Các bước tấn công hệ thống Các cách tấn công từ xa

1. FootPrinting (in dấu chân) 1. Bắt gói tin: Sniffer, …

2. Scanning (quét hệ thống ) 2. Chiếm phiên: TCP/UDP Session Hijaking
3. Enumeration (liệt kê các tài nguyên)
3. Tấn công từ chối dịch vụ: DoS, DDoS, DRDoS
4. Gaining Access (chiếm quyền)
4. Phần mềm độc hại: Virus, Trojans, worms
5. Escalating Privileges (leo thang đặc quyền)
6. Pilfering (lấy trộm tài nguyên)
5. Tấn công ứng dụng: SQL Injection, XSS
7. Covering Tracks (xóa dấu vết) 6. …
8. Creating "Back Doors" (tạo cổng hậu)
9. Denial of Service (từ chối dịch vụ)

1 2

Công cụ Sniffer
 Sniffer là công cụ (phần cứng hoặc phần mềm) "bắt" các
thông tin lưu chuyển trên mạng.
 Có thể bắt được các thông tin trao đổi giữa nhiều trạm làm
SNIFFER việc với nhau.
 Từ các thông tin "bắt" được có thể xử lý để trích ra những
nội dung có giá trị.
 Các chương trình sniffer bắt các gói tin ở tầng Network trở
xuống (gồm IP datagram và Ethernet Packet).
 Gói tin chứa các giao thức khác nhau ở các tầng như: TCP,
UDP, IPX, …

3 4

Cơ chế hoạt động

 Trên hệ thống mạng dạng quảng bá (bus, ring …) dữ liệu
được truyền theo mọi hướng
 Các trạm khác trên mạng sẽ bỏ qua các thông tin trao đổi
giữa hai trạm nguồn và trạm đích
 Các thiết bị/chương trình sniffer có thể bắt được toàn bộ
thông tin trao đổi trên mạng là dựa vào nguyên tắc
broadcast (quảng bá) các gói tin trong mạng Ethernet.

Data A D Data A D Data A D Data A D6

Destination Address
Source Address
5
Sniffer Sniffer

 Các trạm khác có thể "nghe" được bằng cách thiết lập chế độ
promiscuous mode trên các card mạng của trạm đó. Các
chương trình Sniffer sẽ thực hiện công việc này.
 Cần phải xâm nhập được vào hệ thống mạng đó và cài đặt
các phần mềm sniffer.
 Chương trình sniffer cũng yêu cầu người sử dụng phải hiểu
sâu về kiến trúc, các giao thức mạng.
 Số lượng các thông tin trên mạng rất lớn nên các dữ liệu do
các chương trình sniffer sinh ra khá lớn.

7 8

Nhận xét Chương trình sniffer

 Wireshark
 Cain&Abel,
 Các chương trình sniffer có thể cấu hình để chỉ thu nhận từ
200 - 300 bytes/gói tin, vì thường những thông tin quan
 Ettercap,
trọng như tên người dùng, mật khẩu nằm ở phần đầu gói
tin.  Ethereal,

 Người quản trị cũng cần thiết lập các chương trình sniffer để  Dsniff,

phân tích các thông tin lưu chuyển trên mạng  TCPdump,

 Sniffer hoạt động ở các tầng thấp, và không ảnh hưởng tới …
các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp

9 10

WireShark
1
 The Ethereal network protocol analyzer has changed its name List available capture
to Wireshark. interfaces

 http://www.wireshark.org/
 Download:
 http://prdownloads.sourceforge.net/wireshark/wireshark-
2
setup-0.99.5.exe Start a capture

