LỜI MỞ ĐẦU
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề
được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát
triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống
thông tin càng trở nên cấp thiết hơn bao giờ hết.
Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc
truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall),
mã hóa, và mạng riêng ảo (VPN). Hệ thống phát hiện xâm nhập trái phép
(IDS-Intrusion Detection System) là một phương pháp bảo mật có khả năng
chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát từ trong hệ thống
và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Qua đó, đồ
án tốt nghiệp này em mong muốn có thể tìm hiểu, nghiên cứu về hệ thống phát
hiện và phòng chống xâm nhập mạng với mục đích nắm bắt được các giải pháp,
các kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang của mình sau khi ra trường.
Qua đó, giúp em nắm được các kiểu tấn công mạng phổ biến hiện nay.
Nguyên lý hoạt động, cách thức phát hiện và phòng chống của hệ thống. Từ đó
có thể sử dụng công cụ để ngăn chặn các kiểu tấn công mạng thông thường.
LỜI CẢM ƠN
Để hoàn thành khóa luận này, em xin tỏ lòng biết ơn sâu sắc đến thầy Ngô
Văn Công đã tận tình hướng dẫn trong suốt quá trình viết đồ án tốt nghiệp.
Cung cấp kiến thức và giúp đỡ em rất nhiều.
Em cũng xin chân thành cảm ơn quý thầy cô trong khoa Công nghệ thông
tin - trường Đại học Nha Trang đã tận tình truyền đạt kiến thức trong 4 năm học
tập. Với vốn kiến thức được tiếp thu trong quá trình học không chỉ là nền tảng
cho quá trình nghiên cứu đề tài mà còn là hành trang quý báu để em bước vào
đời một cách vững chắc và tự tin.
Em cũng thầm biết ơn sự ủng hộ của gia đình, bạn bè – những người thân
yêu luôn là chỗ dựa vững chắc cho em trong suốt quá trình nghiên cứu.
Mong tiếp nhận những ý kiến, nhận xét từ quý thầy cô.
Cuối cùng, em xin kính chúc quý thầy cô và gia đình dồi dào sức khỏe và
thành công trong sự nghiệp giảng dạy.
Nha Trang, ngày tháng
năm 2012
Sinh viên thực hiện
Võ Trọng Quang
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
.....................................................................................................................
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG ................................... 1
1.1 Tại sao phải cần bảo mật mạng? ......................................................... 1
1.2 Một số khái niệm về bảo mật ............................................................... 1
1.2.1 Các yếu tố bảo mật........................................................................ 1
1.2.2 Hành vi xâm nhập là gì?................................................................ 2
1.2.3 Các đối tượng tấn công mạng........................................................ 2
1.2.4 Các lỗ hổng bảo mật...................................................................... 3
1.3 Một số kiểu, hình thức tấn công mạng ................................................ 4
1.3.1 Các kiểu tấn công.......................................................................... 4
1.3.2 Một số hình thức tấn công mạng ................................................... 5
1.3.3 Các bước hacker thường tấn công ................................................. 8
1.3.4 Một số dấu hiệu xâm nhập thông thường..................................... 10
1.3.5 Các khai thác thông dụng ............................................................ 10
1.4 Các mức bảo vệ an toàn mạng ........................................................... 11
1.5 Các quy tắc bảo mật........................................................................... 12
1.6 Nhiệm vụ của người quản trị ............................................................. 13
CHƯƠNG 2: TỔNG QUAN VỀ IDS/IPS ................................................... 15
2.1 Tổng quan về IDS/IPS........................................................................ 15
2.1.1 Định nghĩa IDS/IPS .................................................................... 15
2.1.2 Chức năng của IDS/IPS............................................................... 16
2.1.3 Sự khác nhau giữa IDS/IPS ......................................................... 17
2.2 Các phương pháp nhận diện của hệ thống IDS/IPS ......................... 18
2.2.1 Phát hiện sự lạm dụng ................................................................. 19
2.2.2 Phát hiện sự bất thường............................................................... 20
2.2.3 So sánh giữa 2 mô hình ............................................................... 23
2.3 Kiến trúc của hệ thống IDS/IPS ........................................................ 23
2.3.1 Các thành phần cơ bản ................................................................ 23
2.3.2 Kiến trúc của hệ IDS/IPS ............................................................ 24
2.4 Phân loại IDS/IPS............................................................................... 25
2.4.1 Network based IDS/IPS (NIDS).................................................. 26
2.4.2 Host-based IDS/IPS (HIDS)...................................................... 31
2.4.3 So sánh giữa NIDS và HIDS ....................................................... 34
CHƯƠNG 3: GIỚI THIỆU IPS................................................................... 36
3.1 Đặt vấn đề ........................................................................................... 36
3.2 Định nghĩa IPS ................................................................................... 36
3.3 Chức năng IPS.................................................................................... 36
3.4 Kiến trúc chung của hệ thống IPS ..................................................... 38
3.4.1 Module phân tích luồng dữ liệu................................................... 38
3.4.2 Module phát hiện tấn công .......................................................... 38
