Kỹ thuật man in the middle để lấy dữ liệu

Thảo luận trong 'Hỏi đáp' bắt đầu bởi Nguyễn Tuấn Thành, 20/10/17, 08:10 PM.

  1. Nguyễn Tuấn Thành

    Nguyễn Tuấn Thành Well-Known Member

    Tham gia: 07/07/17, 04:07 PM
    Bài viết: 127
    Đã được thích: 8
    Điểm thành tích:
    18
    mọi người cho e hỏi làm sao đễ đọc mã hoá https. và phương thức tấn công dns nữa ạ. cảm ơn mọi người
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 365
    Đã được thích: 281
    Điểm thành tích:
    63
    Đọc mã hóa HTTPS
    Có 2 TH:
    TH1: bạn là chủ Server tức người đăng ký và tạo ra trang web có chứa https, bạn sẽ phải tạo 2 file là *.crt (public key) và *.pem (private key), sau đó bạn dùng wireshark để bắt các gói tin giao tiếp với Server dùng (import) private key để giải mã thông tin, Ngoài ra cách này còn import vào hệ thống WAF(Web Application Firewall) để đọc các traffic từ người dùng gửi lên để ngăn chặn các input không hợp lệ, có khả năng khai thác hệ thống.
    TH2: Hacker muốn tấn công vào giao thức SSL/TLS bạn phải có kiến thức về thuật toán RSA, điểm yếu của thuật toán, cách nó hoạt động, và tấn công vào điểm yếu thường là số nguyên tố có thể bị factor để tìm ra khóa private key sau đó import vào để giải mã. (Tham khảo tại link)
    Phương Thức tấn công DNS:
    TH1: Tấn công vào Server, hacker có thể tấn công vào Server và thay đổi DNS record để hướng người dùng đến trang mong muốn. Vị dụ vụ tấn công vào domain Google.com.vn của Lizard Squad .
    TH2: Tấn công vào Client (phổ biến), thường thay đổi trên các thiết bị IoT để điều hướng người dùng đến các trang web bị clone mong muốn (bẫy) nhằm mục đích thu thập thông tin bất hợp pháp.
     
    Chỉnh sửa cuối: 24/10/17, 08:10 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    NgMSon thích bài này.
  3. Nguyễn Tuấn Thành

    Nguyễn Tuấn Thành Well-Known Member

    Tham gia: 07/07/17, 04:07 PM
    Bài viết: 127
    Đã được thích: 8
    Điểm thành tích:
    18
    em cảm ơn ạ. Nhưng e ko phải chủ server nên mới phải tấn công DNS trao đổi với router victim ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny thích bài này.
  4. krone

    krone VIP Members

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 260
    Đã được thích: 137
    Điểm thành tích:
    43
    Các kịch bản tấn công hệ thống DNS đã xảy ra
    1. DNS spoofing (DNS cache poisoning)
    Đây là một phương pháp tấn công máy tính nhờ đó mà dữ liệu được thêm vào hệ thống cache của các DNS server. Từ đó, các địa chỉ IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng tư một website này sang một website khác.

    Để khai thác theo hướng này, attacker lợi dụng lỗ hổng của phần mềm DNS, do các DNS responses không được xác nhận để đảm bảo chúng được gửi từ các server được xác thực, các bản ghi không đúng đắn sẽ được cache lại và phục vụ cho các user khác.

    Ví dụ: Attacker thay thế địa chỉ IP cho một bản ghi DNS trên DNS server thành địa chỉ IP của server mà attacker đang có quyền điều khiển. Trên server này, attacker có triển khai một số phần mềm mã độc để khi người dùng bị chuyển qua sẽ dễ dàng bị nhiễm mã độc.

