Hacking Techniques for Attacks (Những kỹ thuật hacker thường dùng với mục đích cơng) Các hacker hồn tồn trút hết tàn phá mà không cần thiết phải chui vào hệ thống bạn Ví dụ, hacker đánh sụm máy chủ bạn cách cho máy bạn tràn ngập tín hiệu khó chịu (obnoxious signal) tràn ngập đoạn mã có hại (malicious code) Kỹ thuật gọi công từ chối dịch vụ (DoS – Denial of Service) Các hacker tiến hành công DoS theo hai phương pháp, hai phương pháp khả thi Phương pháp thứ làm tràn ngập máy tính mục tiêu luồng thơng tin áp đảo Phương pháp thứ hai gửi lệnh lừa đảo tuyệt khéo (well-crafted command) gửi liệu sai (erroneous data) làm sụm máy tính mục tiêu Phần I : Làm tràn ngập SYN (SYN Flooding) Kiểu công DoS thứ làm tràn ngập tín hiệu SYN Một vụ cơng SYN bắt buộc tài nguyên máy tính mục tiêu ngừng hoạt động, cách ép chúng phải đáp ứng lũ lệnh Để hiểu điều này, tưởng tượng bạn làm thư ký công ty, nhiệm vụ bạn trả lời chuyển gọi điện thoại Cái xảy lúc có hai trăm người gọi đến cúp máy bạn bắt máy trả lời? Bạn bận rộn để bắt cho hết điện thoại tào lao (làm dám bỏ gọi nào), chắn bạn làm xong công việc khác Cuối bạn khóc rưng rức, khùng chắn phải “say goodbye” với ghế thư ký khốn khổ Hacker dùng kỹ thuật giống họ triển khai vụ cơng DoS Ảnh : Ví dụ minh họa công từ chối dịch vụ (DoS) điện thoại Để tiến hành vụ công DoS, hacker phải xác định địa IP mục tiêu Sau đó, hacker dùng địa IP để kết nối vào mục tiêu máy tính client Để khuếch đại uy lực cơng, hacker thường setup nhiều máy tính client lúc công mục tiêu Để làm việc này, thường trước hacker phải thực vài cú hack mở để lấy quyền điều khiển loạt máy tính có băng thơng kết nối rộng Nguồn phổ biến để cung cấp máy tính “nơ lệ” hệ thống mạng máy tính trường đại học hacker dùng credit card “chùa” để thuê server dùng làm cơng cụ phục vụ ý đồ Khi hacker setup xong máy tính nơ lệ mình, ngồi trung tâm điều khiển bà bắt đầu phát động công Quy trình kết nối liên lạc máy tính gồm bước bắt tay Một cú công theo kiểu SYN cải biên trình bắt tay này, nhằm hạ gục cách làm cho máy tính bị tải Như bạn biết, máy tính client gửi gói tin SYN đến máy tính server để bắt đầu kết nối máy tính server nhận gọi tin này, xử lý tím địa trả gửi ngược lại gọi tin SYN ACK Đây điểm mà cơng DoS tìm kiếm Một server có số hạn chế tài nguyên để dành cho kết nối client Khi server nhận gói tin SYN khởi tạo từ client, server bắt đầu định vị tài nguyên Điều có nghĩa số kết nối client lúc bị giới hạn lúc có nhiều client kết nối, server bị tràn “bức sô” trình xử lý bị tải Yếu điểm hệ thống lúc hacker cố tính đưa vào địa trả giả mạo gói SYN ban đầu Như vậy, server gửi ngược gói tin SYN ACL cho client giả mạo, khơng nhận gói tin ACK kết thúc Như gói SYN giả mạo, tài nguyên ngày bị buộc phải ngưng hoạt động mà server từ chối không nhận thêm kết nối Để công được, cần phải có vơ số gói tin giả mạo, hacker có nhiều máy tính nơ lệ để gửi gói tin, làm tải hệ thống cách nhanh chóng Ảnh : Tấn cơng kiểu SYN Một ví dụ tiếng kiểu công xảy vào cuối năm 1999 Rất nhiều Web xịn bị sụm trước lũ tín hiệu lúc đến từ hàng trăm máy tính khác Các trang Web khơng hấn cơng xảy từ máy; nhiên, việc dùng chương trình điều khiển từ xa, hacker phát động công phối hợp dùng lúc hàng trăm-hàng ngàn máy tính, mục tiêu họ bị tải cách nhanh chóng ——— Tài liệu tham khảo : Windows Internet Security-Protecting Your Critical Data (Seth Fogie & Dr Cyrus Peikari) Phần : Xì trum cơng (Smurf Attacks) Một biến thể