Kẻxâm nhập (Intruder)
Thường gọi là tin tặc(hacker), cracker /buglar (đạo chích)
Kẻtrộm/đánh cắp thông tin (Information Theft)
Cybercrime (tội phạm mạng), Compromiser (kẻgây hại)
Lỗhổng an ninh (Security hole), điểm yếu (Vulnerability), khiếm khuyết (Flaw)
Rủi ro (risk)
Đe dọa (Threat), Tấn công (Attack)
Lỗi khi thiết kế: không lường trước khảnăng
Điểm yếu tiềm ẩn: luôn có trong mọi hệthống
Lỗi khai thác: cấu hình không chặt chẽ, lỗi khi hoạt độn
58 trang |
Chia sẻ: mamamia | Lượt xem: 2331 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Bài giảng Các kỹ thuật tấn công, xâm nhập hệ thống, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
PGS. TSKH. Hoàng Đăng Hải
Học viện Công nghệ Bưu chính Viễn thông (PTIT)
Email: hoangdanghai@hn.vnn.vn
2012
Các kỹ thuật tấn công,
xâm nhập hệ thống
Sự phát triển của tấn công mạng
Xu thế
Kết hợp worms, viruses
và DDoS
Tống tiền, Tin tặc
Các tấn công trên 10
Gbps, tập đoàn Botnet
với 150,000+ node
Thiếu trí tuệ trong quản
lý mạng “cloud” khiến chi
phí tăng nhanh
Từ bỏ băng thông khi
giải quyết vấn đề là quá
lãng phí và tốn kém
Một số khái niệm
Kẻ xâm nhập (Intruder)
Thường gọi là tin tặc (hacker), cracker /buglar (đạo chích)
Kẻ trộm/đánh cắp thông tin (Information Theft)
Cybercrime (tội phạm mạng), Compromiser (kẻ gây hại)
Lỗ hổng an ninh (Security hole), điểm yếu (Vulnerability), khiếm khuyết (Flaw)
Rủi ro (risk)
Đe dọa (Threat), Tấn công (Attack)
Lỗi khi thiết kế: không lường trước khả năng
Điểm yếu tiềm ẩn: luôn có trong mọi hệ thống
Lỗi khai thác: cấu hình không chặt chẽ, lỗi khi hoạt động
Thường dùng để chỉ cùng 1 hành vi xâm hại đến an ninh hệ thống
Biện pháp an ninh (Security measure), cơ chế an ninh (security mechanism)
Dịch vụ an ninh (Security service)
Biện pháp/cơ chế để phát hiện, ngăn ngừa, phòng chống, sửa chữa
Dịch vụ tăng cường an ninh cho hệ thống xử lý và truyền tải thông tin thông qua
các biện pháp an ninh
risk = threat x vulnerability x asset value
Phân loại tấn công mạng
Joking
Hacker: data stealing / spy / military spy
Company Competition: business plan/strategy.
Competitor destruction
Product Advertisement
Avenger
Terrorism
Account hacking / Bank robber
…
Mục tiêu tấn công
• Giả mạo (fabrication) - destroys authenticity of source
• (Sửa đổi) modification - destroys integrity of information
• Ngăn chặn (interception) - of information (traffic), breaches confidentiality
• Gián đoạn (interruption) - of service
Loại tấn công
Examples
Happy Christmas 1987: in IBM network. Email sent to everybody with addresses found
in addressbook ⇒ Network deadlock
Internet Worm 1989: in Security Center of DoD. Unix Shell Attack.
Security Attacks
ấy nội dung bản tin
ượng: theo dõi chu kỳ, chiều dài bản tin,
đoán mã kênh truyền
ệ thống
Passive
Nghe lén (Eavesdropping): lén l
Phân tích lưu l
kể cả phỏng
Phân tích thông tin h
Active
Giả danh (Masquerade): Darth giả danh Bob
Replay: bắt giữ, giả mạo và chuyển tiếp bản tin
Sửa đổi bản tin
Ngăn chặn dịch vụ
5 giai đoạn của quá trình phá hoại
• Trinh sát (Reconnaissance)
Tin tặc khảo sát máy nạn nhân và các dịch vụ trong một
khoảng thời gian dài sử dụng các lưu lượng như hoạt
động bình thường của máy.
