Tìm hiểu các hình thức và kỹ thuật tấn công

TÌM HiỂU CÁC HÌNH THỨC VÀ KỸ THUẬT TẤN CÔNGTypes of Attack© 2008, Vietnam-Korea Friendship IT CollegeQuá trình thăm dò và tấn côngThăm dòActive/passiveQuét hệ thốngChiếm quyền điều khiểnMức HĐH/ mức ứng dụngMức mạngTừ chối dịch vụDuy trì điều khiển HTUpload/biến đổi thông tin/ downloadXóa dấu vếtClearing TracksMaintaining AccessGaining AccessScanningReconnaissance13452© 2008, Vietnam-Korea Friendship IT CollegeCác hình thức tấn côngCó 4 hình thức tấn công chínhTấn công truy nhập (Access Attack)Tấn công biến đổi thông tin (Modification Attack) Tấn công từ chối dịch vụ (Denial-of-Service)Tấn công khước từ thống kê (Repudiation Attack)© 2008, Vietnam-Korea Friendship IT CollegeTấn công truy nhập (Acess Attack)Kẻ tấn công cố gắng lấy cắp các thông tin mà mình không có quyền truy cập. Kiểu tấn công này có thể xảy ra khi thông tin đang lưu được lưu trữ trên máy chủ hoặc đang được truyền đi trên đường truyền. Nó tác động đến tính bảo mật của thông tin.© 2008, Vietnam-Korea Friendship IT CollegeTấn công truy nhập (Acess Attack)Snooping (dò tìm)- Kẻ tấn công tìm kiếm các thông tin trên các file dữ liệu để lấy các nội dung thông tin cần thiết bằng cách tăng quyền sử dụng hoặc giảm điều khiển truy cập vào fileDiễn ra dưới nhiều dạng khác nhau tùy thuộc vào nguồn lưu trữ thông tin: máy tính, server, CD, tape,© 2008, Vietnam-Korea Friendship IT CollegeTấn công truy nhập (Acess Attack)Eavesdropping (nghe lén)Để có quyền truy nhập và nghe lén được thông tin, kẻ tấn công phải chọn vị trí thích hợp nơi thông tin sẽ phải truyền ngang qua vị trí đó© 2008, Vietnam-Korea Friendship IT CollegeTấn công truy nhập (Acess Attack)Intercept (chặn)- Là một kiểu tấn công thực sự vào thông tin. - Kẻ tấn công chèn hệ thống của mình vào giữa đường truyền dữ liệu và bắt giữ thông tin trước khi gửi đến đích nhận Kẻ tấn công có quyền chặn đứng hoặc chuyển tiếp thông tin đến nơi nhận © 2008, Vietnam-Korea Friendship IT CollegeTấn công biến đổi thông tin (Modification Attack)Kẻ tấn công tìm cách thay đổi các thông tin mà mình không có quyền truy nhập. Hình thức tấn công này tác động vào “tính toàn vẹn” của thông tin.Thay đổi thông tinChèn thêm thông tinXóa thông tin© 2008, Vietnam-Korea Friendship IT CollegeTấn công từ chối dịch vụ (Denial of Service Attack) Làm cho hệ thống không thể đáp ứng được yêu cầu sử dụng dịch vụ (phong tỏa dịch vụ) của người sử dụng chính đáng Kẻ tấn công không giành được quyền truy cập hoặc thay đổi thông tin Tấn công từ máy đơn lẻ© 2008, Vietnam-Korea Friendship IT CollegeTấn công từ chối dịch vụ (Denial of Service Attack)Khai thác điểm yếu của các giao thức TCP và UDPTấn công từ chối truy cập thông tinTấn công từ chối cung cấp ứng dụngTấn công từ chối truy cập hệ thốngTấn công từ chối truyền tin© 2008, Vietnam-Korea Friendship IT CollegeTấn công từ chối dịch vụ (Denial of Service Attack)DDoS (Distributed Denial of Service)Là một hình thức của tấn công DoS Kẻ tấn công (master) cài chương trình đến các “zombies” . Master kích hoạt các Zombies đồng loạt tấn công mục tiêu© 2008, Vietnam-Korea Friendship IT CollegeTấn công khước từ thống kê (Repudiation Attack)Tấn công vào đặc tính thống kê của hệ thống. Từ chối hoặc khước từ các sự kiện hoặc các tác động đã thực hiện trước đóMasquerading (cải trang): đóng vai một user hoặc một hệ thống khácDenying an Event (từ chối sự kiện): từ chối các tác động đã thực hiện hoặc đã ghi vào logfile trước đó© 2008, Vietnam-Korea Friendship IT CollegeMột số hình thức tấn côngDoS/DDoS (từ chối dịch vụ)Back Door (lỗi lập trình)Spoofing (đánh lừa)Man in the middle (chặn)Replay (lặp)TCP/IP AttacksSocial Engineering (yếu tố con người)Password Guessing (dò mật khẩu)SQL InjectionCác kỹ thuật khác© 2008, Vietnam-Korea Friendship IT CollegeDoS/DDoSTấn công từ chối dịch vụGửi gói dữ liệu UDP/ICMP với số lượng lớn làm tê liệt hệ thống. Ví dụ:UDP Flooder 2.0DDoSPingDoSHTTP 2.5.1© 2008, Vietnam-Korea Friendship IT CollegeTấn công tràn bộ đệmTràn bộ đệm: cố gắng đẩy dữ liệu dung lượng lớn vào bộ đệm. Ví dụ: Code Red, Slapper, Slammer© 2008, Vietnam-Korea Friendship IT College© 2008, Vietnam-Korea Friendship IT CollegeBack Door (Trap door)Kẻ tấn công chèn một đoạn mã chương trình lợi dụng các kẻ hở của để truy nhập hệ thốngVí dụ: NetBus, Sobig, Mydoom lợi dụng lỗ hổng của Windows, cài backdoor với mục đích gửi thư spam© 2008, Vietnam-Korea Friendship IT CollegeSnoofing (đánh lừa)Giả mạo một người sử dụng khác để truy nhập hệ thốngIP spoofingDNS spoofing© 2008, Vietnam-Korea Friendship IT CollegeMan-in-the-Middle (chặn)Khởi đầu bằng hình thức tấn công thay đổi thông tin để lấy user id và password© 2008, Vietnam-Korea Friendship IT CollegeReplay Attack (lặp lại)Kẻ tấn công bắt giữ thông tin trong quá trình đăng nhập của người sử dụng (usr, pwd) và dùng thông tin đó để đăng nhập lại hệ thống.© 2008, Vietnam-Korea Friendship IT CollegeTCP/IP AttackThăm dòSuperScan, Nmap Scanning Ports (quét)Sniffer, URL Helper Sniffing (bắt giữ)© 2008, Vietnam-Korea Friendship IT CollegeTCP/IP AttackTấn công TCP TCP Sequence Number Attack© 2008, Vietnam-Korea Friendship IT CollegeTCP/IP AttackTấn công TCPTCP/IP Hijacking© 2008, Vietnam-Korea Friendship IT CollegeTCP/IP AttackTấn công UDPUDP flooding: DoS/DDoS attack© 2008, Vietnam-Korea Friendship IT CollegeTCP/IP AttackTấn công ICMPICMP là giao thức hỗ trợ bảo dưỡng và thông báo trên mạng TCP/IP. Ví dụ: Ping.Có 2 kỹ thuật tấn công ICMP: smurf và tunneling© 2008, Vietnam-Korea Friendship IT CollegeTCP/IP AttackTấn công Smurf Phổ biến và có tác hại lớn trên mạngSử dụng địa chỉ IP của máy khác (IP Snoofing) và sau đó broadcast lệnh “ping” đến một nhóm máy khác trên mạng. © 2008, Vietnam-Korea Friendship IT CollegeTCP/IP AttackTấn công ICMP TunnelingICMP có thể dùng để truyền tín hiệu đồng hồ và định tuyến, hoạt động như một kênh truyền giữa 2 hệ thốngKẻ tấn công dùng kênh này để gửi Virus Trojan Horse hoặc các loại mã độc hại khác để thâm nhập hệ thống© 2008, Vietnam-Korea Friendship IT CollegeSQL InjectionSử