Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 02: Kỹ thuật tấn công - Lesson 06: Sniffer

pdf 60 trang vanle 2950
Bạn đang xem 20 trang mẫu của tài liệu "Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 02: Kỹ thuật tấn công - Lesson 06: Sniffer", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfky_thuat_tan_cong_va_phong_thu_tren_khong_gian_mang_module_0.pdf

Nội dung text: Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 02: Kỹ thuật tấn công - Lesson 06: Sniffer

  1. KỸ THUẬT TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG Institute of Network Security – www.istudy.vn
  2. NỘI DUNG • Module 01: Tổng quan An ninh mạng • ModuleModule 02:02: KỹKỹ thuậtthuật tấntấn côngcông • Module 03: Kỹ thuật mã hóa • Module 04: Bảo mật hệ điều hành • Module 05: Bảo mật ứng dụng • Module 06: Virus và mã độc • Module 07: Các công cụ phân tích an ninh mạng • Module 08: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo đồ án • Thi cuối khóa Institute of Network Security – www.istudy.vn
  3. Module 02: KỸ THUẬT TẤN CÔNG • Lesson 01: Footprinting và Reconnaissance • Lesson 02: Google Hacking • Lesson 03: Scanning Networks • Lesson 04: Enumeration • Lesson 05: System Hacking • Lesson 06: Sniffer • Lesson 07: Social Engineering • Lesson 08: Denial of Service • Lesson 09: Session Hijacking • Lesson 10: SQL Injection • Lesson 11: Hacking Wireless Networks • Lesson 12: Buffer Overflow Institute of Network Security – www.istudy.vn
  4. SNIFFER Institute of Network Security – www.istudy.vn
  5. Nội dung • Khái niệm và ảnh hưởng của Sniifing trong không gian mạng • Hoạt động của Sniffing • Phân loại Sniffing • Các hình thức tấn công dựa trên Sniffing Institute of Network Security – www.istudy.vn
  6. Khái niệm Sniffing • Sniffer là phương pháp nghe lén các gói tin trong mạng nội bộ (Kẻ tấn công và nạn nhân có chung Subnet IP). • Thông tin người dùng có thể bị truy xuất và sử dụng bất hợp pháp khi hệ thống bị Sniffing. Institute of Network Security – www.istudy.vn
  7. Tác hại của Sniffing Telnet Password Router Email Configuration Traffic Syslog Web Traffic Traffic Chat DNS Traffic Sessions FTP Password Institute of Network Security – www.istudy.vn
  8. Hoạt động của Sniffer • Hacker sử dụng các gói tin nghe lén (hoặc giả mạo) lan truyền vào trong mạng thông qua Switch hoặc Hub. • Người tấn công có thể bắt và phân tích tất cả các Traffic của người dùng trong cùng Subnet. Capture Attacker Institute of Network Security – www.istudy.vn
  9. Các nguy cơ dẫn tới Sniffing • Hệ thống doanh nghiệp sử dụng nhiều Switch, trong đó mở ra những Port không cần thiết. • Hacker có thể gắn các Laptop vào Port và tiến hành Sniffing. • Không tiến hành phân chia Subnet cho hệ thống. • Cơ chế bảo mật lỏng lẻo. • Nhân viên không được phổ biến về các mối nguy hại. Institute of Network Security – www.istudy.vn
  10. Sniffer hoạt động như thế nào? • Sniffer chuyển NIC của máy tính sang chế độ Promiscous có thể lắng nghe tất cả dữ liệu đang vận chuyện qua Segment mà nó kết nối. • Sniffer có thể đọc được toàn bộ nội dung dựa và cách phân giải gói tin bắt được (Decapsulation). Sniffer Switch Pomiscucous Mode Institute of Network Security – www.istudy.vn
