Bài giảng Kỹ thuật tấn công và phòng thủ trên không gian mạng

KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG

Institute of Network Security – istudy.vn

NỘI DUNG

• Module 01: Tổng quan An ninh mạng • MMoodduullee0022: :KKỹỹthtuhậutậtất ntấcnôncgông • Module 03: Kỹ thuật mã hóa • Module 04: Bảo mật hệ điều hành • Module 05: Bảo mật ứng dụng • Module 06: Virus và mã độc • Module 07: Các công cụ phân tích an ninh mạng • Module 08: Chính sách bảo mật và phục hồi thảm họa

dữ liệu • Ôn tập • Báo cáo cuối khóa

Institute of Network Security – istudy.vn

Module 02: KỸ THUẬT TẤN CÔNG

• Lesson 01: Footprinting và Reconnaissance • Lesson 02: Google Hacking • Lesson 03: Scanning Networks • Lesson 04: Enumeration • Lesson 05: System Hacking • Lesson 06: Sniffer hệ thống mạng • Lesson 07: Social Engineering • Lesson 08: Denial of Service • Lesson 09: Session Hijacking • Lesson 10: SQL Injection • Lesson 11: Hacking Wireless Networks • Lesson 12: Buffer Overflow

Institute of Network Security – istudy.vn

Mục tiêu bài học

• Giải thích được Session Hijacking là gì ? • Trình bày được các kỹ thuật Session Hijacking • So sánh Session Hijacking và Spoofing • Tiền trình thực hiện Session Hijacking • Các loại Session Hijacking • Session Hijacking và mô hình OSI

Institute of Network Security – istudy.vn

Nội dung

• Tổng quan về Session Hijacking • Application Level Session Hijacking • Network Level Session Hijacking • Session Hijacking Tools • Cách phòng chồng Session Hijacking

Institute of Network Security – istudy.vn

Tổng quan về Session Hijacking

Institute of Network Security – istudy.vn

Session Hijacking là gì ?

– là cách tấn công vào phiên làm việc hợp lệ trên máy tính. – Từ đó attacker chiếm được phiên làm việc giữa hai máy tính. – Attacker “trộm” Session ID hợp lệ và chiếm quyền truy cập vào

hệ thống và “ăn trộm” dữ liệu trên hệ thống

• Session Hijacking

– Attacker chiếm TCP Session giữa hai máy tính – Quá trình chứng thực chỉ suất hiện khi bắt đầu một TCP Session, do đó Attacker có thể dành quyền truy cập vào một máy tính

• TCP Session Hijacking

Institute of Network Security – istudy.vn

Sự nguy hiểm của Hijacking

• Hầu hết có thể khai thác lỗi này nếu không sử dụng cơ

chế mã hóa.

• Attacker có thể trộm thông tin định danh và các dữ liệu

của người dùng.

• Hầu hết các máy tính sử dụng TCP/IP có nguy cơ bị khai

thác lỗi này

• Có thể chống lại nguy cơ này bằng cách sử dụng giao

thức bảo mật hơn.

Institute of Network Security – istudy.vn

Tại sao có thể khai thác lỗi Session Hijacking

Thuật toán phát sinh Session ID: Yếu

Không cấu hình Account Lockout cho Session ID không hợp lệ

Không xác định thời gian hết hạn session

Không kiểm soát được nguy cơ bảo mật

Truyền thông dạng clear text

Kích thước Session ID nhỏ

Institute of Network Security – istudy.vn

Các kỹ thuật Session Hijacking Chính

– Attacker thử các ID khác nhau cho đến khi thành công

• Brute Forcing

– Attacker sử dụng các kỹ thuật khác nhau để “ăn trộm”

Session ID

• Stealing (“ăn trộm”)

• Calculating

– Sử dụng kỹ thuật phát sinh Session ID để tính toán

Session ID hợp lệ

Institute of Network Security – istudy.vn

Kỹ thuật Session Hijacking: Brute Forcing

Attacker thử đoán Session ID cho đến khi thành công

1. Sử dụng “referrer attack”. Attacker dụ dỗ user click vào link trỏ tới http://mywebsite.com

– Sử dụng HTTP referrer header – Sniffing Network traffic – Sử dụng Cross-Site Scripting – Cài trojan trên máy của nạn nhân

