BỘ CÔNG AN
TRƯỜNG ĐẠI HỌC KỸ THUẬT – HẬU CẦN CAND KHOA CÔNG NGHỆ THÔNG TIN ----------
BÁO CÁO THỰC TẬP CHUYÊN ĐỀ
Đề tài:
“NGHIÊN CỨU KỸ THUẬT TẤN CÔNG MẠNG LAN VÀ GIẢI PHÁP ĐẢM BẢO AN TOÀN MẠNG LAN”
Giảng viên hướng dẫn: ThS. BÙI HỒNG ĐẠI
Sinh viên thực hiện: ĐOÀN MINH TOÀN
Lớp:
D3B
Chuyên ngành:
CÔNG NGHỆ THÔNG TIN
Bắc Ninh, năm 2016
MỤC LỤC
MỤC LỤC ................................................................................................................... i
DANH MỤC HÌNH .................................................................................................. iii
DANH MỤC BẢNG .................................................................................................. v
LỜI CẢM ƠN ........................................................................................................... vi
PHẦN MỞ ĐẦU ........................................................................................................ 1
CHƯƠNG 1. TỔNG QUAN VỀ MẠNG CỤC BỘ .................................................. 3
1.1. Giới thiệu mạng cục bộ .................................................................................... 3
1.1.1. Khái niệm về mạng cục bộ ........................................................................ 3
1.1.2. Lịch sử phát triển của mạng cục bộ ........................................................... 3
1.1.3. Những thiết bị cấu thành và các mô hình thực thi ..................................... 4
1.2. Công nghệ Ethernet ........................................................................................ 11
1.2.1. Khái niệm công nghệ Ethernet................................................................. 11
1.2.2. Lịch sử phát triển của công nghệ Ethernet .............................................. 12
1.2.3. Các đặc tính chung của Ethernet .............................................................. 12
1.3. Các kỹ thuật chuyển mạch trong mạng LAN ................................................ 15
1.3.1. Khái niệm về chuyển mạch ...................................................................... 15
1.3.2. Lịch sử phát triển của hệ thống chuyển mạch ......................................... 15
1.3.3. Các chế độ chuyển mạch trong LAN ....................................................... 15
CHƯƠNG 2. TẤN CÔNG MẠNG CỤC BỘ VÀ GIẢI PHÁP PHÒNG CHỐNG 17
2.1. Tổng quan về an ninh mạng ........................................................................... 17
2.1.1. Khái niệm về an ninh mạng ..................................................................... 17
2.1.2. Hacker và ảnh hưởng của việc hack ........................................................ 17
2.1.3. Các giai đoạn tấn công ............................................................................. 18
2.1.4. Các loại tấn công mạng ............................................................................ 19
i
2.1.5. Các đối tượng có thể bị tấn công trong LAN và các hình thức tấn công phổ biến .............................................................................................................. 20
2.2. Một số kiểu tấn công mạng LAN và cách phòng chống ................................ 21
2.2.1. Kiểu tấn công ARP spoofing ................................................................... 21
2.2.2. Kiểu tấn công DNS spoofing ................................................................... 24
2.2.3. Kiểu tấn công DHCP spoofing ................................................................ 27
2.3. Một số giải pháp đảm bảo an toàn mạng LAN .............................................. 29
2.3.1. Tường lửa (Firewall) ................................................................................ 29
2.3.2. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS ................. 31
2.3.3. Mạng VLAN ảo ....................................................................................... 31
2.3.4. Mạng riêng ảo (VPN)............................................................................... 32
CHƯƠNG 3. THỬ NGHIỆM TẤN CÔNG MẠNG CỤC BỘ ............................... 33
3.1. Giới thiệu hệ điều hành Backtrack 5 R3 ........................................................ 33
3.2. Xây dựng mô hình thử nghiệm ...................................................................... 36
3.3. Tiến hành tấn công ......................................................................................... 36
3.3.1. Tấn công AR spoofing ............................................................................. 36
3.3.2. Tấn công DHCP spoofing ........................................................................ 42
3.3.3. Tấn công DNS spoofing .......................................................................... 44
3.4. Đánh giá, kết luận .......................................................................................... 46
3.4.1. Đánh giá ................................................................................................... 46
3.4.2. Kết luận .................................................................................................... 47
TÀI LIỆU THAM KHẢO ........................................................................................ 48
ii
DANH MỤC HÌNH
Hình 1.1. Modem và việc kết nối với các thiết bị khác ............................................. 4
Hình 1.2. Dồn kênh và phân tín hiệu ......................................................................... 5
Hình 1.3. Mô hình liên kết mạng sử dụng Repeater .................................................. 5
Hình 1.4. Đầu nối mạng qua Hub .............................................................................. 6
Hình 1.5. Bộ chuyển mạch (Switch) .......................................................................... 6
Hình 1.6. Cầu (Bridge) ............................................................................................... 7
Hình 1.7. Router trong việc kết nối mạng .................................................................. 7
Hình 1.8. Kết nối mạng sử dụng Brouter ................................................................... 8
Hình 1.9. Lay 3 Switch............................................................................................... 8
Hình 1.10. Cấu trúc mạng hình sao ............................................................................ 9
Hình 1.11. Cấu trúc mạng hình tuyến. ..................................................................... 10
Hình 1.12. Cấu trúc mạng dạng vòng. ..................................................................... 11
Hình 1.13. Cấu trúc khung tin Ethernet. .................................................................. 12
Hình 2.1. Các giai đoạn tấn công ............................................................................. 18
Hình 2.2. Vị trí của ARP .......................................................................................... 21
Hình 2.3. Cách thức hoạt động của ARP ................................................................. 22
Hình 2.4. Cách thức tấn công ARP spoofing ........................................................... 23
Hình 2.5. Hoạt động của DNS ................................................................................. 25
Hình 2.6. Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID ................. 26
Hình 2.7. Hoạt động của DHCP ............................................................................... 28
Hình 2.8. Firewall cứng ............................................................................................ 30
Hình 2.9. Firewall mềm............................................................................................ 30
Hình 3.1. Giao diện chính Backtrack 5 R3 .............................................................. 34 iii
Hình 3.2. Các công cụ trong Backtrack 5 R3 ........................................................... 34
Hình 3.3. Mô hình thử nghiệm tấn công phòng thủ ................................................. 36
Hình 3.4. Địa chỉ MAC bên máy nạn nhân .............................................................. 37
Hình 3.5. Địa chỉ MAC bên máy tấn công ............................................................... 37
Hình 3.6. Chọn Network interface ........................................................................... 38
Hình 3.7. Giao diện sau khi chọn cổng interface ..................................................... 38
Hình 3.8. Danh sách các Hosts sau khi quét ............................................................ 39
Hình 3.9. Chọn kiểu tấn công ARP poisoning ......................................................... 39
Hình 3.10. Bắt đầu tấn công ARP poisonning ......................................................... 40
Hình 3.11. Kiểm tra địa chỉ MAC bên máy nạn nhân ............................................. 40
Hình 3.12. Telnet vào Server từ máy nạn nhân ....................................................... 41
Hình 3.13. Thông tin bắt được bên máy tấn công bằng tấn công arp spoofing ....... 41
Hình 3.14. Telnet đến Server bằng máy tấn công .................................................... 42
Hình 3.15. Chọn chức năng tấn công Dhcp spoofing .............................................. 43
Hình 3.16. Điền thông tin Server ............................................................................. 43
Hình 3.17. Thông tin bắt được bên máy tấn công bằng tấn công Dhcp spoofing ... 44
Hình 3.18. Sửa tập tin etter.dns ................................................................................ 45
Hình 3.19. Khởi động dns_spoof ............................................................................. 45
Hình 3.20. Trang web thegioitinhoc.vn đã bị điều hướng ....................................... 46
iv
DANH MỤC BẢNG
Bảng 1.1. Các loại mạng Ethernet ............................................................................ 14
Bảng 3.1. Thời gian phát hành các phiên bản Backtrack ......................................... 33
v
LỜI CẢM ƠN
Sau một thời gian học tập, nghiên cứu cùng với sự giúp đỡ quý báu của các thầy giáo, cô giáo, em đã hoàn thành bài báo cáo đề tài kết thúc học phần môn Thực tập chuyên đề.
Hoàn thành bài báo cáo này, cho phép em được bày tỏ lời cảm ơn tới thầy cô giáo trong khoa Công nghệ thông tin trường Đại học Kỹ thuật - Hậu cần CAND đã giúp đỡ em hoàn thiện bài báo cáo. Đồng thời, em gửi lời cảm ơn đặc biệt về sự chỉ dẫn tận tình của thầy Bùi Hồng Đại trong suốt quá trình nghiên cứu và thực hiện đề tài.
Tuy vậy, do thời gian có hạn cũng như kinh nghiệm còn hạn chế nên trong bài báo cáo này sẽ không tránh khỏi những thiếu sót, hạn chế nhất định. Vì vậy, em rất mong nhận được sự chỉ bảo, đóng góp ý kiến của các thầy cô để em có điều kiện bổ sung, nâng cao kiến thức của bản thân.
Em xin chân thành cảm ơn!
Bắc Ninh, ngày 22 tháng 06 năm 2016
SINH VIÊN THỰC HIỆN
Đoàn Minh Toàn
vi
PHẦN MỞ ĐẦU
1. Tính cấp thiết của chuyên đề
Công nghệ thông tin ngày càng đóng vai trò quan trọng trong mọi lĩnh vực của đời sống nói chung và các mặt công tác của lực lượng Công an nói riêng. Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình vào mạng toàn cầu Internet. An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với Internet.
Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin,...gây nên những hậu quả vô cùng nghiêm trọng.
Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trịhệ thống ngày càng đề cao cảnh giác. Vì vậy việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát.
Trong công tác Công an, việc nghiên cứu các kỹ thuật tấn công, phòng thủ, giải pháp đảm bảo an toàn trong mạng nôi bộ có vai trò rất quan trọng. Qua kiểm tra các hệ thống trên mạng máy tính Bộ Công an, bộ phận an toàn thông tin đã phát hiện được nhiều thiết bị kết nối trên mạng có lỗ hổng an ninh cho phép hacker hoặc phần mềm gián điệp xâm nhập được. Sự tồn tại của những lỗ hổng an ninh này có thể gây ra những hậu quả như: làm mất hoặc lộ lọt thông tin, là điểm yếu để hacker hoặc phần mềm gián điệp tấn công các máy tính khác trên mạng.v.v... Ngoài ra, nhiều đơn vị hiện nay đang sử dụng các đường điện thoại để tổ chức kết nối mạng cho các máy tính ở xa, tạo ra những lỗ hổng an ninh lớn trên mạng máy tính Bộ Công an.
Xuất phát từ những lý do trên em đã quyết định lựa chọn đi sâu phân tích và nghiên cứu đề tài “Nghiên cứu kỹ thuật tấn công mạng LAN và xây dựng giải pháp đảm bảo an toàn mạng LAN”.
2. Mục tiêu của chuyên đề
- Tìm hiểu tổng quan về mạng LAN
- Nghiên cứu một số kỹ thuật tấn công mạng LAN và xây dựng cách
phòng chống tấn công.
- Đề xuất một số giải pháp đảm bảo an toàn mạng LAN
- Xây dựng mô hình thử nghiệm và triển khai một số biện pháp tấn công
và phòng chống.
3. Phạm vi nghiên cứu của chuyên đề
1
Tổng quan về mạng LAN, một số kỹ thuật tấn công mạng LAN và cách
phòng chống.
4. Đối tượng nghiên cứu
Kỹ thuật tấn công mạng LAN, cách phòng chống và giải pháp đảm bảo
an toàn.
Để có thể phục vụ quá trình nghiên cứu cần áp dụng các phương pháp
sau:
+ Nghiên cứu tài liệu.
+ Khai thác sử dụng phần mềm máy tính.
+ Phương pháp thực nghiệm.
5. Nội dung nghiên cứu của chuyên đề gồm
- Nghiên cứu tổng quan về mạng LAN
- Nghiên cứu một số kỹ thuật tấn công mạng LAN phổ biến.
- Nghiên cứu cách phòng chống và xây dựng giải pháp đảm bảo an toàn
mạng LAN.
- Xây dựng thử nghiệm một số kỹ thuật tấn công và phòng chống.
6. Cấu trúc báo cáo gồm 3 chương:
Chương 1. Tổng quan về mạng cục bộ.
Chương 2. Một số kỹ thuật tấn công mạng LAN và cách phòng chống.
Chương 3. Thử nghiệm tấn công mạng cục bộ.
2
CHƯƠNG 1. TỔNG QUAN VỀ MẠNG CỤC BỘ
1.1. Giới thiệu mạng cục bộ
1.1.1. Khái niệm về mạng cục bộ
- Định nghĩa mạng cục bộ:
LAN (Local Area Network) hay còn gọi mạng máy tính cục bộ là một hệ thống mạng dùng để kết nối các máy tính trong một phạm vi nhỏ (nhà ở, phòng làm việc, trường học,…). Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với nhau, mà điển hình là chia sẻ tập tin, máy in, máy quét và một số thiết bị khác. [1]
- Mục đích của mạng cục bộ:
+ Liên lạc với nhau
+ Chia sẻ thông tin
+ Chia sẻ tài nguyên
1.1.2. Lịch sử phát triển của mạng cục bộ
Vào những năm 80, cùng với sự xuất hiện của PC, người sử dụng thấy
rằng họ có thể thỏa mãn một phần lớn nhu cầu tính toán của họ mà không cần tới máy tính lớn. Việc tính toán và xử lý độc lập ngày càng phát triển và vai trò xử lý tập trung ngày càng giảm dần.
Trong vòng 15 năm qua, LAN đã trở thành một công cụ có ý nghĩa chiến
lược trong hoạt động của hầu như mọi tổ chức, nhất là các doanh nghiệp.
Sau đó, LAN và các tiêu chuẩn cho phép nối các PC khác nhau để cùng
hoạt động vì lợi ích chung đã xuất hiện.
- LAN thế hệ thứ nhất:
LAN thế hệ thứ nhất nối các máy để bàn với nhau để chia sẻ tài
nguyên. Tiếp theo đó, các LAN được nối với nhau để tạo thành liên mạng bằng cách sử dụng Hub, Bridge hoặc Router.
Mạng doanh nghiệp với các chi nhánh ở xa nhau được hình thành thông qua việc sử dụng Router với các đường xa có tốc độ 64 Kbps, các đường truyền này có thể là Leased Line (đường thuê riêng) hoặc X.25.
Các mạng LAN đều là loại sử dụng chung môi trường truyền, có nghĩa
là một đường cáp duy nhất được dùng để truyền dữ liệu giữa các máy tính.
- LAN thế hệ thứ hai:
Thế hệ này được đặc trưng bởi công nghệ chuyển mạch và đa dịch vụ
(Multimedia) trước đây được hiểu là các phương tiện truyền dẫn khác nhau như cáp đồng xoắn, cáp đồng trục, cáp quang. Gần đây, multimedia mới được hiểu là đa dịch vụ: dữ liệu, thoại và hình ảnh.
3
Vấn đề khó khăn ngày nay là làm cách nào để nâng cấp mạng thế hệ thứ
nhất lên mạng thế hệ thứ hai khi mà các ứng dụng mới và sự phát triển của mạng yêu cầu điều đó.
1.1.3. Những thiết bị cấu thành và các mô hình thực thi
1.1.3.1. Những thiết bị cấu thành
- Modem (Bộ điều chế và giải điều chế)
Hình 1.1. Modem và việc kết nối với các thiết bị khác
Modem (Modulation/ Demodulation) là thiết bị có chức năng chuyển đổi tín hiệu số thành tín hiệu tương tự và ngược lại (Digital <- - -> Analog) để kết nối các máy tính qua đường điện thoại.
- Multiplexor (Bộ phân kênh)
Multiplexor là thiết bị có chức năng tổ hợp một tín hiệu để chúng có thể được truyền với nhau và sau đó khi nhận lại được tách ra trở lại các tín hiệu gốc (chức năng phục hồi lại các tín hiệu gốc như thế gọi là phân kênh).
4
Hình 1.2. Dồn kênh và phân tín hiệu
- Bộ lặp tín hiệu (Repeater)
Hình 1.3. Mô hình liên kết mạng sử dụng Repeater
Repeater là loại thiết bị phần cứng đơn giản nhất trong các thiết bị liên kết mạng, nó được hoạt động trong tầng vật lý của mô hình OSI. Khi Repeater nhận được một tín hiệu từ một phía của mạng thì nó sẽ phát tiếp vào phía kia của mạng.
5
- Bộ tập trung (Hub)
Hình 1.4. Đầu nối mạng qua Hub
Hub là bộ chia (hay cũng được gọi là Bộ tập trung – Concentrator) là một trong những yếu tố quan trọng nhất của LAN, đây là điểm kết nối dây trung tâm của mạng, tất cả các trạm trên mạng LAN được kết nối thông qua Hub.
- Bộ chuyển mạch (Switch)
Hình 1.5. Bộ chuyển mạch (Switch)
Bộ chuyển mạch là sự tiến hoá của cầu (Bridge), nhưng có nhiều cổng và dùng các mạch tích hợp nhanh để giảm độ trễ của việc chuyển khung dữ liệu. Switch giữa bảng địa chỉ MAC của mỗi cổng và thực hiện giao thức Spanning Tree. Switch cũng hoạt động ở tầng Data Link và trong suốt với các giao thức ở tầng trên.
