Tải bản đầy đủ
1 Nghiên cứu nguyên tắc cơ bản và một số hình thái xâm nhập trái phép trên mạng

1 Nghiên cứu nguyên tắc cơ bản và một số hình thái xâm nhập trái phép trên mạng

Tải bản đầy đủ

4

- Các máy có mặt trên mạng
- Hệ điều hành đang sử dụng trên từng máy đang chạy
- Phần mền máy chủ dịch vụ trên các máy đang chạy
- Số hiệu phiên bản phần mềm….
Ngoài ra kẻ tấn công có thể biết thêm nhiều thông tin khác nếu máy
đang chạy có nhiều sơ hở hoặc lỗ hổng bảo mật. Các dạng thông tin nhạy cảm
như tên account, account default, mật khẩu yếu, nguồn thông tin chia sẻ…
những thông tin này có lợi cho việc khai thác, tấn công mạng của kẻ xâm
nhập. Về mặt pháp lý thì hành động quét, thăm dò mạng là một hành động
hợp pháp. Trên mạng Internet có nhiều người quét, thăm dò chỉ vì mục đích
khai thác tài nguyên miễn phí từ Internet. Ngoài ra quét, thăm dò cũng còn có
mục đích có lợi là cho phép người quản trị an ninh mạng phân tích các điểm
yếu về bảo mật để khắc phục.
Mặt trái của hoạt động này đó là kẻ tấn công lợi dụng những kết quả
phân tích thu được để thực hiện xâm nhập thực sự vào hệ thống.[4]
1.1.1.2 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ chia làm hai loại chính: khai thác lỗ hổng và
tấn công ngập lụt (flooding). Tấn công từ chối dịch vụ là cuộc tấn công khai
thác lỗ hổng phần mềm hệ thống để gây ra lỗi xử lý hoặc làm cạn kiệt tài
nguyên trên hệ thống đích. Một thí dụ điển hình của kiểu tấn công này là “
ping of death”. Kẻ tấn công gửi gói tin lớn bằng lệnh “ping” đến máy đích
windows. Hệ thống windows không thể xử lý kịp gói tin bất thường này và
kết quả là máy đích bị treo hoặc bị tê liệt trước kiểu tấn công này. Với các
kiểu tấn công làm cạn kiệt tài nguyên, bao gồm: Thời gian tính toán của CPU,
bộ nhớ trong, dung lượng đĩa còn trống, dung lượng bộ đệm còn trống, băng
thông mạng.

5

Tấn công DoS flooding: Đây là cuộc tấn công mà kẻ tấn công gửi đến
hệ thống đích liên tiếp nhiều gói tin làm cho hệ thống đích không kịp xử lý
chúng. Hệ quả là kẻ tấn công có thể độc chiếm kết nối mạng tới mục tiêu và
từ chối bất cứ người dùng nào sử dụng các tài nguyên này.
Tấn công từ chối dịch vụ kiểu phân tán là loại tấn công mà kẻ tấn công
dùng nhiều máy tính đồng thời trong cùng một thời điểm gửi gói tin liên tiếp
đến máy đích. Một kẻ tấn công không thể làm ngưng dịch vụ một trang web
thương mại điện tử cỡ lớn bằng tấn công ngập lụt nó bởi các gói tin gửi đi từ
một máy tính. Tuy nhiên, nếu chiếm quyền điều khiển được 20 ngàn máy
cùng đồng thời tấn công thì chắc chắn sẽ thành công.
1.1.1.3 Các cuộc tấn công xâm nhập hệ thống
Các cuộc tấn công xâm nhập là các tấn công nhằm đạt được quyền thay
đổi dữ liệu, tài nguyên và các đặc quyền hệ thống khác mà đáng ra không
được phép. Thông thường kiểu tấn công này được thực hiện bằng cách khai
thác các lỗ hổng phần mềm hoặc các lỗ hổng trong dịch vụ hệ thống. Nếu
người quản trị hệ thống chưa kịp vá lỗi phần mềm hoặc dịch vụ thì hệ thống
đó rất dễ bị tấn công.
Một cách phân loại khác, đó là phân loại các cuộc tấn công theo hướng:
Tấn công từ bên ngoài vào và tấn công từ trong nội bộ. Kẻ tấn công từ ngoài
mạng là người tấn công từ phía bên ngoài, ví dụ sử dụng spam để gửi thư điện
tử. Họ có thể vượt qua bức tường lửa để tấn công vào các máy tính của mạng
bên trong. Những kẻ tấn công từ bên ngoài thông thường là từ mạng Internet,
trực tiếp thâm nhập bằng đường vật lý hoặc thông qua các bạn hàng trên
mạng có liên hệ đến mạng nội bộ. Kẻ xâm nhập bên trong mạng là những
người sử dụng mạng chính thức bên trong. Những người này có thể là những
user tạo cho người khác mất quyền truy nhập mạng hoặc chiếm quyền truy
nhập hoặc chiếm quyền sử dụng mạng của người khác. Theo số liệu của cơ

