nghe
mặc định được chuyển thành :: 1 và máy chủ DNS mặc định được chuyển thành 2001:
4860: 4860 :: 8888.
2.2.

Chặn tất cả các câu trả lời.

Bây giờ, chúng ta đã biết cách khởi động DNSChef, hãy cấu hình nó để giả mạo tất

cả các câu trả lời để trỏ đến 127.0.0.1 bằng cách sử dụng cờ “- fakeip” tham số:


DNSChef đã được định cấu hình để ủy quyền cho tất cả các yêu cầu tới 127.0.0.1.
Dòng đầu tiên của nhật ký lúc 08:11:23 cho thấy rằng nó đã "cooked" phản hồi bản ghi "A"
để trỏ đến 127.0.0.1. Tuy nhiên, các yêu cầu khác đối với bản ghi 'AAAA' và 'MX' chỉ được
ủy quyền từ một máy chủ DNS thực. Hãy xem kết quả từ chương trình yêu cầu:

Chương trình đã bị lừa để sử dụng 127.0.0.1 cho địa chỉ IPv4. Tuy nhiên, thông tin
thu được từ các bản ghi IPv6 (AAAA) và thư (MX) dường như hoàn toàn hợp pháp. Mục
tiêu của DNSChef là có tác động ít nhất đến hoạt động chính xác của chương trình, vì vậy
nếu một ứng dụng dựa vào một máy chủ cụ thể, nó sẽ lấy đúng một máy chủ thơng qua u
cầu ủy quyền này.
Ví dụ giả mạo thêm một yêu cầu để min họa cách nhắm mục tiêu nhiều bản ghi cùng
lúc:


Ngồi cờ “—fakeip”, tơi hiện đã chỉ định “--fakeipv6” được thiết kế để giả mạo bản
ghi 'AAAA' truy vấn. Đây là đầu ra của chương trình được cập nhật:

Lần này, tất cả các bản ghi không bị ứng dụng ghi đè rõ ràng đã được ủy quyền và trả
về từ máy chủ DNS thực. Tuy nhiên, IPv4 (A) và IPv6 (AAAA) đều bị làm giả để trỏ đến
một máy cục bộ.
DNSChef cũng hỗ trợ nhiều bản ghi:

LƯU Ý: Để có thể sử dụng được, không phải tất cả các loại bản ghi DNS đều được
hiển thị trên dòng lệnh. Các bản ghi bổ sung như PTR, TXT, SOA, v.v… có thể được chỉ
định bằng cách sử dụng cờ --file và tiêu đề bản ghi thích hợp. Xem phần [tệp định nghĩa
bên ngoài] (# tệp định nghĩa bên ngoài) bên dưới để biết chi tiết.
Cuối cùng, hãy quan sát cách ứng dụng xử lý các truy vấn kiểu “Bất kỳ”:



DNS BẤT KỲ truy vấn bản ghi nào dẫn đến kết quả là DNSChef trả về mọi bản ghi
giả mạo mà nó biết cho một miền áp dụng. Đây là kết quả mà chương trình sẽ thấy:

2.3.

Lọc tên miền:

Sử dụng ví dụ trên, hãy coi như bạn chỉ muốn chặn các yêu cầu cho “thesprawl.org”
và để lại các truy vấn cho tất cả các tên miền khác như “ wefaction.com “ mà khơng cần
sửa đổi. Bạn có thể sử dụng tham số “ - fakedomains “ như được minh họa bên dưới:

Từ ví dụ trên, yêu cầu cho “thesprawl.org” đã bị giả mạo; tuy nhiên, yêu cầu cho
“mx9.webfaction.com “ đã được để lại một mình. Lọc tên miền rất hữu ích khi bạn cố gắng
cô lập một ứng dụng duy nhất mà khơng phá vỡ phần cịn lại.


