Đang tải... (xem toàn văn)
ManintheMiddle (MITM) là hình thức tấn công màkẻ tấn công (attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT KHOA TIN HỌC QUẢN LÝ BÁO CÁO MÔN HỌC AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Đề tài TÌM HIỂU VỀ TẤN CÔNG GIẢ MẠO ARP CACHE POISONING, DNS CACHE POISONING VÀ CÁCH PHÒNG CHỐNG Thành phố Hồ Chí Minh - 2013 Giảng viên: Trương Hoài Phan Nhóm thực hiện: Nhóm 21 Danh sách nhóm: 1. Lâm Ngọc Phượng K094061176 2. Đỗ Thị Huyền Linh K094061149 3. Mai Thị Thế Nghĩa K094061164 4. Hoàng Mai Hùng K094061139 MỤC LỤC Trang [2] CHƯƠNG 1 - TỔNG QUAN VỀ TẤN CÔNG MAN- IN-THE-MIDDLE I. TẤN CÔNG MAN-IN-THE-MIDDLE LÀ GÌ? Man-in-the-Middle (MITM) là hình thức tấn công màkẻ tấn công (attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân. Hình 1 – Mô hình minh họa cho Man-in-the-Middle II. CÁC KIỂU TẤN CÔNG MITM Hiện nay có các hình thức tấn công MITM phổ biến như: Tấn công giả mạo ARP cache (ARP Cache Poisoning). [3] Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning). Chiếm quyền điều khiển Session (Session Hijacking). Chiếm quyền điều khiển SSL. … Trong các phần sau, nhóm sẽ tìm hiểu và trình bày về haikiểu tấn công giả mạo ARP Cache Poisoing và tấn công giả mạo DNS Cache Poisoning. [4] CHƯƠNG 2 - TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING) Đây là một hình thức tấn công MITM hiện đại có xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing hay ARP Spoofing).Hình thức tấn công này cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân.Đây là một trong những hình thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công. I. GIAO THỨC ARP VÀ CƠ CHẾ HOẠT ĐỘNG CỦA NÓ 1. Giao thức ARP Sơ lược về địa chỉ MAC Mỗi thiết bị mạng đều có một địa chỉ vật lý – địa chỉ MAC (Medium Access Control address) và địa chỉ đó là duy nhất.Các thiết bị trong cùng một mạng thường dùng địa chỉ MAC để liên lạc với nhau tại tầng Data Linkcủa mô hình OSI. Hình 2 - Mô hình OSI [5] • Để biết được địa chỉ MAC của một máy tính cá nhân, ta có thể thực hiện như sau: Cách 1: Vào Start > Run > Gõ cmd > Gõ ipconfig /all > Nhấn Enter. Sau đó, ta có thể xem thông tin về MAC tại dòng Physical Address, như hình sau: Hình 3 – Giao diện xem thông tin địa chỉ MAC theo cách dùng ipconfig /all Cách 2: Vào Start > Run > Gõ cmd > Gõ getmac > Nhấn Enter. Khi đó, ta có thể xem thông tin về MAC như hình sau: [6] Hình 4 – Giao diện xem thông tin địa chỉ MAC theo cách dùng getmac Trên thực tế, các card mạng (NIC - Network Interface Card) chỉ có thể kết nối với nhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy cần phải có một cơ chế để chuyển đổi các dạng địa chỉ này qua lại với nhau. Với lý do đó đã xuất hiện giao thức phân giải địa chỉ ARP (Address Resolution Protocol). Giao thức ARP Giao thức ARP (Address Resolution Protocol) được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa lớp thứ hai (Data Link) và thứ ba (Network) trong mô hình OSI. Lớp thứ hai (Data Link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp. Lớp thứ ba (Network) sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu. Mỗi lớp có một cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để có thể tạo nên một mạng truyền thông.Và, giao thức ARP đã đáp ứng được điều đó. 2. Cơ chế