TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI TP.

HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN



BÁO CÁO BÀI TẬP LỚN

MÔN: AN NINH MẠNG

Đề tài: Nghe lén và các kỹ thuật tấn công mạng dựa trên nghe lén

Giảng viên hướng dẫn:

Trần Quốc Tuấn

Sinh viên thực hiện

Lê Minh Tâm - 1751150041 - KM17

Đặng Thị Kim Tuyến -1751150046 - KM17

Lê Duy Bảo - 1751150001 - KM17

TP. HỒ CHÍ MINH, 2020

 Mục lục
PHẦN 1: Tổng quan nghe lén trên mạng..............................................................2
Giới thiệu tổng quan về nghe lén......................................................................2
1. Nghe lén là gì?..........................................................................................2
2. Phân loại...................................................................................................3
3. Cách thức hoạt động nghe lén................................................................4
4. Các giao thức có thể sử dụng Sniffing....................................................5
PHẦN 2: Các phương thức tấn công dựa trên nguyên lý Sniffing.....................6
1. Kỹ thuật tấn công địa chỉ MAC (Media Access ControL).........................6
Phương thức hoạt động MAC......................................................................7
2. Tấn công dịch vụ DHCP (Dynamic Host Configuration Protocol)...........8
2.1 Giới thiệu về DHCP Flooding.................................................................8
2.2 Các nguy cơ tấn công DHCP...................................................................9
3. Tấn công giả mạo ARP (Address Resolution Protocol)............................10
3.1 Định nghĩa giao thức ARP.....................................................................10
3.2 Cơ chế hoạt động....................................................................................12
4. Các đặc điểm của DNS (Domain Name System).......................................15
Nguyên lý hoạt động của hệ thống DNS.....................................................16
5. So sánh các phương pháp tấn công............................................................17
Phần 3: Mô phỏng và cách khắc phục..................................................................18
1. Mô phỏng....................................................................................................18
2. Khắc phục...................................................................................................18

PHẦN 1: Tổng quan nghe lén trên mạng

Giới thiệu tổng quan về nghe lén

 1. Nghe lén là gì?

Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm
và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc
đọc trộm luồng dữ liệu truyền qua.

Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai
thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng
như công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt
tiêu cực, nó được sử dụng như một công cụ với mục đích nghe lén các thông tin
trên mạng để lấy
các thông tin quan trọng.

Nghe lén là quá trình hacker sử dụng công cụ để quét và quan sát những
gói tin truyền trong hệ thống. Một khi đã thu thập được gói tin, hacker dễ dàng
thăm dò nội dung bên trong.

Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing
hoặc snooping. Nó sẽ thu thập những thông tin quý giá về hệ thống như một
packet chứa password và username của một ai đó. Các sniffing này có nhiệm vụ
lắng nghe các cổng của một hệ thống mà hacker muốn nghe trộm. Nó sẽ thu
thập dữ liệu trên các cổng này và chuyển về cho hacker.

Đối tượng Sniffing là:

o Password (từ Email, Web, SMB, FTP, SQL hoặc Telnet)

o Các thông tin về thẻ tín dụng

o Văn bản của Email

o Các tập tin đang di động trên mạng (tập tin Email, FTP hoặc SMB)

2. Phân loại

Gồm có 2 loại cơ bản:

 - Nghe trộm thụ động:

Đây là loại nghe trộm không cần gửi thêm gói tin hoặc can thiệp vào các
thiết bị như hub để nhận gói tin. Như chúng ta đã biết, hub truyền gói tin đến
port của nó. Kẻ tấn công có thể lợi dụng điểm này để dễ dàng quan sát đường
truyền qua mạng. Sử dụng một máy tính để tấn công một máy tính khác với mục
đích dò tìm mật mã, tên tài khoản tương ứng,…. Họ có thể sử dụng một số
chương trình giải mã để giải mã các file chứa password trên hệ thống máy tính
của nạn nhân. Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị phát
hiện. Ngoài ra, hacker có thể tấn công trực tiếp thông qua các lỗi của chương
trình hay hệ điều hành làm cho hệ thống đó tê liệt hoặc hư hỏng. Trong một số
trường hợp, hacker đoạt được quyền của người

- Nghe trộm chủ động:

Đây là loại nghe trộm mà kẻ tấn công cần gửi thêm gói tin đến thiết bị đã
kết nối như switch để nhận gói tin. Như đã nói, switch chỉ truyền gói tin unicast
đến một port nhất định. Kẻ tấn công sử dụng một số kĩ thuật như MAC
Flooding, DHCP Attacks, DNS poisoning, Switch Port Stealing, ARP
Poisoning, và Spoofing để quan sát đường truyền qua switch.