3.4.3 Module phản ứng ....................................................................... 40
3.5 Phân loại hệ thống IPS ....................................................................... 41
3.5.1 IPS ngoài luồng (Promiscuous Mode IPS)................................... 41
3.5.2 IPS trong luồng (In-line IPS)....................................................... 41
3.6 Các công cụ hỗ trợ IPS (IDS)............................................................. 41
3.6.1 Hệ thống phân tích đánh giá tổn thương ...................................... 42
3.6.2. Kiểm tra toàn vẹn dữ liệu ........................................................... 43
3.6.3. Honey Pot và Padded Cell System ............................................. 43
3.7 Các kỹ thuật xử lý IPS ....................................................................... 43
3.7.1 Anomaly detection ...................................................................... 44
3.7.2.Misuse detection ......................................................................... 46
3.7.3 Policy-Based IPS ........................................................................ 48
3.7.4 Protocol Analysis-Based IPS....................................................... 49
CHƯƠNG 4: NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS..... 50
4.1 Giới thiệu về Snort ............................................................................. 50
4.2 Kiến trúc Snort................................................................................... 50
4.2.1 Module giải mã gói tin ................................................................ 51
4.2.2 Module tiền xử lý........................................................................ 51
4.2.3 Module phát hiện ....................................................................... 52
4.2.4 Module log và cảnh báo .............................................................. 53
4.2.5 Module kết xuất thông tin ........................................................... 53
4.3 Bộ luật của Snort ................................................................................ 54
4.3.1 Giới thiệu.................................................................................... 54
4.3.2 Cấu trúc luật của Snort ................................................................ 54
4.4 Chế độ ngăn chặn của Snort : Snort – Inline .................................... 62
CHƯƠNG 5: CÀI ĐẶT SNORT TRONG MÔ HÌNH MẠNG .................. 64
5.1 Cài đặt Snort trên Ubuntu 10.04 ....................................................... 64
5.1.1 Chuẩn bị môi trường ................................................................... 64
5.1.2 Cài đặt các gói bổ trợ .................................................................. 64
5.1.3 Cài đặt Snort ............................................................................... 64
5.2 Các chế độ thực thi trong Snort......................................................... 65
5.3 Cấu hình 1 số rules cơ bản cảnh báo, ngăn chặn Snort.................... 65
5.3.1 Ngăn chặn 1 ping thông thường .................................................. 65
5.3.1 Tấn công Ping of death ............................................................... 67
5.3.4 Tấn công Dos với HTTP Post...................................................... 67
5.3.3 Tấn công Smurt Attack ............................................................... 69
5.3.4 Tấn công Land attack .................................................................. 69
5.3.5 Tấn công Winnuke ...................................................................... 70
5.3.6 Tấn công ARP Cache .................................................................. 70
5.3.7 Tấn công UDP flood ................................................................... 71
5.4 Cấu hình 1 số rules cho Iptables:....................................................... 71
5.4.1 Ngăn chặn ping ........................................................................... 71
5.4.2 Chặn truy cập web ...................................................................... 71
5.4.3 Chặn IMCP có kích thước lớn..................................................... 72
5.4.4 Chặn SYN flood.......................................................................... 72
5.4.5 Ngăn port scanning ..................................................................... 72
5.4.5 Hạn chế UDP DOS ..................................................................... 72
KẾT LUẬN................................................................................................... 73
TÀI LIỆU THAM KHẢO............................................................................ 74
DANH MỤC
Hình 1: Các kiểu tấn công mạng ...................................................................... 5
Hình 2: Các bước hacker thường tấn công ....................................................... 9
Hình 3: Các mức độ bảo vệ của mạng ............................................................ 11
Hình 4: Các vị trí đặt IDS trong mạng............................................................ 16
Hình 5: Các thành phần chính........................................................................ 25
Hình 5: Mô hình NIDS ................................................................................... 26
Hình 6: Mô hình IDS inline ............................................................................ 27
Hình 7: Mô hình IDS pasive ........................................................................... 28
Hình 8: Mô hình HIDS ................................................................................... 32
Hình 9: Mô hình kiến trúc hệ thống Snort....................................................... 51
Hình 10: Cấu trúc phần header ...................................................................... 55