hoạt động củaARP Quá trình ARP (Address Resolution Protocol) được thực hiện theo cơ chế: Một thiết bị IP trong mạng gửi một gói tin broadcast đến toàn mạng để yêu cầu các thiết bị khác gửi trả lại địa chỉ phần cứng (địa chỉ MAC) của mình nhằm thực hiện truyền tin cho nhau giữa thiết bị phát và thiết bị nhận. ARP về cơ bản là một quá trình 2 chiều Request/Response giữa các thiết bị trong cùng mạng nội bộ. Thiết bị nguồn yêu cầu(request) bằng cách gửi một bản tin broadcast trên toàn mạng. Thiết bị đích sẽ trả lời (response) bằng một bản tin unicast đến thiết bị nguồn. [7] Mục đích của Request và Response là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã gửi để lưu lượng có thể đến được đích của nó trong mạng. Khi thực hiện một quá trình ARP, trước hết thiết bị phát phải xác định xem địa chỉ IP đích của gói tin có phải nằm cùng trong mạng nội bộ của mình hay không.Nếu đúng vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích. Nếu địa chỉ IP đích nằm trên mạng khác, thì thiết bị sẽ gửi gói tin đến một trong các router nằm cùng trên mạng nội bộ để router này làm nhiệm vụ forward (chuyển tiếp) gói tin. Cơ chế hoạt động của ARP trong mạng LAN Nhằm giúp dễ hiểu hơn cho cơ chế hoạt động của ARP trong mạng LAN, nhóm đưa ra một ví dụ sau: Thiết bị A khi muốn truyền tin sẽ thực hiện chuyển các gói tin dạng Packets (tại tầng Network) xuống tầng Datalink để đóng gói gói tin vào Frames (trong đó có địa chỉ MAC). Khi A muốn gửi gói tin này đến một thiết bị khác (ví dụ như X). Nhưng hiện tại, thiết bị A chỉ biết địa chỉ IP của X, mà không biết địa chỉ MAC của X là gì, khi đó thiết bị A phải thực hiện dò tìm. (Ghi chú: Trước khi dò tìm, A chưa biết X là thiết bị nào). Để thực hiện dò tìm, A sẽ gửi một ARP Request (bao gồm địa chỉ MAC của A và địa chỉ IP của X)lên toàn bộ một miền broadcast, tức là gửi cho nhiều thiết bị khác trong cùng mạng LAN để hỏi rằng: "Địa chỉ MAC của thiết bị có địa chỉ IP này là gì ?". Sau khi nhận được ARP Request, mỗi một thiết bị trong miền broadcastsẽ tiến hàng so sánh địa chỉ IP nhận được với địa chỉ IP của mình. o Nếu không trùng khớp, các thiết bị này sẽ loại bỏ thông tin của ARP Request này. o Nếu trùng khớp và đúng là IP của nó (thiết bị X), thì X sẽ gửi trả lại cho A một ARP Response (có chứa thông tin địa chỉ MAC của mình). (Ghi chú: ARP Response này thuộc dạng unicast, tức chỉ gửi cho một thiết bị cụ thể là thiết bị phát). [8] Sau khi nhận được địa chỉ MAC của X, thiết bị phát(tức là A)sẽ cập nhật bảng ARP cache của nó và khi đó, hai thiết bị này đã có thể truyền thông được với nhau, A đã có thể gửi gói tin của mình cho X. Cơ chế hoạt động của ARP trong môi trường hệ thống mạng Đối với hoạt động của ARP trong một môi trường phức tạp hơn đó là hai hệ thống mạng gắn với nhau thông qua một Router C, Victim A thuộc mạng A muốn gửi gói tin đến máy B thuộc mạng B, thì do các broadcast không thể truyền qua Router nên khi đó Victim A sẽ xem Router C như một cầu nối hay một trung gian (Agent) để truyền dữ liệu. Trước đó, Victim A sẽ biết được địa chỉ IP của Router C (địa chỉ Gateway) và biết được rằng để truyền gói tin tới B phải đi qua C. Tất cả các thông tin như vậy sẽ được chứa trong một bảng gọi là bảng định tuyến (Routing Table). Bảng định tuyến theo cơ chế này được lưu giữ trong mỗi máy. Bảng định tuyến chứa thông tin về các Gateway để truy cập vào một hệ thống mạng nào đó. Ví dụ trong trường hợp trên trong bảng sẽ chỉ ra rằng để đi tới LAN B phải qua port X của Router C. Bảng định tuyến sẽ có chứa địa chỉ IP của port X. Quá trình truyền dữ liệu theo từng bước sau : o Victim A gửi một ARP Request (broadcast) để tìm địa chỉ MAC của port X. o Router C trả lời (ARP Responce), cung cấp cho Victim A địa chỉ MAC của port X. o Sau khi biết được địa chỉ MAC của port X, Victim A truyền gói tin đến port X của Router. o Router nhận được gói tin từVictim A và chuyển gói tin ra port Y của Router. Trong gói tin có chứa địa chỉ IP của máy B. Router sẽ gửi ARP Request để tìm địa chỉ MAC của máy B. o Nhận thấy địa chỉ IP được gửi là của mình, máy B sẽ trả lời (ARP Responce) cho Router biết địa chỉ MAC của mình. Sau khi nhận được địa chỉ MAC của máy B, Router C gửi gói tin của A đến cho B. [9] Trong cả hai trường hợp trên (cùng mạng LAN hay liên mạng), các thiết bị đều phải gửi gói tin IP đến một thiết bị có IP khác trên cùng mạng nội bộ để tìm địa chỉ MAC. Việc gửi gói tin trong cùng mạng thông qua Switch là dựa vào địa chỉ MAC hay địa chỉ phần cứng của thiết bị. Sau khi gói tin được đóng gói thì mới bắt đầu được chuyển qua quá trình phân giải địa chỉ ARP và được chuyển đi. Hình 5 – Cơ chế hoạt động của quá trình truyền thông ARP 3. ARP Cache ARP là một giao thức phân giải địa chỉ động. Quá trình gửi gói tin Request và Responce sẽ tiêu tốn băng thông mạng. Chính vì vậy, càng hạn chế tối đa việc gửi gói tin Request và Response sẽ càng góp phần làm tăng khả năng hoạt động của mạng.Từ đó sinh ra nhu cầu của ARP Caching, nghĩa là lưu lại thông tin của các gói tin vào bộ nhớ đệm ARP Cache. ARP Cache tĩnh và động (Static and Dynamic ARP Cache Entries) [10] [...]... (Phòng thủ+): Bảo vệ xâm nhập máy chủ Công nghệ Scandbox tự động Mã hóa dữ liệu Wi-Fi Bảo vệ từ xa và hỗ trợ hệ thống [26] CHƯƠNG 3 - TẤN CÔNG GIẢ MẠO DNS (DNS CACHE POISONING) Trong phần này, nhóm sẽ giới thiệu về một kiểu tấn công MITM khác, đó là tấn công giả mạo DNS (DNS Cache Poisoning hay còn gọi là DNS Spoofing) I SƠ LƯỢC VỀ DNS (DOMAINNAMESYSTEM) Trước khi đi vào trình bày về kiểu tấn công DNS. .. đang tìm kiếm để truyền thông, và nó sẽ thực hiện update bảng ARP Cache của mình mà không hề biết là nó đang truyền thông với một kẻ tấn công Cơ chế tấn công giả mạo ARP Cache Cơ chế tấn công giả mạo ARP Cache cụ thể sẽ như sau: Giả sử trong một mạng LAN có 4 thiết bị (máy tính) như sau: Victim A: là máy phát ARP Request, và cũng là một trong hai nạn nhân trong cuộc tấn công ARP Cache ARP Cache. .. đổi ARP cache II TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING) 1 Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning) Tấn công giả mạo ARP Cache chỉ thực hiện được trong môi trường mạng LAN, mà không thực hiện được trên WAN Việc giả mạo bảng ARP Cache chính là lợi dụng bản tính không an toàn của giao thức ARP Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận... khoản của mình,…các website của doanh nghiệp có thể không hoạt động được … Kỹ thuật tấn công kiểu này gọi là tấn công đầu độc bộ nhớ cache DNS (DNS cache poisoning) 1 DNS Cache Poisoning là gì [31] Giả mạo DNS( DNS