Tờ báo cá nhân dành cho tuổi học trò!

Để có thể ngăn chặn các cuộc tấn công mạng thì trước hết phải biết được các kiểu tấn công mạng, đặc điểm của từng kiểu, từ đó mới có giải pháp xử lý. Bài viết này nêu lên một cách thức phân loại các kiểu tấn công mạng, đó là: tấn công do thám, tấn công truy cập và tấn công từ chối dịch vụ.

Tấn công do thám (Reconnaissance attack):
Nếu như kẻ trộm trước khi đột nhập nhà gia chủ thì trước hết hắn ta phải đi thăm dò, quan sát ngôi nhà, đường đi lối lại, các điểm sơ hở. Tương tự như vậy đối với cuộc tấn công mạng kiểu thăm dò, kẻ tấn công sẽ thu thập thông tin về hệ thống định tấn công (nạn nhân), các dịch vụ đang chạy, các lỗ hổng. Các công cụ mà kẻ tấn công thường sử dụng trong kiểu tấn công này là công cụ chặn bắt gói tin (packet sniffer) và bộ quét cổng (port scannner).

Tấn công truy cập (Access attack)
Tấn công truy cập thường khai thác các lỗ hổng của hệ thống nạn nhân. Các lỗ hổng này thường là: lỗ hổng trong các dịch vụ xác thực, dịch vụ FTP, dịch vụ web. Sau khi khai thác lỗ hổng, kẻ tấn công sẽ có quyền truy cập vào tài khoản web, database và các dữ liệu nhạy cảm khác. Kiểu tấn công này thường rất đa dạng về hình thức nhưng có điểm chung là kẻ tấn công thường dùng từ điển để đoán mật khẩu.

Tấn công từ chối dịch vụ (DoS)
Kiểu tấn công này chắc nhiều bạn đã biết. Cách thức là kẻ tấn công gửi một số lượng cực lớn các yêu cầu, vượt quá năng lực xử lý của hệ thống nạn nhân, làm cho hệ thống đó ngừng hoạt động. Và do vậy nó không thể phục vụ cho các yêu cầu từ các client hợp lệ.
Ngoài cách trên, kẻ tấn công còn có thể khai thác các lỗ hổng của các chương trình ứng dụng để làm cho ứng dụng ngừng hoạt động.
Trong các bài viết sau mình sẽ đề cập chi tiết từng kiểu tấn công ở trên

nktung
WHITEHAT.VN

TẤN CÔNG DO THÁM VÀ PHÒNg CHỐNG

1. Tấn công do thám
Là hình thức tấn công nhằm thu thập các thông tin về hệ thống mục tiêu, từ đó phát hiện ra các điểm yếu. Tấn công do thám thường để làm bàn đạp cho cuộc tấn công truy cập hoặc tấn công từ chối dịch vụ về sau.
Cách thức mà kẻ tấn công tiến hành như sau: đầu tiên dùng kỹ thuật ping sweep để kiểm tra xem hệ thống nạn nhân đang có những địa chỉ IP nào đang hoạt động. Sau đó kẻ tấn công sẽ kiểm tra những dịch vụ đang chạy, những cổng đang mở trên những địa chỉ IP tìm thấy ở trên. Công cụ mà kẻ tấn công thường sử dụng ở bước này là Nmap, ZenMap.
Sau khi xác định được những cổng đang mở, kẻ tấn công sẽ gửi các truy vấn tới các cổng này để biết được thông tin về các phần mềm, hệ điều hành đang chạy. Sau khi có trong tay các thông tin này, kẻ tấn công sẽ tìm cách khai thác các lỗ hổng đang tồn tại trên hệ thống đó. Kẻ tấn công có kinh nghiệm sẽ lựa chọn thời điểm phù hợp để thực hiện việc khai thác lỗ hổng để tránh bị phát hiện.
Để tấn công thăm dò, hacker thường dùng các công cụ:
- Truy vấn thông tin Internet
- Ping sweep
- Port Scan
- Packet sniffer