Tìm cách thiết lập kết nối, khai thác thông tin máy tính, dịch vụ
Dò tìm điểm yếu trong hệ thống và các ứng dụng.
• Khai thác (Exploitation)
Quá trình lợi dụng, biến đổi, làm sai lệch hoạt động của các dịch
vụ trên máy nạn nhân. Biến đổi dịch vụ kéo theo thay đổi chế độ
hoạt động và điều kiện truy nhập.
• Tăng cường (Reinforcement)
Giai đoạn tin tặc giành quyền truy nhập trái phép, tăng cường
khả năng truy nhập, sử dụng công cụ để truy xét nạn nhân,
che dấu hành vi...
• Củng cố (Consolidation)
Tin tặc tạo ra cửa hậu, trao đổi thông tin qua cửa hậu,
giành toàn bộ quyền điều khiển.
• Tàn phá (Pillage)
Giai đoạn thực hiện kế hoạch phá hoại: đánh cắp thông tin nhạy cảm,
tạo bàn đạp tiến sâu vào mạng người dùng, thực hiện các ý đồ định
sẵn...
Phần mềm mã độc (Malicious Software)
• Các nguy cơ/điểm yếu: được khởi
động bởi 1 trigger (không lây lan)
• Các phần mềm tự sinh (tự tạo các
bản copy = lây lan)
Cửa sau hoặc cửa sập (Backdoor or Trapdoor)
• Xuất phát điểm vào bí mật tới một chương trình
• Cho phép một kỹ thuật viên thành thạo truy cập vào hệ thống mà không cần
thực hiện các thủ tục an toàn thông thường.
• Thường sử dụng cho mục đích gỡ rối, kiểm thử phần mềm khi phát triển.
• Trở thành nguy cơ khi vẫn để tồn tại lại trong sản phẩm phần mềm.
Bom logic
• Một trong những phần mềm có hại kiểu cổ điển
• Code được nhúng trong chương trình hợp pháp, được kích hoạt khi gặp
điều kiện xác định
– Có mặt hoặc vắng mặt một số file
– Ngày tháng/thời gian cụ thể
– Người sử dụng nào đó
• Khi kích hoạt thông thường làm hỏng hệ thống, Biến đổi/xoá file/đĩa, làm
dừng máy,…
Ngựa thành Tơ roa (Trojan Horse)
• Chương trình hữu ích, hấp dẫn (trò chơi, tiện ích, nâng cấp phần mềm,…)
• Chứa các đoạn mã ẩn với các tác động phụ được dấu kín
• Khi chạy thực hiện những nhiệm vụ bổ sung: Cho phép kẻ tấn công gián
tiếp dành quyền truy cập những gì không thể trực tiếp
• Thường sử dụng lan truyền virrus/sâu (worm) hoặc cài đặt cửa sau, hoặc
đơn giản phá hoại dữ liệu.
Zombie
• Là chương trình bí mật điều khiển máy tính khác của mạng Internet, sử
dụng nó để gián tiếp tiến hành các tấn công, che dấu máy tạo ra Zombie.
• Thường được sử dụng để tấn công từ chối dịch vụ (DDoS). Thường tạo
thành mạng gồm hàng trăm máy không bị nghi vấn, tấn công dồn dập
website mục tiêu qua việc gửi dồn dập yêu cầu lưu lượng.
• Thường khai thác các lỗ hổng trong các hệ thống nối mạng.
Viruses
• Là đoạn mã phần mềm có thể “lây nhiễm” sang các phần mềm khác qua
việc sửa đổi chúng.
• Sửa đổi phần mềm khác bao gồm việc copy đoạn mã virus vào và lây
nhiễm sang các chương trình khác.