Vậy tại sao các dạng nghe lén trên có thể thành công ? Đó là do trong môi
trường mạng kết nối thông qua thiết bị hub thì các gói tin được gởi đi dưới dạng
broadcast, nghĩa là tất cả các máy tính đều nhận được dữ liệu cho dù địa chỉ
nhận có trùng lắp với địa chỉ MAC hay không, do đó hacker chỉ cần đặt hệ
thống vào chế độ promocouse là có thể nghe lén được các thông tin một cách dễ
dàng với những công cụ như dsniff. Còn đối với hệ thống mạng sử dụng Switch
thì khác, ở tình huống này các máy tính truyền thông với nhau  theo cơ chế trực
tiếp chứ không truyền theo dạng broadcast như tình huống trên, do đó chi có
máy tính nào có địa chỉ MAC trùng khợp với địa chỉ đích của gói tin mới nhận
được các dữ liệu truyền, làm cho hệ thống ít bị nghẽn mạng mà còn phòng tránh
được dạng tấn công theo hình thức Passive Sniff.

3. Cách thức hoạt động nghe lén

Đầu tiên, kẻ tấn công sẽ kết nối với một hệ thống mạng để nghe trộm. Kẻ
tấn công sử dụng công cụ sniffer để kích hoạt trạng thái hỗn tạp trong thẻ giao
diện hệ thống (NIC) của hệ thống nạn nhân, từ đó thu thập gói tin. Trong trạng
thái hỗn tạp, NIC phản hồi với mọi gói tin nó nhận được. Như bạn thấy ở hình
dưới, kẻ tấn công được kết nối trong trạng thái hỗn tạp và chấp nhận gói tin dù
gói tin đó không được gửi cho hắn.

Sau khi thu thập, kẻ tấn công có thể giải hóa gói tin để trích rút thông tin.
Nguyên tắc cơ bản đằng sau kĩ thuật này là bạn kết nối được với một hệ thống
mục tiêu có switch (trái với hub và broadcast) và giao thông multicast truyền
trên mọi cổng.

Switch chuyển tiếp gói tin unicast đến port riêng kết nối với host thật.

Switch duy trì bảng MAC để xác nhận người nào đang kết nối với port nào.

Trong trường hợp này, kẻ tấn công thay đổi thiết lập switch bằng nhiều kĩ
thuật khác nhau như Port Mirroring hoặc Switched Port Analyzer (SPAN). Tất
cả các gói tin truyền qua một port nhất định sẽ được sao chép trên port đó (kẻ
tấn công kết nối với port này trong trạng thái hỗn tạp). Nếu bạn kết nối với hub,
nó sẽ truyền gói tin đến tất cả các port.

4. Các giao thức có thể sử dụng Sniffing

− Telnet và Rlogin : ghi lại các thông tin như Password, usernames

− HTTP: Các dữ liệu gởi đi mà không mã hóa

− SMTP : Password và dữ liệu gởi đi không mã hóa

− NNTP : Password và dữ liệu gởi đi không mã hóa

 − POP : Password và dữ liệu gởi đi không mã hóa

− FTP : Password và dữ liệu gởi đi không mã hóa

− IMAP : Password và dữ liệu gởi đi không mã hóa

Hình 1: Packet sniffing

PHẦN 2: Các phương thức tấn công dựa trên nguyên lý Sniffing

1. Kỹ thuật tấn công địa chỉ MAC (Media Access ControL)

-Đây là một kỹ thuật tấn công trong LAN rất phổ biến.

-Tấn công MAC là tấn công làm ngập lụt switch với một số lượng lớn yêu
cầu, lúc này switch hoạt động như hub và lúc này các gói tin sẽ được gửi ra tất
cả các máy
trên cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén. Ngập lụt MAC
làm cho bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ
MAC khác nhau và gửi đến switch.

-Mục đích của kỹ thuật này là chiếm dụng toàn bộ bandwidth toàn bộ mạng
LAN bằng các broadcast traffic.

-Thoạt nhìn thì chỉ là mục đích phá hoại nhưng đối tượng tấn công có thể đi
xa hơn khi tận dụng để nghe lén packet của người khác.

Phương thức hoạt động MAC

Gửi hàng loạt các gói tin với địa chỉ MAC nguồn là giả --> bảng MAC bị
tràn

Các gói tin bắt buộc phải chuyển tiếp theo kiểu quảng bá :Gây bão quảng
bá

chiếm dụng băng thông đường truyền, tài nguyên của các nút mạng khác

Nghe trộm thông tin

Bảng CAM của switch thì có kích thước giới hạn. Nó chỉ lưu trữ thông tin
như địa chỉ MAC gắn với cổng tương ứng trên switch cùng với các tham số
miền mạng vlan. Cấu trúc bảng địa chỉ mac trên thiết bị:
 Hình 2.1 Mô tả hoạt động của bản Cam.

Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của
nó, coi thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi
gói tin ARP đến switch để hỏi địa chỉ MAC của máy B. Máy B lúc này nhận
được gói tin gửi phản hồi lại cho máy A sau đó các gói tin được lưu chuyển từ A
đến B mà không chuyển sang các máy khác.

2. Tấn công dịch vụ DHCP (Dynamic Host Configuration Protocol)

2.1 Giới thiệu về DHCP Flooding
Là kỹ thuật tấn công nhằm khiến DHCP Server bị ngập bởi các yêu cầu cấp
phát địa chỉ từ các Client giả mạo.

Hacker sử dụng DHCP Flooding để làm cho máy chủ thật quá tải trong
việc xử lý các gói tin giả mà không thể đáp ứng đủ nhanh, hay hoàn toàn không
còn khả năng đáp ứng yêu cầu từ máy người dùng. Tại đây, hacker có thể lựa
chọn việc chiếm toàn bộ dải IP hay chỉ đưa ra số lượng gói tin yêu cầu cấp phát
IP đủ nhiều để server trở nên chậm chạp hơn server giả.
 Sau khi đã thực hiện thành công quá trình Flooding và máy chủ thật kết
nối đến máy chủ giả mà Hacker tạo ra, hacker có thể sử dụng nhiều công cụ
khác nhau để bắt được gói tin từ máy chủ thật và tiến hành phân tích chúng.

Hình 2.2 Tấn công DHCP Flooding

Phân tích Hình 2.2

Hacker có thể cài đặt một phần mềm DHCP trên máy tính của mình và cấp
phát địa chỉ IP cho máy nạn nhân với các thông số giả mạo như default gateway,
DNS. Từ đó, máy tính nạn nhân sẽ bị chuyển hướng truy cập theo ý đồ của kẻ
tấn công.

Máy nạn nhân sau khi nhận thông tin về địa chỉ IP từ DHCP Server giả tạo,
khi truy cập một website, ví dụ của ngân hàng, facebook,…. có thể sẽ bị chuyển
hướng truy cập tới Server do kẻ tấn công kiểm soát. Trên Server này, kẻ tấn
công có thể tạo những website thật, nhằm đánh lừa nạn nhân nhập tài khoản, mật
khẩu, từ đó đánh cắp những thông tin này.

2.2 Các nguy cơ tấn công DHCP

Lỗ hổng Nguy cơ

Bất kỳ máy trạm nào yêu cầu Tấn công DoS làm cạn kho địa chỉ(DHCP
cũng được cấp phát địa chỉ IP Starvation)

Không xác thực cho các thông Thay địa chỉ DNS server tin cậy bằng địa chỉ
tin cấp phát từ DHCP server DNS của kẻ tấn công.

Thay địa chỉ default router, cho phép kẻ tấn

công:

Chặn bắt, do thám thông tin

Tấn công phát lại

Tấn công man-in-the-middle

3. Tấn công giả mạo ARP (Address Resolution Protocol)

3.1 Định nghĩa giao thức ARP
-ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và
địa chỉ lớp datalink. Quá trình thực hiện bằng cách: một thiết bị IP trong mạng
gửi một gói tin local broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại
địa chỉ phần cứng (địa chỉ lớp datalink ) hay còn gọi là Mac Address.