công DoS gây tràn ngập công kiểu Smurf (*) Bạn tưởng tượng cơng ty có năm mươi nhân viên chun giải đáp thắc mắc khách hàng email Mỗi nhân viên dùng chương trình trả lời tự động khơng giới hạn, chương trình tự động gửi mail trả lời lịch nhận câu hỏi Điều xảy ra, có khách hàng bực bội gửi trăm email copy cho người số năm mươi nhân viên nói trên, với địa email trả (return address) giả mạo? Lúc trăm email đến làm phát sinh… năm ngàn email đi, mà lại tới chỉ… mailbox Vô phúc cho sở hữu địa bị ơng khách hàng q hóa lấy làm địa giả mạo, mailbox tràn ngập mail mail! Điều đau khổ khổ chủ phải ngồi duyệt hết đống xà bần đó, để bảo đảm khơng bỏ sót email quan trọng xếp bạn bè gửi đến, hix hix Tấn cơng kiểu Smurf tương tự ví dụ vừa nêu Kẻ cơng gửi tín hiệu yêu cầu đến mạng nhiều máy tính, tất nhiên máy tính mạng trả lời cho địa giả mạo Các chương trình đặc biệt kết hợp số kỹ thuật khác khuếch đại chuyện lũ thông tin ập đổ xuống đầu máy tính tội nghiệp Ảnh 3: Các cơng DoS phá hủy ảo hệ thống máy tính Như bạn biết, máy tính bỏ qua tất gói tin khơng có địa rõ ràng xác Có ngoại lệ cho chuyện máy tính dùng loại card mạng chạy mode ngẫu nhiên (promiscuous) Tuy nhiên, có ngoại lệ khác mà chưa bàn tới Cơng ty bạn làm muốn chuyển thông báo quan trọng tới tất người công ty? Nếu email khả năng, công ty gửi spam mail nội tới thành viên có địa email Mặt khác, cơng ty thơng báo hệ thống loa Hoặc họ đặt bảng thơng báo gần máy bán cà phê tự động Tất kỹ thuật vừa nêu nhằm đảm bảo cho hầu hết nhân viên nhận thơng tin Cũng tương tự mạng máy tính, có nhiều lúc server cần gửi thơng tin đến máy tính thành viên mạng Điều hoàn tất cách sử dụng địa broadcast Do cách xây dựng địa IP bên mạng, ln ln có địa mà máy tính trả lời Địa gọi địa broadcast thường dùng để cập nhật danh sách tên mục cần thiết khác mà máy tính cần để giữ cho mạng tồn hoạt động Mặc dù địa broadcast cần thiết số trường hợp, đưa tới gọi bão broadcast Một bão broadcast tương tự tiếng vọng khơng Cịn đặc biệt nữa, giống tiếng vọng lại mạnh dần lên bạn khơng cịn nghe thấy ồn Nếu máy tính gửi yêu cầu đến hệ thống mạng lại dùng địa broadcast địa trả địa broadcast máy tính mạng đáp ứng đến lời đáp ứng máy tính khác; chuyện tiếp tục diễn theo hiệu ứng cầu tuyết (**) tồn mạng đầy gói tin echo khiến cho chẳng cịn gửi qua Bây bạn hiểu cách thức làm việc broadcast, tưởng tượng xảy hacker gửi ngàn gói tin broadcast đến mạng lại dùng địa IP trả giả mạo (Spoofed Return IP Address) Mạng chắn khuếch đại gói tin ban đầu lên thành mười ngàn trăm ngàn gói tin tống đến máy tính vơ tội bị giả địa Trong trường hợp này, không giống kiểu cơng SYN, máy tính mục tiêu xây dựng chầu kết nối với máy tính phát yêu cầu Tuy nhiên, tăng mức yêu cầu kết nối làm cho server ngập đầu ngập cổ, server trở nên vô dụng Những kiểu công không quất sụm server cách nhanh chóng hiệu quả, mà cịn giữ cho hacker trở nên vơ hình Với chất công vậy, lần gói tin nguyên thủy hacker gửi Trong trường hợp công SYN, địa phải địa bịp Như thế, điểm xuất phát nguyên thủy gói tin coi khơng thể biết Trong trường hợp công kiểu smurf, hacker không trực tiếp cơng mục tiêu, mà thay vào dùng hiệu ứng phụ việc gửi tín hiệu broadcast đến mạng để thực âm mưu cách gián tiếp Như công xuất đến từ hệ thống mạng khác máy tính khác ———(*) Smurf tên software lần áp dụng thành cơng kỹ thuật gây tràn ngập gói tin broadcast ping Tên lấy theo nhân vật truyện tranh họa sĩ người Bỉ Peyo, dịch Việt Nam gọi xì