- Cầu nối (Bridge)
Bridge là một thiết bị có xử lý dùng để nối hai mạng giống nhau hoặc
khác nhau, nó có thể được dùng với các mạng có các giao thức khác nhau.
6
Hình 1.6. Cầu (Bridge)
- Bộ định tuyến (Router).
Hình 1.7. Router trong việc kết nối mạng
Router là một thiết bị hoạt động trên tầng mạng, nó có thể tìm được đường đi tốt nhất cho các gói tin qua nhiều kết nối để đi từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc mạng cuối. Router có thể được sử dụng trong việc nối nhiều mạng với nhau và cho phép các gói tin có thể đi theo nhiều đường khác nhau để tới đích.
- Brouter
Brouter là thiết bị có thể đóng vai trò của cả Router lẫn Bridge. Khi
nhận các gói tin, Brouter chọn đường cho các gói tin mà nó “hiểu” (giao thức) và bắc cầu cho tất cả các gói tin mà nó không hiểu.
7
Hình 1.8. Kết nối mạng sử dụng Brouter
- Bộ chuyển mạch có định tuyến (Layer 3 Switch).
Hình 1.9. Lay 3 Switch
Switch L3 có thể chạy giao thức định tuyến ở tầng mạng, tầng 3 của mô hình 7 tầng OSI. Switch L3 có thể có các cổng WAN để nối các LAN ở khoảng cách xa. Thực chất nó được bổ sung thêm tính năng của Router.
1.1.3.2. Các mô hình thực thi
a. Mạng dạng hình sao (Star Topology)
Mạng dạng hình sao bao gồm một bộ kết nối trung tâm và các nút. Các nút này là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng. Bộ kết nối trung tâm của mạng điều phối mọi hoạt động trong mạng. [1]
Mạng dạng hình sao cho phép nối các máy tính vào một bộ tập trung (Hub) bằng cáp, giải pháp này cho phép nối trực tiếp máy tính với Hub không cần thông qua trục Bus, tránh được các yếu tố gây ngưng trệ mạng.
8
Hình 1.10. Cấu trúc mạng hình sao
Mô hình kết nối hình sao ngày nay đã trở nên hết sức phổ biến. Với việc sử dụng các bộ tập trung hoặc chuyển mạch, cấu trúc hình sao có thể được mở rộng bằng cách tổ chức nhiều mức phân cấp, do vậy dễ dàng trong việc quản lý và vận hành.
- Các ưu điểm của mạng hình sao:
+ Hoạt động theo nguyên lý nối song song nên nếu có một thiết bị nào
đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường.
+ Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định.
+ Mạng có thể dễ dàng mở rộng hoặc thu hẹp.
- Những nhược điểm của mạng dạng hình sao:
+ Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng của
trung tâm.
+ Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động.
+ Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin
đến trung tâm. Khoảng cách từ máy đến trung tâm rất hạn chế (100 m).
b. Mạng hình tuyến (Bus Topology)
Thực hiện theo cách bố trí hành lang, các máy tính và các thiết bị khác - các nút, đều được nối về với nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu. Tất cả các nút đều sử dụng chung đường dây cáp chính này. Phía hai đầu dây cáp được bịt bởi một thiết bị gọi là Terminator. Các tín hiệu và dữ liệu khi truyền đi trên dây cáp đều mang theo điạ chỉ của nơi đến. [1]
9
Hình 1.11. Cấu trúc mạng hình tuyến.
- Ưu điểm: Loại hình mạng này dùng dây cáp ít nhất, dễ lắp đặt, giá
thành rẻ.
- Nhược điểm:
+ Sự ùn tắc giao thông khi di chuyển dữ liệu với lưu lượng lớn.
+ Khi có sự hỏng hóc ở đoạn nào đó thì rất khó phát hiện, một sự ngừng trên đường dây để sửa chữa sẽ ngừng toàn bộ hệ thống. Cấu trúc này ngày nay ít được sử dụng.
c. Mạng dạng vòng (Ring Topology).
Mạng dạng này, bố trí theo dạng xoay vòng, đường dây cáp được thiết kế làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó. Các nút truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi. Dữ liệu truyền đi phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận. [1]
- Ưu điểm:
+ Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa, tổng đường
dây cần thiết ít hơn so với hai kiểu trên.
+ Mỗi trạm có thể đạt được tốc độ tối đa khi truy nhập.
- Nhược điểm: Đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó
thì toàn bộ hệ thống cũng bị ngừng.
10
Hình 1.12. Cấu trúc mạng dạng vòng.
d. Mạng dạng kết hợp.
- Kết hợp hình sao và tuyến (Star/Bus Topology):
Cấu hình mạng dạng này có bộ phận tách tín hiệu (Spitter) giữ vai trò thiết bị trung tâm, hệ thống dây cáp mạng có thể chọn hoặc Ring Topology hoặc Linear Bus Topology.
Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách xa nhau, ARCNet là mạng dạng kết hợp Star/Bus Topology. Cấu hình dạng này đem lại sự uyển chuyển trong việc bố trí đường dây, tương thích dễ dàng đối với bất cứ toà nhà nào.
- Kết hợp hình sao và vòng (Star/Ring Topology):
Cấu hình dạng kết hợp Star/Ring Topology, có một "thẻ bài" liên lạc (Token) được chuyển vòng quanh một cái Hub trung tâm. Mỗi trạm làm việc (Workstation) được nối với Hub - là cầu nối giữa các trạm làm việc và để tǎng khoảng cách cần thiết.
1.2. Công nghệ Ethernet
1.2.1. Khái niệm công nghệ Ethernet
Ethernet là công nghệ khu vực nội bộ được sử dụng để kết nối các thiết bị ở khoảng cách gần, được vận hành chỉ trong một toà nhà. Ở mức tối đa ,người ta có thể sử dụng hàng trăm mét để kết nối các thiết bị Ethernet. Nhưng để kết nối các thiết bị ở khoảng cách địa lý xa thì không thể. Ngày nay, nhờ những tiến bộ về mặt công nghệ, người ta có thể xem xét lại trở ngại về mặt địa lý này, cho phép mạng lưới Ethernet mở rộng đến hàng chục kilomet.
11
1.2.2. Lịch sử phát triển của công nghệ Ethernet
- Năm 1972:
+ Thí nghiệm về hệ thống đầu tiên được thực hiện tại Xerox PARC (
Palo Alto Research Center ).
+ Hệ thống mạng truyền 2,94Mbps dựa trên Ethernet.
- Năm 1979: Xây dựng chuẩn Ethernet II, tốc độ 10Mbps
- Năm1981:
+ Chuẩn IEEE 802.3 được chính thức được sử dụng
+ Digital Equipment, Intel, và Xerox cùng phát triển và đưa ra phiên
bản Ethernet Version 2.0, Ethernet II => chuẩn quốc tế.
- Năm 1995: Được IEEE chuẩn hóa thành Fast Ethernet
1.2.3. Các đặc tính chung của Ethernet
1.2.3.1. Cấu trúc khung tin Ethernet
Các chuẩn Ethernet đều hoạt động ở tầng Data Link trong mô hình 7 lớp OSI vì thế đơn vị dữ liệu mà các trạm trao đổi với nhau là các khung (Frame).
Hình 1.13. Cấu trúc khung tin Ethernet.
Cấu trúc khung tin Ethernet như sau:
- Các trường quan trọng trong phần mào đầu sẽ được mô tả dưới đây:
+ Preamble: Trường này đánh dấu sự xuất hiện của khung bit, nó luôn mang giá trị 10101010. Từ nhóm bit này, phía nhận có thể tạo ra xung đồng hồ 10 Mhz.
+ SFD (Start Frame Delimiter): Trường này mới thực sự xác định sự
bắt đầu của 1 khung. Nó luôn mang giá trị 10101011.
+ Các trường Destination và Source: Mang địa chỉ vật lý của các trạm
nhận và gửi khung, xác định khung được gửi từ đâu và sẽ được gửi tới đâu.
+ LEN: Giá trị của trường nói lên độ lớn của phần dữ liệu mà khung
mang theo.
+ FCS mang CRC (Cyclic Redundancy Checksum): Phía gửi sẽ tính toán trường này trước khi truyền khung. Phía nhận tính toán lại CRC này theo
12
cách tương tự. Nếu hai kết quả trùng nhau, khung được xem là nhận đúng, ngược lại khung coi như là lỗi và bị loại bỏ.
1.2.3.2. Cấu trúc địa chỉ Ethernet
Mỗi giao tiếp mạng Ethernet được định danh duy nhất bởi 48 bit địa chỉ (6 Octet). Đây là địa chỉ được ấn định khi sản xuất thiết bị, gọi là địa chỉ MAC ( Media Access Control Address ). Địa chỉ MAC được biểu diễn bởi các chữ số Hexa ( hệ cơ số 16 ).
Ví dụ: 00:60:97:8F:4F:86 hoặc 00-60-97-8F-4F-86.
- Khuôn dạng địa chỉ MAC được chia làm 2 phần:
+ 3 Octet đầu xác định hãng sản xuất, chịu sự quản lý của tổ chức
IEEE.
+ 3 Octet sau do nhà sản xuất ấn định. Kết hợp ta sẽ có một địa chỉ
MAC duy nhất cho một giao tiếp mạng Ethernet.
Địa chỉ MAC được sử dụng làm địa chỉ nguồn và địa chỉ đích trong
khung Ethernet.
1.2.3.3. Các loại khung Ethernet
- Các khung Unicast
Giả sử trạm 1 cần truyền khung tới trạm 2. Khung Ethernet do trạm 1 tạo ra có địa chỉ: MAC nguồn: 00-60-08-93-DB-C1, MAC đích : 00-60-08- 93-AB-12.
Đây là khung Unicast. Khung này được truyền tới một trạm xác định.
Tất cả các trạm trong phân đoạn mạng trên sẽ đều nhận được khung này,
nhưng:
+ Chỉ có trạm 2 thấy địa chỉ MAC đích của khung trùng với địa chỉ MAC của giao tiếp mạng của mình nên tiếp tục xử lý các thông tin khác trong khung.
+ Các trạm khác sau khi so sánh địa chỉ sẽ bỏ qua không tiếp tục xử lý
khung nữa.
- Các khung Broadcast
Các khung Broadcast có địa chỉ MAC đích là FF-FF-FF-FF-FF-FF (48 bit 1). Khi nhận được các khung này, mặc dù không trùng với địa chỉ MAC của giao tiếp mạng của mình nhưng các trạm đều phải nhận khung và tiếp tục xử lý. Giao thức ARP sử dụng các khung Broadcast này để tìm địa chỉ MAC tương ứng với một địa chỉ IP cho trước.
Một số giao thức định tuyến cũng sử dụng các khung Broadcast để các
Router trao đổi bảng định tuyến.
- Các khung Multicast
13
Trạm nguồn gửi khung tới một số trạm nhất định chứ không phải là tất cả. Địa chỉ MAC đích của khung là địa chỉ đặc biệt mà chỉ các trạm trong cùng nhóm mới chấp nhận các khung gửi tới địa chỉ này.
1.2.3.4. Hoạt động của Ethernet
- Phương thức điều khiển truy nhập CSMA/CD quy định hoạt động của hệ thống Ethernet. Một số khái niệm cơ bản liên quan đến quá trình truyền khung Ethernet:
+ Khi tín hiệu đang được truyền trên kênh truyền, kênh truyền lúc này
bận và ta gọi trạng thái này là có sóng mang – Carrier.
+ Khi đường truyền rỗi: không có sóng mang – Absence Carrier.
+ Nếu hai trạm cùng truyền khung đồng thời thì chúng sẽ phát hiện ra
sự xung đột và phải thực hiện lại quá trình truyền khung.
+ Khoảng thời gian để một giao tiếp mạng khôi phục lại sau mỗi lần nhận khung được gọi là khoảng trống liên khung (InterFrame Gap) – ký hiệu IFG. Giá trị của IFG bằng 96 lần thời gian của một bit.
• Ethernet 10Mbps: IFG = 9,6 us
• Ethernet 100Mbps: IFG = 960 ns
• Ethernet 1000Mbps: IFG = 96 ns
Bảng 1.1. Các loại mạng Ethernet
1.2.3.5. Các loại mạng Ethernet
14
1.3. Các kỹ thuật chuyển mạch trong mạng LAN
1.3.1. Khái niệm về chuyển mạch
Chuyển mạch là một quá trình thực hiện đấu nối và chuyển thông tin cho người sử dụng thông qua hạ tầng mạng viễn thông. Nói cách khác, chuyển mạch trong mạng viễn thông bao gồm chức năng định tuyến cho thông tin và chức năng chuyển tiếp thông tin
1.3.2. Lịch sử phát triển của hệ thống chuyển mạch
Vào khoảng thập niên 60 của thế kỷ 20, xuất hiện sản phẩm tổng đài điện tử số là sự kết hợp giữa công nghệ điện tử với kỹ thuật máy tính. Trong những năm 70 hàng loạt các tổng đài thương mại điện tử số ra đời
Khoảng năm 1996 khi mạng Internet trở thành bùng nổ trong thế giới công nghệ thông tin, nó đã tác động mạnh mẽ đến công nghiệp viễn thông và xu hướng hội tụ các mạng máy tính, truyền thông, điều khiển. Hạ tầng mạng viễn thông đã trở thành tâm điểm quan tâm trong vai trò hạ tầng xã hội. Một mạng có thể truyền băng rộng với các loại hình dịch vụ thoại và phi thoại, tốc độ cao và đảm bảo được chất lượng dịch vụ QoS (Quality Of Service) đã trở thành cấp thiết trên nền tảng của một kỹ thuật mới: Kỹ thuật truyền tải không đồng bộ ATM (Asynchronous Transfer Mode).
Sự tăng trưởng của các dịch vụ truy nhập đã tạo nên sức ép và đặt ra 3 vấn đề chính đối với hệ thống chuyển mạch băng rộng đa dịch vụ: Truy nhập băng thông rộng, sự thông minh của thiết bị biên và truyền dẫn tốc độ cao tại mạng lõi.
Các hệ thống chuyển mạch phải có độ mềm dẻo lớn nhằm tương thích và đáp ứng các yêu cầu tăng trưởng lưu lượng từ phía khách hàng. Vì vậy, cơ chế điều khiển các hệ thống chuyển mạch đã được phát triển theo hướng phân lớp và module hóa nhằm nâng cao hiệu năng chuyển mạch và đảm bảo QoS từ đầu cuối tới đầu cuối.
1.3.3. Các chế độ chuyển mạch trong LAN
1.3.3.1. Chuyển mạch lưu và chuyển ( Store and Forward Switching )
Các bộ chuyển mạch lưu và chuyển hoạt động như cầu nối.
Trước hết, khi có khung tin gửi tới, bộ chuyển mạch sẽ nhận toàn bộ khung tin, kiểm tra tính toàn vẹn dữ liệu của khung tin, sau đó mới chuyển tiếp khung tin tới cổng cần chuyển. Khung tin trước hết phải được lưu lại để kiểm tra tính toàn vẹn do đó sẽ có một độ trễ nhất định từ khi dữ liệu được nhận tới khi dữ liệu được chuyển đi.
Với chế độ chuyển mạch này, các khung tin đảm bảo tính toàn vẹn mới được chuyển mạch, các khung tin lỗi sẽ không được chuyển từ phân đoạn mạng này sang phân đoạn mạng khác.
15
1.3.3.2. Chuyển mạch ngay (Cut-through Switching)
Các bộ chuyển mạch ngay hoạt động nhanh hơn so với các bộ chuyển
mạch lưu và chuyển.
Bộ chuyển mạch đọc địa chỉ đích ở phần đầu khung tin rồi chuyển ngay khung tin tới cổng tương ứng mà không cần kiểm tra tính toàn vẹn. Khung tin được chuyển ngay thậm chí trước khi bộ chuyển mạch nhận đủ dòng bit dữ liệu. Khung tin đi ra khỏi bộ chuyển mạch trước khi nó được nhận đủ.
Các bộ chuyển mạch đời mới có khả năng giám sát các cổng của nó và quyết định sẽ sử dụng phương pháp nào thích hợp nhất. Chúng có thể tự động chuyển từ phương pháp chuyển ngay sang phương pháp lưu và chuyển nếu số lỗi trên cổng vượt quá một ngưỡng xác định.
16
CHƯƠNG 2. TẤN CÔNG MẠNG CỤC BỘ VÀ GIẢI PHÁP PHÒNG CHỐNG
2.1. Tổng quan về an ninh mạng
2.1.1. Khái niệm về an ninh mạng
- Định nghĩa về an ninh mạng:
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet. Nếu như máy tính, hệ thống mạng không được trang bị hệ thống bảo vệ vậy chẳng khác nào đi khỏi căn phòng của mình mà quên khóa cửa, máy tính sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả hệ thống bất cứ lúc nào.
Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình. An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng.
- Tầm quan trọng của an ninh mạng:
Trong một doanh nghiệp hay một tổ chức nào đó, thì phải có các yếu
tố cần được bảo vệ như:
+ Dữ liệu.
+Tài nguyên: con người, hệ thống và đường truyền.
+ Danh tiếng của công ty.