Cache Poisoning) là một kỹ thuật tấn công MITM, theo đó dữ liệu sai sẽ được đưa vào hệ thống tên miền (DNS) cho một máy chủ, để khi người dùng duyệt đến một địa chỉ nào đó sẽ bị chuyển sang... www.abc.com giả mạo cư trú ở địa chỉ IPYYY.YY.YY.YYvới giao diện hoàn toàn giống với giao diện khi dùng địa chỉ thật, đây là địa chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin người dùng, chẳng hạn như tài khoản ngân hàng trực tuyến của người dùng… 2 Tấn công giả mạo DNS (DNS Cache Poisoning) Hiện có hai cơ chế tấn công giả mạoDNS của hacker như sau: Giả mạo các phản hồi DNS Hình 12 – Sơ đồ tấn công. .. cache poisoning Subdomain Exploit DNS Cache Poisoning – Kiểu tấn công DNS Cache Poisoning thời gian gần đây Tấn công Subdomain Exploit DNS Cache Poisoning thực chất vẫn là tấn công DNS Cache Poisoning Nhưng điểm quan trọng nhất trong phương pháp khai thác lỗ hổng DNS cache poisoning lần này là việc hacker sử dụng các tên miền con (subdomain) để tạo ra các yêu cầu phân giải địa chỉ hợp lệ Các tên miền... địa chỉ IP sai lệch (của hacker) Giả mạo địa chỉ DNS Hình 13 - Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID Theo như hình 13, cơ chế tấn công giả mạo địa chỉ DNS sẽ như sau: Giả sử DNS Cache Server (như trên hình) đã có lưu thông tin địa chỉ của trang example.jp, nhưng Hacker (Malicious User) lại thực hiện thay đổi địa chỉ này bằng địa chỉ của một trang giả mạo khác (Bogus Website) [33] Khi... tin từ VictimA, và cũng là một trong hai nạn nhân trong cuộc tấn công ARP Cache Máy Victim B có: ARP Cache của Victim B IP 10.0.0.10 MAC ff-ff-ff-ff-00-10 Attacker: là máy tính thực hiện tấn công ARP Cache, có: ARP Cache của Attacker IP 10.0.0.11 MAC ff-ff-ff-ff-00-11 Attacker(kẻ tấn công) muốn thực hiện tấn công ARP đối với máy VictimA và B Attacker muốn rằng mọi gói tin mà Victim Avà Victim Btrao... nhân sẽ bị công cụ Cain của ta lấy cắp được: Vậy là ta đã thực hiện tấn công ARP Cache Poisoning thành công Như ta đã thấy, loại tấn công này là vô cùng nguy hiểm, vì vậy ta cần thực hiện các biện pháp để có thể phòng tránh được những đáng tiếc có thể xảy ra III CÁC BIỆN PHÁP PHÒNG CHỐNG [22] Giả mạo ARP Cache là dạng tấn công dễ thực hiện nhưng lại rất khó phát hiện.Hiện nay không có một giải pháp... của máy tấn công [16] Khi máy phát tiến hành trao đổi, truyền tin cho Gateway (để Gateway chuyển tiếp gói tin cho mấy nhận), mọi thông tin đều sẽ đi theo địa chỉ MAC đã bị đầu độc để đến được máy tấn công Lúc này kẻ tấn công sẽ xem được mọi thông tin cơ mật của cuộc trao đổi 2 Thực hiện tấn công giả mạo ARP Cache Hiện nay để thực hiện tấn công giả mạo ARP Cache, ta có thể nhờ sự hỗ trợ của nhiều công . sau, nhóm sẽ tìm hiểu và trình bày về haikiểu tấn công giả mạo ARP Cache Poisoing và tấn công giả mạo DNS Cache Poisoning. [4] CHƯƠNG 2 - TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING) Đây. dẫn đến việc phải thay đổi ARP cache. II. TẤN CÔNG GIẢ MẠO ARP CACHE (ARP CACHE POISONING) 1. Cơ chế tấn công giả mạo ARP Cache (ARP Poisoning) Tấn công giả mạo ARP Cache chỉ thực hiện được trong. CÁC KIỂU TẤN CÔNG MITM Hiện nay có các hình thức tấn công MITM phổ biến như: Tấn công giả mạo ARP cache (ARP Cache Poisoning) . [3] Tấn công giả mạo DNS (DNS Spoofing hay DNS Cache Poisoning) .