An ninh mạng - Chương 8: Nghe lén

pdf 88 trang vanle 2970
Bạn đang xem 20 trang mẫu của tài liệu "An ninh mạng - Chương 8: Nghe lén", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfan_ninh_mang_chuong_8_nghe_len.pdf

Nội dung text: An ninh mạng - Chương 8: Nghe lén

  1. CHƢƠNG 8 : NGHE LÉN Nhóm thực hiện : 5 Thành viên : Lê Long Bảo Lớp : MM03A GVHD : Lê Tự Thanh 1
  2.  Theo các nghiên cứu mới nhất lịch sử trình duyệt của bạn kém an toàn  Các nhà nghiên cứu tại trƣờng đại học California, đã tổ chức điều tra rộng rãi các website phổ biến để đƣa ra quyết định, website nào lấy nhiều thông tin từ khách hàng viếng thăm (ví dụ: nghe lén hoặc lấy cắp lịch sử trình duyệt), và một điều không ngạc nhiên đó là trang YouPorn nằm trong top các site gián điệp, các trang khác nhƣ Technorati, TheSun.co.uk. 2
  3.  Các trang này khai thác thông tin theo thói quen truy cập của khách hàng, các thông tin đƣợc dùng với mục đích quảng cáo, nhằm sinh lợi cho công ty bằng cách tận dụng các click chuột khi truy cập web và các đoạn scripts 3
  4. Nghe lén Tấn công Tấn công hợp pháp MAC DHCP Phân tích Tấn công Nghe lén giao thức đầu độc phần cứng ARP Mối đe dọa Các kiểu Tấn công Biện pháp nghe lén nghe lén giả mạo ngăn chặn Tấn công đầu độc Tool Nghe DNS lén 4
  5. Nghe lén hợp pháp cho phép cơ quan quản lý (LEA) thực thi việc giám sát một mục tiêu nào đó dƣới sự ủy quyền của ngƣời quản lý. Việc giám sát đƣợc thực hiện bằng việc quan sát trên các phƣơng tiện truyền thông, các dịch vụ thoại internet, dữ liệu và mạng đa dịch vụ Cơ quan quản lý gửi yêu cầu về việc nghe lén đến nhà cung cấp dịch vụ, những ngƣời mà chịu trách nhiệm ngăn chặn hay cho phép giao tiếp dữ liệu đến và đi giữa các cá nhân Các nhà cung cấp dịch vụ dùng IP đích hoặc phiên làm việc để quyết định thiết bị định tuyến nào sẽ cho phép lƣu lƣợng đi qua đến mạng đích, và một bản sao về các lƣu lƣợng sẽ đƣợc gửi đến cơ quan quản lý 5
  6.  Cho phép nhiều cơ quan quản lý thực thi việc nghe lén trên cùng một mục tiêu mà các cơ quan này không biết đến nhau.  Ẩn thông tin về việc nghe lén trên tất cả phƣơng tiện, chỉ user có quyền mới thực thi đƣợc.  Hỗ trợ việc nghe lén cả đầu vào lẫn đầu ra  Không hiệu quả cho các dịch vụ thuê bao trên router 6
  7.  Hỗ trợ nghe lén thuê bao cá nhân, những ngƣời mà dùng chung đƣờng truyền vật lý  Không cần quản trị viên, cũng không cần các bên nhận thức đƣợc rằng các cuộc gọi đang đƣợc khai thác  Cung cấp 2 phƣơng pháp: - thiết đặt việc nghe lén một cách an toàn - gửi thông tin về lƣu lƣợng cơ quan quản lý 7
  8. IAP Thiết bị cung cấp thông tin cho LI Mediation Đƣợc cung cấp bởi hãng thứ 3 dùng Device để xử lý hầu hết các tiến trình cho LI Là chƣơng trình dùng để lƣu trữ Collection Function và xử lý lƣu lƣợng mạng bởi nhà cung cấp dịch vụ 8
  9.  Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc hội thoại internet bởi thành phần thứ ba.  Kẻ tấn công để thiết bị lắng nghe giữa mạng mang thông tin nhƣ hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Kiểu nghe lén Chủ động Bị động Chỉ giám sát và ghi lại Giám sát và ghi lại tất thông tin lƣu lƣợng cả thông tin lƣu lƣợng 9