• Giống virus sinh học, virus máy tính có thể sự sản sinh (replicated).
• Lan truyền, thực hiện mọi chức năng có thể (ví dụ phá hoại dữ liệu).
Hoạt động của virus
• Giai đoạn nằm chờ: nằm im chờ sự kiện kích hoạt (ví dụ ngày, chương
trình, dung lượng đĩa…).
• Giai đoạn lây lan: sao chép chính nó sang các chương trình khác /phần
khác của hệ thống.
• Giai đoạn kích hoạt: thực hiện chức năng gài sẵn khi có sự kiện xảy ra.
• Giai đoạn thực thi: thực hiện hành vi mong muốn. Đa số khai thác các đặc
trưng, điểm yếu chủ yếu của hệ thống cụ thể đang chạy.
Cấu trúc Viruses
program V :=
{goto main;
1234567;
subroutine infect-executable := {loop:
file := get-random-executable-file;
if (first-line-of-file = 1234567) then goto loop
else prepend V to file; }
subroutine do-damage := {whatever damage is to be done}
subroutine trigger-pulled := {return true if condition holds}
main: main-program := {infect-executable;
if trigger-pulled then do-damage;
goto next;}
next:
}
Các hình thái tấn công DDoS
Đột phá cục bộ theo dây chuyền
– Khai thác hệ điều hành, phá rối hoạt động server
Tiêu hủy tài nguyên cục bộ
– fork() bomb, fill disks, deep directory nesting
Từ chối cấp dịch vụ cho các máy trạm
– Gây các đột phá hoặc ngừng các dịch vụ quan trọng
Tạo các đột phá từ xa theo dây chuyền
– “magic” packets – ping of death, teardrop
Tiêu hủy tài nguyên từ xa
– syslog, SYN, fragment flood, UDP storm
Từ chối dịch vụ trên toàn mạng
– Nhắm tới các links sơ hở hoặc cơ sở hạ tầng thông tin trọng yếu
Điều khiển ngừng mạng từ xa
– Tấn công routers, DNS servers
– Lái tuyến – Giả mạo thông tin định tuyến
Gây nghẽn mạng từ xa
– Giả danh broadcasts – smurf, fraggle
– Điều khiển từ xa các máy tính gây hại – máy tính ma (“zombies”)
để phối hợp gây tràn - DDoS
Các tấn công chuyển hướng từ từng máy đơn
lẻ sang cơ sở hạ tầng mạng !
Các hình thái tấn công DDoS (2)
Các kỹ thuật gây rối của tấn công DDoS
Distributed attacks
– Điều khiển từ xa đội quân zombies
Các thử nghiệm mới đây cho thấy, một máy tính không có bảo vệ
trên Internet có thể bị tấn công trong vòng < 8 phút.
– Phản xạ IP
Gây rối trong vết kiểm chứng mạng
– Giả mạo/Nhái lại (Forged/”spoofed”) địa chỉ IP gốc
– Thay đổi tần suất tấn công (on/off)
– Nghi binh (Decoys)
Gây rối trong dấu hiệu tấn công
– Bắt chước lưu lượng hợp pháp (e.g. TCP ACK flood)
– Hóa trang với lưu lượng hợp pháp
Tất cả các kỹ thuật này nhằm bẻ gẫy mọi phương pháp
theo dấu vết kiểu thủ công và tránh các IDS thông dụng
Xu thế mới của DoS Attacks
Tấn công tràn dựa vào mạng
– Khi các lỗ hổng được vá, khó lòng tìm ra các host xung yếu
Nhái các mạng con cục bộ
– Các bộ lọc ingress / egress phổ biến hơn
Tấn công đường lưu lượng lên
– Nhắm tới các upstream routers & links
Đánh và chạy (Hit-and-run)
– Gây tràn sốc (pulsing / short-lived floods)
– Sử dụng nhiều đội quân zombie theo chu kỳ
Kỹ thuật phân tán
– Phân tán rộng khắp, các đội quân zombie rộng khắp
Gây rối trong dấu vết kiểm chứng mạng
– Thay đổi đặc tính một số giao thức ứng dụng – Tái lập các
truy vấn DNS, etc.