Nếu không đặt vấn đề an toàn thông tin lên hàng đầu thì khi gặp phải
sự cố thì tác hại đến doanh nghiệp không nhỏ:
+ Tốn kém chi phí.
+ Tốn kém thời gian.
+ Ảnh hưởng đến tài nguyên hệ thống.
+ Ảnh hưởng đến danh dự, uy tín của doanh nghiệp.
+ Mất cơ hội kinh doanh.
2.1.2. Hacker và ảnh hưởng của việc hack
- Hacker họ là ai?
Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năng tạo ra hay khám phá các phần mềm và phần cứng của máy tính. Đối với một số hacker, hack là một sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính hoặc mạng.
17
Mục đích của họ có thể là tìm hiểu kiến thức hoặc phá hoại bất hợp pháp. Một số mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, sổ bảo hiểm xã hội, mật khẩu, email…
- Các loại hacker:
+ Black Hats: là người có kỹ năng tính toán xuất sắc, sử dụng thành
thạo các công cụ và máy tính, có các hoạt động phá hoại, ví dụ như crackers.
+ White Hats: người biết nhiều kỹ năng của hacker, và sử dụng chúng
cho mục đích phòng thủ, ví dụ như là chuyên gia phân tích an ninh mạng.
+ Gray Hats: là người làm cả 2 việc, tấn công và phòng thủ ở những
thời điểm khác nhau.
+ Suicide Hackers: người tấn công các cơ sở hạ tầng quan trọng mà
không quan tâm đến phải chịu 30 năm tù vì các hành vi của mình.
- Ảnh hưởng của việc hack:
Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm. Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới các vụ kiện. Hack có thể làm 1 công ty bị phá sản. Botnet có thể được sử dụng để khởi động các loại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm doanh thu. Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng và bán chúng cho các đối thủ cạnh tranh.
Hình 2.1. Các giai đoạn tấn công
2.1.3. Các giai đoạn tấn công
- Thăm dò (Reconnaissace)
Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tin trên hệ thống mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ
18
đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:
+ Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại,
email của các cá nhân, người điều hành trong tổ chức.
+ Active: Thu thập các thông tin về địa chỉ IP, domain, DNS,… của
hệ thống
- Quét hệ thống (Scanning)
Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ thống mạng. Một vài phương pháp quét thông dụng như: quét cổng, quét mạng và quét các điểm yếu trên hệ thống.
- Chiếm quyền điều khiển (Gainning access)
Đến đây hacker đã bắt đầu dần dần xâm nhập được hệ thống và tấn công nó, đã truy cập được nó bằng các lệnh khai thác. Các lệnh khai thác luôn ở bất cứ không gian nào, từ mạng LAN cho tới INTERNET.
- Duy trì điều khiển hệ thống (Maitaining access)
Đến đây hacker bắt đầu phá hỏng làm hại,hoặc có thể cài trojan, rootkit, backdoor để lấy thông tin thêm. Thường được thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng...
- Xoá dấu vết (Clearning tracks)
Được đề cập đến hoạt động được thực hiện bằng cách hacker cố tình che dấu hành động xâm nhập của mình. Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập bằng các phương thức như Steganography, tunneling, and altering log file.
2.1.4. Các loại tấn công mạng
- Tấn công hệ điều hành:
Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng
để được truy cập vào một hệ thống mạng. Một số lỗi hệ điều hành như
+ Tràn bộ đệm
+ Lỗi trong hệ điều hành
+ Hệ thống chưa được vá hệ điều hành
- Tấn công cấu hình sai:
Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trị hoặc bị nhiễm virus, giúp hacker tận dụng những lỗ hổng này để khai thác và xâm nhập vào hệ thống như chỉnh sửa sai DNS, thông tin cấu hình ip…
- Tấn công cấp độ ứng dụng:
19
Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng,
nhưng chưa kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khai thác.
2.1.5. Các đối tượng có thể bị tấn công trong LAN và các hình thức tấn công phổ biến
Như vậy chúng ta có thể thấy được 1 mạng LAN có thể sẽ bị tấn công từ bên trong mạng và bên ngoài mạng ở đây em chỉ xin giới thiệu hình thức tấn công từ bên trong mạng. Các đối tượng có thể bị tấn công:
- Máy chủ: Đây là đích của rất nhiều hacker bởi máy chủ là vô cùng
quan trọng trong một mạng.
- Thiết bị mạng: Các thiết bị mạng như switch, router hay modem
cũng có thể bị tấn công.
- Client: Các máy tính client cũng có thể bị tấn công để lợi dụng cho
hacker thực hiện 1 mục đích nào đó.
Mạng LAN có thể bị tấn công bởi các hình thức sau :
- Tấn công từ chối dịch vụ (DOS/DDOS):
+ Tấn công từ chối dịch vụ Dos (Denial Of Service): là kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống
+ Tấn công từ chối dịch vụ phân tán DDOS (Distributed Denial Of Service): là kiểu tấn công làm hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động, song từ nhiều nguồn tấn công khác nhau, phân tán trên mạng. Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ từ nhiều máy tấn công ở nhiều nơi. Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không có khả năng xử lý các yêu cầu. Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS là DDoS sử dụng một mạng lưới tấn công rộng khắp, gồm nhiều máy tấn công nằm rải rác trên mạng.
- Man-in-the-Middle (MITM) là hình thức tấn công mà kẻ tấn công (attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân.
- Sniffer (Nghe lén): Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên (trong một hệ thống mạng). Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại. Chỉ khác nhau ở môi trường là các chương trình Sniffer thực hiện nghe lén trong môi trường mạng máy tính.
20
2.2. Một số kiểu tấn công mạng LAN và cách phòng chống
2.2.1. Kiểu tấn công ARP spoofing
- Đối tượng tấn công: Switch
- Kiểu tấn công: Man-in-the-Middle (MITM)
- Thế nào là tấn công ARP spoofing: Là kiểu tấn công mà trong đó hackers nghe giao thông trong mạng rồi sử dụng các gói tin ARP request được gửi liên tục nhằm giả địa chỉ MAC để xem liên lạc giữa các máy tính trong mạng.
2.2.1.1. Các kiến thức liên quan
- ARP (address resolution protocol) là giao thức xác định địa chỉ nguồn
cho địa chỉ phần cứng, mỗi NIC đều có 1 địa chỉ phần cứng.
- ARP được dùng để xác định xem khi 1 gói tin được gửi ra ngoài được gửi đến 1 máy tính có địa chỉ IP là x1.x2.x3.x4 thì địa chỉ MAC của nó là gì. Trong mạng LAN thường địa chỉ IP và địa chỉ MAC sẽ là của cùng 1 máy ngoại trừ router.
Hình 2.2. Vị trí của ARP
- Giao thức ARP nằmg ở giữa tầng 2 và 3.
21
Hình 2.3. Cách thức hoạt động của ARP
- Bước 1:
+ Máy A muốn tìm địa chỉ IP của máy B có địa chỉ IP là x1.x2.x3.x4, máy A gửi 1 gói tin broadcast (gói tin mang địa chỉ IP và MAC của máy A yêu cầu tìm địa chỉ MAC của máy có địa chỉ IP là x1.x2.x3.x4) đến switch. Vì là bản tin broadcast lên switch sẽ gửi nó đến toàn bộ các máy tính trong mạng ngoại trừ máy A. Các máy tính trong mạng so sánh địa chỉ IP từ gói tin nó nhận được nếu không trùng với IP của mình thì nó sẽ hủy bỏ gói tin này, nếu trùng nó tiến hành tiếp bước 2.
- Bước 2:
+ Tại máy B sau khi nhận được bản tin broadcast thấy địa chỉ IP của gói tin trùng với địa chỉ của mình nó trả lời bằng 1 gói tin unicast đến máy A. Bản tin này mang thông tin trả lời chứa địa chỉ MAC của nó. Máy A nhận tin này và lưu địa chỉ MAC của máy B vào ARP cache của mình.
22
Hình 2.4. Cách thức tấn công ARP spoofing
2.2.1.2. Cách thức tấn công
- Bước 1:
+ Máy A muốn tìm địa chỉ IP của máy B có địa chỉ IP là x1.x2.x3.x4, máy A gửi 1 gói tin broadcast (gói tin mang địa chỉ IP và MAC của máy A yêu cầu tìm địa chỉ MAC của máy có địa chỉ IP là x1.x2.x3.x4) đến switch. Vì là bản tin broadcast lên switch sẽ gửi nó đến toàn bộ các máy tính trong mạng ngoại trừ máy A. Các máy tính trong mạng so sánh địa chỉ IP từ gói tin nó nhận được nếu không trùng với IP của mình thì nó sẽ hủy bỏ gói tin này, nếu trùng nó tiến hành tiếp bước 2.