2. Người dùng click vào link trên web browser http://mywebsite.com Và thông tin referrer: mywebmail.com/viewmsg.asp?msgid= 0902883&SID=23xkjauja

3. Attacker lấy được SID của user gửi do Browser gửi trong referrer URL.

• Các kỹ thuật có thể dùng:

Institute of Network Security – istudy.vn

So sánh Spoofing Attack và Hijacking Attack

Institute of Network Security – istudy.vn

Tiến trình thực hiện Session Hijacking

Institute of Network Security – istudy.vn

Phân tích gói tin trong Local Session Hjacking

Institute of Network Security – istudy.vn

Các loại Session Hijacking

– Attacker tìm các session đang hoạt động và chiếm đoạt session

đang hoạt động đó.

• Active

– Attacker chiếm session nhưng không đành hẳn session mà chỉ

xem và lưu lại tất cả các traffic trao đổi của session đó

• Passive

Institute of Network Security – istudy.vn

Session Hijacking trong mô hình OSI

Session Hijacking có thể thực hiện ở 2 cấp độ trong mô hình OSI: Network và Application

Network Level Hijacking

Application Level Hijacking

Network level có thể định nghĩa là kỹ thuật chặn các gói tin của các phiên TCP hoặc UDP trong quá trình truyền thông giữa client và server.

Application level là kỹ thuật dành quyền truy cập của các session web bằng cách thu thập Session ID web của người dùng.

Institute of Network Security – istudy.vn

Application Level Session Hijacking

Institute of Network Security – istudy.vn

Application Level Session Hijacking

Trong tấn công sử dụng Session Hijacking, Attacker ăn trộm Session Token hoặc đoán Session Token hợp lệ để dành quyền truy cập trái phép vào web server

• Các kỹ thuật ở mức Application mà hacker có thể sử

dụng: – Session Sniffing – Man-in-the-browser Attack – Predictable Session token (Đoán session ID) – Client-side Attacks – Man-in-the-middle attack

Institute of Network Security – istudy.vn

Session Sniffing

1.Attacker bắt các gói tin và “chụp” lại Session ID hợp lệ của user 2. Attacker sử dụng Session ID hợp lệ để truy cập vào hệ thống

Institute of Network Security – istudy.vn

Man-in-the-browser Attack

Đây là kỹ thuật sử dụng Trojan để chặn các lệnh gọi hàm giữa browser với hệ thống hoặc các thư viện mà browser sử dụng để thu thập thông tin của user và gửi về cho attacker

• Attacker đã cài đặt được Trojan trên hệ thống của nạn

nhân

• Attacker thường tập trung vào thu thập thông tin liên

quan đến tài khoản ngân hàng…

Institute of Network Security – istudy.vn

Predictable Session token

Hầu hết các webserver sử dụng một giải thuật phát sinh Session ID theo một khuôn mẫu nhất định.

Institute of Network Security – istudy.vn

Client-Side Attack

XSS

Trojans

Đoạn mã JavaScript độc hại

Là kỹ thuật tấn công chèn mã độc vào website

Mã độc chèn vào website, khi thực thi không có cảnh báo về bảo mật

Chương trình chứa mã độc chạy trên máy nạn nhân để thu thập thông tin

Institute of Network Security – istudy.vn

Man-in-the-middle attack Attacker sử dụng kỹ thuật Man-in-the-middle để xâm nhập vào một kết nối đang hoạt động giữa trong truyền thông giữa máy tính nạn nhân và server

Institute of Network Security – istudy.vn

Session Fixation Attack

• Attacker khai thác lỗ hổng của server cho phép user sử

dụng fix SID – SID có thể chứa trong URL, hidden form hoặc trong cookie

Institute of Network Security – istudy.vn

Network Level Session Hijacking

Institute of Network Security – istudy.vn

Network Level Session Hijacking

Attacker sử dụng network level hijacking để thao tác trên luồng dữ liệu của các giao thức được hỗ trợ bởi server nhằm thu thập thông tin quan trọng để có thể tấn công ở mức application

• Các kỹ thuật tấn công Network Level Session Hijacking

– Blind Hijacking – UDP Hijacking – Man in the middle: packet sniffing – TCP/IP Hijacking – RST Hijacking – IP Spoofing: Source Routed Packets

Institute of Network Security – istudy.vn

3-way Handshake

• Attacker có thể lợi dung số sequence để thực hiện

Session Hijacking ở mức Network.

