Tải bản đầy đủ (.pdf) (43 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Năng Mềm
    3. >>
  3. Kỹ năng lãnh đạo

Bài tập lớn môn an toàn mạng (78)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.2 MB, 43 trang )

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THƠNG TIN

Học phần: An tồn mạng
Bài báo cáo:
Tìm hiểu Responder công cụ Sniffing và Spoofing
Trên Kali Linux
Cài đặt và demo

Giảng viên hướng dẫn: TS. Đặng Minh Tuấn
Sinh viên thực hiện : Phạm Văn Nghị
Mã SV
: B18DCAT170

Hà Nội 2021


DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT ..........................3
DANH MỤC HÌNH VẼ.............................................................................................4
LỜI MỞ ĐẦU ............................................................................................................5
Chương 1.Giới thiệu về Kali Linux………………………………………….6
1.1.Giới thiệu……………………………………………………………………..6
1.2.Lịch sự phát triển……………………………………………………………..6
1.3.Đặcđiểm………………………………………………………………………6
Chương 2. Giới thiệu về Sniffer .......................................................................7
2. 1.Giới thiệu về Sniffer ........................................................................................7
2.2.Phương thức hoạt động của Sniffer...………………...………………………8
2.3. Mục đích sử dụng Sniffer ................................................................................9
2.4. Các hình thức tấn công Sniffer ......................................................................10
Chương 3: Giới thiệu Spoofing.......................................................................10
3.1. Giới thiệu Spoofing........................................................................................10


3.2. Các kiểu tấn công Spoofing ...........................................................................11
3.2.1 Giả mạo email .........................................................................................11
3.2.2. Giả mạo website .....................................................................................11
3.2.3. Giả mạo tin nhắn ...................................................................................12
3.2.4. Giả mạo IP ..............................................................................................12
3.2.5. Tấn công người đứng giữa(Mitm) ........................................................12
3.3. Cách phát hiện tấn công Spoofing .................................................................13
3.3.1 Giả mạo Website .....................................................................................13
3.3.2 Giả mạo Email.........................................................................................13
3.4. Cách phòng chống .........................................................................................14
Chương 4: Công cụ Responder Sniffing và Spoofing trên Kali Linux .......15
4.1. responder ......................................................................................................15
2


4.1.1 Giới thiệu ...............................................................................................15
4.1.2 Chi tiết và hướng dẫn ...........................................................................15
4.2. Kịch bản tấn công ..........................................................................................16
4.3. Cách ngăn chặn…………………………………………………………......38
4.4. So sánh……………………………………………………………………...41
4.5. Nhận xét và đánh giá……………………………………………………….41
Tài liệu tham khảo ...........................................................................................43

DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT
Từ
viết tắt

Thuật ngữ tiếng Việt/Giải
thích


ARP

Thuật ngữ tiếng Anh/Giải
thích
Address Resolution Protocol

RARP

Reverse Address
ResolutionProtocol

Giao thức phân giải địa chỉ
ngược

DoS

Denial of Service

Tấn công từ chối dịch vụ

MITM

Man in the middle

Người đứng giữa

TCP/ IP

Transmission Control
Protocol/ Internet Protocol


DDoS

Distributed Denial of Service

Giao thức điều khiển truyền
nhận/ Giao thức liên mạng
Tấn công từ chối dịch vụ phân
tán

SIP

Session Initiation Protocol

Giao thức Khởi tạo phiên

SSL/TLS

Secure Socket Layer /
Transport Layer Security

Bộ giao thức bảo mật SSL /
TLS

Giao thức phân giản địa chỉ

3


DANH MỤC HÌNH VẼ


Hình 1: kịch bản tấn cơng responder __________________________________ 17
Hình 2: responder chỉ nghe _________________________________________ 19
Hình 3: responder tấn cơng chủ động 1 ________________________________ 23
Hình 4: responder tấn cơng chủ động 2 ________________________________ 24
Hình 5: responder chủ động 3 _______________________________________ 25
Hình 6:tấn cơng responder –crack mật khẩu ____________________________ 28
Hình 7 :responder demo ____________________________________________ 29
Hình 8: responder tấn cơng đa MultiRelay(đa rơle)_______________________ 30
Hình 9: tấn cơng responder đa rơle ___________________________________ 31
Hình 10: tấn cơng responder ________________________________________ 32
Hình 11: kết quả tấn cơng responder đa rơle ____________________________ 33
Hình 12: tấn cơng responder qua WPAD proxy __________________________ 34
Hình 13: tấn cơng responder qua WPAD proxy __________________________ 35
Hình 14: tấn cơng responder qua WPAD proxy __________________________ 36
Hình 15: tấn cơng responder qua WPAD proxy __________________________ 38

4


LỜI MỞ ĐẦU
Ngày nay chúng ta có thể thấy rằng công nghệ thông tin và Internet là
một thành phần không thể thiếu trong đời sống hằng ngày.Điều này có nghĩa là
mọi thứ hầu như phụ thuộc vào máy tính và mạng.Chính vì thế nhiều ý đồ xấu
nhắm vào những hệ thống này nhằm đánh cắp thông tin hay phá hoại hệ thống là
việc diễn ra thường xuyên trong thời đại hiện nay.Do đó,để đảm bảo máy tính hoạt
động ổn định, liên tục địi hỏi hệ thống phải có những cơng cụ bảo mật cao,hệ
thống cảnh báo kịp thời và những giải pháp dự phịng để khắc phục khi có sự
cố.Trong đề tài này em xin giới thiệu một số giải pháp giúp kiểm tra mức độ an
toàn cũng như lỗ hổng tồn tại trong hệ thống dựa trên những kiến thức đã học và

những kiến thức tìm hiểu .Cụ thể là tấn công nghe lén và giả mạo (Sniffing và
Spoofing).
Tấn công Sniffing hay tấn công Sniffer, trong bối cảnh an ninh mạng, các
hành vi trộm cắp hoặc chặn dữ liệu bằng cách bắt lưu lượng truy cập mạng bằng
sniffer(một ứng dụng nhằm mục đích bắt các gói tin mạng). Khi dữ liệu được
truyền qua các mạng, nếu các gói dữ liệu khơng được mã hóa, dữ liệu trong gói
mạng có thể được đọc bằng trình thám thính. Sử dụng ứng dụng sniffer, kẻ tấn
cơng có thể phân tích mạng và lấy thông tin để cuối cùng khiến mạng bị sập hoặc
bị hỏng hoặc đọc thông tin liên lạc xảy ra trên mạng
Cũng trong bối cảnh an ninh mạng hiện nay, bên cạnh tấn cơng sniffing thì
cịn có tấn cơng spoofing. Nếu như tấn công sniffing là việc chặn và bắt các gói tin
thì tấn cơng spoofing là một cuộc tấn cơng giả mạo, là tình huống mà một người
hoặc một chương trình làm sai lệch dữ liệu để đạt được lợi ích bất hợp pháp.

5


Chương 1. Giới thiệu về Kali linux
1.1. Giới thiệu
Kali Linux là phiên bản mới nhất của hệ điều hành Linux do Offensive Security
phát hành vào tháng 3 năm 2013. Không giống như những hệ điều hành Linux
khác ,Kali Linux thường được dùng để thử nghiệm xâm nhập hệ thống mạng.Đó là
cách để đánh giá mức độ an toàn của một hệ thống máy tính hoặc mạng bằng cách
mơ phỏng một cuộc tấn công mạng.
Kali Linux một OS tập hợp và phân loại gần như tất cả các công cụ thiết yếu mà bất
kỳ một chuyên gia đánh giá bảo mật nào cũng cần sử dụng đến. Nếu bạn chưa biết
thì Kali là tên gọi của nữ thần người Hindu, với ngụ ý về khả năng huỷ diệt của nữ
thần đã được gói gọn trong hệ điều hành mang tên Kali Linux.
1.2. Lịch sử phát triển
Kali phát triển trên nền tảng hệ điều hành Debian, tiền thân của Kali là hệ điều

hành BackTrack xuất hiện năm 2006 và nó đã khơng ngừng cải tiến để đạt được vị
trí nhất định trong cộng đồng bảo mật.
Kali Linux đã được phát hành chính thức vào ngày 13 tháng 3 năm 2013.
1.3. Đặc điểm
Kali Linux được cài đặt sẵn với 400 công cụ để thử nghiệm thâm nhập hệ thống.
Tính tương thích kiến trúc:
Kali có khả năng tương thích với kiến trúc ARM.Chúng ta có thể xây dựng phiên
bản Kali trên một Raspberry Pi hoặc trên Samsung Galaxy Note.
Hỗ trợ mạng không dây tốt hơn:
-Hỗ trợ một số lượng lớn phần cứng bên trong các thiết bị mạng không dây hay
USB Dongle.Một yêu cầu quan trọng khi các chuyên gia bảo mật thực hiện đánh
giá mạng không dây.
Khả năng tùy biến cao:
-Kali rất linh hoạt khi đề cập đến giao diện hoặc khả năng tùy biến hệ thống
Dễ dàng nâng cấp giữa các phiên bản:

6


-Mục đích của các nhà phát triển là duy trì và cung cấp các bản cập nhật mới nhất
để Kali trở thành lựa chọn tốt nhất cho bất cứ ai tìm kiếm một hệ điều hành
Pentest, một hệ điều hành dành cho công việc bảo mật chuyên nghiệp.
Chương 2. Giới thiệu về Sniffer
2. 1. Giới thiệu về Sniffer
Sniffing là một chương trình lắng nghe trên hệ thống mạng để truyền dữ liệu.
Sniffing cho phép các cá nhân nắm bắt dữ liệu khi nó truyền qua mạng. Kỹ thuật này
được sử dụng bởi các chuyên gia mạng để chuẩn đoán các sự cố mạng và bởi những
users có ý định xấu để thu thập dữ liệu khơng được mã hóa, như password và
username. Nếu thông tin này được ghi lại trong q trình người dùng có thể truy cập
vào hệ thống hoặc mạng.

Khởi đầu Sniffer là tên một sản phầm của Network Associates có tên là Sniffier
Analyzer.
Những dữ liệu mà Sniffing chụp được là những dữ liệu ở dạng nhị phân (Binary).
Bởi vậy để nghe lén và hiểu được những dữ liệu ở dạng nhị phân này, các chương
trình Sniffing phải có tính năng được biết như là sự phân tích các giao thức
(Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị
phân sang dạng khác để hiểu được chúng.
Đối tượng Sniffing là:
-Password (từ Email, Web, SMB, FTP, SQL hoặc Telnet)
-Các thơng tin về thẻ tín dụng
-Văn bản của Email
-Các tập tin đang di động trên mạng (tập tin Email, FTP hoặc SMB)
Tùy theo cấu trúc mạng (hub hay chuyển mạch) mà có thể nghe trộm tất cả hoặc
chỉ một phần lưu lượng dữ liệu qua lại từ một máy trong mạng. Đối với mục đích
giám sát mạng (network monitoring), có thể theo dõi tất cả các gói tin trong một
mạng LAN bằng cách sử dụng một thiết bị chuyển mạch với một cổng theo dõi
(lặp lại tất cả các gói tin đi qua các cổng của thiết bị chuyển mạch).

7


2.2. Phương thức hoạt động của Sniffing
Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ. Theo một
khái niệm này thì tất cả các máy tính trên hệ thống mạng cục bộ đều có thể chia sẻ
đường truyền của hệ thống mạng đó. Hiểu một cách khác tất cả các máy tính đều
có khả năng nhìn thấy lưu lượng dữ liệu được truyền của hệ thống mạng đó. Như
vậy phần cứng Ethernet được xây dựng với tính năng lọc và bỏ qua tất cả những dữ
liệu không thuộc đường truyền chung với nó.
Nó thực hiện được điều này trên nguyên lý bỏ qua tất cả những Frame có địa chỉ
MAC khơng hợp lệ đối với nó. Khi Sniffing được tắt tính năng lọc này và sử dụng

chế độ hỗn tạp (Promiscuous Mode). Nó có thể nhìn thấy tất cả lưu lượng thông tin
từ máy B đến máy C, hay bất cứ lưu lượng thông tin giữa bất kỳ máy nào trên hệ
thống mạng. Miễn là chúng cùng nằm trên một hệ thống mạng.
Trong môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy B thì
đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loan
tin (broadcast). Các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu
về địa chỉ MAC của frame gói tin với địa chỉ đích. Nếu trùng lập thì sẽ nhận, cịn
khơng thì cho qua. Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mới
giống địa chỉ đích đến nên chỉ có B mới thực hiện tiếp nhận.
Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ "tự nhận" bất
cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đến gói tin có đích
đến khơng phải là nó, do sniffer chuyển card mạng của máy sang chế độ hỗn tạp
(promiscuous mode). Promiscuous mode là chế độ đặc biệt. Khi card mạng được
đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà khơng bị ràng buộc kiểm
tra địa chỉ đích đến.
Trong mơi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến
những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu "tự
nhận" như ở Hub không thực hiện được. Tuy nhiên, kẻ tấn cơng có thể dùng các cơ
chế khác để tấn công trong môi trường Switch như ARP spoofing, MAC spoofing,
MAC duplicating, DNS spoofing, v.v...
1.Active(Chủ động):
Chủ yếu hoạt động trong môi trường có các thiết bị chuyển mạch gói, phổ biến
hiện nay là các dạng mạch sử dụng Switch. Kẻ tấn công thực hiện sniffing dựa trên
cơ chế ARP và RARP (2 cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP)
bằng cách phát đi các gói tin đầu độc, mà cụ thể ở đây là phát đi các gói thơng báo
8