- Bước 2:
+ Khi máy C (attacker) nhận được gói tin broadcast từ máy A hacker sẽ sử dụng 1 số công cụ tấn công như arpspoof (dùng trên linux), ettercap 23
(dùng trên windows và linux) và arpspyx (dùng trên MAC OS) để tiến hành tấn công. Thay vì hủy bỏ gói tin như thông thường các công cụ này tiến hành gửi liên tục các gói tin uniscast trả lời các gói tin này mang thông tin ip của máy B và địa chỉ MAC của máy C (attacker). Máy A nhận được các bản tin này lưu vào ARP cache và bị hiểu lầm máy C là máy B. Và các gói tin trả lời từ máy A đến máy B sẽ được gửi đến máy C (attacker).
2.2.1.3. Cách thức phòng chống
- Dùng lệnh:
+ ipconfig /all xem MAC của mình
+ arp -a xem bảng ARP trên máy mình, kiểm tra MAC của máy có
phải đúng là MAC thật hay không.
+ arp -d xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị tấn công cũng mất, và máy tính sẽ bắt đầu học lại. Nhưng nếu máy tấn công vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô ích
+ arp -s gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không đầu độc được IP này nữa. Nhưng việc này không khả thi cho mạng lớn, nhiều máy tính, và có sự thay đổi IP (ví dụ dùng DHCP).
- Dùng phần mềm:
Chúng ta có thể cài đặt phần mềm Anti ARP để tránh việc nhận ARP
Reply giả mạo
- Dùng thiết bị:
Dynamic ARP Inspection: Switch sẽ dựa vào bảng DHCP spoofing Binding để kiểm tra gói tin ARP Reply được gửi ra xem có hợp lệ hay không, nếu không hợp lệ sẽ DROP ngay.
2.2.2. Kiểu tấn công DNS spoofing
- Đối tượng tấn công: DNS sever
- Kiểu tấn công: Man-in-the-Middle (MITM)
- Thế nào là tấn công DNS spoofing: Đây là một phương pháp tấn công máy tính nhờ đó mà dữ liệu được thêm vào hệ thống cache của các DNS server. Từ đó, các địa chỉ IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng tư một website này sang một website khác.
2.2.2.1. Các kiến thức liên quan
- Khái niệm DNS: DNS (Domain Name System) là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP. DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất. Trong phạm vi lớn hơn, các máy tính kết nối với internet sử dụng
24
DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators). Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối mà chỉ cần sử dụng tên miền (domain name) để truy vấn đến kết nối đó.
- Mô tả hoạt động của DNS:
Để hiểu rõ hơn về hoạt động của DNS chúng ta xét ví dụ và tham
Hình 2.5. Hoạt động của DNS
khảo hình vẽ dưới đây:
Giả sử PC A muốn truy cập đến trang web http://www.yahoo.com và server vnn chưa lưu thông tin về trang web này, các bước truy vấn sẽ diễn ra như sau:
Đầu tiên PC A gửi một request hỏi server quản lý tên miền vnn hỏi
thông tin về http://www.yahoo.com
Server quản lý tên miền vnn gửi một truy vấn đến server top level
domain.
+ Top level domain lưu trữ thông tin về mọi tên miền trên mạng. Do đó nó sẽ gửi lại cho server quản lý tên miền vnn địa chỉ IP của server quản lý miền com (gọi tắt server com).
+ Khi có địa chỉ IP của server quản lý tên miền com thì lập tức server vnn hỏi server com thông tin về yahoo.com. Server com quản lý toàn bộ những trang web có domain là com, chúng gửi thông tin về địa chỉ IP của server yahoo.com cho server vnn
+ Lúc này server vnn đã có địa chỉ IP của yahoo.com rồi. Nhưng PC A yêu cầu dịch vụ www chứ không phải là dịch vụ ftp hay một dịch vụ nào khác. Do đó server vnn tiếp tục truy vấn tới server yahoo.com để yêu cầu thông tin về server quản lý dịch vụ www của yahoo.com
+ Lẽ đương nhiên khi nhận được truy vấn thì server yahoo.com gửi
lại cho server vnn địa chỉ IP của server quản lý http://www.yahoo.com/
25
+ Cuối cùng là server vnn gửi lại địa chỉ IP của server quản lý http://www.yahoo.com. cho PC A và PC A kết nối trực tiếp đến nó. Và bây giờ thì server vnn đã có thông tin về http://www.yahoo.com cho những lần truy vấn đến sau của các client khác.
2.2.2.2. Cách thức tấn công
Hình 2.6. Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID
Theo như hình 2.6, cơ chế tấn công giả mạo địa chỉ DNS sẽ như sau:
Giả sử DNS Cache Server (như trên hình) đã có lưu thông tin địa chỉ của trang example.jp, nhưng Hacker (Malicious User) lại thực hiện thay đổi địa chỉ này bằng địa chỉ của một trang giả mạo khác (Bogus Website).
Khi máy tính nạn nhân (Internal User) tiến hành gửi yêu cầu đến DNS Cache Server, thì DNS Cache Server sẽ vô tình gửi trả lại (response) thông tin địa chỉ của example.jp đã bị giả mạo cho nạn nhân.
Sau khi nhận được địa chỉ đã giả mạo từ DNS Cache Server, nạn nhân sẽ vô tình truy cập vào website độc hại (Bogus Website) mà kẻ tấn công đã tạo ra nhằm lấy cắp thông tin mật.
2.2.2.3. Cách thức phòng chống
- Bảo vệ mạng máy tính cá nhân
Các tấn công giống như trên thường được thực thi từ bên trong mạng của chúng ta. Nếu các thiết bị mạng của chúng ta an toàn sẽ góp phần giảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công giả mạo.
- Thận trọng khi duyệt Internet
Đối với người sử dụng cá nhân, cần thận trọng trong thời gian này khi truy cập Internet. Nếu vào một website quen thuộc nhưng lại gặp hiện tượng không bình thường, các cá nhân này nên thông báo ngay với quản trị mạng
26
của cơ quan hoặc hỗ trợ kỹ thuật của các ISP để có biện pháp xử lý kịp thời. Ngoài ra, chúng ta cũng nên cập nhật đầy đủ các bản vá của hệ điều hành và phần mềm diệt virus để tránh nguy cơ bị lây nhiễm mã độc.
- Sử dụng DNSSEC
DNSSEC là công nghệ an toàn mở rộng cho hệ thống DNS. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng vùng dữ liệu để đảm bảo toàn vẹn dữ liệu.
Với cách thức tổ chức thêm những bản ghi mới và những giao thức đã được chỉnh sửa nhằm chứng thực nguồn gốc và tính toàn vẹn dữ liệu cho hệ thống, với DNSSEC, hệ thống DNS đã được mở rộng thêm các tính năng bảo mật và được tăng cường độ an toàn, tin cậy, khắc phục được những nhược điểm của thiết kế sơ khai ban đầu. Vừa đáp ứng được các yêu cầu thông tin định tuyến về tên miền, giao thức làm việc giữa các máy chủ DNS với nhau, vừa đáp ứng được các yêu cầu bảo mật, tăng cường khả năng dự phòng cho hệ thống.
Vì vậy, việc triển khai DNSSEC là cần thiết để đảm bảo an toàn cho
hệ thống DNS, các dịch vụ trực tuyến trên Internet.
- Kiểm tra lỗ hổng DNS Cache Poisoning
Ta có thể sử dụng phần mềm BkavDNSCheck để kiểm tra xem máy chủ DNS của mình có lỗ hổng DNS Cache Poisoning hay không. Và thực hiện các biện pháp vá lỗi cần thiết để bảo vệ DNS server.
2.2.3. Kiểu tấn công DHCP spoofing
- Đối tượng tấn công : DHCP sever
- Kiểu tấn công: Man-in-the-Middle (MITM)
- Thế nào là tấn công giả mạo DHCP: DHCP spoofing là kỹ thuật giả mạo DHCP Server trong mạng LAN. Kẻ tấn công có thể cài đặt một phần mềm DHCP Server trên máy tính của mình và cấp phát địa chỉ IP cho máy nạn nhân với các thông số giả mạo như default gateway, DNS. Từ đó, máy tính của nạn nhân sẽ bị chuyển hướng truy cập theo ý đồ của kẻ tấn công.
2.2.3.1. Các kiến thức liên quan
- DHCP (Dynamic Host Configuration Protocol) là giao thức cấu hình Host động. Giao thức cung cấp phương pháp thiết lập các thông số TCP/IP cần thiết cho hoạt động của mạng, giúp giảm khối lượng công việc cho quản trị hệ thống mạng.
- DHCP Server là một máy chủ chạy dịch vụ DHCP Server. Nó có chức năng quản lý sự cấp phát địa chỉ IP động và các dữ liệu cấu hình TCP/IP. Ngoài ra còn có nhiệm vụ trả lời khi DHCP Client có yêu cầu về hợp đồng thuê bao.
