Các tấn công và cách phòng chống về mạng ?

Các cách tấn công và phòng chống tấn công ARP (address resolution protocol)



1.MAC, ARP là gì?

Mỗi thiết bị mạng đều có một địa chỉ MAC (Medium Access Control address) và địa chỉ đó là duy nhất. Các thiết bị trong cùng một mạng thường dùng địa chỉ MAC để liên lạc với nhau tại tầng Data Link.

Các thiết bị thường dùng cơ chế ARP (Address Resolution Protocol) và RARP (Reverse Address Resolution Protocol) để biết được các địa chỉ MAC, IP của các thiết bị khác



2. Quá trình ARP

HostA và HostB truyền tin cho nhau, các packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host sẽ phải đóng gói MAC nguồn, MAC đích vào frame. Như vậy trước khi quá trình truyền dữ liệu xảy ra, 2 máy sẽ phải làm động tác hỏi MAC của nhau.

Nếu mà HostA khởi động quá trình hỏi MAC trước, nó broadcast gói tin ARP request để hỏi MAC HostB, thì HostB coi như đã có MAC của HostA, và HostB chỉ trả lời cho A MAC của HostB thôi (gói tin trả lời từ HostB là ARP reply).



3. Làm thế nào để tấn công bằng ARP



Giả sử ta có mạng Lan như mô hình trên gồm các host

Attacker: là máy hacker dùng để tấn công ARP attack

IP: 10.0.0.11

Mac: 0000:0000:0111



HostA

IP: 10.0.0.09

MAC: 0000:0000:0109



HostB

IP: 10.0.0.08

MAC: 0000:0000:0108



Victim: là máy bị tấn công ARP attack

IP: 10.0.0.10

MAC: 0000:0000:0110



Attacker muốn thực hiện ARP attack đối với máy Victim. Attacker muốn mọi gói tin HostA truyền tới máy Victim đều có thể chụp lại được để xem trộm. Làm thế nào để Attacker có thể hiện được điều đó?



Đầu tiên, HostA muốn gởi dữ liệu cho Victim. HostA cần phải biết địa chỉ MAC của Victim để liên lạc. HostA sẽ gửi broadcast ARP Request tới tất cả các máy trong cùng mạng Lan để hỏi xem IP 10.0.0.10 (IP của Victim) có địa chỉ MAC là bao nhiêu.

HostB, Attacker, Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim là gửi lại gói tin ARP Reply lại cho HostA. ARP Reply chứa thông tin về IP của Victim, MAC Victim, MAC HostA

Sau khi nhận được gói tin ARP Reply từ Victim, HostA đã biết được địa chỉ MAC của Victim. HostA bắt đầu thực hiện liên lạc, truyền dữ liệu tới Victim. HostB, Attacker không thể xem nội dung dữ liệu được truyền giữa 2 máy HostA và Victim



Attacker muốn xem dữ liệu truyền giữa HostA và Victim. Attacker sử dụng kiểu tấn công ARP Spoof. Attacker thực hiện gửi liên tục ARP Reply chứa thông tin về IP Victim, MAC Attacker, MAC HostA. Ở đây, thay vì là MAC Victim, Attacker đã đổi thành địa chỉ MAC của mình.

HostA nhận được ARP Reply và nghĩ là IP Victim 10.0.0.10 sẽ có địa chỉ MAC là 0000:0000:0111 ( MAC của Attacker). HostA lưu thông tin này vào bảng ARP Cache.

Bây giờ mọi thông tin, dữ liệu HostA gửi tới 10.0.0.10 (Victim), Attacker đều có thể nhận được, Attacker có thể xem tòan bộ nội dung HostA gửi cho Victim



Attacker còn có thể kiểm sóat tòan bộ quá trình liên lạc giữa HostA và Victim thông qua ARP Attack

Attacker thường xuyên gửi các gói tin ARP Reply chứa địa chỉ IP của HostA và Victim nhưng có địa chỉ MAC là của Attacker.

HostA nhận được gói tin này thì cứ nghĩ Victim sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)

Victim nhận đươc gói tin này thì cứ nghĩ HostA sẽ có địa chỉ MAC là 0000:0000:0111 (MAC của Attacker)

Mọi thông tin trao đổi giữa HostA và Victim, Attacker đều có thể nhận được. Như vậy là Attacker có thể biết được nội dung trao đổi giữa HostA và Victim



Sau khi bị tấn công ARP attack, sẽ rất nguy hiểm cho người dùng vì mọi thông tin trao đổi của họ đều bị lộ, nhất là những thông tin đó là quan trọng, cần phải giữ bí mật



4.Giới hạn và điểm yếu của kiểu tấn công ARP Spoof:

- Chỉ có những máy nằm trong cùng đường mạng với máy Attacker mới bị tấn công. Các máy nằm khác mạng sẽ không thể bị tấn công bằng hình thức này vì

+ Trong cùng một đường mạng LAN, các máy sẽ thực hiện trao đổi dữ liệu với nhau dựa vào địa chỉ MAC . HostA muốn trao đổi dữ liệu với HostB. HostA sẽ dò tìm trong bảng ARP cache xem IP của HostB sẽ có địa chỉ MAC tương ứng là gì. HostA đóng gói dữ liệu cần truyền với MAC nguồn là MAC HostA, MAC đích là MAC HostB. Sau đó HostA sẽ truyền dữ liệu tới HostB dựa vào MAC đích của gói tin

+ Trong trường hợp HostA, HostB khác đường mạng muốn liên lạc với nhau, ta phải dựa vào địa chỉ IP để truyền dữ liệu và phải thông qua một thiết bị định tuyến, đó là router. HostA sẽ đóng gói dữ liệu cần truyền với MAC nguồn là HostA, MAC đích là router. Gói tin đó sẽ được truyền đến router, router sẽ dựa vào địa chỉ IP đích (IP HostB)và dò tìm trong bảng định tuyến nhằm xác định con đường đi đến HostB. Router có khả năng ngăn chặn các gói tin broadcast

- Hình thức tấn công này không thể thực hiện được trong mạng WAN, trên Internet mà chỉ thực hiện được trên cùng mạng LAN


5. Một số chương trình tấn công bằng ARP


ARP0c

http://www.l0t3k.org/security/tools/arp/


WinArpSpoofer

http://www.nextsecurity.net/


Ettercap

http://ettercap.sourceforge.net/

Collect from Internet

Dùng lệnh:
+ ipconfig /all xem MAC của mình
+ arp -a xem bảng ARP trên máy mình, kiểm tra MAC của B có phải đúng là MAC B hay không.
+ arp -d * xóa toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị tấn công cũng mất, và máy tính sẽ bắt đầu học lại. Nhưng nếu máy tấn công vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô ích
+ arp -s gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không đầu độc được IP này nữa. Nhưng việc này không khả thi cho mạng lớn, nhiều máy tính, và có sự thay đổi IP (ví dụ dùng DHCP).

Dùng thiết bị:
Sử dụng switch có chức năng port secure (tham khảo tài liệu Cisco): chức năng này mục tiêu là để gắn cứng 1 hoặc 1 số MAC vào 1 port, như vậy máy tấn công không thể giả danh nhiều địa chỉ MAC được nữa.

Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông th­ường đ­ược sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên ng­ười sử dụng và mật khẩu. Đây là ph­ương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như­ tên ngư­ời dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Trong trư­ờng hợp có đư­ợc danh sách ng­ười sử dụng và những thông tin về môi trư­ờng làm việc, có một tr­ương trình tự động hoá về việc dò tìm mật khẩu này. Một chư­ơng trình có thể dễ dàng lấy đư­ợc từ Internet để giải các mật khẩu đã mã hoá của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do ng­ười dùng tự định nghĩa. Trong một số tr­ường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.

Phư­ơng pháp sử dụng các lỗi của ch­ương trình ứng dụng và bản thân hệ điều hành đã đư­ợc sử dụng từ những vụ tấn công đầu tiên và vẫn đ­ược tiếp tục để chiếm quyền truy nhập. Trong một số tr­ường hợp phư­ơng pháp này cho phép kẻ tấn công có đ­ược quyền của ng­ười quản trị hệ thống (root hay administrator).

Hai ví dụ thư­ờng xuyên đ­ược đ­ưa ra để minh hoạ cho phư­ơng pháp này là ví dụ với chư­ơng trình sendmail và ch­ương trình rlogin của hệ điều hành UNIX.

Sendmail là một ch­ương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail đư­ợc chạy với quyền ư­u tiên của ngư­ời quản trị hệ thống, do ch­ương trình phải có quyền ghi vào hộp thư­ của những ng­ười sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư­ tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.

Rlogin cho phép ngư­ời sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của ngư­ời sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đ­ưa vào một xâu đã đư­ợc tính toán trư­ớc để ghi đè lên mã chư­ơng trình của rlogin, qua đó chiếm đ­ược quyền truy nhập.

Nghe trộm

Việc nghe trộm thông tin trên mạng có thể đư­a lại những thông tin có ích như­ tên, mật khẩu của ng­ười sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm th­ường đ­ược tiến hành ngay sau khi kẻ tấn công đã chiếm đư­ợc quyền truy nhập hệ thống, thông qua các ch­ương trình cho phép đ­ưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin l­ưu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet.

Giả mạo địa chỉ

Việc giả mạo địa chỉ IP có thể đ­ược thực hiện thông qua việc sử dụng khả năng dẫn đư­ờng trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thư­ờng là địa chỉ của một mạng hoặc một máy đ­ược coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.

Vô hiệu các chức năng của hệ thống

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những ph­ương tiện đ­ược tổ chức tấn công cũng chính là các phư­ơng tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác.

Lỗi của người quản trị hệ thống

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của ng­ười quản trị hệ thống th­ường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.

Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một ng­ười quản trị hệ thống, giả làm một ng­ười sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các ph­ương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tư­ợng đáng nghi. Nói chung yếu tố con ng­ười là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía ng­ười sử dụng có thể nâng cao đ­ược độ an toàn của hệ thống bảo vệ.