6

quan an ninh mạng EU thì 80% các vụ vi phạm về an ninh mạng là từ những
kẻ xâm nhập từ bên trong mạng.[2]
1.1.2 Các biện pháp hoạt động xâm nhập máy tính
Xâm nhập vật lý: là những kẻ xâm nhập bằng phương pháp sử dụng bàn
phím máy tính của nạn nhân để đăng nhập mạng, thay hoặc lấy cắp các thiết
bị đĩa từ lưu dữ liệu trên máy tính.
Xâm nhập thông qua lỗ hổng của phần mềm: Lỗ hổng phần mềm
được phân loại như sau:
Lỗ hổng do tràn bộ đệm:
Phần lớn các lỗ hổng về an ninh là do tràn bộ đệm. Lỗi này đều do hầu
hết các hệ điều hành, các phần mềm quản trị cơ sở dữ liệu, thậm chí có trong
một vài phiên bản của hệ điều hành UNIX được đánh giá là hệ điều hành
công nghiệp an toàn nhất hiện nay. Một trong những thí dụ tràn bộ đệm được
coi là điển hình nhất mà không ai nghĩ đến đó là lỗi tràn bộ đệm sinh ra do tên
user. Thông thường tên user trên mạng cũng chỉ được thiết lập tối đa 256 ký
tự hoặc số là cùng. Ít ai nghĩ ra được điều gì sẽ xẩy ra nếu tên đó dài hơn 256
ký tự có kèm theo mã code để thực hiện trên máy chủ. Thông qua thủ đoạn
này hacker có thể xâm nhập hệ thống.[3]
Lợi dụng chỗ yếu để tấn công tệp mật khẩu:
Từ Service Pack 3 trở đi, NT sử dụng chương trình syskey cho phép bảo
vệ tệp SAM và tệp sao lưu của SAM là sam_. Bằng kỹ thuật mã hóa thêm một
lần nữa với khóa 128 bit. Khóa này có thể ko cần lưu trên máy chủ mà có thể
lưu trên đĩa mềm. Việc bảo vệ theo cách này có thể được thực thi trên máy
chủ và trên các máy trạm. Tuy vậy nếu để mất đĩa khóa thì không thể nào
đăng nhập vào hệ thống được nữa.

7

Một yếu tố khác đã tạo điều kiện để cho kẻ tấn công xem được toàn bộ
danh sách của người sử dụng, nhóm người sử dụng, log hệ thống cũng như
một số công cụ quản trị hệ thống từ xa dựa trên giao thức SMB (Server
Message Block) đó là người sử dụng vô danh (anonymous). Mục đích tồn tại
của user này trên hệ thống nhằm phục vụ cho các dịch vụ Null Session không
cần đòi hỏi xác thực. NT cho phép người sử dụng vô danh truy cập vào nguồn
đặc biệt gọi là IPC$ (inte-proscess communication).
1.1.3 Thủ đoạn của hacker lấy mật khẩu đăng nhập
Chúng ta biết rằng phần lớn các máy sử dụng trong mạng diện rộng cũng
như trong mạng LAN đều sử dụng hệ điều hành Windows XP/VISTA.
Hacker chỉ cần đột nhập bất kỳ một máy trạm nào đó trong mạng lấy tệp mật
khẩu dạng tên_user.pwl nằm trong thư mục c:\windows hoặc tệp SAM trong
thư mục \winnt\repair và sử dụng một loạt các chương trình mở mật khẩu
khác nhau để lấy mật khẩu user và sử dụng mật khẩu đó để đăng nhập lại
mạng máy tính.[3]
1.2 Nghiên cứu khái niệm về phần mềm IDS giám sát, phát hiện
xâm nhập
1.2.1 Tổng quan về phần mềm IDS
Các hệ thống phát hiện xâm nhập (IDS) là những hệ thống phần mềm
hoặc phần cứng thực hiện tự động hóa quá trình giám sát các sự kiện xảy ra
trong hệ thống mạng máy tính; phân tích các sự kiện đó để nhận biết những
vấn đề liên quan đến an ninh mạng. Trong những năm gần đây, khi các vụ tấn
công ngày càng tăng lên về số lượng và mức độ nghiêm trọng thì các hệ thống
phát hiện xâm nhập là sự bổ sung cần thiết và kịp thời cho hệ thống thiết bị an
ninh mạng đã có.
Phát hiện xâm nhập là một quá trình giám sát các sự kiện diễn ra ở một
hệ thống máy tính hoặc một mạng máy tính và phân tích chúng để tìm ra các

8

xâm nhập làm tổn hại đến độ tin cậy, tính toàn vẹn và khả năng hoạt động của
hệ thống hoặc để vượt qua cơ chế kiểm soát an ninh của hệ thống máy tính.
Những kẻ tấn công thường xâm nhập mạng từ bên ngoài Internet hoặc mạng
công cộng hoặc chính là những người sử dụng trong chính mạng đó đã sử
dụng trái phép quyền sử dụng được cấp cho họ. Các hệ thống phát hiện xâm
nhập là các phần mềm hoặc các sản phẩm phần cứng thực hiện việc tự động
giám sát và phân tích quá trình này.
Việc phát hiện xâm nhập cho phép các cơ quan bảo vệ hệ thống mạng
máy tính khỏi các mối đe dọa thường xuyên khi mạng máy tính đang vận
hành nhằm bảo vệ an toàn cho các hệ thống thông tin và dữ liệu. Với ý nghĩa
đó, vấn đề đặt ra cho công tác đảm bảo an ninh mạng máy tính không phải là
có nên hay không nên sử dụng IDS mà là sử dụng đặc điểm và tính năng nào
của IDS cho phù hợp với yêu cầu của công tác bảo vệ an ninh mạng. Sau đây
là những tính năng cơ bản nhất của một hệ thống phát hiện xâm nhập.
Hình sau đây giới thiệu một mô hình tổng quát của hệ thống giám sát an
ninh mạng: