Trêng cao ®¼ng nghÒ ®ång th¸p Khoa c ng nghÖ th ng tin
Minh hoạ khái quát một qui trình tấn công
tải về 2.92 Mb.
|
- Điều hướng trang này:
- 2.3.3. Buffer Overflows (tràn bộ đệm)
- 2.3.6. Man in the Middle Attacks
- 2.3.8. Dumpster Diving
- 2.3.9. Social Engineering
2.2. Minh hoạ khái quát một qui trình tấn công:Tuỳ thuộc vào mục tiêu tấn công mà hacker sẽ có những kịch bản tấn công khác nhau. Ở đây chúng ta chỉ minh hoạ một dạng kịch bản tổng quát để tấn công vào hệ thống. 
Các bước cơ bản của một cuộc tấn công Bước 1: Tiến hành thăm dò và đánh giá hệ thống Bước 2: Thực hiện bước thâm nhập vào hệ thống. Sau đó có thể quay lại bước 1 để tiếp tục thăm dò, tìm thêm các điểm yếu của hệ thống. Bước 3: Tìm mọi cách để gia tăng quyền hạn. Sau đó có thể quay lại bước 1 để tiếp tục thăm dò, tìm thêm các điểm yếu của hệ thống hoặc sang bước 4 hay bước 5. Bước 4: Duy trì truy cập, theo dõi hoạt động của hệ thống Bước 5: Thực hiện các cuộc tấn công (ví dụ: từ chốI dịch vụ …) 2.3. Tấn công chủ động:Là những dạng tấn công mà kể tấn công trực tiếp gây nguy hại tới hệ thống mạng và ứng dụng (khống chế máy chủ, tắt các dịch vụ) chứ không chỉ nghe lén hay thu thập thông tin. Những dạng tấn công phổ biến như: Dos, Ddos, Buffer overflow, IP spoofing … 2.3.1. DOS:Tấn công từ chối dịch vụ, viết tắt là DOS (Denial of service) là thuật ngữ gọi chung cho những cách tấn công khác nhau về cơ bản làm cho hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. Kiểu tấn công này chỉ làm gián đoạn hoạt động chứ rất ít khả năng đánh cắp thông tin hay dữ liệu. Thông thường mục tiêu của tấn công từ chối dịch vụ là máy chủ (FTP, Web, Mail) tuy nhiên cũng có thể là các thiết bị mạng như: Router, Switch, Firewall … Tấn công từ chối dịch vụ không chỉ là tấn công qua mạng mà còn có thể tấn công ở máy cục bộ hay trong mạng cục bộ còn gọi là Logcal Dos Against Hosts. Ban đầu tấn công từ chốI dịch vụ xuất hiện khai thác sự yếu kém của giao thức TCP là Dos, sau đó phát triển thành tấn công từ chối dịch vụ phân tán Ddos (Distributed Dos). Chúng ta có thể phân nhỏ tấn công từ chối dịch vụ ra thành các dạng Broadcast stom, SYN, Finger, Ping, Flooding …
Việc sử dụng tài nguyên (Resource consumption attacks) của số lượng lớn yêu cầu làm hệ thống quá tải. Các tài nguyên là mục tiêu của tấn công từ chối dịch vụ bao gồm: Bandwidth (thường bị tấn công nhất), Hard disk (mục tiêu của bom mail), Ram, CPU … Có lỗi trong việc xử lý các String, Input, Packet đặc biệt được attacker xây dựng (malfomed packet attack). Thông thường dạng tấn công này sẽ được áp dụng với router hay switch. Khi nhận những packet hay string dạng này, do phần mềm hay hệ thống bị lỗi dẫn đến router hay switch bị crash … Tấn công từ chối dịch vụ không đem lại cho attacker quyền kiểm soát hệ thống nhưng nó là một dạng tấn công vô cùng nguy hiểm, đặc biệt là với những giao dịch điện tử hay thương mại điện tử. Những thiệt hại về tiền và danh dự, uy tính là khó có thể tính được. Nguy hiểm tiếp theo là rất khó đề phòng dạng tấn công này thông thường chúng ta chí biết khi đã bị tấn công. Đối với những hệ thống bảo mật tốt tấn công từ chối dịch vụ được coi là phương pháp cuốI cùng được attacker áp dụng để triệt hạ hệ thống. 2.3.2. DDOS:Tấn công từ chối dịch vụ phân tán thực hiện với sự tham gia của nhiều máy tính. So với Dos mức độ nguy hiểm của DDos cao hơn rất nhiều. Tấn công DDos bao gồm hai thành phần: Thành phần thứ nhất: Là các máy tính gọi là zombie (thông thường trên internet) đã bị hacker cài vào đó một phần mềm dùng để thực hiện tấn công dưới nhiều dạng như UDP flood hay SYN flood … Attacker có thể sử dụng kết hợp với spoofing để tăng mức độ nguy hiểm. Phần mềm tấn công thường dưới dạng các daemon. Thành phần thứ hai: Là các máy tình khác được cài chương trình client. Các máy tình này cũng như các zombie tuy nhiên các attacker nắm quyền kiểm soát cao hơn.Chương trình client cho phép attacker gửi các chỉ thị đến Daemon trên các zombie. Khi tấn công attacker sẽ dùng chương trình client trên master gửi tín hiệu tấn công đồng loạt tới các zombie. Daemon process trên zombie sẽ thực hiện tấn công tới mục tiêu xác định. Có thể attacker không trực tiếp thực hiện hành động trên master mà từ một máy khác sau khi phát động tấn công sẽ cắt kết nối với các master để đề phòng bị phát hiện. 
Minh hoạ tấn công DDOS Thông thường mục tiêu của DDos là chiếm dụng bandwidth gây nghẽn mạng. Các công cụ thực hiện có thể tìm thấy nhưTri00 (Win Trin00), Tribe Flood Network (TFN hay TFN2K), Sharf … Hiện nay còn phát triển các dòng virus, worm có khả năng thực hiện DDos. 2.3.3. Buffer Overflows (tràn bộ đệm):Đây là một dạng tấn công làm tràn bộ đệm của máy tính. Buffer Overflows xuất hiện khi một ứng dụng nhận nhiều dữ liệu hơn chương trình chấp nhận. Trong trường hợp này ứng dụng có thể bị ngắt. Khi chương trình bị ngắt có thể cho phép hệ thống gửidữ liệu với quyền truy cập tạm thời đến những mức độ có đặc quyền cao hơn vào hệ thống bị tấn công. Nguyên nhân của việc tràn bộ đệm này là do lỗi của chương trình. 2.3.4. Spoofing:Truy cập vào hệ thống bằng cách giả danh (sử dụng chỉ danh đánh cắp của ngườI khác, giả địa chỉ MAC, IP …) Là phương pháp tấn công mà attacker cung cấp thông tin chứng thực hoặc giả dạng một user hợp lệ để truy cập bắt hợp lệ vào hệ thống. Tuy nhiên trong vài trường hợp việc cấu hình hệ thống sai có thể gây hậu quả tương tự. Ví dụ cấu hình hệ thống có lỗi cho user có quyền cao hơn quyền được phép mà user này không hề cố ý giả mạo. Có nhiều tấn công bằng spoofing. Trong đó có “blind spoofing” attacker chỉ gửi thông tin giả mạo đi và đoán kết quả trả về. Ví dụ IP spoofing sau khi gửi packet giả mạo địa chỉ attacker không nhận được trả lời. Dạng thứ hai cần quan tâm là “informed spoofing” attacker kiểm soát truyền thông cả hai hướng. Tấn công bằng cách giả mạo thường được nhắc đến nhất là IP spoofing và ARP spoofing hay còn gọi là ARP poisoning. Việc giả mạo IP xảy ra do điểm yếu của giao thức TCP/IP. Giao thức TCP/IP không hề có tính năng chứng thực địa chỉ packet nhận được có phải là địa chỉ đúng hay là địa chỉ giả mạo.Một IP address được coi như là một máy tính (thiết bị) duy nhất kết nối vào mạng và do đó các máy tính có thể giao tiếp với nhau mà không cần kiểm tra. Tuy nhiên chúng ta có thể khắc phục bằng cách sử dụng Firewall, router, các giao thức và thuật toán chứng thực... Việc thực hiện giả mạo IP có thể bằng cách sử dụng Raw IP. ARP poisoning cách tấn công nhằm thay đổI ARP entries trong bảng ARP nhờ đó có thể thay đổi được nơi nhận thông điệp. Các tấn công này áp dụng vớI LAN switch. Trình bày cách tấn công bằng ARP poisoning: ARP (Address Resolution Protocol): Là một giao thức dùng để làm cho một địa chỉ IP phù hợp với một địa chỉ MAC. ARP được dùng trong tất cả các trường hợp nơi mà một nút trên mạng TCP/IP cần biết địa chỉ MAC của một nút khác trên cùng một mạng hay trên mạng tương tác. Về cơ bàn, ARP cho phép một máy tính gửi thông điệp ARP trên mạng cục bộ để tất cả các nút đều nghe thấy nhưng chỉ có nút mạng có địa chỉ IP tương ứng mới trả lời. Một vài hệ điều hành không cập nhật thông tin ARP nếu nó không có sẵn trong cache, một số khác thì chấp nhận chỉ một lần trả lời lại đầu tiên (ví dụ như Solaris) Attacker có thề giả mạo một packet ICMP đã bắt chước để bắt buộc máy trạm thực hiện một ARP request. Ngay lập tức sau khi nhận được ICMP, máy trạm gửi lại một ARP. Biện pháp đối phó: Chúng ta có thể sử dụng một trong các biện pháp sau: (Yes: có thể sử dụng được, No: không thể sử dụng được) Yes – Passive monitoring (arp watch) Yes – Active monitoring (ettercap) Yes – IDS (detect but not avoid) Yes – Static ARP entries (avoid it) Yes – Secure ARP (puplic key auth) No – Port security on the switch No – Anticap, antidote, middleware approach 2.3.5. SYN Attacks:Là một trong những dạng tấn công kinh điển nhất. Lợi dụng điểm yếu của bắt tay 3 bước TCP. Việc bắt tay ba bước như sau: Bước 1: Client gửi gói packet chứa cờ SYN Bước 2: Server gửi trả client packet chức SYN/ACK thông báo sẵn sàng chấp nhận kết nối đồng thời chuẩn bị tài nguyên phục vụ kết nối, ghi nhận lại các thông tin về client Bước 3: Client gửi trả server ACK và hoàn thành thủ tục kết nối. Khai thác lỗi của cơ chế bắt tay 3 bước của TCP/IP. Vấn đề ở đây là client không gửi trả cho server packet chứa ACK , việc này gọI là half – open connection (client chỉ mở kết nốI một nửa) và với nhiều packet như thế server sẽ quá tải do tài nguyên có hạn. Khi đó có thể các yêu cầu hợp lệ sẽ không được đáp ứng. Việc này tương tự như một máy tính bị treo do mở quá nhiều chương trình cùng một lúc. Máy tính khởi tạo kết nối sẽ gửI một thông điệp SYN + Spoofing IP Máy nhận được sẽ trả lời lạI SYN và một ACK Sẽ không có người nào nhận được ACK (do địa chỉ giả) Do vậy máy nhận được sẽ đợi một khoảng thời gian dài trước khi xoá kết nối Khi số lượng tạo kết nối SYN này quá nhiều sẽ làm cho hàng đợi tạo kết nối bị đầy và không thể phục vụ các yêu cầu kết nối khác. Trên Windows để nhận biết tấn công SYN có thể dùng lệnh Netstar – n – p tcp Chúng ta sẽ chú ý SYN – Received của các connection. Tuy nhiên tấn công SYN thường đi chung với IP spoofing. Cách attacker thường sử dụng là random source IP, khi đó server thường không nhận được ACK từ các máy có IP không thật, đồng thời server có khi còn phải gửi lại SYN/ACK vì nghĩ rằng client không nhận được SYN/ACK . Lý do tiếp theo là tránh bị phát hiện source IP , khi đó nhân viên quản trị sẽ block source IP này. Giải pháp: Giảm thời gian chờ đợi khởi tạo kết nối. Việc này có thể sinh ra lỗi từ chối dịch vụ với máy từ xa có băng thông thấp truy xuất đến. Tăng số lượng các cố gắng kết nối Sử dụng tường lửa để gửi gói ACK cho máy nhận để chuyển kết nối đang