Truy vấn thông tin Internet
Khi hacker muốn tấn công mạng một tổ chức, một công ty, đầu tiên hắn ta sẽ tìm hiểu xem tổ chức hay công ty đó có sở hữu website có tên miền là gì. Sau đó hacker sẽ sử dụng các công cụ tìm kiếm để truy vấn các thông tin về chủ sở hữu tên miền, địa chỉ (địa lý) gắn với tên miền đó. Thêm nữa, có thể truy ra ai đang sở hữu địa chỉ IP và tên miền đang gắn với địa chỉ IP này. Ví dụ một bài viết giúp bạn hình dung rõ hơn về việc này: Lần theo dấu vết kẻ lừa đảo ăn cắp thẻ cào

Ping sweep and port scan
Là 2 công cụ dùng để phát hiện lỗ hổng trên các thiết bị và hệ thống. Các công cụ này sẽ kiểm tra thông tin về địa chỉ IP, cổng, hệ điều hành, phiên bản hệ điều hành, dữ liệu trên cổng TCP và UDP. Kẻ tấn công sử dụng các thông tin này cho mục đích tấn công.
Ping sweep là kỹ thuật quét một dải địa chỉ IP để phát hiện xem có thiết bị nào đang sở hữu địa chỉ IP trong dải đó. Công cụ ping sweep sẽ gửi gói tin ICMP echo request tới tất cả các địa chỉ IP trong dải và chờ đợi gói tin ICMP echo reply phản hồi từ các thiết bị.
Port scan là công cụ quét cổng. Mỗi dịch vụ chạy trên máy đều gắn với một cổng (well-known port). Công cụ quét cổng sẽ quét một dải các cổng để phát hiện xem cổng nào đang lắng nghe yêu cầu. Nguyên lý là gửi bản tin đến cổng và chờ đợi phản hồi. Nếu có phản hồi từ cổng nào đó tức là cổng đó đang được sử dụng.
Kẻ tấn công sẽ sử dụng kết hợp các công cụ trên theo nguyên lý: đầu tiên truy vấn thông tin trên Internet để lấy thông tin về địa chỉ IP của tên miền mà hắn muốn tấn công. Tiếp đó dùng công cụ ping sweep để quét tìm các máy đang hoạt động. Tiếp theo sử dụng công cụ port scan để lấy được thông tin về các cổng và dịch vụ đang hoạt động trên các máy. Sau đó kẻ tấn công tiếp tục rà soát các dịch vụ này để tìm ra những điểm yếu có thể khai thác. Công cụ hiện đang được ưa chuộng là Nexpose - Rapid7

Một bài viết giúp bạn dễ hình dung: Quá trình một kẻ tấn công thực hiện hành vi hack

Packet Sniffer
Là một công cụ cho phép cấu hình card mạng ở chế độ hỗn độn (promiscuous mode), là chế độ có thể chặn bắt các gói tin bất kỳ chạy trên mạng LAN. Với công cụ này, kẻ tấn công có thể bắt các gói tin đang được gửi qua lại trên mạng LAN và phân tích. Nếu gói tin không được mã hóa thì kẻ tấn công sẽ dễ dàng đọc được nội dung.
Tình huống ở đây có thể là một nhân viên IT bất mãn với sếp, anh ta muốn dò la các thông tin từ máy tính của sếp. Bằng cách sử dụng công cụ packet sniffer, anh ta có thể chặn bắt các gói tin được gửi trong mạng LAN và lọc ra gói tin có địa chỉ nguồn từ máy của sếp, sau đó đọc nội dung.
Một điều lưu ý ở đây là để có thể chặn bắt gói tin, máy của kẻ tấn công phải nằm cùng subnet với hệ thống nạn nhân hoặc chiếm được quyền quản lý thiết bị switch.
Một công cụ Sniffer thường được sử dụng là wireshark. Bạn có thể tham khảo tại bài viết: Wireshark