-1-
CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG
1.1 Tại sao phải cần bảo mật mạng?
Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông
tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông
tin trở nên cần thiết. Mục tiêu của việc nối mạng là làm cho mọi người có thể sử
dụng chung tài nguyên từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà
các tài nguyên cũng rất dễ dàng bị phân tán, dẫn đến một điều hiển nhiên là
chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị.
Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật. Từ đó, vấn đề
bảo vệ thông tin cũng đồng thời xuất hiện. Bảo mật ra đời.
Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo
vệ thông tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet,
bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực
tuyến,….
Mỗi nguy cơ trên mạng đều là mối nguy hiểm tiềm tàng. Từ một lổ hổng
bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng với tầng suất
cao và kỹ thuật hack điêu luyện thì cũng có thể trở thành tai họa.
1.2 Một số khái niệm về bảo mật
Trước hết khi tìm hiểu các vấn đề liên quan đến phương thức phá hoại và
các biện pháp bảo vệ cũng như thiết lập các chính sách bảo mât. Chúng ta sẽ tìm
hiểu 1 số khái niệm liên quan đến bảo mật trên Internet.
1.2.1 Các yếu tố bảo mật
Bảo mật là trạng thái tổ chức tốt của thông tin và kiến trúc mà trong đó
khả năng ăn cắp, giả mạo hay làm hư hỏng thông tin hay dịch vụ là rất thấp.
Bảo mật được gói gọn trong 4 tiêu chuẩn: độ tin cậy(confidentiality), tính
xác thực(authenticity), tính toàn vẹn(integrity), tính sẵn sàng(availability).
Độ tin cậy: thể hiện tính che dấu của thông tin hay tài nguyên.
Tính xác thực: là sự xác định và bảo đảm nguồn gốc của thông tin.
Tính toàn vẹn: tham chiếu đến tính tin cậy của dữ liệu hay tài nguyên theo
nghĩa ngăn không cho người không có quyền chỉnh sửa trên nó.
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-2-
Tính sẵn sàng: tham chiếu đến khả năng sử dụng thông tin, tài nguyên
mong muốn.
1.2.2 Hành vi xâm nhập là gì?
Hành vi xâm nhập được định nghĩa là sự vi phạm hoặc cố vượt qua các
chính sách an ninh của máy tính hoặc mạng. Các xâm nhập có thể được thực
hiện thông qua sâu mạng, phần mềm gián điệp, hacker đang kiếm quyền truy
cập hợp pháp vào máy tính từ Internet, người sử dụng hợp lệ có các hành vi
vượt qua các đặc quyền truy cập được định trước hoặc lạm dụng đặc quyền
của họ.
1.2.3 Các đối tượng tấn công mạng
Là các cá nhân hoặc các tổ chức sử dụng kiến thức về mạng và các công
cụ phá hoại để dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống. Thực hiện
các hoạt động chiếm đoạt và xâm nhập tài nguyên mạng trái phép.
Một số đối tượng tấn công mạng là:
Hacker: những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các
công cụ phá mật khẩu hoặc khai phá điểm yếu của các thành phần truy
nhập trên hệ thống.
Masquerader: là những kẻ giả mạo thông tin trên mạng. Một số hình thức
giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng…
Eavesdropping: là các đối tượng nghe trộm thông tin trên mạng, sử dụng
các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy
được các thông tin giá trị.
Hoặc có thể chia làm 2 loại:
Kẻ xâm nhập từ bên ngoài: thực hiện xâm nhập từ bên ngoài hệ thống của
chúng ta và những kẻ tấn công các tài nguyên bên ngoài (tấn công máy chủ
web, gửi thư rác bằng máy chủ mail…). Những kẻ xâm nhập này cũng có thể
tìm cách vượt qua tường lửa để tấn công vào mạng bên trong. Kẻ xâm nhập từ
bên ngoài có thể tấn công thông qua Internet, qua đường quay số, tấn công qua
môi trường vật lý hoặc thông qua hệ thống mạng của các đối tác (nhà cung cấp
các sản phẩm mạng, khách hàng…) có liên kết với hệ thống mạng của bạn.