cho máy gửi gói tin là "tơi là người nhận" mặc khơng phải là "người nhận". Ngồi
ra, các sniffer cịn có thể dùng phương pháp giả địa chỉ MAC, thay đổi MAC của

bản thân thành MAC của một máy hợp lệ và qua được chức năng lọc MAC của
thiết bị, qua đó ép dịng dữ liệu đi qua card mạng của mình. Tuy nhiên, do gói tin
phải gửi đi nên sẽ chiếm băng thông. Nếu thực hiện sniffing quá nhiều máy trong
mạng thì lượng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các gói tin giả mạo) có
thể dẫn đến nghẽn mạng.
2. Passive (Thụ động) :
Chủ yếu hoạt động trong mơi trường khơng có các thiết bị chuyển mạch gói, phổ
biến hiện nay là các dạng mạng sử dụng Hub. Do khơng có các thiết bị chuyển
mạch gói nên các gói tin được broadcast đi trong mạng. Chính vì vậy, việc thực
hiện sniffing là khá đơn giản. Kẻ tấn cơng khơng cần gửi ra gói tin giả mạo nào,
chỉ cần bắt các gói tin từ Port về (dù host nhận gói tin khơng phải là nơi đến của
gói tin đó). Hình thức sniffing này rất khó phát hiện do các máy tự broadcast các
gói tin. Ngày nay hình thức này thường ít được sử dụng do Hub khơng cịn được
ưa chuộng nhiều, thay vào đó là Switch.
2.3. Mục đích sử dụng Sniffer
Sniffer thường được ѕử dụng ᴠào 2 mục đích khác biệt nhau. Nó có thể là một công
cụ giúp cho các quản trị mạng theo dõi ᴠà bảo trì hệ thống mạng của mình. Cũng
như theo hướng tiêu cực nó có thể là một chương trình được cài ᴠài một hệ thống
mạng máу tính ᴠới mục đích đánh hơi, nghe lén các thơng tin trên đoạn mạng
nàу…Dưới đâу là một ѕố tính năng của Sniffer được ѕử dụng theo cả hướng tích
cực ᴠà tiêu cực :










Tự động chụp các tên người ѕử dụng (Uѕername) ᴠà mật khẩu khơng được
mã hố (Clear Teхt Paѕѕᴡord). Tính năng nàу thường được các Hacker ѕử
dụng để tấn công hệ thống của bạn.
Chuуển đổi dữ liệu trên đường truуền để những quản trị ᴠiên có thể đọc ᴠà
hiểu được ý nghĩa của những dữ liệu đó.
Bằng cách nhìn ᴠào lưu lượng của hệ thống cho phép các quản trị ᴠiên có
thể phân tích những lỗi đang mắc phải trên hệ thống lưu lượng của mạng. Ví
dụ như : Tại ѕao gói tin từ máу A khơng thể gửi được ѕang máу B… etc
Một ѕố Sniffer tân tiến cịn có thêm tính năng tự động phát hiện ᴠà cảnh báo
các cuộc tấn công đang được thực hiện ᴠào hệ thống mạng mà nó đang hoạt
động (Intruѕion Detecte Serᴠice).
Ghi lại thơng tin ᴠề các gói dữ liệu, các phiên truуền…Tương tự như hộp
đen của máу baу, giúp các quản trị ᴠiên có thể хem lại thơng tin ᴠề các gói
9


dữ liệu, các phiên truуền ѕau ѕự cố…Phục ᴠụ cho cơng ᴠiệc phân tích, khắc
phục các ѕự cố trên hệ thống mạng..
2.4. Các hình thức tấn cơng Sniffer
Sniffing là hình thức nghe lén thông tin trên mạng nhằm khai thác hiệu quả hơn tài
nguyên mạng, theo dõi thông tin bất hợp pháp. Tuy nhiên, sau này các hacker dùng
sniffing để lấy các thơng tin nhạy cảm, do đó cũng có thể coi đó là 1 hình thức
hack. Có khá nhiều các phương pháp để thực hiện sniffing, dù là tấn cơng chủ
động hay bị động. Có 6 phương pháp tấn cơng sniffing:








Lắng nghe thơng tin qua Hub
Tấn cơng MAC
Tấn cơng DHCP
Chặn bắt thông tin dùng ARP- Poisoning
Chặn bắt thông tin dùng DNS- Spoofing
VLAN Hopping

-Các giao thức có thể sử dụng Sniffing:




Telnet và Rlogin: ghi lại các thơng tin như password, usernames
HTTP (HyperText Transfer Protocol): Các dữ liệu gửi đi không mã hóa
SMTP, NNTP, POP, FTP, IMAP: Password và dữ liệu gửi đi khơng mã hóa.