LƯU Ý: DNSChef sẽ khơng xác minh xem miền có tồn tại hay không trước khi phản
hồi giả mạo. Nếu bạn đã chỉ định một miền, miền đó sẽ ln chuyển thành giá trị giả cho
dù miền đó có thực sự tồn tại hay khơng.
2.4.

Lọc ngược:

Trong một tình huống khác, bạn có thể cần phải giả mạo phản hồi cho tất cả các yêu
cầu ngoại trừ danh sách miền đã xác định. Bạn có thể thực hiện tác vụ này bằng cách sử
dụng tham số “- truedomains” như sau:

Có một số điều đang diễn ra trong ví dụ trên. Đầu tiên hãy lưu ý đến việc sử dụng ký

tự đại diện . Tất cả các tên miền khớp với “.webaction.com” sẽ được đối sánh ngược lại và
phân giải thành giá trị thực của chúng. Yêu cầu 'google.com' trả về 127.0.0.1 vì nó khơng
có trong danh sách các miền bị loại trừ.
LƯU Ý: Các ký tự đại diện là vị trí cụ thể. Mặt nạ kiểu “.thesprawl.org” sẽ khớp với
“www.thesprawl.org” nhưng không khớp với “www.test.thesprawl.org” . Tuy nhiên, mặt
nạ kiểu “Thesprawl.org” sẽ khớp với “ www.thesprawl.org” và “www.test.thesprawl.org”.
2.5.

Tệp định nghĩa bên ngồi:

Có thể có những tình huống trong đó việc xác định một bản ghi DNS giả cho tất cả
các miền phù hợp có thể khơng đủ. Bạn có thể sử dụng tệp bên ngoài với tập hợp các cặp
DOMAIN = RECORD xác định chính xác nơi bạn muốn yêu cầu được thực hiện.
Ví dụ: hãy tạo tệp định nghĩa sau và gọi nó là “ dnschef.ini “:


Lưu ý tiêu đề phần [A], nó xác định kiểu bản ghi là DNSChef. Bây giờ chúng ta hãy
quan sát kỹ đầu ra của nhiều truy vấn:

Cả “google.com” và “www.google.com” đều khớp với mục nhập “ Google.com “ và
được giải quyết chính xác thành “ 192.0.2.1 “. Mặt khác, yêu cầu “ www.thesprawl.org “
chỉ được ủy quyền thay vì được sửa đổi. Cuối cùng, tất cả các biến thể của
“wordpress.com”, “ www.wordpress.org “ , v.v. đều khớp với mặt nạ “ Wordpress.” và
được giải quyết chính xác thành “ 192.0.2.3 “. Cuối cùng, một truy vấn “ slashdot.org “
không xác định chỉ đơn giản là được ủy quyền với một phản hồi thực.
Bạn có thể chỉ định tiêu đề phần cho tất cả các loại bản ghi DNS được hỗ trợ khác,
bao gồm cả những loại không được hiển thị rõ ràng trên dòng lệnh: [A], [AAAA], [MX],
[NS], [CNAME], [PTR], [NAPTR] và [SOA]. Ví dụ: hãy xác định một phần [PTR] mới
trong tệp 'dnschef.ini':


Hãy quan sát hành vi của DNSChef với loại bản ghi mới này:


Và đây là những gì khách hàng có thể thấy khi thực hiện các truy vấn DNS ngược:

Một số bản ghi yêu cầu định dạng chính xác. Ví dụ điển hình là SOA và NAPTR

2.6.

Lọc nâng cao:

Bạn có thể trộn và kết hợp đầu vào từ một tệp và dòng lệnh. Ví dụ: lệnh sau sử dụng
cả hai tham số “ - file “ và “- fakedomains”:

Lưu ý định nghĩa cho “thesprawl.org” trong tham số dòng lệnh được ưu tiên hơn
“dnschef.ini”. Điều này có thể hữu ích nếu bạn muốn ghi đè các giá trị trong tệp cấu hình.
Slashdot.org vẫn phân giải địa chỉ IP giả mạo vì nó đã được chỉ định trong tham số “-


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×