-Tìm địa chỉ MAC tương ứng với địa chỉ IP

- Sử dụng phương thức quảng bá ARP Request:

 Không cần thiết lập liên kết

Không có cơ chế xác thực ARP Response

- ARP sẽ quảng bá miền mạng của máy để tìm địa chỉ vật lý. Khi một máy
cần giao tiếp với máy khác, và nó tìm trong bảng ARP của mình, nếu địa chỉ
MAC không được tìm thấy trong bảng thì ARP sẽ quảng bá ra toàn miền mạng.
Tất cả các máy trong miền mạng sẽ so sánh địa chỉ IP đến địa chỉ MAC của
chúng. Nếu một trong những máy đó, xác định được đó chính là địa chỉ của
mình, nó sẽ gửi gói ARP hồi đáp và địa chỉ này sẽ được lưu trong bảng ARP và
quá trình giao tiếp diễn ra.

Tấn công đầu độc ARP là hình thức tấn công mà gói tin ARP có thể bị giả
mạo để gửi dữ liệu đến máy của kẻ tấn công. Kẻ tấn công làm ngập lụt bộ nhớ
cache chứa địa chỉ ARP của máy mục tiêu bằng các địa chỉ ARP giả mạo,
phương thức này còn được gọi là đầu độc. Giả mạo ARP liên quan đến việc xây
dựng một số lượng lớn ARP Request giả mạo và gói ARP Reply liên tục được
phản hồi dẫn đến tình trạng quá tải switch. Cuối cùng sau khi bảng ARP bị đầy
thì switch sẽ hoạt động ở chế độ trên Internet có thể duy trì ổn định và cố định
ngay cả khi định tuyến dòng Internet thay đổi hoặc những người tham gia sử
dụng một thiết bị di động. Tên miền internet dễ nhớ hơn các địa chỉ IP v4 hoặc
IPv6 . Mọi người tận dụng lợi thế này khi họ thuật lại có nghĩa các URL và địa
chỉ email mà không cần phải biết làm thế nào các máy sẽ thực sự tìm ra chúng.

3.2 Cơ chế hoạt động

 Hình 2.3 Tấn công ARP Spoofing

Quá trình thực hiện ARP được bắt đầu khi một thiết bị nguồn trong một
mạng

IP có nhu cầu gửi một gói tin IP. Trước hết thiết bị đó phải xác định xem địa chỉ
IP đích của gói tin có phải nằm cùng trong mạng nội bộ của mình hay không.
Nếu đúng vậy thì thiết bị sẽ gửi trực tiếp gói tin đến thiết bị đích. Nếu địa chỉ IP
đích nằm trên mạng khác, thì thiết bị sẽ gửi gói tin đến một trong các router nằm
cùng trên mạng nội bộ để router này làm nhiệm vụ forward gói tin.

Cả hai trường hợp ta đều thấy được là thiết bị phải gởi gói tin IP đến một
thiết bị IP khác trên cùng mạng nội bộ. Ta biết rằng việc gửi gói tin trong cùng
mạng thông qua Switch là dựa vào địa chỉ MAC hay địa chỉ phần cứng của thiết
bị. Sau khi gói tin được đóng gói thì mới bắt đầu được chuyển qua quá trình
phân giải địa chỉ ARP và được chuyển đi. ARP về cơ bản là một quá trình 2
chiều request/response giữa các thiết bị trong cùng mạng nội bộ. Thiết bị nguồn
request bằng cách gửi một bản tin local broadcast trên toàn mạng.Thiết bị đích
response bằng một bản tin unicast trả lại cho thiết bị nguồn.
4. Các đặc điểm của DNS (Domain Name System)
DNS được sử dụng trong hệ thống mạng để dịch tên miền thành địa chỉ IP.
Khi một DNS server nhận được yêu cầu, nó không có đầu vào, nó sẽ tạo lệnh
hỏi bản dịch cho một DNS server khác. DNS server có bản dịch sẽ phản hồi với
DNS yêu cầu, sau đó lệnh hỏi được giải quyết.

Trong trường hợp nhận được đầu vào sai, DNS server sẽ cập nhật dữ liệu
của nó. Để hoạt động tốt hơn, DNS server tạo ra một bộ nhớ đệm để cập nhật
đầu vào, từ đó giải quyết lệnh hỏi nhanh hơn. Đầu vào sai tạo ra sai sót trong
bản dịch DNS cho đến khi bộ nhớ đệm hết hạn. DNS poisoning được thực hiện
để hướng giao thông mạng đến thiết bị của kẻ tấn công.