  10. Bằng cách đặt các gói tin Các gói tin nghe trên mạng ở chế độ đa lén có thể chỉ bắt mode, kẻ tấn công có thể những thông tin bắt và phân tích tất cả lƣu lƣợng, thông tin trên cùng 1 miền mạng mạng Thông thƣờng thì Nhiều port đƣợc mở laptop có thể tham trên swich gia vào mạng và thực thi 10
  11.  Sniffer đặt card mạng ở chế độ đa mode và lắng nghe tất cả các dữ liệu chuyển đi trên mạng  Sniffer có thể đọc các thông tin trên máy tính thông qua card NIC bằng cách giải mã các thông tin đƣợc đóng gói trong gói tin 11
  12. Nghe lén bị động nghĩa là nghe lén thông qua hub. Trên hub lƣu lƣợng đƣợc chuyển đến tất cả các port Nghe lén bị động không gửi các gói tin, nó giám sát các gói tin đƣợc gửi đến mạng khác Nghe lén chủ động liên quan đến việc gửi các gói tin thăm dò đến AP. Hub không đƣợc dùng cho ngày nay 13
  13.  Khi nghe lén đƣợc đặt trong môi trƣờng switch, nó đƣợc biết đến nhƣ là nghe lén chủ động.  Nghe lén chủ động dựa vào việc bơm các gói tin vào miền mạng 14
  14. Password và dữ Password và dữ Dữ liệu đƣợc gửi liệu đƣợc gửi dƣới liệu đƣợc gửi dƣới dƣới dạng clear text dạng clear text dạng clear text Telnet HTTP SMTP NNTP POP FTP IMAP RLogin Tổ hợp phím bao Password và dữ Password và dữ Password và dữ gồm username và liệu đƣợc gửi dƣới liệu đƣợc gửi dƣới liệu đƣợc gửi dƣới pasword dạng clear text dạng clear text dạng clear text 15
  15.  Sniffer hoạt động tại lớp Data Link trong mô hình OSI . Chúng không tuân thủ các luật nhƣ lớp ứng dụng.  Nếu một lớp bị tấn công, các giao tiếp sẽ bị tổn tƣơng mà không cần các lớp khác nhận biết đƣợc vấn đề. 16
  16. Là một phần của thiết bị phần cứng đƣợc bắt mà không làm thay đổi lƣu lƣợng trên đƣờng truyền Nó dùng để giám sát lƣu lƣợng sử dụng mạng và Nó bắt các gói dữ liệu xác định lƣu lƣợng độc ,giải mã và phân tích nội hại trong mạng bằng các dung trong gói dữ liệu để phần mềm tấn công đƣợc quyết định các luật cài đặt trong mạng 17
  17. là port mà đƣợc cấu hình để nhận bản sao của mỗi gói tin khi đi qua switch Khi kết nối đến span port kẻ tấn công có thể làm tổn thƣơng miền mạng 19
  18. Ngập lụt MAC là làm ngập Switch có bộ nhớ giới hạn lụt switch với một số lƣợng cho việc ánh xạ địa chỉ MAC lớn yêu cầu . và port vật lý trên switch Ngập lụt MAC làm cho bộ Lúc này switch hoạt động nhƣ một nhớ giới hạn của switch đầy hub và các gói tin sẽ đƣợc gửi ra lên bằng cách giả mạo nhiều tất cả các máy trên cùng miền địa chỉ MAC khác nhau và mạng và kẻ tấn công có thể dễ gửi đến switch dàng nghe lén 21
  19.  Bảng CAM của switch thì có kích thƣớc giới hạn.  Nó lƣu trữ thông tin nhƣ địa chỉ MAC address gắn với cổng tƣơng ứng trên switch cùng với các tham số miền mạng vlan 48Bit Hexadecimal 1258.3582.8DAB 24 bit đầu tiên là mã nhà sản 24 bit thứ hai là giao diện đặt xuất đƣợc gán bởi IEEE biệt đƣợc gán bởi nhà sản xuất 0000.0aXX.XXXX 0000.0aXX.XXXX Địa chỉ Broadcast FFFF.FFFF.FFFF 22
  20.  Một khi bảng CAM trên Switch đầy thì các lƣu lƣợng ARP request sẽ làm ngập lụt mỗi cổng của switch  Lúc này cơ bản switch hoạt động nhƣ hub  Tấn công lúc này sẽ làm đầy bảng CAM của switch 24
  21.  macof là công cụ Linux  macof sẽ gửi ngẫu nhiên địa chỉ MAC nguồn và địa chỉ IP  công cụ này sẽ làm ngập lụt bảng CAM (131,000/phút) bằng cách gửi các địa chỉ MAC không có thật 25