  11. Phương thức tấn công Switch MAC Flooding DNS Poisoning ARP Poisoning Switch DHCP Attacks Password Sniffing Spoofing Attack Institute of Network Security – www.istudy.vn
  12. Phân loại Sniffing • Passive Sniffing • Active Sniffing Institute of Network Security – www.istudy.vn
  13. Phân loại Sniffing: Passive Sniffing Thực hiện Sniffing thông qua một Hub. Trên Hub, dữ liệu sẽ được đẩy ra tất cả các Port. Không cần gửi ra gói tin giả mạo nào, chỉ cần bắt các gói tin từ Port về. Thường ít sử dụng do ngày nay Hub không còn được ưa chuộng nhiều, thay vào đó là Switch. Institute of Network Security – www.istudy.vn
  14. Phân loại Sniffing: Active Sniffing • Được thực hiện trên Switch. • Sniffer gửi ra những gói tin giả mạo nhằm mục đích thu thập dữ liệu trên mạng. DHCP Starvation Institute of Network Security – www.istudy.vn
  15. Các giao thức dễ bị tấn công Sniffing Password và dữ Password và dữ Dữ liệu gửi dưới liệu gửi dưới dạng liệu gửi dưới dạng dạng clear text clear text clear text Telnet & HTTP SMTP NNTP POP FTP IMAP Rlogin Thăm dò Username Password và dữ Password và dữ Password và dữ và Password liệu gửi dưới dạng liệu gửi dưới dạng liệu gửi dưới dạng clear text clear text clear text Institute of Network Security – www.istudy.vn
  16. Ảnh hưởng của Sniffing trong mô hình OSI Application Stream 7 Application Application 7 POP3, IMAP IM, SSL, SSH g 6 Presentation Presentation 6 n ơ 5 Session ư Session 5 Protocols/Ports 4 Transport Transport 4 IP Address 3 Network h t n ổ T Network 3 Tổn thương 2 Data Link Data Link 2 Physical Links 1 Physical Physical 1 Institute of Network Security – www.istudy.vn
  17. Các loại tấn công dạng Sniffing MAC DHCP ARP Attack Attack Poisoning Spoofing DNS Sniffing Attack Poisoning Tool Institute of Network Security – www.istudy.vn
  18. MAC Attack MAC DHCP ARP Attack Attack Poisoning Spoofing DNS Sniffing Attack Poisoning Tool Institute of Network Security – www.istudy.vn
  19. MAC Address/CAM Table • Bảng CAM (Content Address Memory) có dung lượng hữu hạn. • Bảng CAM lưu trữ các địa chỉ MAC đang hoạt động trên Port cùng thông số VLAN tương ứng. 48 Bit Hexadecimal 002A.BFFA.8C3E 24 Bit đầu = Mã qui định 24 Bit sau = Nhà sản xuất nhà sản xuất cấp bởi IEEE định nghĩa cho Interface 002A.BF FA.8C3E Địa chỉ MAC Broadcast FFFF.FFFF.FFFF Institute of Network Security – www.istudy.vn
  20. Hoạt động của bảng CAM Institute of Network Security – www.istudy.vn
  21. Tràn bảng CAM • Khi bảng CAM tràn, các gói tin ARP Request sẽ được đẩy ra tất cả các Port của Switch (Flooding). • Việc này sau đó làm Switch chuyển mạch như Hub. • Quá trình tấn công tràn bảng MAC sẽ lây lan sang các Switch lân cận. Traffic A B MAC Port Y 3 Traffic A B MAC B Port 1 Z 3 C 3 MAC A Traffic A B C có thể thấ Traffic của A và B MAC C Institute of Network Security – www.istudy.vn
  22. MAC Flooding • MAC Flooding tấn công làm tràn bảng CAM của Switch bằng cách phát ra vô số các gói tin với MAC giả mạo, không có thật. MAC Address User1 Flood Attacker Switch User2 Institute of Network Security – www.istudy.vn
  23. MAC Flooding • Lúc đó Switch hành động như Hub, đẩy các Frame thông tin ra tất cả các Port trừ Port nhận vào. • Attacker có thể bắt gói dễ dàng. MAC Address User1 Flood Attacker Switch User2 Institute of Network Security – www.istudy.vn
  24. Phòng thủ MAC Attack • Port Security: Gán tĩnh địa chỉ MAC trên Port được chỉ định. Chỉ cho phép dữ liệu xuất phát từ MAC này đi vào Port. MAC A MAC C MAC D Fa0/1 FA0/2 MAC A Switch MAC B SwitchX(config)#interface FastEthernet 0/1 SwitchX(config-if)#switchport mode access SwitchX(config-if)#switchport port-security SwitchX(config-if)#switchport port-security maximum 1 SwitchX(config-if)#switchport port-security mac-address {MAC Adress | sticky} SwitchX(config-if)#switchport port-security violation {shutdown | restrict | protect} Institute of Network Security – www.istudy.vn
  25. DHCP Attack MAC DHCP ARP Attack Attack Poisoning Spoofing DNS Sniffing Attack Poisoning Tool Institute of Network Security – www.istudy.vn
  26. Hoạt động của DHCP • DHCP Server cấp phát, quản lý thông tin cấu hình TCP/IP của các Client như địa chỉ IP, Default Gateway, DNS Server, và khoảng thời gian được cấp phát. DHCP Discover (Broadcast) DHCP Offer (Unicast) DHCP Request (Broadcast) DHCP ACK (Unicast) DHCP Client DHCP Server Institute of Network Security – www.istudy.vn
  27. DHCP Request/Reply Message Message Tác dụng DHCPDISCOVER Client Broadcast để xác định vị trí Server Server trả lời DHCPDISCOVER bằng gói Offer hỏi những tham số DHCPOFFER Client muốn nhận Client có thể gửi về Server (a) Các tham số cần xin cấp, (b) Xác DHCPREQUEST nhận lại việc sử dụng địa chỉ trước đó, (c) Gia hạn thêm thời gian sử dụng DHCPACK Server gửi cho Client các tham số cấu hình cần thiết Server thông báo với Client đã sử dụng sai địa chỉ lớp mạng (Có DHCPNAK thể do Client tự thay đổi), hoặc đã hết hạn sử dụng IP được cấp DHCPDECLINE Client thông báo với Server địa chỉ lớp mạng đã được sử dụng Client thông báo với Server hủy bỏ IP được cấp, trả về cho Server DHCPRELEASE và dừng đếm khoảng thời gian Release DHCPINFORM Client xin cấp một số thông số phụ khi Client đã có địa chỉ IP Institute of Network Security – www.istudy.vn
  28. DHCP Starvation Attack • Attacker broadcast bản tin DHCP Request cho toàn bộ dải IP và cố lấy tất cả các IP có thể cấp về mình. • Đây là phương thức tấn công từ chối dịch vụ (DoS) dựa trên bản tin DHCP. DHCP Discover (Broadcast) x (Size of Scope) DHCP Offer (Unicast) x (Size of DHCP Scope) DHCP Request (Broadcast) x (Size of Scope) DHCP ACK (Unicast) x (Size of Scope) Attacker DHCP Server Institute of Network Security – www.istudy.vn
  29. Rogue DHCP Server Attack (Giả mạo DHCP Server) • Attacker giả mạo DHCP Server cấp thông tin cấu hình TCP/IP cho Client. DHCP Discover (Broadcast) 1 DHCP Offer (Unicast) DHCP Request (Broadcast) 3 DHCP ACK (Unicast) DHCP Server 4 2 Thông tin cài đặt TCP/IP sai lệch: • Attacker làm Gateway • Attacker làm DNS Server Rogue • Từ chối dịch vụ vì sai IP DHCP Server Attacker Institute of Network Security – www.istudy.vn
  30. Phòng thủ DHCP Starvation và Rogue Server Attack • Sử dụng Port Security ngăn chặn DHCP Starvation Attack. • Sử dụng tính năng DHCP Snooping ngăn chặn Rogue DHCP Server Attack. Institute of Network Security – www.istudy.vn
  31. Phòng thủ DHCP Starvation và Rogue Server Attack • DHCP Snooping: Attacker User – Cho phép cấu hình Port dưới 2 dạng Trusted và Untrusted – Untrusted Port sẽ loại bỏ bản tin DHCP Reply đi vào Untrusted Untrusted nó – Trusted port sẽ chấp nhận DHCP Reply vào, do đó nên Trusted Trusted cấu hình trên đường Uplink tới DHCP Server thật DHCP Server Institute of Network Security – www.istudy.vn
  32. Phòng thủ DHCP Starvation và Rogue Server Attack • Bật tính năng DHCP Snooping Switch(config)# ip dhcp snooping • Cấu hình Trusted Interface trên Switch Switch(config-if)# ip dhcp snooping trust • Số lượng các Packet DHCP cho phép qua trong 1 giây Switch(config-if)# ip dhcp snooping limit rate [rate] • Bật tính năng DHCP Snooping trên VLAN Switch(config-if)# ip dhcp snooping vlan [vlan-id] • Tắt tính năng mang thông tin về Port gửi DHCP Request (Chỉ một số Server hỗ trợ) Switch(config)# no ip dhcp snooping information option Institute of Network Security – www.istudy.vn
  33. ARP Poisoning MAC DHCP ARP Attack Attack Poisoning Spoofing DNS Sniffing Attack Poisoning Tool Institute of Network Security – www.istudy.vn
  34. ARP (Address Resolution Protocol) là gì? 1 ARP là giao thức ánh xạ địa chỉ IP để tìm ra địa chỉ vật lý của thiết bị trong mạng Local 2 ARP gửi gói tin Request để tìm địa chỉ vật lý của thiết bị 3 Khi một thiết bị muốn liên lạc với thiết bị khác, nó tìm địa chỉ MAC đích trong ARP cache. Nếu không có, nó broadcast gói Request ra toàn mạng 4 Tất cả các thiết bị nhận được gói Request sẽ so sánh IP của chúng với IP đích trong gói Request 5 Nếu có thiết bị nào có IP trùng IP đích trong gói Request, thiết bị đó sẽ gửi gói tin Reply đính kèm MAC của mình I need MAC address of 192.168.1.1 (Broadcast) 192.168.1.100 192.168.1.1 Hi, I’m 192.168.1.1, MAC address 010c.1111.10af Institute of Network Security – www.istudy.vn
  35. ARP Spoofing Attack • Attacker có thể giả mạo gói tin ARP để thu thập dữ liệu trên mạng. • ARP Spoofing tạo ra một lượng lớn các gói ARP Request và Reply nhằm đưa Switch vào tình trạng quá tải. • Việc Attacker làm tràn ARP cache của máy tính nạn nhân còn gọi là Poisoning. • Bảng ARP bị tràn bởi vô số các gói ARP giả mạo, lúc này Attacker có thể thu thập được toàn bộ dữ liệu qua Switch. Institute of Network Security – www.istudy.vn
  36. Hoạt động của ARP Spoofing 2 Here, I’m 10.1.1.1, my MAC address 1 is 1:2:3:4:5:6 Hey 10.1.1.1, are you there? User B User C Send ARP Request Các User hợp pháp gửi ARP Response User A 3 Hacker rình rập các gói Request và Reponse, sau 4 đó giả mạo như User hợp User D No, I’m 10.1.1.1, pháp my MAC address is 9:8:7:6:5:4 Attacker Institute of Network Security – www.istudy.vn
  37. Các nguy cơ xuất phát từ ARP Spoofing • Bằng cách giả mạo các gói tin ARP, Attacker có thể chuyển hướng tất cả các kết nối giữa hai thiết bị khiến toàn bộ traffic đi về máy của mình. – Từ chối dịch vụ – Chặn dữ liệu – Nghe lén cuộc gọi VoIP – Đánh cắp Password – Chỉnh sửa dữ liệu Man-in-the - middle Attack Institute of Network Security – www.istudy.vn
  38. Phòng thủ ARP Poisoning • Sử dụng DAI (Dynamic ARP Inspection) Attacker User – DAI tương thích với các Trusted và Untrusted Port trên Switch – Trusted Port cho qua tất cả các gói tin ARP – Untrusted Port xác nhận sự đúng Untrusted Untrusted đắn của các gói tin ARP Trusted DHCP Trusted Server DHCP Snooping xây Trusted Trusted dựng bảng ánh xạ IP- MAC phục vụ cho việc kiểm soát của DAI Institute of Network Security – www.istudy.vn