    2. DNS Amplification Attack
    Đây là một trong những phương pháp được sử dụng để tấn công từ chối dịch vụ, thuộc vào lớp reflection attack.
    Có hai yếu tố cơ bản cho cách thức tấn công này:
    – Địa chỉ tấn công được che giấu nhờ ánh xạ sang một bên thứ ba (Reflection)
    – Traffic mà người bị hại nhận được sẽ lớn hơn traffic gửi từ attacker (Amplification)

    3. Giả mạo máy chủ DNS
    Đây là cách một số phần mềm quảng cáo hay trojan thường hay thực hiện. Đầu tiên, chúng dựng lên các DNS server, giống với chức năng DNS server thông thường. Tuy nhiên, các DNS server này có khả năng điều khiển được để thêm, bớt hay chỉnh sửa các bản ghi DNS nhằm chuyển hướng người dùng tới các địa chỉ IP không chính xác với mục đích: gia tăng quảng cáo, cài mã độc, thay đổi kết quả tìm kiếm…

    Để thực hiện hành vi này, các phần mềm độc hại sau khi được cài vào máy tính người dùng, chúng sẽ tìm cách để thay đổi cấu hình DNS của người dùng thành địa chỉ DNS của phần mềm đã thiết lập từ trước. Qua đó, các truy vấn DNS của người dùng thay vì đi qua các DNS server của ISP hoặc do người dùng thiết lập thì lại đi qua các DNS server của attacker.

    Một biến thể của hình thức này chính là việc các phần mềm độc hại thay đổi file host (Trên hệ điều hành Windows) để chỉ định địa chỉ IP cho một số website mà attacker mong muốn.

    Attacker tấn công hệ thống DNS với mục đích gì?
    Khi tấn công hệ thống DNS, attacker mong muốn thực hiện một số hành vi:
    1. Lừa người sử dụng truy cập tới các website giả mạo do attacker lập ra để thực hiện các hành vi lừa đảo, ăn cắp mật khẩu, thông tin đăng nhập, cài cắm các phần mềm độc hại. Các thông tin này có thể vô cùng quan trọng: tài khoản ngân hàng, tài khoản quản trị, …
    2. Tăng traffic cho website: attacker chuyển hướng người dùng khi họ truy cập các website phổ biến về địa chỉ website mà attacker muốn tăng traffic. Mỗi khi người dùng truy cập một trong các website kia thì trả về địa chỉ IP website mà attacker mong muốn, qua đó làm tăng traffic cho website.
    3. Gián đoạn dịch vụ: mục đích này nhằm ngăn chặn người dùng sử dụng một dịch vụ của một nhà cung cấp nào đó.
    Cách phát hiện và một số biện pháp phòng tránh
    Thông thường thì rất khó để người dùng có thể nhận biết được máy tính cá nhân của mình đang bị tấn công thông qua hệ thống DNS.

    Đơn giản nhất chúng ta có thể kiểm tra địa chỉ DNS server trên máy tính của mình, kiểm tra nội dung file host (Hệ điều hành windows). Chú ý sự thay đổi bất thường về giao diện, nội dung của các website thông thường.

    Để phòng tránh, chúng ta cần thiết lập địa chỉ DNS server trỏ về các DNS server tin cậy, thường xuyên kiểm tra các thông số cấu hình DNS, cài đặt các phần mềm antivirus để bảo vệ máy tính và truy cập tốt hơn.

    Một số tấn công DNS trong thực tế
    1. Public DNS server của google bị tấn công chiếm quyền điều khiển: http://thehackernews.com/2014/03/google-public-dns-server-traffic.html
    2. Tháng 8/2013 hai website: thegioididong.com và facebook.com.vn bị nhóm hacker 1937cn (nhóm hacker mạnh nhất của Trung Quốc).
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny and anplixfz like this.
  5. Bkis Hunter

    Bkis Hunter Active Member

    Tham gia: 30/12/17, 06:12 PM
    Bài viết: 43
    Đã được thích: 3
    Điểm thành tích:
    8
    Cho em hoi: khi thuc hien MITM thi may tinh cua minh se dong vai tro gan nhu la 1 router phai ko?( tai vi la thiet bi ket noi trung gian giua client voi server ma nhi?)
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 860
    Điểm thành tích:
    113
    Dear @Bkis Hunter , bạn lưu ý không hỏi cùng một nội dung trong các bài khác nhau và không comment tiếng Việt không dấu nhé. Lần sau còn vi phạm Ban quản trị sẽ xử lý.

    upload_2018-1-20_8-53-26.png
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.