  22. Chỉ cho phép 1 địa chỉ MAC trên 1 port switch Cầu hình bảo mật port trên switch cisco Bảo mật port cho switch giúp làm giảm ngập lụt MAC và khóa cổng trên switch 27
  23.  DHCP server duy trì các thông tin cấu hình TCP/IP trong cơ sở dữ liệu nhƣ là các tham số cấu hình TCP/IP, địa chỉ ip hợp lệ  Nó cung cấp các địa chỉ đã đƣợc cấu hình đến máy trạm trong suốt quá trình thuê 29
  24. Bảng tin Chức năng DHCP Discover Client gửi gói broadcast ra toàn miền mạng để tìm server cấp phát DHCP Offer Server gửi phản hồi đến Client với các tham số cấu hình Client nhận đƣợc DHCP Offer, nó sẽ gửi gói broadcast để chấp DHCP Request nhận Offer đó DHCP server nhận đƣợc DHCP request sẽ trả lại DHCP client 1 DHCP Ack và Nak DHCP ACK hoặc NACK. DHCP Decline Client gửi đến Server địa chỉ mạng đã đƣợc dùng DHCP Release Client gửi đến Server địa chỉ mạng và hủy thuê DHCP Inform Client gửi đến Server các thông tin cấu hình cục bộ 30
  25.  Kẻ tấn công gửi các gói tin để khám phá máy chủ cấp phát DHCP và phạm vi cấp phát và sau đó kẻ tấn công cố gắng thuê tất cả dãy địa chỉ IP cấp phát này.  Đây là kiểu tấn công từ chối dịch vụ bằng cách thuê tất cả địa chỉ cấp phát của máy chủ DHCP 32
  26.  Kẻ tấn công sẽ giả mạo máy chủ DHCP trên cùng miền mạng và cung cấp địa chỉ để cấp phát cho user Bằng cách giả mạo máy chủ DHCP,kẻ tấn công có thể gửi các thông tin cấu hình TCP/IP sai - Default Gate default gateway giả mạo - Địa chỉ IP IP giả mạo 33
  27. Kích hoạt DHCP Snooping để ngăn chặn giả Kích hoạt bảo mật port để ngăn chặn tấn mạo DCHP lúc này switch sẽ phân loại công tƣớc quyền DHCP thành cổng tin cậy và không tin cậy 35
  28. ARP là giao thức ánh xạ địa chỉ IP đến địa chỉ vật lý đƣợc nhận diện Giao thức ARP sẽ quảng bá miền mạng của máy để tìm địa chỉ vật lý Khi một máy cần giao tiếp với máy khác, và nó tìm trong bảng ARP của mình. Nếu địa chỉ MAC không đƣợc tìm thấy trong bảng, giao thức ARP sẽ quảng bá ra toàn miền mạng Tất cả các máy trong miền mạng sẽ so sánh địa chỉ IP đến địa chỉ MAC của chúng Nếu một trong những máy đó, xác định đƣợc đó chính là địa chỉ của mình, nó là gửi gói ARP hồi đáp và địa chỉ này sẽ đƣợc lƣu trong bảng ARP và quá trình giao tiếp diễn ra 37
  29. Giả mạo ARP liên quan đến Gói tin ARP có thể bị việc xây dựng một số lƣợng giả mạo để gửi dữ liệu lớn ARP request giả mạo và gói ARP reply liên tục đƣợc đến máy của kẻ tấn phản hồi dẫn đến tình trạng công quá tải switch C Cuối cùng thì sau khi bảng Kẻ tấn công làm ngập lụt bộ ARP bị đầy thì switch sẽ hoạt nhớ cache chứa địa chỉ ARP động ở chế độ forwarding, của máy mục tiêu bằng các lúc này thì kẻ tấn công có thể địa chỉ ARP giả mạo, phƣơng dễ dàng nghe lén mọi hoạt thức này còn đƣợc gọi là đầu động trong mạng độc . 38
  30. Khi user A muốn thiết lập một phiên đến user B , một gói tin ARP request đƣợc quảng bá ra toàn miền mạng, lúc này user A chờ phản hồi từ user B Switch broadcast ARP User B phản hồi trên đƣờng truyền ARP Reply thật Kẻ tấn công nghe gói các gói tin ARP Request và ARP Reply và giả mạo Sau khi bắt đƣợc gói ARP mình chính là user hợp pháp Request và ARP Reply, attacker có thể giả mạo ARP Reply của user B và gửi đến user A 39
