Bài giảng Các kỹ thuật tấn công, xâm nhập hệ thống - PGS. TSKH. Hoàng Đăng Hải

Chia sẻ: Sdfcdxgvf Sdfcdxgvf | Ngày: | Loại File: PDF | Số trang:58

Thêm vào BST

Báo xấu

328
lượt xem 71
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng Các kỹ thuật tấn công, xâm nhập hệ thống nhằm trình bày các nội dung chính: sự phát triển của tấn công mạng, xu thế kết hợp worms, viruses và DDoS, tống tiền, tin tặc, phân loại tấn công mạng, 5 giai đoạn của quá trình phá hoại, cấu trúc và cơ chế hoạt động của Virus

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Các kỹ thuật tấn công, xâm nhập hệ thống - PGS. TSKH. Hoàng Đăng Hải

Các kỹ thuật tấn công, xâm nhập hệ thống PGS. TSKH. Hoàng Đăng Hải Học viện Công nghệ Bưu chính Viễn thông (PTIT) Email: hoangdanghai@hn.vnn.vn 2012
Sự phát triển của tấn công mạng Xu thế Kết hợp worms, viruses và DDoS Tống tiền, Tin tặc Các tấn công trên 10 Gbps, tập đoàn Botnet với 150,000+ node Thiếu trí tuệ trong quản lý mạng “cloud” khiến chi phí tăng nhanh Từ bỏ băng thông khi giải quyết vấn đề là quá lãng phí và tốn kém
Một số khái niệm Kẻ xâm nhập (Intruder) Thường gọi là tin tặc (hacker), cracker /buglar (đạo chích) Kẻ trộm/đánh cắp thông tin (Information Theft) Cybercrime (tội phạm mạng), Compromiser (kẻ gây hại) Lỗ hổng an ninh (Security hole), điểm yếu (Vulnerability), khiếm khuyết (Flaw) Lỗi khi thiết kế: không lường trước khả năng Điểm yếu tiềm ẩn: luôn có trong mọi hệ thống Lỗi khai thác: cấu hình không chặt chẽ, lỗi khi hoạt động Đe dọa (Threat), Tấn công (Attack) Thường dùng để chỉ cùng 1 hành vi xâm hại đến an ninh hệ thống Rủi ro (risk) risk = threat x vulnerability x asset value Biện pháp an ninh (Security measure), cơ chế an ninh (security mechanism) Biện pháp/cơ chế để phát hiện, ngăn ngừa, phòng chống, sửa chữa Dịch vụ an ninh (Security service) Dịch vụ tăng cường an ninh cho hệ thống xử lý và truyền tải thông tin thông qua các biện pháp an ninh
Phân loại tấn công mạng Mục tiêu tấn công Joking Hacker: data stealing / spy / military spy Company Competition: business plan/strategy. Competitor destruction Product Advertisement Avenger Terrorism Account hacking / Bank robber … • Giả mạo (fabrication) - destroys authenticity of source • (Sửa đổi) modification - destroys integrity of information Loại tấn công • Ngăn chặn (interception) - of information (traffic), breaches confidentiality • Gián đoạn (interruption) - of service Examples Happy Christmas 1987: in IBM network. Email sent to everybody with addresses found in addressbook ⇒ Network deadlock Internet Worm 1989: in Security Center of DoD. Unix Shell Attack.
Passive Security Attacks Nghe lén (Eavesdropping): lén lấy nội dung bản tin Phân tích lưu lượng: theo dõi chu kỳ, chiều dài bản tin, kể cả phỏng đoán mã kênh truyền Phân tích thông tin hệ thống Active Giả danh (Masquerade): Darth giả danh Bob Replay: bắt giữ, giả mạo và chuyển tiếp bản tin Sửa đổi bản tin Ngăn chặn dịch vụ