thực hiện sang dạng kết nối thành công. 2.3.6. Man in the Middle Attacks:Kẻ tấn công sẽ đứng giữa kênh truyền thông của hai máy tính để xem trộm thông tin và thậm chí có thể thay đổI nộI dung trao đổI giữa hai máy tính. Trong khi đó cả hai máy tính đều nghĩ rằng mình đang kết nối trực tiếp với máy tính kia. Cách tấn công Man in the Middle: Tấn công trong mạng nội bộ: ARP Poisoning DNS Spoofing STP mangling Port Stealing Tấn công từ cục bộ đến các máy ở xa (thông qua gateway) ARP Poisoning DNS Spoofing DHCP Spoofing ICMP Redirection IRDP Spoofing Route mangling Tấn công từ xa DNS Spoofing Traffic tunneling Route mangling Tấn công trên mạng không dây Access Point Reassociation 2.3.7. Replay Attacks:Sử dụng công cụ để ghi nhận tất cả thông tin trao đổi khi một máy tính nào đó truy xuất đến server. Sau đó sử dụng các thông tin bắt được trên mạng để nốI kết lại đến server đó. Đây là kỹ thuật mà Attacker khi nắm được một số lượng packet sẽ sử dụng lại những packet này sau đó. Ví dụ Attacker có được packet chứa password của một user. Password này đã được mã hoá và attacker không biết được. Tuy nhiên hệ thống chứng thực không có chức năng kiểm tra Session time hay hệ thống có TCP Sequence number kém. Attacker sẽ thực hiện Bypass Authenticate bằng cách gửi packet một lần nữa hay còn gọi là replay. 2.3.8. Dumpster Diving:Dumpster Diving là thuật ngữ mô tả tấn công bằng cách thu lượm thông tin từ những thứ tưởng như không còn giá trị. Ví dụ Attacker có thể có được nhiều thông tin từ “Recycle bin” từ giấy tờ chứng từ bõ đi … Không chỉ từ những thông tin trên máy vi tính, những thông tin thu lượm được cũng có thể lấy được từ các tài liệu, hồ sơ do ngườI dùng bỏ đi. Từ những loạI giấy tờ thu nhận được có thể rút trích ra để lấy những thông tin cần thiết cho việc tấn công. 2.3.9. Social Engineering:Đây là một dạng tấn được sử dụng phổ biến nhất và rất khó phòng ngừa. Cách tấn công này không đòi hỏi kẻ tấn công sử dụng các công cụ hay thiết bị mà vẫn có thể có được các thông tin cần thiết để thâm nhập vào hệ thống. Đa số người dùng thường đặt mật khẩu dựa vào thông tin cá nhân như họ tên, số điện thoại, ngày sinh, … Khi đó kẻ tấn công có thể thu thập các thông tin này để thực hiện việc đoán mật khẩu của người dùng. Một dạng khác là khai thác sự tin cậy hay nhẹ dạ của con người để tìm ra các thông tin quan trong như giả danh một khách hàng quen thuộc của Công ty để thu thập các thông tin quan trọng …
Каталог: nguoidung -> cntt07 -> thongtin thongtin -> CÂU 1: Mạng máy tính là gì? A./ Các máy tính trao đổi thông tin với nhau tuân theo tập giao thức. B./ Các máy tính kết nối với nhau bằng đường truyền vật lý. C./ Các máy tính kết nối với nhau chia sẻ nguồn thông tin chung thongtin -> TRƯỜng tcn thá[ MƯỜi khoa công nghệ thông tin thongtin -> Tin hoc văn phòng nguoidung -> Virus máy tính có thể không phá hoại gì mà chỉ nhân bản. Virus nguoidung -> BÀi thực hành môn lập trình mạng gv trưƠng vĩnh hảo I. Mục đích nguoidung -> CÁc phưƠng pháp xuất nhập winsock I. Cài đặt Winsock nguoidung -> 4. Phần mềm Explorer – của HĐh windows xp nguoidung -> Chương 1 : Tổng quan về hệ phân tán. Định nghĩa nguoidung -> MÔn học công nghệ MẠng không dâY tải về 2.92 Mb. Chia sẻ với bạn bè của bạn:
|