trum, gồm 101 nhóc bé tí da màu xanh Bạn xem chi tiết tại: - http://en.wikipedia.org/wiki/Smurf - http://en.wikipedia.org/wiki/Smurf_attack http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci213 012,00.html (**) Chắc bạn khơng lạ hiệu ứng này, lăn theo sườn dốc phủ đầy tuyết nắm tuyết, đến chân dốc lại cầu tuyết khổng lồ Phần : Làm tải hệ thống (System Overloads) Một kiểu công DoS khác công phần mềm chạy máy tính mục tiêu Trong chương trình máy tính, trung bình khoảng 1000 dịng lệnh có lỗi (glitch, bug), mà chương trình dài đến tỉ dòng, số lỗi lên đến trăm, ngàn Nếu hacker biết cách khai thác lỗi đặc biệt này, đánh gục máy tính mục tiêu Ví dụ, chương trình mua hàng trực tuyến tiếng, người ta phát lỗi lập trình làm cho tải xử lý trung tâm tăng vọt lên đến 100%, có nghĩa khơng chương trình khác chạy Lúc cần gửi đến yêu cầu đơn giản có dạng thức “http://” cho server mục tiêu sụm bà chè Kiểu công giống tháo nắp lọ muối Bình thường, lọ muối hoạt động tốt Nhưng có hiểu rõ cấu tạo lọ muối bí mật tháo lỏng nắp Thế la la, dĩa bạn ngập đầy muối mặn đắng Kiểu công DoS thường dùng để khai thác với vụ làm tràn nhớ đệm Những kỹ thuật hacker thường dùng để truy cập trái phép (Hacking Techniques for Unauthorized Access), hacker làm tràn nhớ đệm mánh khóe để ép máy tính phải chạy chương trình bất hảo Tuy nhiên, kiểu truy xuất nói chung khó dùng, làm tràn nhớ đệm thường làm cho máy tính sụm ln Như giải thích phía trước, đoạn chương trình làm tràn nạp đầy vào đoạn nhớ xác định trước, sau làm tràn vùng nhớ bên trên, ghi đè lên liệu biến nhớ khác Lúc đó, có chương trình cần lấy liệu, truy xuất vào biến nhớ bị ghi đè, chương trình “tưng” luôn, thường kéo theo máy tính “tưng” ln với Các vụ cơng DoS mối đe dọa không công ty, doanh nghiệp lớn, mà văn phịng nhỏ người dùng nhà Hiện có sẵn hà sa số chương trình cho khả làm tràn mục tiêu Chỉ click chuột đơn giản đổ ầm ầm hàng trăm gói tin SYN xuống thẳng đầu nạn nhân Nếu bạn nghi bị cơng kiểu từ chối dịch vụ, bạn dùng tool NETSTAT để xác định có bị cơng hay không Dùng tool thấy lên rõ ràng vụ cơng có Trong hình trình bày kết tool NETSTAT cho thấy có cơng SYN Các dịng cột State cho thấy rõ có vụ công SYN diễn ngầm bên Ảnh : Các kết nối Internet có (kể server) Như bạn thấy, cơng DoS khơng phức tạp Vì rằng, hacker dễ dàng tìm chương trình cơng có sẵn, công đâm phổ biến Đến bạn hỏi, “Làm để ta ngăn chận công DoS?” Thật đáng tiếc đến chưa thể ngăn chận triệt để cơng Vì công dựa nguyên lý sở để máy tính xây dựng nên liên lạc với nhau, cách để chấm dứt chuyện bậy bạ sáng chế lại Internet Đến cách thức thực tế để làm giảm bớt công chặn (block) tất traffic đến từ số vùng đặc biệt Internet Dù sao, chúng tơi giải thích, hacker thường có nhiều máy tính nơ lệ, thường nằm mạng trường đại học hay công ty Nếu server cấm cửa địa rõ ràng gây vụ công, đồng nghĩa server cấm người hướng truy cập Điều giống đặt chế độ kiểm dịch lên toàn thành phố người thành phố bị bệnh thủy đậu Phần : Lừa đảo DNS (DNS Spoofing) Có kiểu cơng DoS khác lại hoạt động gián tiếp Những kiểu công thường không tập trung vào server mà thay vào đó, mục tiêu client Trong trường hợp này, máy tính client bị đánh lừa nơi mà muốn lấy thơng tin Ví dụ, bạn nghĩ máy tính bạn đến www.yahoo.com, hóa lại đến trang na ná Yahoo! hacker, vơ tình bạn cung cấp cho hacker password thơng tin cá nhân Bình thường, máy tính client dùng query để hỏi DNS server, muốn đổi tên domain hay địa trang