-
08/10/2013
-
400
-
985 bài viết
Các kiểu tấn công mạng - P2
A. Tấn công truy cập
Hacker sử dụng kiểu tấn công này để thực hiện 3 mục đích đó là: truy cập vào dữ liệu, chiếm đoạt quyền truy cập và leo thang đặc quyền. Cách thức thực hiện của kiểu tấn công này là dò tìm mật khẩu. Để dò tìm mật khẩu, có thể sử dụng phương pháp brute-force, dùng Trojan, giả mạo địa chỉ IP, chặn bắt gói tin (packet sniffer). Tuy nhiên cách thức thông dụng đó là brute-force có sử dụng từ điển.
Khi thực hiện brute-force, hacker thường dùng phần mềm có thể chạy trên hệ thống mạng để cố gắng đăng nhập đến các tài nguyên dùng chung, ví dụ như các máy chủ web. Nếu login thành công, hacker sẽ để lại backdoor/trojan để có thể truy cập từ xa đến máy nạn nhân, cho dù nạn nhân có thay đổi mật khẩu hoặc update hệ thống.
Có thể liệt kê 4 kiểu tấn công truy cập:
- Tấn công mật khẩu: tìm cách lấy hoặc đoán mật khẩu truy cập của nạn nhân. Kỹ thuật thường dùng là:
+ Tấn công từ điển (dựa vào 1 danh sách các mật khẩu có sẵn):
https://whitehat.vn/threads/diction...ck-vietnamese-password-dictionary-attack.346/
https://whitehat.vn/threads/10-cach-be-khoa-mat-khau-pho-bien-nhat.483/
+ Cài trojan lên máy tính của nạn nhân để bắt phím, sau đó gửi về cho kẻ tấn công
+ Chặn bắt gói tin để đọc trộm nội dung có chứa mật khẩu
- Tấn công lợi dụng sự tin cậy giữa các hệ thống (trust exploitation)
Hacker muốn tấn công vào hệ thống B nhưng B phòng thủ chặt nên không thực hiện được. Tuy nhiên hệ thống B lại tin tưởng A. Vì vậy Hacker chuyển hướng tấn công vào A trước, chiếm đoạt quyền điều khiển và dùng A làm bàn đạp để tấn công B.
Một biến thể của kiểu tấn công này là chuyển hướng cổng (port redirection). Trong kiểu tấn công này, sau khi chiếm quyền điều khiển A, hacker sẽ cài đặt công cụ xâm nhập lên A. Công cụ này đứng giữa để thực hiện công việc chuyển hướng các phiên truy cập xuất phát từ hacker đến B. Vì nếu không thực hiện điều này, tức nếu hacker truy cập thẳng đến B, thì tường lửa sẽ chặn.
- Tấn công kiểu kẻ đứng giữa
Giống như câu chuyện một cậu bé lười học ở trường, thầy hiệu trưởng gửi thư phàn nàn về cho gia đình và nhờ cậu chuyển bức thư đó. Cậu bé đã thay đổi nội dung bức thư thành lời khen ngợi của hiệu trưởng và chuyển về cho bố mẹ. Bố mẹ cậu gửi lại bức thư cám ơn thầy hiệu trưởng đã quan tâm và nhờ cậu chuyển lại cho thầy. Cậu bé đã đứng giữa và thay đổi nội dung của sự việc.
Tương tự như vậy kẻ tấn công sẽ đóng vai trò như cậu bé trong câu chuyện trên và từ đó có thể làm thay đổi nội dung, đọc trộm thông tin của phiên truyền thông từ máy nguồn đến máy đích.
- Tấn công tràn bộ đệm:
https://whitehat.vn/threads/5603-EX1-Tim-hieu-lo-hong-Buffer-overflow.html56...-overflow.html
https://whitehat.vn/threads/4675-Hau-qua-lon-tu-nhung-lo-hong-phan-mem-don-gian.html46...-don-gian.html
B. Phòng chống tấn công truy cập
Cách thức chung là phải xem nhật ký hệ thống, tình trạng sử dụng băng thông và các tiến trình đang chạy chiếm tài nguyên hệ thống như thế nào.
- Với kiểu tấn công vào mật khẩu:
+ Đặt mật khẩu mạnh. Không sử dụng mật khẩu ở dạng bản rõ cả khi lưu trữ hoặc truyền trên mạng
+Trong các khuyến nghị về chính sách an ninh mạng, đều yêu cầu phải ghi lại nhật ký hệ thống. Bằng cách xem xét các bản ghi nhật ký, admin có thể biết được các thông tin về số lần truy cập không thành công. Nếu phát hiện từ một địa chỉ IP có số lần truy cập không thành công vượt quá giới hạn cho phép thì đây rất có thể là do tấn công vào mật khẩu. Ví dụ về việc phân tích nhật ký hệ thống để phát hiện tấn công mật khẩu. Để xử lý, admin cần cấu hình giới hạn về số lần đăng nhập, ví dụ trong bài viết này.
- Với kiểu tấn công lợi dụng sự tin cậy, admin cần giảm thiếu việc cấu hình trust giữa các hệ thống. Ví dụ, khi bạn dùng trình duyệt IE trên máy chủ windows Server, mỗi khi bạn vào một website thì IE đều hỏi bạn xem có trust cái site đó không. Bạn hãy cân nhắc kỹ trước khi đưa website đó vào danh mục Trust bởi vì nếu máy chủ web đó bị khống chế bởi hacker thì bạn sẽ gặp nguy cơ.
- Với kiểu tấn công MITM: vì kẻ đứng giữa cần cần nhân bản dữ liệu mà hắn chặn bắt, do vậy sẽ tiêu tốn nhiều băng thông. Admin cần có công cụ giám sát băng thông để phát hiện ra việc này. Ví dụ về các phần mềm giám sát hoặc phần mềm giám sát băng thông
- Với kiểu tấn công tràn bộ đệm, bạn cần có công cụ giám sát trạng thái của các tiến trình đang chạy trong hệ thống, ví dụ 2 công cụ Event Viewer kết hợp với Perfomance Monitor trên Windows.
Phần tiếp theo mình sẽ trình bày về tấn công từ chối dịch vụ
Hacker sử dụng kiểu tấn công này để thực hiện 3 mục đích đó là: truy cập vào dữ liệu, chiếm đoạt quyền truy cập và leo thang đặc quyền. Cách thức thực hiện của kiểu tấn công này là dò tìm mật khẩu. Để dò tìm mật khẩu, có thể sử dụng phương pháp brute-force, dùng Trojan, giả mạo địa chỉ IP, chặn bắt gói tin (packet sniffer). Tuy nhiên cách thức thông dụng đó là brute-force có sử dụng từ điển.
Khi thực hiện brute-force, hacker thường dùng phần mềm có thể chạy trên hệ thống mạng để cố gắng đăng nhập đến các tài nguyên dùng chung, ví dụ như các máy chủ web. Nếu login thành công, hacker sẽ để lại backdoor/trojan để có thể truy cập từ xa đến máy nạn nhân, cho dù nạn nhân có thay đổi mật khẩu hoặc update hệ thống.
Có thể liệt kê 4 kiểu tấn công truy cập:
- Tấn công mật khẩu: tìm cách lấy hoặc đoán mật khẩu truy cập của nạn nhân. Kỹ thuật thường dùng là:
+ Tấn công từ điển (dựa vào 1 danh sách các mật khẩu có sẵn):
https://whitehat.vn/threads/diction...ck-vietnamese-password-dictionary-attack.346/
https://whitehat.vn/threads/10-cach-be-khoa-mat-khau-pho-bien-nhat.483/
+ Cài trojan lên máy tính của nạn nhân để bắt phím, sau đó gửi về cho kẻ tấn công
+ Chặn bắt gói tin để đọc trộm nội dung có chứa mật khẩu
- Tấn công lợi dụng sự tin cậy giữa các hệ thống (trust exploitation)
Hacker muốn tấn công vào hệ thống B nhưng B phòng thủ chặt nên không thực hiện được. Tuy nhiên hệ thống B lại tin tưởng A. Vì vậy Hacker chuyển hướng tấn công vào A trước, chiếm đoạt quyền điều khiển và dùng A làm bàn đạp để tấn công B.
