Bài viết sưu tầm

TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH

VÀ CÁC KỸ THUẬT TẤN CÔNG MẠNG

I.3.2.   Các kỹ thuật tấn công hiện nay

I.3.2.1.  Nghe lén các mạng chuyển mạch (Sniffing Switch Networks)

Các bộ nghe lén (sniffer) được sử dụng bởi hacker để thu thập mật khẩu và thông tin hệ thống liên quan của một host hoặc một network nào đó. Thường việc này chỉ thành công khi có một host của mạng bên trong “hợp tác” với hacker.

Sniffer sẽ thu thập mật khẩu và các thông tin khác bằng cách đặt một card giao tiếp mạng (network interface card – NIC) vào chế độ ngẫu nhiên (promiseuous mode). Nghĩa là NIC sẽ thu thập tất cả các gói tin trên mạng chứ không chỉ là các gói tin có địa chỉ gửi đến NIC (địa chỉ của hệ thống cài đặt sniffer). Các sniffer thường làm việc tốt với các mạng chuyển mạch phục vụ chia sẻ thông tin.

Để nghe lén lưu lượng trong một môi trường chuyển mạch, hacker cần phải thực hiện một trong 2 việc sau đây: Điều khiển switch sao cho thông tin qua switch bị hướng đến các sniffer. Và buộc switch phải gửi tất cả các gói tin đi đến tất cả các cổng. Nếu như một trong hai điều này được đáp ứng, sniffer sẽ “nghe” được lưu lượng mà nó quan tâm, và cung cấp cho hacker những thông tin mà hacker muốn.

Ø   Định hướng lại traffic (Redirecting traffic)

Thiết bị chuyển mạch (Switch) quy định đường đi cho thông tin đến các cổng dựa trên địa chỉ MAC (Media Access Control) của khung tin (frame) Ethernet. Mỗi NIC có một địa chỉ MAC duy nhất, và Switch hiểu được địa chỉ đó đại diện cho cổng nào. Do đó, khi một frame được truyền đi với một địa chỉ đích MAC, Switch sẽ gửi frame đó đến cổng mà địa chỉ MAC đó đại diện. Sau đây là một số phương pháp có thể được sử dụng để yêu cầu các thiết bị chuyển mạch gửi lưu lượng đến Sniffer:

·              Đánh lừa ARP (ARP spoofing): ARP (Adress Resolution Protocol) là giao thức phân giải địa chỉ, giao thức này được dùng để lấy địa chỉ MAC tương ứng với một địa chỉ IP nào đó. Khi một hệ thống (nguồn) muốn giao dịch để trao đổi thông tin với hệ thống khác (đích), trước hết nó phải gửi một thông điệp yêu cầu đến ARP để tìm MAC tương ứng với địa chỉ IP đích. Hệ thống đích sẽ đáp trả địa chỉ MAC, tương ứng với địa chỉ IP, cho yêu cầu ARP đó.Sau đó hệ thống nguồn (bên gửi tin) sẽ sử dụng địa chỉ MAC này để gửi thông tin đến đích.

Nếu như thông điệp yêu cầu tìm MAC bị bắt giữ bởi sniffer, sniffer sẽ đáp trả cho yêu cầu ARP trước hệ thống đích (mà nguồn mong muốn) với địa chỉ MAC của nó (của sniffer). Tất nhiên sau đó hệ thống gửi tin sau đó sẽ gửi trao đổi thông tin vớisniffer (chứ không phải đích mà nó mong muốn).

Để đánh lừa ARP thành công, sniffer phải có khả năng chuyển tiếp thông tin đến địa chỉ mà hệ thống gửi cần gửi đến (đích mà nguồn mong muốn). Nếu không làm được điều này thì sniffer phải thực hiện một cuộc tấn công DoS.

·              Tạo bản sao địa chỉ MAC: Một cách nữa để thuyết phục Switch gửi thông tin qua nó đến sniffer là: hacker phải thay đổi địa chỉ MAC của sniffer cho giống với địa chỉ MAC của hệ thống khác trong hệ thống mạng con cục bộ (local subnet).

·              Đánh lừa DNS (DNS spoofing): Một cách tương tự với hai cách trên, để buộc switch phải chuyển tất cả các gói tin đến sniffer là: đánh lừa hệ thống gửi tin để hệ thống đó gửi tin đến sniffer bằng cách sử dụng địa chỉ MAC thật của sniffer. Để thực hiện được điều này, sniffer phải “thuyết phục” hệ thống gửi tin sao cho nó phải gửi ARP đến địa chỉ IP của sniffer. Cách làm này có thể thành công dựa vào việc đánh lừa DNS.

Trong kiểu tấn công đánh lừa DNS, sniffer gửi các tin trả lời cho các yêu cầu DNS của hệ thống gửi tin. Các tin đáp trả này cung cấp địa chỉ IP của sniffer thay vì địa chỉ IP của hệ thống mà hệ thống gửi tin yêu cầu. Và sau đó, hệ thống gửi tin sẽ gửi tất cả tin đến sniffer. Sau đó sniffer sẽ phải chuyển tiếp các gói tin này đến hệ thống đích thực sự. Kiểu tấn công này còn được gọi là theo kiểu “đánh chặn”.

Để tấn công kiểu này thành công, sniffer phải có khả năng nhận biết tất cả các yêu cầu DNS và trả lời cho chúng trước khi máy chủ DNS trả lời. Như vậy sniffer phải nằm trên tuyến mạng giữa hệ thống gửi tin và máy chủ DNS nếu như sniffer không nằm trên mạng con cục bộ của hệ thống gửi tin.

Ø   Gửi mọi thông tin đến tất cả các cổng

Thay vì đánh lừa ARP, đánh lừa DNS hay là nhân bản địa chỉ MAC, hacker có thể làm cho switch hoạt động như một hub. Biết rằng, mỗi Switch sử dụng một lượng bộ nhớ cho việc lưu giữ các ánh xạ giữa địa chỉ MAC và các cổng vật lý. Bộ nhớ này có dung lượng giới hạn, nên nếu nó bị đầy thì Switch sẽ không “mở” được. Tức là, Switch sẽ dừng lại việc gửi thông tin đến các địa chỉ MAC nào đó tương ứng với các cổng cụ thể nào đó, thay vào đó nó sẽ gửi đến tất cả các cổng.

Lúc này switch hoạt động như một thiết bị chia sẻ đường truyền, tức là nó như một Hub. Nhờ đó mà sniffer có thể thực hiện chức năng của nó. Để khởi phát cuộc tấn công dạng này, hacker phải trực tiếp tác động tới Switch.

Chú ý: Với các cuộc tấn công đánh lừa ARP; Nhân bản địa chỉ MAC; Đánh lừa DNS: Hacker phải kết nối trực tiếp với Switch mà nó tấn công. Điều này có nghĩa là, kiểu tấn công đánh cắp thông tin cầu hacker phải ở trên Switch cục bộ. Đầu tiên hacker thâm nhập vào hệ thống bằng cách phá vỡ một điểm dễ bị tấn công và sau đó cài đặt phần mềm sniffing để thực hiện việc “ngửi” thông tin. Trong trường hợp này nếu hacker là người trong tổ chức cần hack, một nhân viện của tổ chức chẳng hạn, hacker sẽ sử dụng quyền truy cập thực của nó để có thể truy cập đến Switch.

I.3.2.2.  Đánh lừa địa chỉ IP (IP spoofing)

Như đã biết, địa chỉ IP trong các gói tin IP là không được xác thực. Do đó hacker có thể thay đổi địa chỉ nguồn của gói tin và làm cho gói tin có vẻ như được gửi đến từ một địa chỉ nào đó khác. Vấn đề ở đây chính là những gói tin phản hồi (chẳng hạn như gói tin SYN ACK trong một kết nối TCP) sẽ không được gửi về cho hệ thống gửi tin. Do đó việc cố gắng đánh lừa địa chỉ IP để thiếp lập một kết nối TCP sẽ rất khó khăn. Thêm nữa, header của TCP còn chứa một chỉ số được dùng để nhận biết các gói tin. Chuỗi số tuần tự khởi tạo (Initial sequence number – ISN) dành cho mỗi kết nối được chọn (giải mã) một cách ngẫu nhiên.

Chi tiết về tấn công đánh lừa địa chỉ IP (xem hình 1.6): Đầu tiên hacker xác định mục tiêu tấn công. Khi đã xác định được mục tiêu, nó sẽ xác định số INS tiếp theo sẽ được dùng, bằng cách thực hiện một chuỗi các kết nối thực đến mục tiêu và ghi nhận các số ISN được trả về. Tuy nhiên, sẽ có một số bất lợi cho hacker vì các kết nối thực này sẽ làm lộ địa chỉ IP thực của nó.

Một khi ISN tiếp theo đã được xác lập, hacker sẽ gửi gói tin TCP “SYN” đến hệ thống đích với một địa chỉ nguồn IP giả mạo. Hệ thống đích sẽ trả lời bằng gói tin TCP “SYN ACK” đến địa chỉ IP nguồn giả mạo đó. Như vậy hacker sẽ không thấy được gói tin đáp trả. Gói tin TCP “SYN ACK” có chứa số ISN từ hệ thống đích. Để hoàn thành việc thiết lập một kết nối thì hacker phải xác định được số ISN ở gói tin TCP SYN cuối cùng. Nó đoán số ISN dựa trên tính tăng dần của chuỗi số ISN và gửi đi một gói tin TCP ACK giả từ địa chỉ IP giả mạo trong đó có cả số ISN mà nó biết.

Hình: Mô tả tấn công đánh lừa IP

Sau khi tất cả những việc đó được thực hiện, hacker sẽ ngừng kết nối thực đến hệ thống đích. Lúc này nó có khả năng gửi lệnh và thông tin đến hệ thống đích nhưng hắn ta không thể biết được hệ thống đích đáp trả các lệnh và thông tin đó như thế nào.

(Nguyễn Kim Tuấn - K.CNTT)