KỸ THUẬT TẤN CƠNG VÀ PHỊNG THỦ TRÊN KHƠNG GIAN MẠNG Institute of Network Security – www.istudy.vn NỘI DUNG • • • • • • • • • • • Module 01: Tổng quan An ninh mạng Module 02: Kỹ thuật công Module thuật công Module 03: Kỹ thuật mã hóa Module 04: Bảo mật hệ điều hành Module 05: Bảo mật ứng dụng Module 06: Virus mã độc Module 07: Các cơng cụ phân tích an ninh mạng Module 08: Chính sách bảo mật phục hồi thảm họa liệu Ôn tập Báo cáo đồ án Thi cuối khóa Institute of Network Security – www.istudy.vn Module 02: KỸ THUẬT TẤN CƠNG • • • • • • • • • • • • Lesson Lesson Lesson Lesson Lesson Lesson Lesson Lesson Lesson Lesson Lesson Lesson 01: 02: 03: 04: 05: 06: 07: 08: 09: 10: 11: 12: Footprinting Reconnaissance Google Hacking Scanning Networks Enumeration System Hacking Sniffer Social Engineering Denial of Service Session Hijacking SQL Injection Hacking Wireless Networks Buffer Overflow Institute of Network Security – www.istudy.vn SNIFFER Institute of Network Security – www.istudy.vn Nội dung • Khái niệm ảnh hưởng Sniifing khơng gian mạng • Hoạt động Sniffing • Phân loại Sniffing • Các hình thức cơng dựa Sniffing Institute of Network Security – www.istudy.vn Khái niệm Sniffing • Sniffer phương pháp nghe gói tin mạng nội (Kẻ công nạn nhân có chung Subnet IP) • Thơng tin người dùng bị truy xuất sử dụng bất hợp pháp hệ thống bị Sniffing Institute of Network Security – www.istudy.vn Tác hại Sniffing Telnet Password Router Configuration Email Traffic Syslog Traffic Web Traffic Chat Sessions DNS Traffic FTP Password Institute of Network Security – www.istudy.vn Hoạt động Sniffer • Hacker sử dụng gói tin nghe (hoặc giả mạo) lan truyền vào mạng thông qua Switch Hub • Người cơng bắt phân tích tất Traffic người dùng Subnet Capture Attacker Institute of Network Security – www.istudy.vn Các nguy dẫn tới Sniffing • Hệ thống doanh nghiệp sử dụng nhiều Switch, mở Port khơng cần thiết • Hacker gắn Laptop vào Port tiến hành Sniffing • Khơng tiến hành phân chia Subnet cho hệ thống • Cơ chế bảo mật lỏng lẻo • Nhân viên khơng phổ biến mối nguy hại Institute of Network Security – www.istudy.vn Sniffer hoạt động nào? • Sniffer chuyển NIC máy tính sang chế độ Promiscous lắng nghe tất liệu vận chuyện qua Segment mà kết nối • Sniffer đọc tồn nội dung dựa cách phân giải gói tin bắt (Decapsulation) Sniffer Switch Institute of Network Security – www.istudy.vn Pomiscucous Mode Kỹ thuật DNS Poisoning • Kỹ thuật DNS Poisoning đánh lừa DNS Server nhận thơng tin phân giải địa thực tế khơng nhận • Kết tên miền phân giải địa IP khác địa hợp lệ Institute of Network Security – www.istudy.vn Một số kỹ thuật DNS Poisoning Victims Intranet DNS Spoofing (Local Network) DNS Cache Poisoning Proxy Server DNS Poisoning Internet DNS Spoofing (Remote Network) DNS Server Institute of Network Security – www.istudy.vn Attacker DNS Attack Script Internet DNS Spoofing What is IP of istudy.vn? DNS Request User IP: 10.0.0.3 Router IP: 10.0.0.254 Website thật: istudy.vn 200.0.0.254 Attacker poison Router chuyển DNS Request máy istudy.vn 10.0.0.5 Attacker IP: 10.0.0.5 Institute of Network Security – www.istudy.vn User B Website giả Attacker bắt gói chuyển hướng tới Website thật Intranet DNS Spoofing Website giả 65.0.0.2 What is IP of istudy.vn? User IP: 10.0.0.3 Website thật: istudy.vn 200.0.0.254 User truy cập vào 65.0.0.2 Attacker chạy DNS Server Vietnam 100.0.0.5 Institute of Network Security – www.istudy.vn Attacker bắt gói chuyển hướng tới Website thật Proxy Server DNS Poisoning What is IP of istudy.vn? User IP: 10.0.0.3 Website thật: istudy.vn 200.0.0.254 Attacker bắt gói chuyển hướng tới Website thật Attacker chạy Proxy Server Vietnam 100.0.0.5 Institute of Network Security – www.istudy.vn Attacker chuyển Request User tới Website giả Website giả 65.0.0.2 DNS Cache Poisoning • Attacker làm thay đổi Record lưu trữ DNS Server, DNS Server query vào địa IP Website giả thiết lập Attacker • Nếu DNS Server khơng xác minh lại gói tin DNS Response, lưu trữ Record với IP sai lệch Institute of Network Security – www.istudy.vn DNS Cache Poisoning What is IP of istudy.vn? User Query for DNS Info DNS Cache User cập nhật IP Website giả Query for DNS Info Internal DNS Authoritative Server for istudy.vn Bị chuyển hướng tới Website giả Website giả Attacker Rogue DNS Institute of Network Security – www.istudy.vn Phòng thủ DNS Spoofing Phân giải tất DNS query vào Local DNS Server Block DNS Request tới External DNS Server Triển khai DNSSEC Cấu hình cho người dùng Port ngẫu nhiên làm Source Port (nằm khoảng định sẵn) cho gói query gửi Cấu hình Firewall loại bỏ gói tin DNS Externel DNS Server Hạn chế sử dụng dịch vụ DNS, cách phân quyền cho User Sử dụng cách hạn chế tần suất DNS Non-Existent Domain (NXDOMAIN) Institute of Network Security – www.istudy.vn Sniffing Tool MAC Attack DHCP Attack ARP Poisoning Spoofing Attack DNS Poisoning Sniffing Tool Institute of Network Security – www.istudy.vn Sniffing Tool: Wireshark • Tool miễn phí dùng để bắt gói tin giao diện mạng máy tính • Wireshark bắt hầu hết gói tin mạng Ethernet, 802.11, PPP/HDLC, ATM, Bluetooth, Token Ring, Frame Relay, FDDI, … Attacker Wireshark Tool Institute of Network Security – www.istudy.vn Network Victim Sniffing Tool: Wireshark Institute of Network Security – www.istudy.vn Sniffing Tool: Wireshark Follow TCP Stream Institute of Network Security – www.istudy.vn Sniffing Tool: Wireshark Filter http.request Hiển thị tất gói TCP có từ ‘traffic’ tcp contains traffic Hiển thị tất gói UDP có giá trị Hexa 0x33 0x27 0x58 tcp.flags.reset==1 Hiển thị tất gói HTTP GET Hiển thị tất TCP Reset udp contains 33:27:58 Hiển thị tất cảc cá phiên truyền lại trình truyền tin tcp.analysis retransmission Institute of Network Security – www.istudy.vn Sniffing Tool: Cain & Abel Institute of Network Security – www.istudy.vn Tóm lược học • Sniffing phương thức nghe gói tin mạng • Phương thức sử dụng Sniffing đa dạng: DHCP Attack, ARP Poisoning, DNS Poisoning, Spoofing,… • Phịng chống Sniffing số phương thức bảo mật như: DHCP Snooping, DAI, IP Source Guard, DNSSEC,… Institute of Network Security – www.istudy.vn ... An ninh mạng Module 02: Kỹ thuật công Module thuật công Module 03: Kỹ thuật mã hóa Module 04: Bảo mật hệ điều hành Module 05: Bảo mật ứng dụng Module 06: Virus mã độc Module 07: Các công cụ phân... port-security SwitchX(config-if)#switchport port-security maximum SwitchX(config-if)#switchport port-security mac-address {MAC Adress | sticky} SwitchX(config-if)#switchport port-security violation {shutdown... Spoofing/Duplicating • Hiện tượng nhân địa MAC dựa vào công cụ Sniff hệ thống mạng nhằm lấy địa MAC hợp pháp Client tham gia vào mạng • Bằng cách lắng nghe mạng, User giả mạo sử dụng địa MAC User hợp