Biến đổi dấu hiệu tấn công
– Dùng address, protocol, port ngẫu nhiên
Tấn công định tuyến hạ tầng mạng
– Chặn cướp tuyến BGP route phục vụ khởi động tấn công
Tự động tuyển mộ thêm (automated conscription)
các đội quân zombie
– recent Internet worms and viruses
– Microsoft Outlook, IE, IIS, SMB
Xu thế mới của DoS Attacks (2)
Trình tự tấn công DDoS
A. Một lượng lớn máy tính bị hại
B. Tin tặc xác định được các máy có thể lợi dụng với các
kỹ thuật dò quét (scanners), etc.
C. Tin tặc truy nhập hệ thống với các công cụ từ xa:
exploits, sniffers, password cracking, worms, trojans
D. Tin tặc cài đặt các công cụ tấn công
E. Tin tặc ra lệnh từ xa cho các máy bị hại được tập hợp
để tấn công vào mục tiêu
Distributed DoS Attack (DDoS)
Phối hợp tấn công vào các Links và tài nguyên trọng yếu
DNS Tấn công vào hạ tầng định tuyến
Example: Smurf Attack
Reflector Network
SRC DST
3.3.3.100 2.2.2.255
SRC DST
2.2.2.* 3.3.3.100
ICMP Echo Request
3.3.3.100
2.2.2.*
ICMP Echo Replies
Target
1.1.1.100
Attacker
• Mô hình đơn giản: gửi các gói yêu cầu echo giả mạo ICMP tới các địa chỉ IP broadcast
trong một mạng tin cậy.
• Mọi hosts của mạng này gửi 1 trả lời ICMP tới địa chỉ IP giả mạo của nạn nhân
• Khi hầu như mọi máy của mạng phản hồi yêu cầu ICMP echo này, mạng bị tắc nghẽn
và tê liệt.
Ví dụ: TCP SYN Flood
SYN
S Y N
+ A C K
ACKClient Server
CLOSED CLOSED
SYN_SENT
ESTABLISHED
ESTABLISHED
SYN_RCVD
Tuần tự quá trình thiết lập 1 kết nối TCP (3-way handshake)
Ví dụ: TCP SYN Flood (cont.)
ServerAttacker
SYN
SYN
ACK
SYN
SYN
SYN
SYN
SYN
SYN
SYN
ACK
SYN
ACK
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
SYN_RCVD
Listen Queue
SYN_RCVD
• Nếu sau khi server gửi SYN + ACK response, client không gửi ACK response Æ half-open
connection
• Server tạo trong bộ nhớ một kiến trúc dữ liệu chứa mọi kết nối mởÆ Timeout
• Tin tặc gây ra memory overflow, khiến server crash hoặc không thể chấp nhận mọi kết nối mới
cho đến khi xóa hết bảng dữ liệu
• Vị trí giả danh IP trong hệ thống bị tấn công được che đậy, vì các địa chỉ nguồn trong các gói tin
SYN thường đều không rõ ràng. Khi gói tin đến hệ thống máy chủ nạn nhân, không có cách gì để
xác định ra nguồn gửi thực sự.
Các biện pháp phòng chống DDoS
Ingress / Egress filtering ( anti-spoofing )
Strict / Loose RPF (Reverse Path Forwarding)
Black lists / White lists
Policy based Filter
Rate limiting
ICMP etc..
Stateful defenses ( e.g. tcp intercept )
Patch vulnerable hosts and services
Provisioning and capacity planning
Packet filtering on provider side of WAN links
Xử lý, phản ứng với tấn công DDoS
Ba bước quan trọng:
Phát hiện
Xác định phương pháp của tin tặc và các tài
nguyên bị tác động.