  39. Phòng thủ ARP Poisoning • Cấu hình kích hoạt DAI trên các VLAN Switch(config)# ip arp inspection vlan [vlan_id,vlan_id, ] • Cấu hình Trusted và Untrusted Interface trên Switch Switch(config-if)# ip arp inspection trust • Cấu hình DAI loại bỏ các gói ARP nếu địa chỉ IP không hợp lệ Switch(config-if)# ip arp inspection validate {[src-mac] [dst-mac] [ip]} • Kiểm tra Switch# show ip dhcp snooping bindings Switch# show ip arp inspection Institute of Network Security – www.istudy.vn
  40. Spoofing Attack MAC DHCP ARP Attack Attack Poisoning Spoofing DNS Sniffing Attack Poisoning Tool Institute of Network Security – www.istudy.vn
  41. MAC Spoofing/Duplicating • Hiện tượng nhân bản một địa chỉ MAC dựa vào các công cụ Sniff hệ thống mạng nhằm lấy địa chỉ MAC hợp pháp của Client khi tham gia vào mạng. • Bằng cách lắng nghe trên mạng, một User giả mạo có thể sử dụng địa chỉ MAC của User hợp lệ để thu thập các gói tin gửi cho User hợp lệ này. User hợp lệ Rule: Allow A:B:C:D:E My MAC address is A:B:C:D:E Attacker Internet No, my MAC address is A:B:C:D:E Institute of Network Security – www.istudy.vn
  42. Các nguy cơ xuất phát từ Spoofing Attack • MAC Spoofing – Attacker có thể sử dụng MAC đang hoạt động trên mạng – Attacker có thể định danh mình như một người dùng hợp lệ • IP Spoofing Attacker – Ping of death – ICMP unreachable storm – SYN flood – Địa chỉ IP tin cậy có thể bị giả mạo Institute of Network Security – www.istudy.vn
  43. Phòng thủ Spoofing Attack • IP DHCP Snooping • DAI (Dynamic ARP Inspection) • IP Source Guard – Được cấu hình trên Untrusted Port, dử dụng cơ sở dữ liệu của DHCP Snooping để xác định tính hợp lệ của địa chỉ IP – Kích hoạt IP Source Guard, bảo vệ IP (Theo CSDL DHCP Snooping) và MAC (Theo CSDL Port-security) Switch(config-if)# ip veirfy source vlan dhcp snooping port- security Institute of Network Security – www.istudy.vn
  44. Phòng thủ Spoofing Attack 10.10.10.1 MAC A DHCP Snooping Enabled Dynamic ARP Inspection Enabled User B IP Source Gurad Enabled 10.10.10.1 MAC C 10.10.10.2 MAC C 10.10.10.5 10.10.10.2 10.10.10.5 MAC C MAC B MAC B Attacker Institute of Network Security – www.istudy.vn
  45. DNS Poisoning MAC DHCP ARP Attack Attack Poisoning Spoofing DNS Sniffing Attack Poisoning Tool Institute of Network Security – www.istudy.vn
  46. Kỹ thuật DNS Poisoning • Kỹ thuật DNS Poisoning đánh lừa DNS Server rằng nó đã nhận được thông tin phân giải địa chỉ trong khi thực tế nó không nhận được gì. • Kết quả là tên miền được phân giải ra một địa chỉ IP khác địa chỉ hợp lệ. Institute of Network Security – www.istudy.vn
  47. Một số kỹ thuật DNS Poisoning Victims Intranet DNS Spoofing Attacker DNS Cache Poisoning (Local Network) Proxy Server DNS Internet DNS Spoofing Poisoning (Remote Network) DNS Attack Script DNS Server Institute of Network Security – www.istudy.vn
  48. Internet DNS Spoofing Website thật: What is IP of istudy.vn istudy.vn? Router IP: 200.0.0.254 10.0.0.254 DNS Request 2 User IP: 4 10.0.0.3 Attacker poison Router Attacker 1 chuyển các DNS bắt gói và Request về máy của chuyển mình hướng tới Website thật 5 3 istudy.vn 10.0.0.5 User B Attacker IP: Website giả 10.0.0.5 Institute of Network Security – www.istudy.vn