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-3-
Kẻ xâm nhập bên trong: Có thể là các nhân viên trong cơ quan, tổ chức…
sử dụng sai quyền của họ, truy cập các tài nguyên không được phép, lợi dụng
các quyền của người khác để truy cập tài nguyên thông tin của hệ thống..
Các đối tượng tấn công mạng nhằm nhiều mục đích khác nhau: ăn cắp
thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định hoặc là thử
nghiệm, vô tình.
Một số thuật ngữ thường dùng:
Hacking: chỉ quá trình phát triển nhanh một phần mềm mới hay phát triển
lại (revers engineering) một phần mềm đã có để làm cho nó tốt hơn và
hiệu quả hơn.
Cracker: chỉ người dùng kỹ năng hacking vào mục đích thực hiện các
cuộc tấn công.
Ethical hacker: chỉ những chuyên gia bảo mật, những người dùng kiến
thức hacking của mình để bảo mật hệ thống.
Threat: là một hành động hay sự kiện có thể làm tổn hại đến tính an toàn
của hệ thống, nó giống như là một mối đe dọa tiềm tàng.
Vulnerability: các điểm yếu tiềm ẩn, các lỗi cài đặt có thể dẫn tới làm mất
tính an toàn của hệ thống.
Attack: Là hành động cố găng làm mất đi tính an toàn của hệ thống.
Exploit: Hành động khám phá hệ thống.
1.2.4 Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những lỗ hổng yếu kém trên hệ thống hoặc ẩn
chứa trong một dịch vụ mà dựa vào đó một kẻ tấn công có thể xâm nhập trái
phép để thực hiện hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp
pháp.
Nguyên nhân gây ra các lỗ hổng bảo mật là khác nhau: có thể là do lỗi bản
thân của hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém
không hiểu được các dịch vụ cung cấp…Các lỗi bao gồm:
Các lỗi phần mềm : Các lỗi phần mềm có thể bị khai thác trên deamon,
trên các ứng dụng client, trên hệ điều hành và các ngăn xếp mạng. Các lỗi phần
mềm có thể được chia ra làm các loại sau: tràn bộ đệm, các kết quả bất ngờ khi
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-4-
đưa vào một dữ liệu được nhiều lớp mã lệnh trong cùng một chương tình xử lý,
các dữ liệu đầu vào không hợp lệ.
Các sai sót trong cấu hình hệ thống: các sai sót này có thể do người sử
dụng để nguyên cấu hình mặc định, do người quản trị lười biếng, do trong các
chương trình trong quá trình hoạt động tạo ra các lỗ hổng.
Hoạt động phá mật khẩu: Các mật khẩu yếu dễ dàng bị lộ, ngoài ra kẻ
xâm nhập có thể thực hiện các hành vi phá mật khẩu bằng tấn công từ điển,…
Các hành vi nghe lén các giao thông mạng không được bảo vệ: nghe lén
trên môi trường chia sẻ (Ethernet), nghe lén các hoạt động của máy chủ và nghe
lén từ xa.
Các thiếu sót trong thiết kế: Các phần mềm có thể hoàn toàn đúng như
yêu cầu thiết kế, tuy nhiên vẫn có thiếu sót ngay từ khi thiết kế, tạo điều kiện
cho kẻ tấn công thực hiện hành vi xâm nhập. Ví dụ như lỗi trong giao thức
TCP/IP, dẫn đến các vấn để như tấn công kiểu smurf, IP spoofing, và SYN
floods.
Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ
ảnh hưởng đến chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng
nghiêm trọng đến toàn hệ thống,…
1.3 Một số kiểu, hình thức tấn công mạng
1.3.1 Các kiểu tấn công
Interruption: Tấn công trên tính sẵn sàng của thông tin.
Interception: Tấn công trên độ tin cậy của thông tin.
Modification: Tấn công trên tính toàn vẹn của thông tin.
Fabrication: Tấn công trên tính xác thực của thông tin.
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-5-
Hình 1: Các kiểu tấn công mạng
1.3.2 Một số hình thức tấn công mạng
Tấn công trực tiếp
Sử dụng một máy tính để tấn công một máy tính khác với mục đích dò tìm
mật mã, tên tài khoản tương ứng, …. Họ có thể sử dụng một số chương trình
giải mã để giải mã các file chứa password trên hệ thống máy tính của nạn nhân.
Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị phát hiện.
Ngoài ra, hacker có thể tấn công trực tiếp thông qua các lỗi của chương
trình hay hệ điều hành làm cho hệ thống đó tê liệt hoặc hư hỏng. Trong một số
trường hợp, hacker đoạt được quyền của người quản trị hệ thống.
Kỹ thuật đánh lừa : Social Engineering
Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và
thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của
nó. Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá
hủy hệ thống.
Ví dụ : kỹ thuật đánh lừa Fake Email Login.
Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì bạn phải nhập thông tin
tài khoản của mình bao gồm username và password rồi gởi thông tin đến Mail
Server xử lý. Lợi dụng việc này, những người tấn công đã thiết kế một trng web
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-6-
giống hệt như trang đăng nhập mà bạn hay sử dụng. Tuy nhiên, đó là một trang
web giả và tất cả thông tin mà bạn điền vào đều được gởi đến cho họ.
Kỹ thuật tấn công vào vùng ẩn
Những phần bị dấu đi trong các website thường chứa những thông tin về
phiên làm việc của các client. Các phiên làm việc này thường được ghi lại ở
máy khách chứ không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, người tấn
công có thể sử dụng chiêu chức View Source của trình duyệt để đọc phần đầu đi
này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn tấn công. Từ
đó, có thể tấn công vào hệ thống máy chủ.
Tấn công vào các lỗ hổng bảo mật
Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ
điều hành, các web server hay các phần mềm khác, ... Và các hãng sản xuất
luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ
hổng của các phiên bản trước. Do đó, người sử dụng phải luôn cập nhật thông
tin và nâng cấp phiên bản cũ mà mình đang sử dụng nếu không các hacker sẽ
lợi dụng điều này để tấn công vào hệ thống.
Khai thác tình trạng tràn bộ đệm
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gởi quá nhiều so với
khả năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng tràn bộ
đệm này thì họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống mất khả
năng kiểm soát.
Để khai thác được việc này, hacker cần biết kiến thức về tổ chức bộ nhớ,
stack, các lệnh gọi hàm: shellcode.
Khi hacker khai thác lỗi tràn bộ đệm trên một hệ thống, họ có thể đoạt
quyền root trên hệ thống đó. Đối với nhà quản trị, tránh việc tràn bộ đệm không
mấy khó khăn, họ chỉ cần tạo các chương trình an toàn ngay từ khi thiết kế.
Nghe trộm
Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm
và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc
đọc trộm luồng dữ liệu truyền qua.
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-7-
Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing
hoặc snooping. Nó sẽ thu thập những thông tin quý giá về hệ thống như một
packet chứa password và username của một ai đó. Các chương trình nghe trộm
còn được gọi là các sniffing. Các sniffing này có nhiệm vụ lắng nghe các cổng
của một hệ thống mà hacker muốn nghe trộm. Nó sẽ thu thập dữ liệu trên các
cổng này và chuyển về cho hacker.
Kỹ thuật giả mạo địa chỉ
Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng
bức tường lửa(fire wall). Bức tường lửa có thể hiểu là cổng duy nhất mà người
đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Bức tường lửa hạn
chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tưởng lẫn nhau
trong việc sử dụng tào nguyên chia sẻ trong mạng nội bộ.
Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính
của mình là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa
chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị
tấn công. Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy thông
tin hay phá hoại hệ thống.
Kỹ thuật chèn mã lệnh
Một kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn
công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của người
tấn công.
Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào
phiên làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ
cho phép người tấn công thực hiện nhiều nhiều chuyện như giám sát phiên làm
việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân.
Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự
linh hoạt của người tấn công.
Tấn công vào hệ thống có cấu hình không an toàn
Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ
hổng này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc
người quản trị hệ thống định cấu hình không an toàn. Chẳng hạn như cấu hình
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-8-
máy chủ web cho phép ai cũng có quyền duyệt qua hệ thống thư mục. Việc thiết
lập như trên có thể làm lộ các thông tin nhạy cảm như mã nguồn, mật khẩu hay
các thông tin của khách hàng.