Một biến thể của kiểu tấn công này là chuyển hướng cổng (port redirection). Trong kiểu tấn công này, sau khi chiếm quyền điều khiển A, hacker sẽ cài đặt công cụ xâm nhập lên A. Công cụ này đứng giữa để thực hiện công việc chuyển hướng các phiên truy cập xuất phát từ hacker đến B. Vì nếu không thực hiện điều này, tức nếu hacker truy cập thẳng đến B, thì tường lửa sẽ chặn.
- Tấn công kiểu kẻ đứng giữa
Giống như câu chuyện một cậu bé lười học ở trường, thầy hiệu trưởng gửi thư phàn nàn về cho gia đình và nhờ cậu chuyển bức thư đó. Cậu bé đã thay đổi nội dung bức thư thành lời khen ngợi của hiệu trưởng và chuyển về cho bố mẹ. Bố mẹ cậu gửi lại bức thư cám ơn thầy hiệu trưởng đã quan tâm và nhờ cậu chuyển lại cho thầy. Cậu bé đã đứng giữa và thay đổi nội dung của sự việc.
Tương tự như vậy kẻ tấn công sẽ đóng vai trò như cậu bé trong câu chuyện trên và từ đó có thể làm thay đổi nội dung, đọc trộm thông tin của phiên truyền thông từ máy nguồn đến máy đích.
- Tấn công tràn bộ đệm:
https://whitehat.vn/threads/5603-EX1-Tim-hieu-lo-hong-Buffer-overflow.html56...-overflow.html
https://whitehat.vn/threads/4675-Hau-qua-lon-tu-nhung-lo-hong-phan-mem-don-gian.html46...-don-gian.html
B. Phòng chống tấn công truy cập
Cách thức chung là phải xem nhật ký hệ thống, tình trạng sử dụng băng thông và các tiến trình đang chạy chiếm tài nguyên hệ thống như thế nào.
- Với kiểu tấn công vào mật khẩu:
+ Đặt mật khẩu mạnh. Không sử dụng mật khẩu ở dạng bản rõ cả khi lưu trữ hoặc truyền trên mạng
+Trong các khuyến nghị về chính sách an ninh mạng, đều yêu cầu phải ghi lại nhật ký hệ thống. Bằng cách xem xét các bản ghi nhật ký, admin có thể biết được các thông tin về số lần truy cập không thành công. Nếu phát hiện từ một địa chỉ IP có số lần truy cập không thành công vượt quá giới hạn cho phép thì đây rất có thể là do tấn công vào mật khẩu. Ví dụ về việc phân tích nhật ký hệ thống để phát hiện tấn công mật khẩu. Để xử lý, admin cần cấu hình giới hạn về số lần đăng nhập, ví dụ trong bài viết này.
- Với kiểu tấn công lợi dụng sự tin cậy, admin cần giảm thiếu việc cấu hình trust giữa các hệ thống. Ví dụ, khi bạn dùng trình duyệt IE trên máy chủ windows Server, mỗi khi bạn vào một website thì IE đều hỏi bạn xem có trust cái site đó không. Bạn hãy cân nhắc kỹ trước khi đưa website đó vào danh mục Trust bởi vì nếu máy chủ web đó bị khống chế bởi hacker thì bạn sẽ gặp nguy cơ.
- Với kiểu tấn công MITM: vì kẻ đứng giữa cần cần nhân bản dữ liệu mà hắn chặn bắt, do vậy sẽ tiêu tốn nhiều băng thông. Admin cần có công cụ giám sát băng thông để phát hiện ra việc này. Ví dụ về các phần mềm giám sát hoặc phần mềm giám sát băng thông
- Với kiểu tấn công tràn bộ đệm, bạn cần có công cụ giám sát trạng thái của các tiến trình đang chạy trong hệ thống, ví dụ 2 công cụ Event Viewer kết hợp với Perfomance Monitor trên Windows.
Phần tiếp theo mình sẽ trình bày về tấn công từ chối dịch vụ
Chỉnh sửa lần cuối bởi người điều hành:
