    !"##!$%!$&' !$(")*'%$&!$(")%+ $,& $," /01/23456/73/89:1 9;</=/>/ (5/?/> (5@A3/ 9;</B= BCD"/ EFGHIJKL M(M N "&'O"& 2 MỤC LỤC 2 KP6/84Q3/;/RP9:9ST8U!VSBV3696B>WW3X Trong môn thể thao bóng rổ, hai cầu thủ quăng một quả bóng qua lại trong khi một người thứ ba –người ở giữa (man in the middle) - cố gắng để chặn quả bóng trong khi nó được chuyền từ hai cầu thủ đối phương. Trong hệ thống mạng, ý tưởng “man in the middle” cũng tương tự như vậy. Nó hoạt động như sau: • Máy tính A khởi đầu cuộc trò chuyện với máy tính B • Máy tính C cố gắng chặn cuộc trò chuyện gởi từ A và sau đó chuyển tiếp yêu cầu đến máy tính B • Máy tính B trả lời, máy tính C chặn thông điệp B gửi cho A và trả về chomáy tính A. Trong khi máy tính C có các thông tin liên lạc bị chặn, nó có thể thay đổi các thông tin liên lạc hoặc thậm chí chuyển hướng nó đến một địa điểm mới (chẳng hạn máy tính D). Trong khi đó, máy tính A tiếp tục tin rằng nó chỉ là giao tiếp với máy tính B. Việc kiểm soát thông tin liên lạc của A và B có thể là chính sách quản trị hệ thống của một công ty nhằm ngăn chặn việc truy cập bất hợp pháp vào các máy tính cần được bảo vệ; hoặc cũng có thể là của một kẻ tấn công để lấy trộm thông tin, phá hoại hệ thống. Làm thế nào để máy tính C có thể xen vào giữa A và B? 3 IY6Z[\]6/66D3^93/;/RP9:9ST8 IK_1`a"!>3/VU"!>3/VaZa9X Giả mạo ARP Cache là một hình thức tấn công MITM (man in the middle) có xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Đây là một trong những hình thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công. IKKB;Q6/^9"!6/^96/Rb9 Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI. Lớp thứ hai (lớp data-link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp. Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu. Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp. Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng truyền thông. Với lý do đó, ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”. 4 Hình 1: Quá trình truyền thông ARP Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói ARP request và một gói ARP reply. Mục đích của request và reply là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đến được đích của nó trong mạng. Gói request được gửi đến các thiết bị trong đoạn mạng, trong khi gửi nó nói rằng (đây chỉ là nhân cách hóa để giải thích theo hướng dễ hiểu nhất) “Hey, địa chỉ IP của tôi là XX.XX.XX.XX, địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX. Tôi cần gửi một vài thứ đến một người có địa chỉ XX.XX.XX.XX, nhưng tôi không biết địa chỉ phần cứng này nằm ở đâu trong đoạn mạng của mình. Nếu ai đó có địa chỉ IP này, xin hãy đáp trả lại kèm với địa chỉ MAC của mình!” Đáp trả sẽ được gửi đi trong gói ARP reply và cung cấp câu trả lời, “Hey thiết bị phát. Tôi là người mà bạn đang tìm 5 kiếm với địa chỉ IP là XX.XX.XX.XX. Địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX.” Khi quá trình này hoàn tất, thiết bị phát sẽ cập nhật bảng ARP cache của nó và hai thiết bị này có thể truyền thông với nhau. IKI_1`a>3/V Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “vu vơ”. Khi các ARP reply vu vơ này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn công. 6 Hình 2: Chặn