Tấn công dùng Cookies
Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website
và trình duyệt của người dùng.
Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới
4KB). Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về
người dùng đã ghé thăm site và những vùng mà họ đi qua trong site. Những
thông tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích,
thói quen,
Can thiệp vào tham số trên URL
Đây là cách tấn công đưa tham số trực tiếp vào URL. Việc tấn công có thể
dùng các câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi. Điển
hình cho kỹ thuật tấn công này là tấn công bằng lỗi “SQL INJECTION”.
Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần một
công cụ tấn công duy nhất là trình duyệt web và backdoor.
Vô hiệu hóa dịch vụ
Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là
DOS (Denial of Service - Tấn công từ chối dịch vụ).
Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo
mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu
không đâu vào đâu đến các máy tính, thường là các server trên mạng. Các yêu
cầu này được gởi đến liên tục làm cho hệ thống nghẽn mạch và một số dịch vụ
sẽ không đáp ứng được cho khách hàng.
1.3.3 Các bước hacker thường tấn công
Reconnaissance
Scanning
Gaining access
Maintaining access
Covering tracks
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-9-
Hình 2: Các bước hacker thường tấn công
Bước 1 : Reconnaissance
Reconnaissance tham chiếu đến bước chuẩn bị, thời điểm attacker tìm
kiếm và thu thập thông tin càng nhiều càng tốt về mục tiêu. Nó thực hiện
bằng cách quét (bên trong hay bên ngoài) hệ thống mạng mà không được
sự cho phép.
Passive reconnaissance: lắng nghe dữ liệu trong mạng một cách thụ động.
Active reconnaissance: thăm dò mạng để phát hiện ra..
Bước 2: Scanning
Scanning tham chiếu đến bước tiền tấn công, khi mà attacker quét hệ
thống mạng sử dụng các thông tin thu thập được tại bước 1.
Scanning có thể dùng các kỹ thuật: port scanners, network mapping,
sweeping, vulnerability scanners.
Rủi ro: cao, hacker có thể tìm ra một điểm truy cập vào hệ thống để triển
khai tấn công.
Bước 3: Gaining access
Tham chiếu đến bước tấn công thực sự vào hệ thống mạng, attacker thăm
dò hệ thống.
Quá trình thăm dò có thể trong mạng LAN, Internet Offline.. Ví dụ: stackbased buffer overflows, denial of service, session hijacking, password
filtering, etc.
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-10-
Rủi ro: hacker có thể chiếm quyền truy cập hệ điều hành, ứng dụng và
dịch vụ.
Bước 4: Maintaining access
Maintaining Access tham chiếu đến bước hacker cố gắng duy trì quyền
truy cập của mình trên hệ thống.
Hacker khám phá ra một điểm yếu và có thể thay đổi và làm tổn thương hệ
thống.
Hacker có thể upload, download hay là thao tác với dữ liệu/ ứng dụng /cấu
hình trên hệ thống.
Bước 5: Xóa dấu vết
Xóa dấuvết là bước hacker làm cho không thể phát hiện ra hành động của
anh ta trên hệ thống.
Lý do là để có thể kéo dài sự hiệndiện của anh ta trong hệ thống, tiếp tục
sử dụng tài nguyên...
Hacker có thể duy trì tình trạng không bị phát hiện trong 1 khoảng thời
gian hay dùng bước này để tìm hiểu thêm về hệ thống đích.
1.3.4 Một số dấu hiệu xâm nhập thông thường
Có 3 loại tấn công được coi là các dấu hiệu xâm nhập thông thường:
Các hành vi do thám: bao gồm ping sweeps, DNS zone transfers, do thám
thư điện tử, dò quét TCP/UDP, tìm kiếm các lỗ hổng cgi của máy chủ
web, scan port….
Khai thác: khai thác các lỗ hổng để truy cập được vào hệ thống.
Tấn công từ chối dịch vụ: làm hệ thống/dịch vụ ngừng hoạt động, làm quá
tải kết nối mạng, làm CPU quá tải, đầy ổ đĩa….
1.3.5 Các khai thác thông dụng
Một số hành vi khai thác thông dụng:
CGI scripts: Các đoạn mã CGI thông dụng mà kẻ tấn công thường khai
thác là TextCounter, GuestBook, EWS, info2www, Count.cgi, handler,
webdist.cgi, php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm,
FormMail. Nếu chúng ta thấy có người đang cố gắng sử dụng các mã
CGI này thì chắc chắn đang có kẻ muốn thực hiện hành vi xâm nhập.