Tìm cách cô lập vùng tài nguyên bị lợi dụng
Truy xét dấu vết
Xác định nguồn phát, đường đi, chặng
chuyển tiếp…
Giảm thiểu thiệt hại
Xác định lưu lượng nào cần chặn, tốt nhất
chặn ở đâu…
Các chiến lược giảm thiểu DDoS
• Unicast Reverse Path Forwarding (uRPF)
– Sử dụng uRPF chặt chẽ
– Chống giả mạo địa chỉ IP
– Tránh lạm dụng uRPF và BGP ở toàn bộ border routers
• Rate Limiting
– Hạn chế tốc độ lưu lượng tấn công: ICMP, UDP, TCP SYN
– Theo dõi các quy trình giao thức không bình thường!
– Đảm bảo chính sách QoS thông qua BGP (special community)
• ACL
– Lọc ra các lưu lượng tập trung vào một máy đích
• Tạo hố bẫy, đường tránh (Blackhole / Sinkhole / Shunt)
– Lọc từng cấp, tạo bẫy, truy vấn điều tra…
Ví dụ về giảm thiểu DDoS
Customer
Customer Portal
or Operator < back
Customer Portal
or Operator
Customer
Ví dụ về giảm thiểu DDoS
Customer
Customer Portal
or Operator
H ố
b ẫ
y
Ví dụ về giảm thiểu DDoS
Customer
Customer Portal
or Operator
H ố
b ẫ
y
A C
L /
H ạ
n c
h ế
t ố c
đ ộ
Ví dụ về giảm thiểu DDoS
Customer
Customer Portal
or Operator
B ộ
l ọ c
t h
ô n
g m
i n h
Xu thế kết hợp nhiều biện pháp tối ưu hơn !
H ố
b ẫ
y
A C
L /
H ạ
n c
h ế
t ố c
đ ộ
Ví dụ về giảm thiểu DDoS
DarkIP
• Các hành vi sử dụng Dark Address Space để gửi thông tin đến các vùng địa
chỉ IP dành cho việc khác, hoặc chưa được sử dụng.
• Việc sử dụng Dark Address Space xảy ra do một số nguyên nhân:
– Lập sai cấu hình Router
– Hành vi bất thường của một ứng dụng
– Lập sai cấu hình mạng
– Hành vi quét cổng trái phép
– Hành vi tấn công của Worm trên mạng…
• Lưu lượng tăng với Dark IP có thể biểu thị khả năng lan truyền Worm trên
mạng, hoặc hành vi quét mạng để tuyển mộ đội quân Zombie
• Dữ liệu tạo ra từ Dark IP thường được sử dụng để:
– Xác định dấu vết new zero day worms
– Xác định nguồn phát của worm
– Tạo ra danh dách các máy bị lây nhiễm
Ứng dụng DarkIP
Hành vi bất thường định trước và không định trước
Hành vi bất thường định trước biểu thị sai lệch mức lưu
lượng bình thường. Thường do tấn công gây ra. Hành vi
này cần được xem xét tiếp để xác định mức độ nguy hại.
Hành vi bất thường không định trước có thể xảy ra khi một
máy nào đó không tuân thủ các quy ước truyền thông. Lỗi
xảy ra có thể do tấn công, hoặc do lỗi mạng. Do đó cần
truy xét để tìm đúng nguyên nhân.
Các hành vi bất thường không định trước
• Đa số tin tặc sử dụng để tấn công một máy đích nào đó trên mạng.
• Các kiểu gói tin thường sử dụng:
– Syn floods, ICMP floods, IP fragments
• Các gói tin thường thuộc nhóm:
– IP Null, TCP Null, Private IP
Theo dõi hành vi bất thường
anomalies are usually
more likely to be
malicious
High severity protocol
anomalies for protocols
other than TCP
High severity incoming
anomalies towards a
single host
Graph shows a spike
in the traffic levels
Anomaly is high
severity with a very
high % of threshold
Botnets
• Tin tặc phát triển các công cụ phát tán tự động (sử dụng
botnets,…) cho phép chúng gửi các tấn công tới các
máy trung gian trong cùng 1 thời gian, làm tất cả các
máy trung gian gửi phản hồi trực tiếp tới 1 máy nạn
nhân.