Mỗi truy vấn DNS được gửi qua mạng đều có chứa một số nhận dạng duy
nhất, mục đích của số nhận dạng này là để phân biệt các truy vấn và đáp trả
chúng.

Cơ sở dữ liệu phân tán và phân cấp:

Hình 2.5 Cơ sở dữ liệu và phân cấp

Nguyên lý hoạt động của hệ thống DNS

DNS hoạt động theo hình thức truy vấn và đáp trả (Query/response).
 Khi máy chủ DNS nhận được yêu cầu phân giải địa chỉ (request) từ máy
trạm , nó sẽ tra cứu bộ đêm (Cache) và trả về địa chỉ IP tương ứng.

Ví dụ : Client muốn địa chỉ IP của www.amazon.com;

- Client truy cập root server tìm DNS server tương ứng với tên miền
“com”.

- Client truy cập DNS server với miền “com” đã tìm DNS server của

amazon.com.

- Client truy cập máy chủ DNS của amazon.com để lấy địa chỉ của

www.amazon.com

Phương thức tấn công

Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông
tin DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó, đây
là địa chỉ mà kẻ tấn công đã tạo trước để đánh cắp các thông tin tài khoản ngân
hàng trực tuyến từ người dùng, tấn công này có thể thực hiện khá dễ dàng.Trong
kỹ thuật tấn công giả mạo DNS. Hacker tiến hành giảo mạo Arp Poison tiến
hành Sniffer các gói tin của người dùng. Chúng ta thấy trong quá trình sniffer
hacker đã tiến hành tạo các bản ghi DNS giả cập nhật cho nạn nhân. Nhằm
chuyển hướng nạn nhân sang hệ thống khác. Ở đây chính là máy tính của
Attacker. Mỗi truy vấn DNS được gửi qua mạng đều có chứa một số nhận dạng
duy nhất, mục đích của số nhận dạng này là để phân biệt các truy vấn và đáp trả
chúng. Điều này có nghĩa rằng nếu một máy tính đang tấn công của chúng ta có
thể chặn một truy vấn DNS.
5. So sánh các phương pháp tấn công
Cách tấn Yêu cầu thực Bảo mật Mức độ ảnh hưởng
công hiện

MAC Dễ Cao Trung bình

DHCP Dễ Cao Cao

ARP Khó Thấp Trung bình

DNS Khó Thấp Cao

Bảng đánh giá các cuộc tấn công

Đối việc việc tấn công vào trực tiếp người sử dụng (tấn công MAC, tấn công giả
mạo ARP) thì người bị tấn công sẽ chịu ảnh hưởng trực tiếp, các lưu lượng của
các user khác trong mạng không bị ảnh hưởng nhiều. Tuy nhiên đối với kiểu tấn
công trực tiếp vào dịch vụ mạng DHCP, DNS thì mức độ ảnh hưởng nghiêm
trọng tới toàn mạng. Đơn cử như kiểu tấn công DHCP. Toàn bộ dải mạng đã bi
chiếm hàng loạt.

Những người sử dụng hợp pháp sẽ không thể lấy được 1 địa chỉ IP hợp lệ
để truy cập internet. Đây cũng là 1 trường hợp của việc tấn công từ chối dịch vụ
DoS. Tuy nhiên nó khác ở chỗ là tấn công từ bên trong. Nghiêm trọng hơn việc
tấn công dịch vụ DNS sẽ ảnh hưởng trực tiếp tới người sử dụng bên trong. Với
các địa chỉ giả mạo và 1 trang web giả có giao diện giống hệt web thật. Người
sử dụng hoàn toàn tin tưởng mà không nghi ngờ về các thông tin mình đang
nhập.

Phần 3: Mô phỏng và cách khắc phục

1. Mô phỏng
Demo kỹ thuật tấn công địa chỉ MAC bằng phần mềm Cain&Abel và
WhiteShark để đánh cắp thông tin mật khẩu trang web bảo mật không cao .
2. Khắc phục
Cách khắc phục là sử dụng phần mềm Xarp để quét đường mạng
đang sử dụng có bị kẻ lạ tấn công cũng như lỗ hổng bảo mật hay không .