Phân loại các kiểu tấn công mạng - P1

[nktung]

Giới thiệu

Để có thể ngăn chặn các cuộc tấn công mạng thì trước hết phải biết được các kiểu tấn công mạng, đặc điểm của từng kiểu, từ đó mới có giải pháp xử lý. Bài viết này nêu lên một cách thức phân loại các kiểu tấn công mạng, đó là: tấn công do thám, tấn công truy cập và tấn công từ chối dịch vụ.

Tấn công do thám (Reconnaissance attack): Nếu như kẻ trộm trước khi đột nhập nhà gia chủ thì trước hết hắn ta phải đi thăm dò, quan sát ngôi nhà, đường đi lối lại, các điểm sơ hở. Tương tự như vậy đối với cuộc tấn công mạng kiểu thăm dò, kẻ tấn công sẽ thu thập thông tin về hệ thống định tấn công (nạn nhân), các dịch vụ đang chạy, các lỗ hổng. Các công cụ mà kẻ tấn công thường sử dụng trong kiểu tấn công này là công cụ chặn bắt gói tin (packet sniffer) và bộ quét cổng (port scannner).

Tấn công truy cập (Access attack)
Tấn công truy cập thường khai thác các lỗ hổng của hệ thống nạn nhân. Các lỗ hổng này thường là: lỗ hổng trong các dịch vụ xác thực, dịch vụ FTP, dịch vụ web. Sau khi khai thác lỗ hổng, kẻ tấn công sẽ có quyền truy cập vào tài khoản web, database và các dữ liệu nhạy cảm khác. Kiểu tấn công này thường rất đa dạng về hình thức nhưng có điểm chung là kẻ tấn công thường dùng từ điển để đoán mật khẩu.

Tấn công từ chối dịch vụ (DoS)
Kiểu tấn công này chắc nhiều bạn đã biết. Cách thức là kẻ tấn công gửi một số lượng cực lớn các yêu cầu, vượt quá năng lực xử lý của hệ thống nạn nhân, làm cho hệ thống đó ngừng hoạt động. Và do vậy nó không thể phục vụ cho các yêu cầu từ các client hợp lệ.
Ngoài cách trên, kẻ tấn công còn có thể khai thác các lỗ hổng của các chương trình ứng dụng để làm cho ứng dụng ngừng hoạt động.

Trong các bài viết sau mình sẽ đề cập chi tiết từng kiểu tấn công ở trên

 

Re: Phân loại các kiểu tấn công mạng - P1

1. Tấn công do thám
Là hình thức tấn công nhằm thu thập các thông tin về hệ thống mục tiêu, từ đó phát hiện ra các điểm yếu. Tấn công do thám thường để làm bàn đạp cho cuộc tấn công truy cập hoặc tấn công từ chối dịch vụ về sau.
Cách thức mà kẻ tấn công tiến hành như sau: đầu tiên dùng kỹ thuật ping sweep để kiểm tra xem hệ thống nạn nhân đang có những địa chỉ IP nào đang hoạt động. Sau đó kẻ tấn công sẽ kiểm tra những dịch vụ đang chạy, những cổng đang mở trên những địa chỉ IP tìm thấy ở trên. Công cụ mà kẻ tấn công thường sử dụng ở bước này là Nmap, ZenMap.
Sau khi xác định được những cổng đang mở, kẻ tấn công sẽ gửi các truy vấn tới các cổng này để biết được thông tin về các phần mềm, hệ điều hành đang chạy. Sau khi có trong tay các thông tin này, kẻ tấn công sẽ tìm cách khai thác các lỗ hổng đang tồn tại trên hệ thống đó. Kẻ tấn công có kinh nghiệm sẽ lựa chọn thời điểm phù hợp để thực hiện việc khai thác lỗ hổng để tránh bị phát hiện.
Để tấn công thăm dò, hacker thường dùng các công cụ:
- Truy vấn thông tin Internet
- Ping sweep
- Port Scan
- Packet sniffer
Truy vấn thông tin Internet
Khi hacker muốn tấn công mạng một tổ chức, một công ty, đầu tiên hắn ta sẽ tìm hiểu xem tổ chức hay công ty đó có sở hữu website có tên miền là gì. Sau đó hacker sẽ sử dụng các công cụ tìm kiếm để truy vấn các thông tin về chủ sở hữu tên miền, địa chỉ (địa lý) gắn với tên miền đó. Thêm nữa, có thể truy ra ai đang sở hữu địa chỉ IP và tên miền đang gắn với địa chỉ IP này. Ví dụ một bài viết giúp bạn hình dung rõ hơn về việc này--> Lần theo dấu vết kẻ lừa đảo ăn cắp thẻ cào