  31.  Giả mạo gói tin ARP giúp kẻ tấn công có thể chuyển hƣớng tất cả giao tiếp giữa hai máy, khi đó tất cả lƣu lƣợng đƣợc gửi thông qua máy của kẻ tấn công  Tấn công từ chối dịch vụ  Ăn cắp thông tin dữ liệu  Nghe lén cuộc gọi  Ăn cắp password  Thao tác dữ liệu 40
  32. Dùng DHCP Snooping và Dynamic ARP Inspection để kiểm tra ARP 44
  33.  Tấn công giả mạo địa chỉ MAC bằng cách chạy chƣơng trình nghe lén địa chỉ MAC của máy trạm ,máy đƣợc liên kết với switch và dùng địa chỉ MAC đó để truy cập mạng  Bằng cách lắng nghe lƣu lƣợng đi qua trong mạng, kẻ tấn công có thể ăn cắp và dùng địa chỉ MAC hợp pháp của nạn nhân để nhận tất cả lƣu lƣợng đi từ máy nạn nhân đến đích Luật của Switch : Cho phép thực thi đến miền mạng internet nếu máy bạn có địa chỉ MAC : A:B:C:D:E Attacker nghe lén miền mạng của user hợp pháp để lấy địa chỉ MAC sau đó dùng nó để tấn công 47
  34. Giả mạo MAC + Nếu MAC đƣợc dùng để thực thi trong mạng, kẻ tấn công có thể có quyền thực thi trong mạng đó + Kẻ tấn công có thể tiến hành nhận dạng một ai đó trên mạng Giả mạo IP Ping of death Gói tin ICMP không thể truy cập Ngập lụt cờ SYN IP thật có thể bị giả mạo 48
  35.  Là kỹ thuật lừa DNS Server tin rằng nó nhận một thông tin chứng thực đúng đó là thật nhƣng thực sự thì thông tin đó không tồn tại  Kết quả là tên miền sẽ trỏ sang ip giả,ip mà DNS Server tƣởng là thật, thay vì trỏ sang ip thật 52
  36.  Trong kỹ thuật này, bạn phải kết nối đến miền mạng LAN mà có thể nghe lén đƣợc các gói tin  Nó làm việc tốt trong môi trƣờng switches với kiểu đầu độc ARP 53
  37.  Với kỹ thuật này kẻ tấn công có thể cài vào máy nạn nhân con trojan và con này sẽ thay đổi IP DNS của nạn nhân đến máy kẻ tấn công 54
  38.  Kẻ tấn công sẽ gửi trojan đến máy nạn nhân và con này sẽ thay đổi Proxy server trong trình duyệt internet của nạn nhân 55
  39.  Đầu độc cache DNS liên quan đến việc chỉnh sửa,thay đổi thêm và xóa bớt bản ghi DNS của Server với mục đích làm cho DNS truy vấn sai IP và trỏ IP DNS đến máy kẻ tấn công chứa trang web giả mạo 56
  40. Giải quyết tất cả truy vấn DNS đến DNS Server cục bộ Khóa các truy vấn DNS từ server bên ngoài Thực hiện DNSSec Cấu hình DNS Resolv dùng port nguồn ngẫu nhiên từ dãy port có sẵn cho mỗi truy vấn Cấu hình tƣờng lửa để hạn chế truy vấn DNS từ bên ngoài Hạn chế các dịch vụ DNS, cấp quyền user Dùng NXDOMAIN 57
  41.  Wireshark là tool nghe lén gói tin miễn phí  Wireshark dùng Winpcap để bắt gói tin, nó chỉ bắt các gói tin trên mạng hỗ trợ bởi Winpcap  Bắt sống các lƣu lƣợng trên mạng từ Ethernet, IEEE 820.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI  File bắt đƣợc có thể dùng chƣơng trình để chỉnh sửa thông qua command line  Cài đặt bộ lọc để hiển thị dữ liệu dễ dàng 59
  42. Bộ lọc đƣợc dùng để thay đổi cách hiển thị của gói tin trong file bắt đƣợc 62
  43.  Tcpdump là tool giao diện dòng lệnh dùng để sniff gói tin rất manh, có thể chạy trên Linux hoặc Windown 65
  44.  Network View là một tool khám phá miền mạng và quản lý dành cho Windown  Khám phá các node TCP/IP và các đƣờng đi dùng DNS, SNMP, Ports, NetBIOS, và WMI 66
  45.  The Dude Sniffer có thể quét tất cả thiết bị trên cùng miền mạng và vẽ thành bản đồ chi tiết 67