• Tin tặc phát triển các công cụ để quan sát các router
trên mạng không sử dụng các bộ lọc để lọc broadcast
traffic, phát hiện các mạng cho phép nhiều máy cùng có
khả năng trả lời đồng thời. Các mạng này thường được
dùng làm trung gian cho các cuộc tấn công.
Dictionary Attack – cracking of
authentication passwords
• Các mật mã xác thực được chứa trong một file (trên Unix /
Windows), thường được mã hóa với một thuật toán chống phá
khóa (ví dụMD5) (Thuật toán một chiều).
• Người dùng đăng nhập mật khẩu, mật khẩu được mã hóa và so
sánh với bản mã hóa ghi sẵn trong máy.
• Brute force attack: tin tặc sử dụng phương pháp quét toàn bộ
các khả năng (dictionary attack) tìm kiếm các khả năng giải mã
xuất phát từ một danh sách các từ trong từ điển.
• Người dùng thường sử dụng các mật khẩu thông dụng dễ bị
phá:
– Sử dụng từ, chữ cái thông thường
– Sử dụng các cụm từ thông dụng….
• Dictionary attacks thường được áp dụng trong 2 trường hợp sau:
– Khi phân tích mật mã, phương pháp này tìm kiếm khả năng xác định
chìa khóa giải mã cho một cụm từ mã cho trước.
– Khi nối mạng, tìm cách lừa gạt cơ chế xác thực để thực hiện truy nhập
trái phép vào máy tính bằng cách đoán mật khẩu.
• Tin tặc có khả năng kiếm bản copy danh sách các mật khẩu đã mã hóa từ
một hệ thống máy ở xa. Tin tặc sẽ sử dụng phương pháp Dictionary attacks
để dò tìm mật khẩu theo thói quen của người dùng (qua dò tìm mọi thông
tin về người dùng), so sánh mật khẩu với đoạn mã đã copy được.
• Thực tế cho thấy, người dùng thường sử dụng mật khẩu cho dễ nhớ. Nếu sử
dụng một tập danh sách đủ lớn, xác suất tìm ra mật khẩu là 4/10.
• Dictionaries hiện có trên Internet cho mọi ngôn ngữ, dễ dàng truy cập, dễ
dàng được sử dụng để dò tìm mật khẩu theo phương pháp này.
Dictionary Attack
username Encrypted password
Alix.Bergeret ADSNUYTGHLKLLL
Matthew.Green NJKFFDSHPTTDRD
Ian.Coulson VFGMNBDEQQASU
Brendan.Riordan VHGUIOUIYEDRDT
Chris.Dennett CXZAASWEWEDFD
Andy.Sloane MLOPIUYTRFFGHJ
Mary.Garvey MNJTYUUIFVCXFG
Brian.Penfold REDERFGGGHYTR
Mã hóa 1 chiều cho mật khẩu
được ghi trong file mật khẩu
Alix.Bergeret
ADSNUYTGHLKLLL
Mật khẩu được mã hóa
bởi Client với cùng 1
thuật toán khi gửi qua
mạng
Nếu các giá trị Hash bằng
nhau, Client được xác
thực!
Client
Password authentication server
Ưu nhược điểm của
Dictionary attacks
• Tin tặc có thể mã hóa và lưu trữ danh sách các từ
mã hóa kiểu từ điển, sắp xếp chúng theo từ khóa
‘value’ đã mã hóa.
– Phương pháp này tiêu tốn nhiều bộ nhớ, thường mất
nhiều thời gian chuẩn bị và tính toán. Tuy nhiên,
phương thức này có thể tạo ra tấn công gần như tức
thì.
– Phương pháp này đặc biệt hiệu quả khi cần giải mã
một số lượng mật khẩu lớn cùng lúc.