2. Cách phòng chống tấn công do thám
Trong thực tế cuộc sống, nếu người bảo vệ phát hiện một kẻ thường xuyên qua lại rình mò trước căn biệt thự của một đại gia chủ thì sẽ nghi vấn và cảnh giác. Tương tự như vậy với hệ thống mạng. Bạn cần có hệ thống phát hiện và ngăn chặn xâm nhập. Hệ thống này nếu thấy số lượng các gói tin ICMP echo request/s nhiều bất thường (do ping sweep) thì sẽ cảnh báo đến người quản trị (admin). Khi admin nhận được thông tin cảnh báo, sẽ rà soát lại hệ thống:
- Xác minh và quyết định việc ngăn chặn kết nối từ các IP do thám.
- Tắt những dịch vụ không cần thiết.
- Update các bản vá lỗi cho hệ điều hành và ứng dụng.
- Thay đổi mật khẩu quản trị nếu thấy cần thiết.
Còn nếu việc do thám xuất phát từ một máy tính nội bộ thì ngay từ khi xây dựng hệ thống mạng, admin cần nghĩ đến các giải pháp như:
- VLAN: nhóm các máy tính của các phòng ban vào các VLAN khác nhau
- Củng cố an ninh trên các thiết bị mạng (sẽ đề cập ở các bài viết sau) để tránh bị chiếm quyền điều khiển.
- Mã hóa thông tin nhạy cảm trước khi gửi đi.
Những bài viết sau mình sẽ đề cập tới hình thức tấn công truy cập và tấn công từ chối dịch vụ

nktung
WHITEHAT.VN

TẤN CÔNG TRUY CẬP VÀ PHÒNG TRÁNH

1. Tấn công truy cập
Hacker sử dụng kiểu tấn công này để thực hiện 3 mục đích đó là: truy cập vào dữ liệu, chiếm đoạt quyền truy cập và leo thang đặc quyền. Cách thức thực hiện của kiểu tấn công này là dò tìm mật khẩu. Để dò tìm mật khẩu, có thể sử dụng phương pháp brute-force, dùng Trojan, giả mạo địa chỉ IP, chặn bắt gói tin (packet sniffer). Tuy nhiên cách thức thông dụng đó là brute-force có sử dụng từ điển.
Khi thực hiện brute-force, hacker thường dùng phần mềm có thể chạy trên hệ thống mạng để cố gắng đăng nhập đến các tài nguyên dùng chung, ví dụ như các máy chủ web. Nếu login thành công, hacker sẽ để lại backdoor/trojan để có thể truy cập từ xa đến máy nạn nhân, cho dù nạn nhân có thay đổi mật khẩu hoặc update hệ thống.
Có thể liệt kê 4 kiểu tấn công truy cập:
- Tấn công mật khẩu: tìm cách lấy hoặc đoán mật khẩu truy cập của nạn nhân. Kỹ thuật thường dùng là:
+ Tấn công từ điển (dựa vào 1 danh sách các mật khẩu có sẵn)
+ Cài trojan lên máy tính của nạn nhân để bắt phím, sau đó gửi về cho kẻ tấn công
+ Chặn bắt gói tin để đọc trộm nội dung có chứa mật khẩu
- Tấn công lợi dụng sự tin cậy giữa các hệ thống (trust exploitation):
Hacker muốn tấn công vào hệ thống B nhưng B phòng thủ chặt nên không thực hiện được. Tuy nhiên hệ thống B lại tin tưởng A. Vì vậy Hacker chuyển hướng tấn công vào A trước, chiếm đoạt quyền điều khiển và dùng A làm bàn đạp để tấn công B.
Một biến thể của kiểu tấn công này là chuyển hướng cổng (port redirection). Trong kiểu tấn công này, sau khi chiếm quyền điều khiển A, hacker sẽ cài đặt công cụ xâm nhập lên A. Công cụ này đứng giữa để thực hiện công việc chuyển hướng các phiên truy cập xuất phát từ hacker đến B. Vì nếu không thực hiện điều này, tức nếu hacker truy cập thẳng đến B, thì tường lửa sẽ chặn.