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-11-
Tấn công máy chủ web: hacker có thể thực hiện xâm nhập bằng cách
tấn công vào các lỗ hổng của các ứng dụng, lỗ hổng của hệ điều hành…
của máy chủ web.
Tấn công vào trình duyệt web: kẻ xâm nhập có thể khai thác các lỗ
hổng liên quan đến trình duyệt web: URL, HTTP, HTML, JavaScript,
Frames, Java, và ActiveX.
Tấn công SMTP (SendMail)
Các hành vi truy cập: truy cập khi không có tài khoản, phá mật khẩu, …
IMAP: lấy các e-mail trên máy chủ thông qua giao thức IMAP.
IP spoofing: hành vi smurf, TCP sequence number prediction, DNS
poisoning.
Tấn công tràn bộ đệm.
Tấn công DNS: DNS cache poisoning, DNS poisoning , DNS overflow.
Một số hành vi do thám: Ping sweeps, TCP scans, UDP scans, OS
identification, Account scans.
Một số tấn công từ chối dịch vụ thông dụng: Ping-of-Death, SYN Flood,
Land/Latierra, WinNuke, Smurf…
1.4 Các mức bảo vệ an toàn mạng
Vì không có 1 giải pháp nào là an toàn tuyệt đối nên người ta thường sử
dụng nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “ rào chắn” đối với các
hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông
tin cất giữ trong các máy tính, đặc biệt là các server của mạng.
Hình 3: Các mức độ bảo vệ của mạng
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
-12-
Như hình trên ta thấy, các lớp bảo vệ mạng trên bao gồm:
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiếm soát các tài nguyên
của mạng và quyền hạn đối với tài nguyên đó. Hiện nay việc kiểm soát ở mức
sâu nhất là tệp.
Lớp bảo vệ thứ 2 là hạn chế theo tài khoản truy nhập gồm đăng kí tên và
mật khẩu tương ứng. Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản,
hiệu quả và ít tốn kém. Người quản trị có trách nhiệm quản lý, kiếm soát mọi
hoạt động của mạng và xác định quyền truy nhập của những người sử dụng
khác tùy theo không gian, thời gian.
Lớp thứ 3 là sử dụng phương pháp mã hóa. Dữ liệu được mã hóa và sẽ
thành dạng dữ liệu “ không đọc được” theo 1 thuật toán nào đó.
Lớp thứ 4 là mức bảo vệ vật lý nhằm truy cản các truy nhập vật lý bất
hợp pháp truy nhập vào hệ thống. Thường dùng các biện pháp truyền thống như
ngăn cấm người lạ vào phòng đặt máy, dùng các máy tính khóa, cài đặt hệ
thống báo động khi truy nhập vào hệ thống…
Lớp thứ 5 là cài đặt các bức tường lửa nhằm ngăn chặn truy cập trái phép
và cho phép lọc các gói tin mà ta không muốn gửi hoặc nhận.
1.5 Các quy tắc bảo mật
Tại trung tâm hỏi đáp về an toàn bảo mật thông tin của hãng Microsoft,
hàng nghìn các bản báo cáo về an ninh hệ thống đã được nghiên cứu trong mỗi
năm. Trong một số trường hợp, kết quả về mức độ an toàn của hệ thống xuất
phát từ lỗi trong sản phẩm. Điều này có nghĩa là sẽ có một bản sửa lỗi phát triển
ngay sau đó để khắc phục lỗi vừa tìm được. Trong một số trường hợp, các vấn
đề được báo cáo là kết quả đơn giản do lỗi của ai đó tạo ra trong quá trình sử
dụng sản phẩm. Nhưng lại có rất nhiều trường hợp mà không rơi vào hai trường
hợp trên. Đó chính là các vấn đề an toàn bảo mật thông tin thực sự, nhưng các
vấn đề này lại không do các thiếu sót từ sản phẩm. Theo năm tháng, một danh
sách về những vấn đề như vậy đã được phát triển gọi là “Mười quy tắc then
chốt về an toàn và bảo mật”.
GVHD: Th.S Ngô Văn Công
SVTH: Võ Trọng Quang
- Xem thêm -