Web thành địa IP Có chuyện này, máy tính client cần địa IP để định vị Web server hay email server dùng tên domain quan tâm Q trình tiến hành qua ba bước sau : 1.Client hỏi DNS server địa IP ứng với tên domain DNS server dùng query để tên domain hỏi Client kết nối với Web server theo địa IP DNS server cung cấp Ảnh : Hệ thống Domain Name (Domain Name System) Tuy vậy, q trình dễ dàng bị lợi dụng để đẩy user tin đến trang Web tầm bậy, hướng dẫn email (outgoing email) phải qua máy tính bất lương Việc thực cách ghi địa IP sai vào database DNS server Khi điều xảy ra, client khơng thể nhận có vấn đề Khả bại lộ có entry DNS sever kiểm tra cách đặc biệt, server hacker bị down Ảnh : DNS giả mạo Trong trường hợp entry DNS server bị hack, có email bị gửi đến khu vực lừa đảo, mail server sử dụng DNS server với client Trong trường hợp tệ hại thế, email lẫn email đến (incoming email) bị hướng dẫn phải qua máy tính bất lương Tuy nhiên, ví dụ chúng ta, giả định mail server dùng DNS server an ninh để phân giải tên domain Trong trườnghợp DNS server bị hack : Client B hỏi địa IP “youremail.com” DNS server bị hack trả lời lại địa IP bị giả mạo 192.168.0.10 Client B kết nối với mail server giả mạo gửi mail Server giả mạo tạo email copy gửi đến mail server thật Mail server thật-dùng DNS server an ninh-sẽ gửi mail đến client bình thường Kịch cung cấp cho hacker số thơng tin có giá trị Ví dụ như, client B bác sĩ hay luật sư, hacker truy xuất hồ sơ nhạy cảm Nếu client B làm việc dự án tối mật, hacker bán thơng tin cho cơng ty cạnh tranh Hoặc client dùng trang Web bán hàng trực tuyến, hacker chộp email xác nhận (confirmation email), có đầy đủ địa khách hàng hoặc/và số thẻ tín dụng Như bạn thấy, lừa đảo DNS có khả phá hoại rộng lớn Khi hacker muốn biến trang Web hay muốn chộp email, ta việc từ chối dịch vụ dùng trúng DNS server bị hack Tuy nhiên có cách giải vấn đề Các DNS server cấu hình cho an ninh Thực tế đánh giá cho thấy có khoảng nửa đến ba phần tư số DNS server chẳng có an ninh Đây vấn đề biết, bạn quan ngại có khả DNS server bạn chẳng an ninh, tiếp xúc với ISP (Internet Service Provider : nhà cung cấp dịch vụ Internet) vấn họ software họ dùng; có an tồn khơng bị cơng theo kiểu lừa đảo Hy vọng rằng, họ biết bạn nói cho bạn câu trả lời xác đáng Qua phần viết , tơi vừa giải thích số cách hacker dùng để vơ hiệu hố làm sụp đổ hệ thống tiêu mà không cần phải xâm nhập Với kỹ thuật làm tràn ngập kết nối giả mạo, làm sụp đổ tràn nhớ đệm hay lừa đảo DNS, hacker làm cho sống bạn trở nên khốn đốn Hơn nữa, kiểu công này, hacker xâm nhập được, chúng dùng kết hợp với kiểu cơng khác, hacker chiếm quyền truy cập trái phép Ví dụ, hacker nã dồn dập (hammer) firewall bạn, đảm bảo giữ cho firewall bạn trở nên bận bịu với việc xếp liệu để trả lời vơ ích Điều lý thuyết cho phép hacker truy cập thoải mái hệ thống bạn ... mặn đắng Kiểu công DoS thường dùng để khai thác với vụ làm tràn nhớ đệm Những kỹ thuật hacker thường dùng để truy cập trái phép (Hacking Techniques for Unauthorized Access), hacker làm tràn nhớ...một kỹ thuật giống họ triển khai vụ cơng DoS Ảnh : Ví dụ minh họa công từ chối dịch vụ (DoS) điện thoại Để tiến hành vụ công DoS, hacker phải xác định địa IP mục tiêu Sau đó, hacker dùng địa... từ máy; nhiên, việc dùng chương trình điều khiển từ xa, hacker phát động công phối hợp dùng lúc hàng trăm-hàng ngàn máy tính, mục tiêu họ bị tải cách nhanh chóng ——— Tài liệu tham khảo : Windows