Chương 3: Giới thiệu Spoofing
3.1. Giới thiệu Spoofing
Spoofing là hành động ngụy trang một thông tin liên lạc của một một nguồn
tin cậy, xác định bằng một nguồn khơng xác định.
Spoofing có thể áp dụng cho email, cuộc gọi điện thoại và trang web hoặc có
thể mang tính kỹ thuật hơn, chẳng hạn như máy tính giả mạo địa chỉ IP, Giao thức
phân giải địa chỉ (ARP) hoặc máy chủ Hệ thống tên miền (DNS).
Việc giả mạo có thể được sử dụng để có quyền truy cập vào thông tin cá nhân của
mục tiêu, phát tán phần mềm độc hại thông qua các liên kết hoặc tệp đính kèm bị
nhiễm, bỏ qua các kiểm sốt truy cập mạng hoặc phân phối lại lưu lượng để thực
hiện một cuộc tấn công từ chối dịch vụ. Lừa đảo thường là cách một diễn viên xấu
có được quyền truy cập để thực hiện một cuộc tấn công mạng lớn hơn như
một mối đe dọa dai dẳng tiên tiến hoặc một cuộc tấn công trung gian .

10


3.2. Các kiểu tấn công Spoofing
3.2.1 Giả mạo email
Giả mạo email là hành động gửi email có địa chỉ người gửi sai, thường là
một phần của cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin của nạn
nhân, lây nhiễm máy tính của nạn nhân bằng phần mềm độc hại hoặc là để xin
tiền. Điển hình cho các email độc hại bao gồm ransomware , phần mềm quảng
cáo , tiền điện tử , Trojan (như Emotet ) hoặc phần mềm độc hại làm nơ lệ máy
tính của bạn trong botnet (xem DDoS ).
Nhưng một địa chỉ email giả mạo không phải lúc nào cũng đủ để đánh lừa người
bình thường. Hãy tưởng tượng nhận được một email lừa đảo với địa chỉ giống như
địa chỉ Facebook trong trường người gửi, nhưng phần thân của email được viết
bằng văn bản cơ bản, khơng có thiết kế hay HTML nào để nói về ngay cả logo
khơng phải là logo. Đó khơng phải là thứ chúng tơi quen nhận được từ Facebook
và nó sẽ giơ cờ đỏ. Theo đó, email lừa đảo thường sẽ bao gồm một sự kết hợp của
các tính năng lừa đảo:


Địa chỉ người gửi sai được thiết kế trông giống như từ một người bạn biết và
tin tưởng có thể là một người bạn, đồng nghiệp, thành viên gia đình hoặc
cơng ty bạn kinh doanh. Trong một thay đổi gần đây, một lỗi trong Gmail
cho phép những kẻ lừa đảo gửi email mà khơng có địa chỉ người gửi mà
khơng phải là một người dùng bình thường của bạn có thể nhìn thấy. Phải
mất một số bí quyết kỹ thuật để xem chuỗi mã độc được sử dụng để làm cho
trường "From" xuất hiện trống.




Trong trường hợp của một cơng ty hoặc tổ chức, email có thể bao gồm nhãn
hiệu quen thuộc; ví dụ: logo, màu sắc, phơng chữ, nút gọi hành động, v.v.



Các cuộc tấn công lừa đảo Spear nhắm vào một cá nhân hoặc nhóm nhỏ
trong một cơng ty và sẽ bao gồm ngơn ngữ được cá nhân hóa và địa chỉ
người nhận theo tên.

3.2.2. Giả mạo website
Giả mạo website là tất cả về việc làm cho một trang web độc hại trông giống
như một trang web hợp pháp. Trang web giả mạo này sẽ trông giống như trang
đăng nhập cho một trang web mà bạn thường xuyên sử dụng cho đến thương hiệu,
giao diện người dùng và thậm chí là một tên miền giả mạo trơng giống nhau ngay
từ cái nhìn đầu tiên. Tội phạm mạng sử dụng các trang web giả mạo để nắm bắt tên
11


người dùng và mật khẩu của bạn (còn gọi là giả mạo đăng nhập) hoặc thả phần
mềm độc hại vào máy tính của bạn ( tải xuống theo ổ đĩa ). Một trang web giả mạo
thường sẽ được sử dụng cùng với một trị giả mạo email, trong đó email sẽ liên kết
đến trang web.
Cũng đáng lưu ý rằng một trang web giả mạo không giống như một trang web bị
tấn công. Trong trường hợp hack trang web , trang web thực sự đã bị xâm phạm và
tiếp quản bởi tội phạm mạng khơng có sự giả mạo hay giả mạo liên quan. Trong
các quảng cáo độc hại, tội phạm mạng đã lợi dụng các kênh quảng cáo hợp pháp để
hiển thị quảng cáo độc hại trên các trang web đáng tin cậy. Những quảng cáo này
bí mật tải phần mềm độc hại vào máy tính của nạn nhân.
3.2.3. Giả mạo tin nhắn
Giả mạo SMS là gửi tin nhắn văn bản với số điện thoại hoặc ID người gửi

của người khác. Nếu bạn đã từng gửi tin nhắn văn bản từ máy tính xách tay của
mình, bạn đã giả mạo số điện thoại của chính mình để gửi văn bản, vì văn bản
khơng thực sự bắt nguồn từ điện thoại của bạn. Các công ty thường giả mạo số
riêng của họ, nhằm mục đích tiếp thị và thuận tiện cho người tiêu dùng, bằng cách
thay thế số dài bằng ID người gửi chữ và số ngắn và dễ nhớ. Những kẻ lừa đảo làm
điều tương tự mà che giấu danh tính thực sự của họ đằng sau một ID người gửi chữ
và số, thường đóng giả là một cơng ty hoặc tổ chức hợp pháp. Các văn bản giả mạo
thường sẽ bao gồm các liên kết đến các trang web lừa đảo SMS ( smishing ) hoặc
tải xuống phần mềm độc hại.
3.2.4. Giả mạo IP
Giả mạo IP được sử dụng khi ai đó muốn ẩn hoặc ngụy trang vị trí mà họ đang gửi
hoặc yêu cầu dữ liệu trực tuyến. Vì nó áp dụng cho các mối đe dọa trực tuyến, giả
mạo địa chỉ IP được sử dụng trong các cuộc tấn công từ chối dịch vụ phân
tán (DDoS) để ngăn chặn lưu lượng độc hại bị lọc ra và để ẩn vị trí của kẻ tấn
cơng.
3.2.5. Tấn cơng người đứng giữa(Mitm)
Việc sử dụng Wi-Fi miễn phí ví dụ như tại quán cà phê. Nếu một tên tội phạm
mạng đã hack Wi-Fi hoặc tạo ra một mạng Wi-Fi lừa đảo khác ở cùng địa
điểm? Trong cả hai trường hợp, có một thiết lập hồn hảo cho một cuộc tấn cơng
người đứng giữa, được đặt tên như vậy vì tội phạm mạng có thể chặn lưu lượng
truy cập web giữa hai bên. Việc giả mạo phát huy tác dụng khi bọn tội phạm thay
đổi liên lạc giữa các bên để định tuyến lại tiền hoặc thu hút thông tin cá nhân nhạy
cảm như số thẻ tín dụng hoặc thơng tin đăng nhập.
12


Lưu ý bên lề: Mặc dù các cuộc tấn công MitM thường chặn dữ liệu trong mạng
Wi-Fi, một hình thức tấn cơng MitM khác chặn dữ liệu trong trình duyệt. Đây
được gọi là một người đàn ông trong cuộc tấn cơng trình duyệt (MitB).


3.3. Cách phát hiện tấn cơng Spoofing
3.3.1 Giả mạo Website
Khơng có biểu tượng khóa hoặc thanh màu xanh lá cây. Tất cả các trang web an
tồn, có uy tín cần phải có chứng chỉ SSL , có nghĩa là cơ quan chứng nhận của
bên thứ ba đã xác minh rằng địa chỉ web thực sự thuộc về tổ chức được xác
minh. Một điều cần lưu ý, chứng chỉ SSL hiện miễn phí và dễ dàng có được . Mặc
dù một trang web có thể có ổ khóa, điều đó khơng có nghĩa đó là vấn đề thực
sự. Chỉ cần nhớ, khơng có gì là an tồn 100 phần trăm trên Internet.
Trang web này không sử dụng mã hóa tập tin. HTTP , hay Giao thức truyền siêu
văn bản, cũng cũ như Internet và nó đề cập đến các quy tắc được sử dụng khi chia
sẻ tệp trên web. Các trang web hợp pháp hầu như sẽ luôn sử dụng HTTPS , phiên
bản được mã hóa của HTTP, khi truyền dữ liệu qua lại. Nếu bạn đang ở trên một
trang đăng nhập và bạn thấy "http" trái ngược với "https" trong thanh địa chỉ của
trình duyệt, bạn nên nghi ngờ.
Sử dụng một trình quản lý mật khẩu. Trình quản lý mật khẩu như 1Password sẽ tự
động điền thông tin đăng nhập của bạn cho bất kỳ trang web hợp pháp nào bạn lưu
trong kho mật khẩu của mình. Tuy nhiên, nếu bạn điều hướng đến một trang web
giả mạo, trình quản lý mật khẩu của bạn sẽ khơng nhận ra trang web đó và khơng
điền vào các trường tên người dùng và mật khẩu cho bạn một dấu hiệu tốt bạn
đang bị giả mạo.

3.3.2 Giả mạo Email
Google nội dung của email. Một tìm kiếm nhanh có thể cho bạn biết nếu một email
lừa đảo đã biết đang tìm đường trên web.
Liên kết nhúng có URL bất thường. Bạn có thể kiểm tra URL trước khi nhấp bằng
cách di chuột qua chúng bằng con trỏ của bạn.
Typose, ngữ pháp xấu và cú pháp bất thường. Những kẻ lừa đảo không đọc được
công việc của họ.

13



Cảnh giác với các tập tin đính kèm Đặc biệt khi đến từ một người gửi khơng xác
định.

3.4. Cách phịng chống
Đầu tiên và quan trọng nhất là phải học cách phát hiện một cuộc tấn công giả mạo.
Bật bộ lọc thư rác. Điều này sẽ ngăn phần lớn các email giả mạo không bao giờ
được gửi đến hộp thư đến.
Đừng nhấp vào liên kết hoặc mở tệp đính kèm trong email nếu email đến từ
một người gửi không xác định. Nếu có cơ hội email là hợp pháp, liên hệ với người
gửi thông qua một số kênh khác và xác nhận nội dung của email.
Đăng nhập thông qua một tab hoặc cửa sổ riêng biệt. Nếu nhận được email
hoặc tin nhắn văn bản đáng ngờ, yêu cầu đăng nhập vào tài khoản và thực hiện một
số hành động, ví dụ: xác minh thông tin, đừng nhấp vào liên kết được cung
cấp. Thay vào đó, hãy mở một tab hoặc cửa sổ khác và điều hướng đến trang web
trực tiếp. Ngoài ra, đăng nhập thông qua ứng dụng chuyên dụng trên điện thoại
hoặc máy tính bảng.
Nhấc điện thoại lên. Nếu đã nhận được một email đáng ngờ, được cho là từ một
người mà đã biết, đừng ngại gọi điện hoặc nhắn tin cho người gửi và xác nhận rằng
họ thực sự đã gửi email. Việc này sẽ tránh được việc giả mạo để nhờ mua thẻ điện
thoại hay chuyển khoản ngân hàng….
Hiển thị phần mở rộng tập tin trong Windows. Windows khơng hiển thị tiện ích
mở rộng tệp theo mặc định, nhưng có thể thay đổi cài đặt đó bằng cách nhấp vào
tab "Xem" trong File Explorer, sau đó chọn hộp để hiển thị tiện ích mở rộng
tệp. Mặc dù điều này sẽ không ngăn chặn tội phạm mạng giả mạo các tiện ích mở
rộng tệp, ít nhất sẽ có thể thấy các tiện ích mở rộng giả mạo và tránh mở các tệp
độc hại đó.
Đầu tư vào một chương trình an ninh mạng tốt. Trong trường hợp nhấp vào liên
kết hoặc tệp đính kèm xấu, đừng lo lắng, một chương trình an ninh mạng tốt sẽ có

thể cảnh báo bạn về mối đe dọa, ngăn chặn việc tải xuống và ngăn phần mềm độc
hại xâm nhập vào hệ thống hoặc mạng. Ví dụ, Malwarebytes có các sản phẩm bảo
mật khơng gian mạng cho Windows , Mac và Chromebook .
Malwarebytes cho iOS và Malwarebytes cho Android sẽ chặn các cuộc gọi và tin
nhắn văn bản từ các số lừa đảo đã biết.
14


Chương 4: Công cụ Responder Sniffing và Spoofing trên Kali Linux
4.1. Responder
4.1.1 Giới thiệu
Công cụ này trước tiên là bộ phản hồi LLMNR và NBT-NS, nó sẽ trả lời các
truy vấn cụ thể NBT-NS (NetBIOS Name Service) dựa trên hậu tố tên của
chúng. Theo mặc định, công cụ sẽ chỉ trả lời cho yêu cầu Dịch vụ Máy chủ Tệp,
dành cho SMB. Khái niệm đằng sau điều này, là nhắm mục tiêu câu trả lời của
người tấn công và tàng hình hơn trên mạng. Điều này cũng giúp đảm bảo rằng
người tấn công không phá vỡ hành vi hợp pháp của NBT-NS. Bạn có thể đặt tùy
chọn -r thành 1 thơng qua dịng lệnh nếu bạn muốn cơng cụ này trả lời hậu tố tên
yêu cầu Dịch vụ máy trạm.
4.1.2 Chi tiết và hướng dẫn
Responder là một công cụ tuyệt vời mà mọi pentester cần trong kho vũ khí của
họ. Nếu máy khách / mục tiêu không thể phân giải tên qua DNS, nó sẽ quay trở lại
phân giải tên qua LLMNR (được giới thiệu trong Windows Vista) và NBTNS. Bây giờ, giả sử người tấn cơng có responder đang chạy, về cơ bản người tấn
cơng sẽ nói ' vâng, đây là tôi' với tất cả các yêu cầu LLMNR và NBT-NS mà người
tấn cơng thấy, và sau đó lưu lượng truy cập sẽ được chuyển đến người tấn công.
Cách sử dụng cơ bản:
Responder được cài đặt theo mặc định trong Kali Linux. Để xem màn hình trợ giúp
Responder và xem những tùy chọn nào có sẵn, chỉ cần sử dụng nút chuyển “ -h ”.

15



4.2. Kịch bản tấn công

16


Hình 1: kịch bản tấn cơng responder
Nhắm mục tiêu máy chủ cụ thể:
Nếu muốn nhắm mục tiêu một IP / phạm vi IP cụ thể, người tấn cơng có thể chỉnh
sửa responder.conf và thay đổi đối số responder . Điều này cực kỳ hữu ích khi
người tấn cơng có một mục tiêu cụ thể trong tầm nhìn và khơng muốn gây ra sự
gián đoạn trên toàn mạng. Ngoài ra, cũng có thể chỉ định tên NBT-NS / LLMNR
bằng cách thay đổi đối số RespondToName, mặc dù đây là điều em chưa thử
nghiệm đầy đủ. Trong ảnh chụp màn hình sau đây, em đã giới hạn các cuộc tấn
công vào máy Windows 7 có địa chỉ ip: 192.168.204.129.

17


Sử dụng câu lệnh: nano /usr/share/responder/Responder.conf

Chế độ chỉ nghe:
Người tấn cơng có thể sử dụng Responder trong chế độ chỉ nghe, tức là phân tích,
nhưng khơng chủ động trả lời bất kỳ yêu cầu nào. Điều này có thể đạt được bằng
cách sử dụng tham số -A và một lần nữa đây là một tính năng hữu ích để xem
mạng trị chuyện như thế nào mà khơng chủ động nhắm mục tiêu vào bất kỳ máy
chủ nào.

18



Hình 2:responder chỉ nghe
Tấn cơng chủ động:
Nếu máy khách / nạn nhân khơng thể phân giải tên qua DNS, nó sẽ quay trở lại
phân giải tên qua LLMNR (Link-Local Multicast Name Resolution) và NBTNS(NetBIOS Name Service) để phân giải tên dự phịng.
Bằng cách nghe LLMNR & NetBIOS phát sóng, kẻ tấn cơng có thể giả mạo thành
máy mà nạn nhân cần tìm, nạn nhân đang cố gắng xác thực một cách sai lầm. Sau
khi chấp nhận kết nối, kẻ tấn cơng có thể sử dụng một cơng cụ responder.py hoặc
Metasploit để chuyển tiếp các yêu cầu đến một dịch vụ giả mạo (như SMB TCP:
137) thực hiện quy trình xác thực.
Trong quá trình xác thực, máy nạn nhân sẽ gửi cho máy chủ lừa đảo một hàm băm
NTLMv2 cho người dùng đang cố xác thực, hàm băm này được ghi vào đĩa và có
thể bị bẻ khóa ngoại tuyến bằng một công cụ như Hashcat hoặc John the Ripper
(JTR).

19


-Trong demo sau,địa chỉ máy tấn công là 192.168.204.131 sẽ lắng nghe dải địa chỉ
192.168.204.0/24.

20


lúc này, máy nạn nhân là windows 7: 192.168.204.129 thực hiện truy vấn sai
như: http://zing/ hoặc \\file,..

21



22


Ngay lập tức, Responder sẽ trả lời nạn nhân rằng nó là địa chỉ mà nạn nhân cần tìm
và gửi challenge yêu cầu thông tin xác thực từ nạn nhân. Nạn nhân gửi lại thông tin
xác thực là hàm băm NTLMv2.

Hình 3: Responder tấn cơng chủ động 1

23


Hình 4:Responder tấn cơng chủ động 2
Ta cũng sẽ thấy điều tương tự khi thực hiện trên DNS Server : 192.168.204.130

24


Hình 5:Responder tấn cơng chủ động 3

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×