- Tấn công kiểu kẻ đứng giữa:
Giống như câu chuyện một cậu bé lười học ở trường, thầy hiệu trưởng gửi thư phàn nàn về cho gia đình và nhờ cậu chuyển bức thư đó. Cậu bé đã thay đổi nội dung bức thư thành lời khen ngợi của hiệu trưởng và chuyển về cho bố mẹ. Bố mẹ cậu gửi lại bức thư cám ơn thầy hiệu trưởng đã quan tâm và nhờ cậu chuyển lại cho thầy. Cậu bé đã đứng giữa và thay đổi nội dung của sự việc.
Tương tự như vậy kẻ tấn công sẽ đóng vai trò như cậu bé trong câu chuyện trên và từ đó có thể làm thay đổi nội dung, đọc trộm thông tin của phiên truyền thông từ máy nguồn đến máy đích.

- Tấn công tràn bộ đệm

2. Phòng chống tấn công truy cập
Cách thức chung là phải xem nhật ký hệ thống, tình trạng sử dụng băng thông và các tiến trình đang chạy chiếm tài nguyên hệ thống như thế nào.
- Với kiểu tấn công vào mật khẩu:
+ Đặt mật khẩu mạnh. Không sử dụng mật khẩu ở dạng bản rõ cả khi lưu trữ hoặc truyền trên mạng
+ Trong các khuyến nghị về chính sách an ninh mạng, đều yêu cầu phải ghi lại nhật ký hệ thống. Bằng cách xem xét các bản ghi nhật ký, admin có thể biết được các thông tin về số lần truy cập không thành công. Nếu phát hiện từ một địa chỉ IP có số lần truy cập không thành công vượt quá giới hạn cho phép thì đây rất có thể là do tấn công vào mật khẩu. Ví dụ về việc phân tích nhật ký hệ thống để phát hiện tấn công mật khẩu. Để xử lý, admin cần cấu hình giới hạn về số lần đăng nhập, ví dụ trong bài viết này.
- Với kiểu tấn công lợi dụng sự tin cậy, admin cần giảm thiếu việc cấu hình trust giữa các hệ thống. Ví dụ, khi bạn dùng trình duyệt IE trên máy chủ Windows Server, mỗi khi bạn vào một website thì IE đều hỏi bạn xem có trust cái site đó không. Bạn hãy cân nhắc kỹ trước khi đưa website đó vào danh mục Trust bởi vì nếu máy chủ web đó bị khống chế bởi hacker thì bạn sẽ gặp nguy cơ.
- Với kiểu tấn công Man In The Middle: vì kẻ đứng giữa cần cần nhân bản dữ liệu mà hắn chặn bắt, do vậy sẽ tiêu tốn nhiều băng thông. Admin cần có công cụ giám sát băng thông để phát hiện ra việc này. Ví dụ về các phần mềm giám sát hoặc phần mềm giám sát băng thông
- Với kiểu tấn công tràn bộ đệm, bạn cần có công cụ giám sát trạng thái của các tiến trình đang chạy trong hệ thống, ví dụ 2 công cụ Event Viewer kết hợp với Perfomance Monitor trên Windows.

nktung
WHITEHAT.VN

TẤN CÔNG TỪ CHỐI DỊCH VỤ VÀ TỪ CHỐI DỊCH VỤ PHÂN TÁN

1. Tấn công từ chối dịch vụ - DoS (Denial of Service)
Tấn công từ chối dịch vụ có mục tiêu là làm ngưng trệ hoạt động của dịch vụ, thiết bị hoặc các ứng dụng đang chạy. Một ví dụ điển hình cho kiểu tấn công DoS này là kẻ tấn công sẽ gửi đến máy chủ web lượng dữ liệu khổng lồ, làm nghẽn băng thông đến máy chủ, khiến cho các máy client khác không thể truy cập đến máy chủ này.
Ngoài ra một kiểu tấn công DoS khác làm tiêu tốn tài rất nhiều tài nguyên hệ thống máy chủ, dẫn đến việc máy chủ không còn khả năng đáp ứng dịch vụ. Kiểu tấn công này xảy ra do hacker hiểu rằng các máy tính khi muốn kết nối với nhau thì phải thực hiện các bước bắt tay theo quy định của giao thức truyền thông. Tuy nhiên kẻ tấn công không thực hiện các thủ tục này theo cách thông thường mà thực hiện theo cách bất thường . Điều này khiến máy nạn nhân tiêu tốn rất nhiều tài nguyên (RAM để lưu trữ thông tin kết nối, CPU để tính toán thời gian time-out) và do đó không thể đáp ứng các yêu cầu từ các client hợp lệ khác.
Tấn công từ chối dịch vụ làm mất tính sẵn sàng của mạng, máy và ứng dụng. Nó được coi làm mối nguy hại lớn bởi vì một kẻ tấn công non tay cũng có thể thực hiện được và gây ra những thiệt hại đáng kể đối với tổ chức.
2. Tấn công từ chối dịch vụ phân tán - DDoS (Distributed Denial of Service)
Khác với DoS ở chỗ có nhiều nguồn tấn công ở nhiều nơi khác nhau đến một nạn nhân. Điều này làm cho nạn nhân chống đỡ khó khăn hơn nhiều lần. Cách thức kẻ tấn công thực hiện DDoS thường là:
B1. Dò quét lỗ hổng và từ đó chiếm quyền điều khiển máy chủ dịch vụ nào đó.
B2. Cài đặt zoombie trên các máy chủ này
B3. Khi client kết nối tới máy chủ, Zoobie sẽ lây nhiễm vào các máy client
B4. Zoombie trên các máy client sẽ tự động tải về các công cụ của hacker. Nhờ đó hacker có thể điều khiển các máy client từ xa nhằm thực hiện các hành vi tấn công. Các hành vi có thể là: gửi thư rác, tấn công từ chối dịch vụ phân tán, phát tán mã độc, thao túng bầu cử trực tuyến, tấn công các mạng chat IRC.
3. Các dấu hiệu bị tấn công
Khi bị tấn công DoS, triệu chứng thường gặp là:
- Băng thông, CPU, ổ đĩa hoạt động mức độ cao
- Hỏng cấu hình hệ thống, ví dụ cấu hình định tuyến
- Thông tin về kết nối bị mất, ví dụ các phiên TCP hết hạn
- Một số thiết bị mạng ngừng hoạt động
- Việc truyền thông rất chậm
Để sớm nhận biết các cuộc tấn công DoS, cần có phần mềm giám sát băng thông mạng. Khi người quản trị phát hiện băng thông mạng tăng đột biến, hoặc các dấu hiệu hoạt động bất thường của các thành phần mạng, đó có thể là do cuộc tấn công DoS. Một số phần mềm giám sát khác, bạn có thể xem tại bài viết này.
Một ví dụ về tấn công DoS: một máy tính trong mạng LAN, khi đó số lượng gói tin qua router trong một đơn vị thời gian sẽ tăng đột biến. Không chỉ có máy tính bị DoS mà cả hệ thống mạng cũng sẽ bị ảnh hưởng. Mở rộng vấn đề, nếu quy mô của cuộc tấn công càng lớn thì có thể làm ảnh hưởng đến việc truy cập mạng cả một khu vực.

nktung
WHITEHAT.VN