5 giai đoạn của quá trình phá hoại • Trinh sát (Reconnaissance) Tìm cách thiết lập kết nối, khai thác thông tin máy tính, dịch vụ Dò tìm điểm yếu trong hệ thống và các ứng dụng. Tin tặc khảo sát máy nạn nhân và các dịch vụ trong một khoảng thời gian dài sử dụng các lưu lượng như hoạt động bình thường của máy. • Khai thác (Exploitation) Quá trình lợi dụng, biến đổi, làm sai lệch hoạt động của các dịch vụ trên máy nạn nhân. Biến đổi dịch vụ kéo theo thay đổi chế độ hoạt động và điều kiện truy nhập. • Tăng cường (Reinforcement) Giai đoạn tin tặc giành quyền truy nhập trái phép, tăng cường khả năng truy nhập, sử dụng công cụ để truy xét nạn nhân, che dấu hành vi... • Củng cố (Consolidation) Tin tặc tạo ra cửa hậu, trao đổi thông tin qua cửa hậu, giành toàn bộ quyền điều khiển. • Tàn phá (Pillage) Giai đoạn thực hiện kế hoạch phá hoại: đánh cắp thông tin nhạy cảm, tạo bàn đạp tiến sâu vào mạng người dùng, thực hiện các ý đồ định sẵn...
Phần mềm mã độc (Malicious Software) • Các nguy cơ/điểm yếu: được khởi • Các phần mềm tự sinh (tự tạo các động bởi 1 trigger (không lây lan) bản copy = lây lan)
Cửa sau hoặc cửa sập (Backdoor or Trapdoor) • Xuất phát điểm vào bí mật tới một chương trình • Cho phép một kỹ thuật viên thành thạo truy cập vào hệ thống mà không cần thực hiện các thủ tục an toàn thông thường. • Thường sử dụng cho mục đích gỡ rối, kiểm thử phần mềm khi phát triển. • Trở thành nguy cơ khi vẫn để tồn tại lại trong sản phẩm phần mềm. Bom logic • Một trong những phần mềm có hại kiểu cổ điển • Code được nhúng trong chương trình hợp pháp, được kích hoạt khi gặp điều kiện xác định – Có mặt hoặc vắng mặt một số file – Ngày tháng/thời gian cụ thể – Người sử dụng nào đó • Khi kích hoạt thông thường làm hỏng hệ thống, Biến đổi/xoá file/đĩa, làm dừng máy,…
Ngựa thành Tơ roa (Trojan Horse) • Chương trình hữu ích, hấp dẫn (trò chơi, tiện ích, nâng cấp phần mềm,…) • Chứa các đoạn mã ẩn với các tác động phụ được dấu kín • Khi chạy thực hiện những nhiệm vụ bổ sung: Cho phép kẻ tấn công gián tiếp dành quyền truy cập những gì không thể trực tiếp • Thường sử dụng lan truyền virrus/sâu (worm) hoặc cài đặt cửa sau, hoặc đơn giản phá hoại dữ liệu. Zombie • Là chương trình bí mật điều khiển máy tính khác của mạng Internet, sử dụng nó để gián tiếp tiến hành các tấn công, che dấu máy tạo ra Zombie. • Thường được sử dụng để tấn công từ chối dịch vụ (DDoS). Thường tạo thành mạng gồm hàng trăm máy không bị nghi vấn, tấn công dồn dập website mục tiêu qua việc gửi dồn dập yêu cầu lưu lượng. • Thường khai thác các lỗ hổng trong các hệ thống nối mạng.
Viruses • Là đoạn mã phần mềm có thể “lây nhiễm” sang các phần mềm khác qua việc sửa đổi chúng. • Sửa đổi phần mềm khác bao gồm việc copy đoạn mã virus vào và lây nhiễm sang các chương trình khác. • Giống virus sinh học, virus máy tính có thể sự sản sinh (replicated). • Lan truyền, thực hiện mọi chức năng có thể (ví dụ phá hoại dữ liệu). Hoạt động của virus • Giai đoạn nằm chờ: nằm im chờ sự kiện kích hoạt (ví dụ ngày, chương trình, dung lượng đĩa…). • Giai đoạn lây lan: sao chép chính nó sang các chương trình khác /phần khác của hệ thống. • Giai đoạn kích hoạt: thực hiện chức năng gài sẵn khi có sự kiện xảy ra. • Giai đoạn thực thi: thực hiện hành vi mong muốn. Đa số khai thác các đặc trưng, điểm yếu chủ yếu của hệ thống cụ thể đang chạy.
Cấu trúc Viruses program V := {goto main; 1234567; subroutine infect-executable := {loop: file := get-random-executable-file; if (first-line-of-file = 1234567) then goto loop else prepend V to file; } subroutine do-damage := {whatever damage is to be done} subroutine trigger-pulled := {return true if condition holds} main: main-program := {infect-executable; if trigger-pulled then do-damage; goto next;} next: }