27
DHCP Client là một máy trạm chạy dịch vụ DHCP Client. Nó dùng để đăng ký, cập nhật thông tin về địa chỉ IP và các bản ghi DNS cho chính bản thân nó. DHCP Client sẽ gửi yêu cầu đến DHCP Server khi nó cần đến 1 địa chỉ IP và các tham số TCP/IP cần thiết để làm việc trong hệ thống mạng của tổ chức và trên Internet.
- Mô tả hoạt động của DHCP:
Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá
trình tương tác giữa DHCP client và server diễn ra theo các bước sau:
+ Khi bên máy client được khởi động thì máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầu một server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của máy client.
+ Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết.
+ Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát cho Client khác.
Hình 2.7. Hoạt động của DHCP 28
+ Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như là một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra Server còn gửi kèm theo những thông tin cấu hình bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, …
2.2.3.2. Cách thức tấn công
Bước 1. Máy tính của kẻ tấn công sẽ vét cạn toàn bộ Pool IP của máy DHCP Server bằng liên tục gửi các yêu cầu xin cấp phát IP (DHCP Discover) tới máy DHCP Server. Mỗi yêu cầu DHCP Discover này đều chứa địa chỉ MAC giả mạo nhằm đánh lừa DHCP Server rằng đó là lời yêu cầu từ các máy tính khác nhau. Vì Pool địa chỉ IP cấp phát trên DHCP Server là hữu hạn nên sau khi đã cấp phát hết IP, DHCP Server không thể phục vụ các yêu cầu xin IP từ máy Client.
Bước 2. Kẻ tấn công cài đặt phần mềm DHCP Server trên máy của mình và cấp phát thông số IP giả mạo, điều hướng truy cập nạn nhân đến các máy chủ do hắn kiểm soát nhằm đánh lừa và đánh cắp thông tin
2.2.3.3. Cách thức phòng chống
Một số hãng công nghệ đã đưa ra giải pháp để phòng chống kiểu tấn công này. Ví dụ như hãng Cisco đã đưa công nghệ DHCP spoofing (giám sát DHCP) vào thiết bị switch. Ý tưởng chính của công nghệ này là:
- Cấu hình các cổng trên switch thành 2 kiểu: cổng trust và cổng
untrust.
- Cổng trust là cổng có thể cho phép gửi đi tất cả các loại các bản tin
DHCP. Trên hình vẽ, cổng nối với máy chủ DHCP được cấu hình là trust.
- Cổng untrust là cổng chỉ có thể gửi đi bản tin xin cấp phát địa chỉ IP. Cổng untrust thường là cổng nối với các thiết bị đầu cuối người dùng. Do vậy máy tính của kẻ tấn công mặc dù là một máy chủ DHCP, nhưng không thể gửi các bản tin DHCP cấp phát địa chỉ IP giả mạo. Như vậy bước 2 của kẻ tấn công đã bị ngăn chặn.
Vấn đề còn lại là làm thế nào để ngăn chặn bước 1 của kẻ tấn công (vét
cạn toàn bộ pool IP) của máy chủ DHCP?
Ta hiểu rằng, cách thức của kẻ tấn công là gửi liên tục các yêu cầu xin cấp phát địa chỉ IP giả mạo đến máy chủ DHCP cho đến khi pool IP máy chủ DHCP cạn kiệt. Vì thế giải pháp ngăn chặn sẽ là:
- Xây dựng một bảng chứa thông tin liên quan giữa: địa chỉ MAC máy client-địa chỉ IP- VLAN- số hiệu cổng. Bảng này dùng để giám sát việc xin cấp phát địa chỉ IP của các máy client, tránh việc 1 máy client xin cấp phát nhiều địa chỉ IP.
- Quy định số lượng gói tin DHCP đến 1 cổng/đơn vị thời gian.
2.3. Một số giải pháp đảm bảo an toàn mạng LAN
2.3.1. Tường lửa (Firewall)
2.3.1.1. Khái niệm
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một 29
kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.
2.3.1.2. Phân loại
a. Firewall cứng
Hình 2.8. Firewall cứng
- Firewall cứng: Là những firewall được tích hợp trên Router
- Đặc điểm của Firewall cứng:
+ Không được linh hoạt như Firewall mềm: (Không thể thêm chức
năng, thêm quy tắc như firewall mềm)
+ Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng
Network và tầng Transport)
+ Firewall cứng không thể kiểm tra được nột dung của gói tin
- Ví dụ Firewall cứng: NAT (Network Address Translate)
b. Firewall mềm
Hình 2.9. Firewall mềm
- Firewall mềm: Là những Firewall được cài đặt trên Server
- Đặc điểm của Firewall mềm:
+ Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
+ Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng
dụng)
+ Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua
các từ khóa).
- Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
30
2.3.2. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS
2.3.2.1. Hệ thống phát hiện xâm nhập IDS
- Hệ thống phát hiện xâm nhập – IDS là một hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống. IDS có thể phân biệt được những tấn công từ bên trong (nội bộ) hay tấn công từ bên ngoài (từ các tin tặc).
- IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạt chuẩn của hệ thống có thể chấp nhận được ngay tại thời điểm hiện tại) để tìm ra các dấu hiệu khác thường.
-Tính năng quan trọng nhất của IDS là:
+ Giám sát lưu lượng mạng và các hoạt động khả nghi.
+ Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.
+ Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành
một hệ thống bảo mật hoàn chỉnh.
2.3.2.2. Hệ thống ngăn chặn xâm nhập IPS
- IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.
- Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.
- Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống. Hệ thống IPS sử dụng tập luật tương tự như hệ thống IDS.
2.3.3. Mạng VLAN ảo
- VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN ảo. Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng… của công ty.
- Lợi ích của VLAN
+ Tiết kiệm băng thông của hệ thống mạng
+ Tăng khả năng bảo mật
+ Dễ dàng thêm bớt mát tính vào VLAN
31
+ Giúp mạng có tính linh dộng cao
2.3.4. Mạng riêng ảo (VPN)
- VPN(virtual private network) là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa.
- VPN cung cấp ba chức năng chính:
+ Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúng ngang qua mạng. Bằng cách làm như vậy, không một ai có thể truy cập thông tin mà không được cho phép. Và nếu có lấy được thì cũng không đọc được.
+ Tính toàn vẹn dữ liệu ( Data Integrity): người nhận có thể kiểm tra
rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào.
+ Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác
thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
32
CHƯƠNG 3. THỬ NGHIỆM TẤN CÔNG MẠNG CỤC BỘ
3.1. Giới thiệu hệ điều hành Backtrack 5 R3
Bảng 3.1. Thời gian phát hành các phiên bản Backtrack
Backtrack 5 R3 được phát hành 13 tháng 8 2012 là công cụ kiểm thử bảo mật rất đang được ưa chuộng, phiên bản này được cải tiến mạnh mẽ so với các phiên bản trước đó. [3]
Thời gian phát hành Phiên bản
05/02/2006 Backtrack v.1.0 Beta
26/05/2006 Backtrack v.1.0
06/03/2007 Backtrack 2 final
19/06/2008 Backtrack 3 final
09/01/2010 Backtrack 4 final (Linux kernel 2.6.30.9)
08/05/2010 BackTrack 4 R1
22/11/2010 BackTrack 4 R2
10/05/2011 BackTrack 5 (Linux kernel 2.6.38)
18/08/2011 BackTrack 5 R1 (Linux kernel 2.6.39.5)
01/03/2012 Backtrack 5 R2 (Linux kernel 3.2.6)
13/08/2012 BackTrack 5 R3
33
Hình 3.1. Giao diện chính Backtrack 5 R3
Hình 3.2. Các công cụ trong Backtrack 5 R3
34
Công cụ kiểm thử bảo mật trong Backtrack có thể được phân loại thành
các nhóm như sau:
+ Information gathering: Sử dụng để có được thông tin liên quan đến
một mục tiêu DNS, địa chỉ email, trang web, máy chủ mail….
+Network mapping: Quét thăm dò, bao gồm việc kiểm tra các host đang tồn tại, thông tin về hệ điều hành, ứng dụng được sử dụng bởi mục tiêu….
+ Vulnerability identification: Quét các lỗ hổng, phân tích Server
Message Block (SMB) và Simple Network Management Protocol (SNMP).
+Web application analysis: Theo dõi, giám sát các ứng dụng web.
+ Radio network analysis: Kiểm tra mạng không dây, bluetooth và
nhận dạng tần số vô tuyến (RFID).
+Penetration: Khai thác các lỗ hổng tìm thấy trong các máy tính mục
tiêu.
+ Privilege escalation: Sau khi khai thác các lỗ hổng và được truy cập vào các máy tính mục tiêu, các công cụ trong loại này có thể sử dụng để leo thang đặc quyền.
+ Maintaining access: Duy trì quyền truy cập vào các máy tính mục tiêu. Những đặc quyền cao nhất là điều kiện cần thiết trước khi có thể cài đặt công cụ để duy trì quyền truy cập.
+ Voice Over IP (VOIP): Các công cụ để phân tích VOIP.
+ Digital forensics: Phân tích hình ảnh đĩa cứng, cấu trúc các tập tin
có thể chọn Start Backtrack Forensics trong trình đơn khởi động.
+ Reverse engineering: Gỡ rối chương trình hoặc tháo rời tập tin thực
thi.
35
Hình 3.3. Mô hình thử nghiệm tấn công phòng thủ
3.2. Xây dựng mô hình thử nghiệm
Xây dựng mô hình mạng LAN trên máy ảo VMWare:
- Máy nạn nhân (Victim): Cài đặt Window XP Professional
- Server: Cài đặt CentOS 6.5 cấu hình Telnet để các User trong mạng Lan có thể truy cập được, mỗi user có một tài khoản riêng để đăng nhập vào Server để có thể truy cập nội dung thư mục, tệp tin được lưu trên Server. [2]
- Máy tấn công (Hacker): Cài đặt hệ điều hành Backtrack 5 R3
3.3. Tiến hành tấn công
3.3.1. Tấn công AR spoofing
Bước đầu tiên ta kiểm tra MAC của Gate way bên máy nạn nhân và bên
máy tấn công:
36
Hình 3.4. Địa chỉ MAC bên máy nạn nhân
Hình 3.5. Địa chỉ MAC bên máy tấn công
37
Tiếp theo bên máy tấn công trong của sổ Terminal ta gõ dòng lênh:
Hình 3.6. Chọn Network interface
Hình 3.7. Giao diện sau khi chọn cổng interface
ettercap –gtk để khởi động chương trình Ettercap. Lần lượt chọn: Sniff -> Unified Sniffing… (hoặc Shift + U) -> Trong hộp thoại ettercap Input mục Network interface chọn eth0 -> nhấn nút OK:
Chọn Hosts -> Scan for hosts (Ctr + S) để quét địa chỉ các máy, sau khi
quét xong chọn Hosts list để xem kết quả:
38
Hình 3.8. Danh sách các Hosts sau khi quét
Tiếp theo ta chọn Mitm -> ARP poisonning… Để chọn kiểu tấn công là
Hình 3.9. Chọn kiểu tấn công ARP poisoning
đầu độc ARP
39
Hình 3.10. Bắt đầu tấn công ARP poisonning
Cuối cùng chọn Start -> Start sniffing (Ctr + W) để bắt đầu tấn công.
Hình 3.11. Kiểm tra địa chỉ MAC bên máy nạn nhân
Sang bên máy nan nhân ta kiểm tra địa chỉ MAC
40
Quan sát rõ ràng địa chỉ MAC gateway đã bị thay đổi đồng thời trong bảng địa chỉ MAC bên máy nạn nhân có chèn thêm địa chỉ bên máy tấn công, cả hai địa chỉ này sử dụng chung một địa chỉ MAC.
Hình 3.12. Telnet vào Server từ máy nạn nhân
Ta thử từ máy tấn công sử dụng giao thức Telnet truy cập vào Server: Telnet 172.27.0.130. Đăng nhập vào Server bằng tài khoản mà Server đã cấp cho máy nạn nhân truy cập vào thư mục, tập tin mà máy nạn nhân lưu trên Server.
Quan sát bên máy tấn công
Hình 3.13. Thông tin bắt được bên máy tấn công bằng tấn công arp spoofing 41
Như vậy bên máy tấn công đã bắt được tài khoản mật khẩu khi máy nạn
nhân Telnet vào Server.
Thử nghiệm Telnet đến Server từ máy tấn công bằng tài khoản, mật khẩu
Hình 3.14. Telnet đến Server bằng máy tấn công
vừa thu thập được: USER: toan, PASS: binhdinh
Máy tấn công đăng nhập thành công, máy tấn công cũng có thể truy cập vào các thư mục, tập tin tương tự như máy nạn nhân, từ đó đánh cắp các thông tin tài liệu quan trọng của nạn nhân.
3.3.2. Tấn công DHCP spoofing
Trên Server CentOs 6.5 ta cấu hình DHCP Server. Cấp phát địa chỉ cho
client từ 172.27.0.128 đến 172.27.0.135.
Ta khởi động chương trình Ettercap trên máy tấn công. Quét các Hosts qua cổng eth0. Chọn Mitm -> DHCP spoofing để chọn kểu tấn công là DHCP spoofing.
42
Hình 3.15. Chọn chức năng tấn công Dhcp spoofing
Sau khi chọn kiểu tấn công Dhcp spoofing. Xuất hiện hộp thoại Server
Hình 3.16. Điền thông tin Server 43
Information và ở đó điền các thông tin Server vào đó.
Cuối cùng ta chọn Start -> Start sniffing để bắt đầu tấn công.
Bên máy nạn nhân ta cũng truy cập bằng Telnet vào Server bằng tài
Hình 3.17. Thông tin bắt được bên máy tấn công bằng tấn công Dhcp spoofing
khoản của mình. Quan sát bên máy tấn công:
3.3.3. Tấn công DNS spoofing
Mục đích tấn công: Khi máy nạn nhân truy câp vào một trang Wed sẽ bị máy tấn công điều hướng sang một trang Wed khác cụ thể: Khi máy nạn nhân truy cập vào trang thegioitinhoc.vn (address: 112.213.89.45) sẽ bị máy tấn công điều hướng sang trang msn.com (address: 23.101.169.141)
Ta sửa file etter.dsn như ở hình:
44
Hình 3.18. Sửa tập tin etter.dns
Sau khi sửa tập tin etter.dns xong nhấn Ctr + X rồi chọn Y để lưu file lưu
lại
Khởi động chương trình Ettercap quét tìm các Host. Chọn chức năng
Hình 3.19. Khởi động dns_spoof 45
Arp poisoning, tiếp đó vào Plugins chọn dns_spoof:
Vào Sniff -> Start sniffing (Ctr + W) để bắt đầu tấn công, quan sat bên
Hình 3.20. Trang web thegioitinhoc.vn đã bị điều hướng
máy nạn nhân.
Quan sát bên máy nạn nhân khi truy cập vào trang wed thegioitinhoc.vn
đã bị điều hướng sang một trang wed khác là trang msn.com
3.4. Đánh giá, kết luận
3.4.1. Đánh giá
3.4.1.1. Ưu điểm
- Trong thời gian nghiên cứu và tìm hiểu đề tài “Nghiên cứu kỹ thuật tấn công mạng LAN và xây dựng giải pháp đảm bảo an toàn mạng LAN ”, em đã đạt được một số kết quả sau:
+ Tìm hiểu cụ thể về mạng LAN các thành phần cấu tạo của nó và các
mô hình thực thi phổ biến
+ Tìm hiểu sơ lược về hacker và các phương pháp tấn công trong
mạng LAN
+ Đưa ra một số phương pháp tấn công phổ biến và cách thức phòng
trống
46
3.4.1.2. Nhược điểm
- Tuy em đã cố gắng để hoàn thành tốt đề tài nhưng vẫn còn những hạn
chế cần khắc phục như sau :
+ Chưa đưa ra được đầy đủ về các loại hình tấn công cũng như cách
thức phòng chống một cách đầy đủ nhất và chi tiết nhất
+ Chưa đưa ra được nhiều các bản demo về cách thức tấn công cũng
như phòng thủ
+ Chưa đi sâu vào tìm hiểu về mô hình WLAN chỉ chủ yếu nói về mô
hình LAN
3.4.2. Kết luận
- Từ những ưu và nhược điểm đã đưa ra để đi vào nghiên cứu sâu và
rộng hơn em thấy đề tài cần phát triển những mặt sau:
+ Đi vào tìm hiểu các kiến thức nền tảng về wireless LAN để từ đó tìm hiểu các cách thức tấn công trong wireless LAN và đưa ra các giải pháp phòng chống
+ Tìm hiểu rộng hơn các loại hình tấn công trong mô hình mạng LAN
và các giải pháp phòng chống các loại tấn công đó
+ Tìm hiểu sâu và rộng hơn về các công cụ tấn công trong mạng LAN
cũng như xu hướng của các hacker từ bên ngoài tấn công vào mạng nội bộ
47
TÀI LIỆU THAM KHẢO
[1] Tập bài giảng mạng máy tính – Thầy Đỗ Đặng Việt Khoa
[2] Giáo trình quản trị mạng máy tính – Thầy Hà Quốc Trung
Website
[3] https://vi.wikipedia.org/
48