• Attacker có thể đoán số sequence tiếp theo, số ACK và giã mạo địa chỉ của Bob để bắt đầu truyền thông với server

Institute of Network Security – istudy.vn

TCP/IP Hijacking

• TCP/IP Hijacking là kỹ thuật giã mạo gói tin để chiếm quyền của một kết nối giữa máy tính của nạn nhân và máy mục tiêu tấn công

• Kết nối của nạn nhân sẽ bị treo và attacker có thể truyền

thông với thông tin giã mạo của máy nạn nhân

Institute of Network Security – istudy.vn

IP Spoofing: Source Routed Packets

• Source Routed Packets là kỹ thuật sử dụng để dành

quyền truy cập trái phép tới máy tính nhờ vào địa chỉ IP hợp lệ (được tin cậy)

• Địa chỉ IP giã mạo được chấp nhận khi gửi các gói tin tới

server quản lý session của máy client

• Khi session được thiết lập, attacker “tiêm” các gói tin giã

mạo trước khi client kịp phản hồi

• Gói tin của client bị server không chấp nhận vì sai

sequence number

• Các gói tin của attacker sử dụng source routed để định

tuyến đến máy tính của attacker

Institute of Network Security – istudy.vn

RST Hijacking

Institute of Network Security – istudy.vn

Blind Hijacking

• Attacker có thể gửi các dữ liệu độc hại hoặc câu lệnh trên kệnh truyền của TCP session nếu như source- routing không thể thực hiện

• Attacker có thể gửi dữ liệu nhưng không nhận được gói

tin trả lời

Institute of Network Security – istudy.vn

Man-in-the-middle: Packet Sniffer

Các gói tin truyền thông giữa client và server được định tuyến đi qua máy tính của attacker

– Giã mạo ICMP

• Attacker gửi thông báo lỗi qua ICMP và lừa máy client và

server gửi gói tin đi qua máy attacker

– ARP spoofing

• Giã mạo gói tin ARP để thay đổi bảng ARP giúp gói tin được

chuyển tới máy của Attacker

• Có 2 kỹ thuật có thể được sử dụng trong kỹ thuật này

Institute of Network Security – istudy.vn

UDP Hijacking

• Attacker gửi Sever reply giã mạo cho client cho UDP

request trước khi server trả lời

• Attacker sử dụng Man-in-the-Middle attack để chặn gói tin trả lời của Server và thực hiện gửi gói tin trả lời giã mạo cho client

Institute of Network Security – istudy.vn

Session Hijacking Tools

Institute of Network Security – istudy.vn

Session Hijacking Tools: Paros

Man-in-the-middle proxy tool cho phép chặn, thay đổi và debug HTTP và HTTPS data

Institute of Network Security – istudy.vn

Session Hijacking Tools: Burp Suite

Man-in-the-middle proxy tool cho phép chặn, thay đổi và debug HTTP và HTTPS data

Institute of Network Security – istudy.vn

Session Hijacking Tools: Tham khảo

Institute of Network Security – istudy.vn

Cách phòng chồng Session Hijacking

Institute of Network Security – istudy.vn

Cách phòng chồng Session Hijacking

• Sử dụng SSL để tạo kệnh truyền thông an toàn • Sử dụng cookies authentication trên kênh truyền HTTPS • Triển khai chứng năng logout cho user khi kết thúc phiên

làm việc

• Phát sinh Session ID sau khi đăng nhập thành công • Sử dụng chuỗi ký tự và số ngẫu nhiên lớn làm session

key

• Mã hóa dữ liệu giữa user và web server