  46.  Ace có thể giám sát và bắt password FTP, POP3, HTTP, SMTP, Telnet, và webmail password 68
  47.  Capsa Network Analyzer bắt tất cả dữ liệu trên mạng và cung cấp các bảng phân tích thống kê thông qua giao diện đồ họa 69
  48.  OmniPeek sniffer hiển thị các địa chỉ IP public trong gói tin, kết hợp với google map  Đây là các tốt nhất để quan sát mạng theo thời gian thực và có thể xem đƣợc lƣu lƣợng đi qua mọi nơi trên thế giới 70
  49.  Observer cung cấp toàn diện về lƣu lƣợng mạng và có thể thống kê lại thời gian, báo cáo, thông báo, công cụ ứng dụng, và quan sát đƣờng đi mạng 71
  50.  NetWitness điều tra và bắt sống lƣu lƣợng và xử lý gói tin từ tất cả miền mạng của các thiết bị mạng một cách nhanh chóng và phân tích dễ dàng.  Thống kê theo thời gian thực  Phân tích dữ liệu từ lớp ứng dụng  Mở rộng miền mạng và bộ lọc ứng dụng  Giải quyết các địa chỉ IP đến các nƣớc, thành phố  Giải mã SSL (với chứng thực server)  Tƣơng tác bảng đồ thời gian và tổng hợp 72
  51.  Big-Mother là chƣơng trình nghe lén switch, dùng để bắt và phân tích các giao tiếp, lƣu lƣợng trên mạng Nó hoạt động theo thời gian thực, các địa chỉ url, email, chat, games, FTP, luồng dữ liệu, và tạo bản sao các trang web,email,ftp và đƣa ra các bảng phân tích thống kê 74
  52. Attacker kết nối laptop với port Attacker chạy chƣơng trình khám của switch phá topology của mạng Attacker tìm máy nạn nhân để tấn Attacker đầu độc máy nạn nhân công bằng kỹ thuật ARP Poisoning Tất cả lƣu lƣợng đƣợc từ máy nạn Hacker trích xuất password và dữ nhân đƣợc hƣớng sang máy hacker liệu lấy đƣợc 80
  53.  Hạn chế thực thi các phƣơng tiện mạng vật lý, để đảm bảo gói tin không thể nghe lén đƣợc  Mã hóa để bảo vệ thông tin chứng thực  Thêm địa chỉ MAC của gate với bảng cache ARP  Dùng địa chỉ IP và MAC tĩnh để ngăn chặn kẻ tấn công có thể giả mạo  Chặn tất cả gói tin broadcast, nếu có thể hạn chế chứng thực user để bảo vệ miền mạng không bị khám phá bởi sniffing tool  Dùng địa chỉ IPv6 thay IPv4  Dùng phiên mã hóa nhƣ SSH thay vì Telnet, FTP, SSL cho kết nối mail 81
  54. Đa mode - Kiểm tra các máy đang chạy ở chế độ Công cụ mạng đa mode - Đa mode cho phép Chạy những công cụ mạng nhƣ HP các thiết bị mạng Performance để có thể đọc mỗi gói IDS giám sát các gói tin tin đến và đi trong mạng Chạy IDS để kiểm tra nếu địa chỉ MAC bị thay đổi IDS thông báo cho Kích hoạt nó bạn có ngƣời quản trị về các thể xem, phân tích các hoạt động gián điệp lƣu lƣợng trong mạng 83
  55.  Bằng cách đặt các gói tin nghe lén trong mạng, kẻ tấn công có thể bắt và phân tích tất cả lƣu lƣợng mạng  Kẻ tấn công có thể nghe lén các thông tin chứng thực nhƣ là email, hội thoại chat, password, lƣu lƣợng web  Nghe lén có 2 kiểu là chủ động và bị động. Bị động liên quan đến việc nghe lén trong môi trƣờng hub, còn chủ động thì môi trƣờng switch 86
  56.  Nghe lén hoạt động tại lớp Data Link trong mô hình OSI và không có luật nào quản lý giống nhƣ lớp Ứng dụng  Kẻ tấn công có thể, tấn công MAC, DHCP, đầu độc ARP, tấn công giả mạo, đầu độc DNS, để nghe lén trong mạng  Các biện pháp ngăn chặn bao gồm: đặt IP và ARP tĩnh, dùng phiên mã hóa nhƣ SSH thay Telnet, dùng SCP thay cho FTP, dùng SSL để chuyển dữ liệu 87
  57. HẾT 88