truyền thông bằng các giả mạo ARP Cache II%aZa9 “Đầu độc” DNS (tạm dịch từ DNS poisoning, hay DNS cache poisoning) là tác vụ lừa một (một số) DNS server nào đó rằng một địa chỉ IP-giả là IP của một tên miền nào đó. Ví dụ, IP của website ngân hàng vietcombank.com là 216.104.161.209 và 216.104.161.109; nếu ISP của ta có DNS bị “đầu độc”, tưởng rằng IP của vietcombank.com là x.y.z.w thì truy cập vào vietcombank.com sẽ bị “chuyển hướng” (redirected) đến x.y.z.w; Ở địa chỉ x.y.z.w này, có thể có sẵn một webserver với giao diện giống hệt vietcombank.com – người dùng không để ý (rất kỹ mới biết) sẽ phải giao dịch với kẻ giả mạo. 7 Tương tự như vậy, nếu attacker có thể nghe lén được ID của DNS request, anh ta có thể giả mạo DNS Server đó trả lời cho máy gửi yêu cầu trước DNS Server thực sự. Khi đó, máy tính của người dùng sẽ giao dịch với máy chủ do attacker chỉ định và anh ta có thể dễ dàng thực hiện các thao tác lừa đảo. Ic/>;deWVaZ6Z Thay đổi file Hosts là một phương pháp khác được sử dụng để chuyển hướng truy cập. Mỗi máy tính đều có một tập tin Hosts, hoạt động giống như DNS, dùng phân giải tên miền ra địa chỉ IP. Tuy nhiên, các mục trong file Hostsđược sử dụng trước khi gọi DNS và file Hosts thường dễ tiếp cận hơn cho những kẻ tấn công - do đó,việc đầu độc bằng cách thay đổi file Hosts cũng khá thông dụng. IfD3^93/;/RP93e9UaB6!VSBV36a>66>3\X Một cuộc tấn công chuyển hướng cổng là một dạng khác của cuộc tấn công dựa trên khai thác tin tưởng. Những kẻ tấn công sử dụng một máy chủ bị xâm nhập để truy cập máy chủ bên trong xuyên qua tường lửa mà không bị chặn. Nhìn nó theo cách này, các máy chủ bên ngoài có thể đến được với các máy chủ công khai, nhưng không phải là máy chủ bên trong. Nếu một kẻ xâm nhập có thể khai thác được lỗ hỗng trên các máy chủ công khai, kẻ tấn công có thể cài đặt phần mềm để chuyển hướng lưu lượng truy cập từ các máy chủ bên ngoài trực tiếp đến các máy chủ bên trong. Mặc dù không phải giao tiếp vi phạm các quy tắc thực hiện trong các bức tường lửa, các máy chủ bên ngoài vẫn có thể kết nối đến các máy chủ bên trong thông qua 8 các quá trình chuyển hướng cổng (port redirection) trên các máy chủ dịch vụ công khai. Một số công cụ có thể cung cấp các kiểu truy cập này là Netcat, Netwox. Cũng dựa vào cơ chế này, một nhân viên trong công ty có thể vượt tường lửa để truy cập các dịch vụ không được phép một cách dễ dàng và rất khó ngăn chặn. Hình 3: Mô hình tấn công chuyển Port Redirection cY6Z[9_g/hgg/h6/84ig/j93/[93h3\6D3^93/;/RP9 :9ST8 cK_1`a"!>3/VU"!>3/VaZa9X a. %k98/:g3aW9.> xem MAC của mình 9 • >Bgl> xem bảng ARP trên máy mình, kiểm tra MAC của B có phải đúng là MAC B hay không. • >BglSm xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị tấn công cũng mất, và máy tính sẽ bắt đầu học lại. Nhưng nếu máy tấn công vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô ích. • >BglZ gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không đầu độc được IP này nữa. Nhưng việc này không khả thi cho mạng lớn, nhiều máy tính, và có sự thay đổi IP (ví dụ dùng DHCP). b. Dùng phần mềm: có thể cài đặt phần mềm "6"! để tránh việc nhận ARP Reply giả mạo. c. %k96/n6op%;>13"!ZgV36aswitch sẽ dựa vào bảngDHCP Snooping Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lệ hay không, nếu không hợp lệ sẽ DROP ngay. cI%aZa9 Để tìm lý do thực sự của sự nhiễm độc bộ nhớ đệm DNS là một vấn đề rất khó khăn bởi vì không có cách nào thực sự hiệu quả để xác định các danh mục DNS máy tính của bạn nhận được có hợp pháp hay đã bị giả mạo. Một trong những giải pháp dài hạn để chống đầu độc bộ nhớ đệm DNS là DNSSEC. DNSSEC sẽ cho phép các tổ chức "ký" vào các bản ghi DNS của họ bằng cách sử dụng mật mã khóa công khai, việc này đảm bảo rằng máy tính của bạn sẽ biết liệu một bản ghi DNS nên tin tưởng hay đã bị đầu độc và chuyển hướng đến một địa chỉ không chính xác. cc/>;deWVaZ6Z Phân quyền cho các user, hạn chế/cấm quyền ghitrên file Hosts. cfD3^93/;/RP93e9UaB6!VSBV36a>66>3\X Chuyển hướng cổng có thể được kiểm soát chủ yếu thông qua việc sử dụng các mô hình tin cậy thích hợp. Có thể cài đặt phần mềm chống virus hoặc một hệ thống 10 phát hiện xâm nhập dựa trên máy chủ (IDS) giúp phát hiện các kẻ tấn công và ngăn chặn cài đặt các phần mềm độc hại trên các máy chủ. fY6Z[3^93q6D3^9!V>; • Ettercap (http://ettercap.github.io/ettercap/) - Poisoning - Sniffing - Hijacking - Filtering - SSH sniffing • Dsniff (http://www.monkey.org/~dugsong/dsniff) - Poisoning - Sniffing - SSH sniffing (proxy attack) • Netwox/Netwags (http://ntwox.sourceforge.net/): gồm 223 công cụ, hỗ trợ nhiều kiểu tấn công. '("?r& 1. Practical hacking techniques and countermesures, Mark D.Spivey, CISSP, NXB Auerbach Publications, năm 2007 2. http://www.orbit-computer-solutions.com/Port-Redirection.php 3. http://antivirus.about.com/od/whatisavirus/a/mitmattacks.htm 4. http://quantrimang.com/tim-hieu-ve-tan-cong-man-in-the-middle-%E2%80%93- gia-mao-arp-cache-66482 [...]...11 DEMO TẤN CÔNG TCP RELAY SỬ DỤNG NETWOX Phương thức tấn công:Port Redirection Công cụ thực hiện tấn công:Netwox (công cụ số 183) Tình huống đặt ra: Công công ty X có chính sách cho hệ thống mạng nội bộ là: tất cả các máy tính của nhân viên chỉ được ra internet bằng port 80, các port khác đều bị cấm Một Firewall được dựng lên để thực hiện chính sách này Nhân viên A... Firewall được dựng lên để thực hiện chính sách này Nhân viên A trong công ty sử dụng phương thức port redirection để vượt tường lửa (một hình thức tấn công từ trong ra ngoài) phá vỡ chính sách của công ty Anh A muốn truy cập đến 1 dịch vụ webmail, port 8000 chạy trên máy chủ có ip là X, ngoài internet Các thức thực hiện: anh A cài sẵnnexwox lên một máy chủ có ip là Y ngoài internet; cấu hình để netwox chạy . 1: Quá trình truyền thông ARP Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói ARP request và một gói ARP reply. Mục đích của request và reply là tìm ra địa chỉ MAC. lời cho máy gửi yêu cầu trước DNS Server thực sự. Khi đó, máy tính của người dùng sẽ giao dịch với máy chủ do attacker chỉ định và anh ta có thể dễ dàng thực hiện các thao tác lừa đảo. Ic/>;deWVaZ6Z Thay. dựa vào cơ chế này, một nhân viên trong công ty có thể vượt tường lửa để truy cập các dịch vụ không được phép một cách dễ dàng và rất khó ngăn chặn. Hình 3: Mô hình tấn công chuyển Port Redirection cY6Z[9_g/hgg/h6/84ig/j93/[93h36D3^93/;/RP9 :9ST8 cK_1`a"!>3/VU"!>3/VaZa9X a.