Ping sweep and port scan
Là 2 công cụ dùng để phát hiện lỗ hổng trên các thiết bị và hệ thống. Các công cụ này sẽ kiểm tra thông tin về địa chỉ IP, cổng, hệ điều hành, phiên bản hệ điều hành, dữ liệu trên cổng TCP và UDP. Kẻ tấn công sử dụng các thông tin này cho mục đích tấn công.
Ping sweep là kỹ thuật quét một dải địa chỉ IP để phát hiện xem có thiết bị nào đang sở hữu địa chỉ IP trong dải đó. Công cụ ping sweep sẽ gửi gói tin ICMP echo request tới tất cả các địa chỉ IP trong dải và chờ đợi gói tin ICMP echo reply phản hồi từ các thiết bị.
Port scan là công cụ quét cổng. Mỗi dịch vụ chạy trên máy đều gắn với một cổng (well-known port). Công cụ quét cổng sẽ quét một dải các cổng để phát hiện xem cổng nào đang lắng nghe yêu cầu. Nguyên lý là gửi bản tin đến cổng và chờ đợi phản hồi. Nếu có phản hồi từ cổng nào đó tức là cổng đó đang được sử dụng.
Kẻ tấn công sẽ sử dụng kết hợp các công cụ trên theo nguyên lý: đầu tiên truy vấn thông tin trên Internet để lấy thông tin về địa chỉ IP của tên miền mà hắn muốn tấn công. Tiếp đó dùng công cụ ping sweep để quét tìm các máy đang hoạt động. Tiếp theo sử dụng công cụ port scan để lấy được thông tin về các cổng và dịch vụ đang hoạt động trên các máy. Sau đó kẻ tấn công tiếp tục rà soát các dịch vụ này để tìm ra những điểm yếu có thể khai thác. Công cụ hiện đang được ưa chuộng là Nexpose - Rapid7

​

Một bài viết giúp bạn dễ hình dung: -->quá trình một kẻ tấn công thực hiện hành vi hack

Packet Sniffer
Là một công cụ cho phép cấu hình card mạng ở chế độ hỗn độn (promiscuous mode), là chế độ có thể chặn bắt các gói tin bất kỳ chạy trên mạng LAN. Với công cụ này, kẻ tấn công có thể bắt các gói tin đang được gửi qua lại trên mạng LAN và phân tích. Nếu gói tin không được mã hóa thì kẻ tấn công sẽ dễ dàng đọc được nội dung.
Tình huống ở đây có thể là một nhân viên IT bất mãn với sếp, anh ta muốn dò la các thông tin từ máy tính của sếp. Bằng cách sử dụng công cụ packet sniffer, anh ta có thể chặn bắt các gói tin được gửi trong mạng LAN và lọc ra gói tin có địa chỉ nguồn từ máy của sếp, sau đó đọc nội dung.
Một điều lưu ý ở đây là để có thể chặn bắt gói tin, máy của kẻ tấn công phải nằm cùng subnet với hệ thống nạn nhân hoặc chiếm được quyền quản lý thiết bị switch.
Một công cụ Sniffer thường được sử dụng là wireshark. Bạn có thể tham khảo tại bài viết:--> wireshack

2. Cách phòng chống tấn công do thám
Trong thực tế cuộc sống, nếu người bảo vệ phát hiện một kẻ thường xuyên qua lại rình mò trước căn biệt thự của một đại gia chủ thì sẽ nghi vấn và cảnh giác. Tương tự như vậy với hệ thống mạng. Bạn cần có hệ thống phát hiện và ngăn chặn xâm nhập. Hệ thống này nếu thấy số lượng các gói tin ICMP echo request/s nhiều bất thường (do ping sweep) thì sẽ cảnh báo đến người quản trị (admin). Khi admin nhận được thông tin cảnh báo, sẽ rà soát lại hệ thống:
- Xác minh và quyết định việc ngăn chặn kết nối từ các IP do thám.
- Tắt những dịch vụ không cần thiết.
- Update các bản vá lỗi cho hệ điều hành và ứng dụng.
- Thay đổi mật khẩu quản trị nếu thấy cần thiết.
Còn nếu việc do thám xuất phát từ một máy tính nội bộ thì ngay từ khi xây dựng hệ thống mạng, admin cần nghĩ đến các giải pháp như:
- VLAN: nhóm các máy tính của các phòng ban vào các VLAN khác nhau
- Củng cố an ninh trên các thiết bị mạng (sẽ đề cập ở các bài viết sau) để tránh bị chiếm quyền điều khiển.
- Mã hóa thông tin nhạy cảm trước khi gửi đi.

Những bài viết sau mình sẽ đề cập tới hình thức tấn công truy cập và tấn công từ chối dịch vụ

 

Re: Phân loại các kiểu tấn công mạng - P1

mọi người cho em hỏi ngủ tí vì em mới va chạm vào ngành CNTT.
Mọi người có biết gì về nhóm :Ayyıldız Tim (International Force)
Vì em hay bị nhóm này hack web của em mà em chưa tìm dc cách phòng chống ...
Em cảm ơn !

 

Re: Phân loại các kiểu tấn công mạng - P1

chắc web bạn bị deface đúng ko?
bạn nên scan shell, down source về quét virus thử xem

 

Hiểu biết them nhiều ! thanks chủ thớt

 

Mấy cái link kia die hết rùi ad fix lại đi ạ

 

Mấy cái link kia die hết rùi ad fix lại đi ạ

BQT đã update lại link mới, bạn xem lại bài viết nhé.

Xin lỗi về sự bất tiện này.

Chúc vui cùng WhiteHat.

 

Các tiền bối giúp e về an ninh mạng trong IPv6 với ạ

 

ad có thể giúp em về vấn đề giám sát mạng Prelude SIEM được không ạ