 Wireshark User's Guide

 http://www.wireshark.org/docs/wsug_html/

3
11 Stop the capture 12
Capture Options
 menu
 main toolbar
 filter toolbar

 packet list pane

 packet details pane

ipconfig /renew

 packet bytes pane

13 14
 status bar

Sort by source Filter

15 16

17 18
 3

1
2
2

19 20

Filter Expression

ip.src == 10.10.13.137 && ip.dst == 163.22.20.16

ip.src == 10.10.13.137 || ip.src == 163.22.20.16

http && ( ip.src == 10.10.13.137 || ip.src == 163.22.20.16)

!(ip.dst == 10.10.13.137)

21 22

(ip.dst == 10.10.13.137) && (ip.src == 163.22.20.16)

23 24
 Follow TCP Stream

25 26

Export

27 28

No. Time Source Destination Protocol Info

31 6.058434 10.10.13.137 163.22.20.16 HTTP GET /~ycchen/nm/ HTTP/1.1

Frame 31 (613 bytes on wire, 613 bytes captured) Mức độ nguy hại của sniffer
Ethernet II, Src: AsustekC_6a:ea:8d (00:13:d4:6a:ea:8d), Dst: 10.10.13.254 (00:02:ba:ab:74:2b)
Internet Protocol, Src: 10.10.13.137 (10.10.13.137), Dst: 163.22.20.16 (163.22.20.16) 1. Tấn công sniffer rất nguy hiểm, vì được thực hiện ở các
Transmission Control Protocol, Src Port: 1822 (1822), Dst Port: http (80), Seq: 1, Ack: 1, Len: 559
Source port: 1822 (1822) tầng rất thấp trong hệ thống mạng.
Destination port: http (80)
Sequence number: 1 (relative sequence number) 2. Hệ thống sniffer cho phép lấy được toàn bộ các thông tin
Next sequence number: 560 (relative sequence number) trao đổi trên mạng:
Acknowledgement number: 1 (relative ack number)
Header length: 20 bytes - Các tài khoản và mật khẩu truy nhập
Flags: 0x0018 (PSH, ACK)
Window size: 17520 - Các thông tin nội bộ hoặc có giá trị cao
Checksum: 0xf4f3 [correct]
Hypertext Transfer Protocol - …

29 30
Các biện pháp hạn chế sniffer Các biện pháp hạn chế sniffer
 Xây dựng chính sách bảo vệ mạng (Network Security Policy)
 Quản lý hệ thống mạng với những quy định:
Mã hóa dữ liệu trên đường truyền: 1. Đối tượng được phép sử dụng máy
2. Đối tượng được phép gắn thêm thiết bị/cài chương trình
 SSL (Secure Sockets Layer), 3. Không cho người dùng tự ý cài đặt chương trình, v.v…

 Mạng riêng ảo VPN (Virtual Private Network)
 Dùng SSH (Secure Shell Host) thay cho Telnet
 Truyền tập tin SFTP (secure FTP) thay cho FTP
 Giao thức HTTPS thay cho HTTP v.v…
31
nhằm hạn chế tối đa khả năng xâm nhập về mặt vật lý để cài
đặt các chương trình nghe lén trong mạng.
 Kiểm tra các tiến trình trên hệ thống: tài nguyên sử dụng,
thời gian khởi tạo tiến trình... để phát hiện các chương trình
sniffer.
 Phát hiện card mạng ở chế độ promiscuous?
 Không có giải pháp hoàn hảo để chống bắt gói tin. Cần đề
phòng là cách tốt nhất.
32

Xây dựng luật

1. Viết luật bắt các gói tin UDP gửi đến máy 10.10.13.137
2. Viết luật bắt các gói tin HTTP đi từ máy 10.10.13.137
3. Viết luật bắt các gói tin FTP đi từ các máy 10.10.13.137,
163.22.20.16
4. Viết luật bắt gói tin HTTP trao đổi giữa hai máy
10.10.13.137, 163.22.20.16

ip.src == 10.10.13.137 && ip.dst == 163.22.20.16

ip.src == 10.10.13.137 || ip.src == 163.22.20.16

http && ( ip.src == 10.10.13.137 || ip.src == 163.22.20.16)

33