dụng dấu nháy đơnblah’ or 1=1--Login: blah’ or 1=1--Password: blah’ or 1=1--’ or 1=1—© 2008, Vietnam-Korea Friendship IT CollegeSQL InjectionKhác (tùy theo nội dung truy vấn)` or 1=1--“ or 1=1--` or ‘a’=‘a“ or “a”=“a`) or (‘a’=‘a)© 2008, Vietnam-Korea Friendship IT CollegeSQL InjectionCâu lệnh gốcMột log-on hợp lệCâu lệnh sau khi bị chèn mãCâu lệnh thực sự được thi hành© 2008, Vietnam-Korea Friendship IT CollegeSQL Injection© 2008, Vietnam-Korea Friendship IT CollegeKích hoạt 1 lệnh hệ thốngVí dụ© 2008, Vietnam-Korea Friendship IT College© 2008, Vietnam-Korea Friendship IT CollegeYếu tố con ngườiSocial EngineeringKẻ tấn công cố gắng lấy thông tin từ các user trong mạng bằng các quan hệ xã hội, giao tiếp, Phishing: gửi email đến người dùng thuyết phục việc đăng nhập vào một trang web tạo sẵn  lấy thông tin username/password© 2008, Vietnam-Korea Friendship IT CollegeDò tìm mật khẩuChủ yếu là mật khẩu quản trị hệ thốngWindows: AdministratorUnix: rootCó 2 loại tấn công dò tìm mật khẩuBrute Force: dò tìm password cho đến khi tìm thấyDictionary: sử dụng từ điển các user và password để dò tìm© 2008, Vietnam-Korea Friendship IT CollegeCác kỹ thuật khácTấn công các ứng dụngLợi dụng lỗi của Oracle để tấn công SQL injection© 2008, Vietnam-Korea Friendship IT CollegeThực hành tấn công DoSThăm dò: GoogleQuét hệ thống và tìm ra các máy chủ cung cấp dịch vụ bằng nmap / nslookupChiếm quyền điều khiển ở mức dịch vụDoSHTTPUser: administrator Pass: Openmind123© 2008, Vietnam-Korea Friendship IT CollegeNmap [option] -iflist: liệt kê các card mạng hiện có-sP: ping-sS: quét các cổng-O: dò tìm hệ điều hành-g: xác định cổng gửi dữ liệu-e: xác định card mạng gửi dữ liệu-A: quét cổng + xác định đường đi© 2008, Vietnam-Korea Friendship IT CollegeDemoDò tìm mật khẩu (key) của mạng wi-fi mã hóa dữ liệu kiểu WEP và WPAKhởi động HĐH Linux Ubuntu 10.4Sử dụng bộ tiện ích Aircrack-ng© 2008, Vietnam-Korea Friendship IT CollegeTắt chế độ monitor card không dây: airmon-ng stop wlan0Tắt card không dây: ifconfig wlan0 downĐổi đ/c MAC: macchanger –mac 00:11:22:33:44:55Chuyển sang chế độ monitor: airmon-ng start wlan0Lắng nghe các AP: airodump-ng wlan0Ghi dữ liệu vào file: airodump-ng –c -w --bssid wlan0Xin phép đăng nhập AP bằng đ/c MAC giả: aireplay-ng -1 45 –a -h ARP request: aireplay -3 –b -h wlan0Giải mã khóa: aircrack –a 1 © 2008, Vietnam-Korea Friendship IT CollegeThảo luận Thực hiện các hình thức tấn công:SQL injection (1,2)DoS (3,4): viết chương trình thực hiệnViết một chương trình mô phỏng hiện tượng tràn bộ đệm (C++, C#,) – tất cả© 2008, Vietnam-Korea Friendship IT CollegeThực hànhTải về chương trình Cain từ Internet và cài đặt vào máy tínhChạy chương trình ở chế độ bắt giữ thông tin từ card mạng Đăng nhập vào hộp mail (gmail/yahoo/.)Đọc thông tin username và passwd từ CainStart – Run: \\172.168.1.69User: administratorPasswd: Openmind123© 2008, Vietnam-Korea Friendship IT CollegeNghe lén nội dung chatYahoo Messeger Monitor Sniffer© 2008, Vietnam-Korea Friendship IT College