  49. Intranet DNS Spoofing Website thật: Website giả istudy.vn What is IP of 65.0.0.2 200.0.0.254 istudy.vn? Attacker bắt gói và chuyển User truy cập vào 65.0.0.2 hướng tới Website thật 4 5 User IP: 10.0.0.3 2 3 1 Attacker chạy 1 DNS Server tại Vietnam 100.0.0.5 Institute of Network Security – www.istudy.vn
  50. Proxy Server DNS Poisoning What is IP of Website thật: istudy.vn? istudy.vn 200.0.0.254 User IP: 2 10.0.0.3 Attacker bắt gói và chuyển hướng tới Website thật 4 Attacker chuyển các Request của User tới Website giả 1 3 Attacker chạy 1 Proxy Server tại Vietnam Website giả 100.0.0.5 65.0.0.2 Institute of Network Security – www.istudy.vn
  51. DNS Cache Poisoning • Attacker làm thay đổi các Record lưu trữ của DNS Server, do đó DNS Server sẽ query vào địa chỉ IP của một Website giả được thiết lập bởi Attacker. • Nếu DNS Server không xác minh lại các gói tin DNS Response, nó sẽ lưu trữ những Record với các IP sai lệch. Institute of Network Security – www.istudy.vn
  52. DNS Cache Poisoning What is IP of istudy.vn? Query for DNS Info Query for DNS Info 1 2 5 DNS Cache của User được 3 User 6 cập nhật IP của Website giả Internal DNS Authoritative Server for istudy.vn Bị chuyển hướng tới Website giả 4 Website giả Attacker Rogue DNS Institute of Network Security – www.istudy.vn
  53. Phòng thủ DNS Spoofing Phân giải tất cả các DNS query vào Local DNS Server 1 Block các DNS Request tới External DNS Server 2 3 Triển khai DNSSEC Cấu hình cho người dùng một Port ngẫu nhiên làm Source 4 Port (nằm trong khoảng định sẵn) cho mỗi gói query gửi đi Cấu hình Firewall loại bỏ các gói tin DNS đi ra Externel DNS 5 Server Hạn chế sử dụng dịch vụ DNS, bằng cách phân quyền cho 6 User Sử dụng cách hạn chế tần suất DNS Non-Existent Domain 7 (NXDOMAIN) Institute of Network Security – www.istudy.vn
  54. Sniffing Tool MAC DHCP ARP Attack Attack Poisoning Spoofing DNS Sniffing Attack Poisoning Tool Institute of Network Security – www.istudy.vn
  55. Sniffing Tool: Wireshark • Tool miễn phí dùng để bắt các gói tin trên giao diện mạng của máy tính. • Wireshark có thể bắt được hầu hết các gói tin trong mạng hiện nay như Ethernet, 802.11, PPP/HDLC, ATM, Bluetooth, Token Ring, Frame Relay, FDDI, Attacker Wireshark Tool Network Victim Institute of Network Security – www.istudy.vn
  56. Sniffing Tool: Wireshark Institute of Network Security – www.istudy.vn
  57. Sniffing Tool: Wireshark Follow TCP Stream Institute of Network Security – www.istudy.vn
  58. Sniffing Tool: Wireshark Filter 1 Hiển thị tất cả các TCP Reset tcp.flags.reset==1 Hiển thị tất cả các gói HTTP GET http.request 2 Hiển thị tất cả các gói TCP có từ tcp contains 3 ‘traffic’ traffic Hiển thị tất cả các gói UDP trong đó udp contains có giá trị Hexa 0x33 0x27 0x58 33:27:58 4 Hiển thị tất cảc cá phiên truyền lại tcp.analysis. 5 trong quá trình truyền tin retransmission Institute of Network Security – www.istudy.vn
  59. Sniffing Tool: Cain & Abel Institute of Network Security – www.istudy.vn
  60. Tóm lược bài học • Sniffing là phương thức nghe lén các gói tin trên mạng. • Phương thức sử dụng trong Sniffing rất đa dạng: DHCP Attack, ARP Poisoning, DNS Poisoning, Spoofing, • Phòng chống Sniffing bằng một số phương thức bảo mật như: DHCP Snooping, DAI, IP Source Guard, DNSSEC, Institute of Network Security – www.istudy.vn