Tin tặc thường ghi danh sách các mật khẩu thường được sử
dụng và chuyển chúng cho một thuật toán, sắp xếp chúng theo
thứ tự alphabet.
Word Hashed word
cricket ABVGTHYULPMMN
football ADSNUYTGHLKLLL
england CFTGERHTYUUUU
sister QRTSNDCNCNNNN
christopher RTSGHWEREEEDM
charlie STTHHHHHERERE
louise NMZOAOWJBHEEU
Crackers sorted list of hashed words
username Encrypted password
Alix.Bergeret ADSNUYTGHLKLLL
Matthew.Green NJKFFDSHPTTDRD
Ian.Coulson VFGMNBDEQQASU
Brendan.Riordan VHGUIOUIYEDRDT
Chris.Dennett CXZAASWEWEDFD
Andy.Sloane MLOPIUYTRFFGHJ
Mary.Garvey MNJTYUUIFVCXFG
Brian.Penfold REDERFGGGHYTR
Password list Easy to determine Alix.Begeret password
by comparing hash values
RIP attacks
• Routing Information Protocol (RIP) attacks thường thấy
trong các bộ router cài đặt phiên bản chuẩn của RIP.
• RIP được sử dụng để phân phát thông tin định tuyến
trong mạng, ví dụ các tuyến ngắn nhất, các tuyến quảng
bá từ mạng nội bộ ra ngoài…
• Phiên bản chuẩn của RIP không có phần xác thực.
Thông tin cung cấp trong bản tin RIP thường được sử
dụng mà không có sự kiểm tra xác thực lại chính nó.
• Tin tặc có thể giả mạo 1 bản tin RIP, ví dụ xác định máy “X”
có tuyến ngắn nhất ra ngoài mạng.
• Mọi gói tin gửi ra từ mạng này sẽ được định tuyến qua “X”.
Máy X có thể kiểm soát, sửa đổi gói tin.
• Tin tặc có thể sử dụng RIP để bắt chước bất kỳ host nào, làm
mọi lưu lượng gửi đến máy tin tặc thay vì gửi đến host này.
• Phiên bản RIPv2 đã cải thiện hơn với thuật toán xác thực mật
khẩu đơn giản, làm cho việc tấn công qua RIP khó khăn hơn.
• Giải pháp IPsec VPN cũng cung cấp khả năng mã hóa thông tin
định tuyến qua các routers sử dụng IPsec VPN.
RIP attacks
Packet Sniffing
• NIC cards thường chỉ xử lý các gói tin (MAC) nhằm tới
máy chứa NIC này. Toàn bộ lưu lượng trong mạng không
có switch được gửi tới tất cả các máy tính.
• Software/hardware được thiết kế sẵn sàng để làm việc đó.
• Nếu NIC cards được cấu hình “Promiscuous” thì nó có thể
bắt và xử lý mọi gói tin đi trên mạng con.
• Điều đó nghĩa là có thể xem được nội dung toàn bộ các gói
tin truyền trên mạng (1 số giao thức như FTP, Telnet,
HTTP, SMTP, POP3 gửi các mật khẩu dưới dạng clear
text). Ngoài ra, còn nhiều thông tin khác có thể bị khai
thác.
• Thực tế, các bộ switch chỉ cho phép gói tin đến đúng máy
đích. Tuy nhiên, tin tặc có nhiều cách để bắt được các gói
tin này…
Hai cách để “vượt qua” Switch
Æ Spoof ARP và MAC Flooding
• Spoof ARP là phương pháp "thủ công". ARP là address
resolution protocol, dùng để "map" IP address và MAC
address. Vì ARP là 1 dạng stateless protocol nên nó có thể bị
lừa khá dễ dàng.
• Phương pháp thường được sử dụng là giả mạo Gateway, làm
cho toàn bộ lưu lượng từ máy A (máy nạn nhân) đi đến
Gateway phải đi qua máy