Các hình thái tấn công DDoS Đột phá cục bộ theo dây chuyền – Khai thác hệ điều hành, phá rối hoạt động server Tiêu hủy tài nguyên cục bộ – fork() bomb, fill disks, deep directory nesting Từ chối cấp dịch vụ cho các máy trạm – Gây các đột phá hoặc ngừng các dịch vụ quan trọng Tạo các đột phá từ xa theo dây chuyền – “magic” packets – ping of death, teardrop Tiêu hủy tài nguyên từ xa – syslog, SYN, fragment flood, UDP storm
Các hình thái tấn công DDoS (2) Từ chối dịch vụ trên toàn mạng – Nhắm tới các links sơ hở hoặc cơ sở hạ tầng thông tin trọng yếu Điều khiển ngừng mạng từ xa – Tấn công routers, DNS servers – Lái tuyến – Giả mạo thông tin định tuyến Gây nghẽn mạng từ xa – Giả danh broadcasts – smurf, fraggle – Điều khiển từ xa các máy tính gây hại – máy tính ma (“zombies”) để phối hợp gây tràn - DDoS Các tấn công chuyển hướng từ từng máy đơn lẻ sang cơ sở hạ tầng mạng !
Các kỹ thuật gây rối của tấn công DDoS Distributed attacks – Điều khiển từ xa đội quân zombies Các thử nghiệm mới đây cho thấy, một máy tính không có bảo vệ trên Internet có thể bị tấn công trong vòng < 8 phút. – Phản xạ IP Gây rối trong vết kiểm chứng mạng – Giả mạo/Nhái lại (Forged/”spoofed”) địa chỉ IP gốc – Thay đổi tần suất tấn công (on/off) – Nghi binh (Decoys) Gây rối trong dấu hiệu tấn công – Bắt chước lưu lượng hợp pháp (e.g. TCP ACK flood) – Hóa trang với lưu lượng hợp pháp Tất cả các kỹ thuật này nhằm bẻ gẫy mọi phương pháp theo dấu vết kiểu thủ công và tránh các IDS thông dụng
Xu thế mới của DoS Attacks Tấn công tràn dựa vào mạng – Khi các lỗ hổng được vá, khó lòng tìm ra các host xung yếu Nhái các mạng con cục bộ – Các bộ lọc ingress / egress phổ biến hơn Tấn công đường lưu lượng lên – Nhắm tới các upstream routers & links Đánh và chạy (Hit-and-run) – Gây tràn sốc (pulsing / short-lived floods) – Sử dụng nhiều đội quân zombie theo chu kỳ Kỹ thuật phân tán – Phân tán rộng khắp, các đội quân zombie rộng khắp
Xu thế mới của DoS Attacks (2) Gây rối trong dấu vết kiểm chứng mạng – Thay đổi đặc tính một số giao thức ứng dụng – Tái lập các truy vấn DNS, etc. Biến đổi dấu hiệu tấn công – Dùng address, protocol, port ngẫu nhiên Tấn công định tuyến hạ tầng mạng – Chặn cướp tuyến BGP route phục vụ khởi động tấn công Tự động tuyển mộ thêm (automated conscription) các đội quân zombie – recent Internet worms and viruses – Microsoft Outlook, IE, IIS, SMB
Trình tự tấn công DDoS A. Một lượng lớn máy tính bị hại B. Tin tặc xác định được các máy có thể lợi dụng với các kỹ thuật dò quét (scanners), etc. C. Tin tặc truy nhập hệ thống với các công cụ từ xa: exploits, sniffers, password cracking, worms, trojans D. Tin tặc cài đặt các công cụ tấn công E. Tin tặc ra lệnh từ xa cho các máy bị hại được tập hợp để tấn công vào mục tiêu
Distributed DoS Attack (DDoS) Phối hợp tấn công vào các Links và tài nguyên trọng yếu Tấn công vào hạ tầng định tuyến DNS
Example: Smurf Attack Reflector Network 2.2.2.* ICMP Echo Request ICMP Echo Replies SRC DST SRC DST 3.3.3.100 2.2.2.255 2.2.2.* 3.3.3.100 Attacker Target 1.1.1.100 3.3.3.100 • Mô hình đơn giản: gửi các gói yêu cầu echo giả mạo ICMP tới các địa chỉ IP broadcast trong một mạng tin cậy. • Mọi hosts của mạng này gửi 1 trả lời ICMP tới địa chỉ IP giả mạo của nạn nhân • Khi hầu như mọi máy của mạng phản hồi yêu cầu ICMP echo này, mạng bị tắc nghẽn và tê liệt.
Ví dụ: TCP SYN Flood Tuần tự quá trình thiết lập 1 kết nối TCP (3-way handshake) CLOSED CLOSED SY N SYN_SENT SY N SYN_RCVD + AC K Client AC K Server ESTABLISHED ESTABLISHED