Tải bản đầy đủ - 0 (trang)
CHƯƠNG 5: CÁC KIỂU TẤN CÔNG ĐỂ NÉ TRÁNH IDS, FIREWALL VÀ HONEYPOTS

CHƯƠNG 5: CÁC KIỂU TẤN CÔNG ĐỂ NÉ TRÁNH IDS, FIREWALL VÀ HONEYPOTS

Tải bản đầy đủ - 0trang

1. Nhằm tiêu tốn tài ngun tính tốn như băng thông, dung lượng đĩa cứng hoặc thời

gian xử lý

2. Phá vỡ các thơng tin cấu hình như thơng tin định tuyến

3. Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.

4. Phá vỡ các thành phần vật lý của mạng máy tính

5. Làm tắc nghẽn thơng tin liên lạc có chủ đích giữa các người dùng và nạn nhân dẫn

đến việc liên lạc giữa hai bên không được thông suốt.

Một cuộc tấn công từ chối dịch vụ có thể bao gồm cả việc thực thi malware nhằm:





Làm quá tải năng lực xử lý, dẫn đến hệ thống khơng thể thực thi bất kì một cơng việc

nào khác.







Những lỗi gọi tức thì trong microcode của máy tính.







Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng thái hoạt

động khơng ổn định hoặc bị đơ.







Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài nguyên

hoặc bị thrashing. VD: như sử dụng tất cả các năng lực có sẵn dẫn đến khơng một cơng

việc thực tế nào có thể hồn thành được.







Gây crash hệ thống.







Tấn công từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một trang

web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thơng của

trang web đó bị q hạn.



5.1.2. Quét và thăm dò (Scanning và Probe)

Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để xác định điểm yếu.

Việc thăm dò có thể thực hiện bằng cách ping tới hệ thống cũng như kiểm tra các cổng TCP

hoặc UDP để phát hiện ra ứng dụng có những lỗi đã được biết tới.



Giải pháp: Network IDS có thể phát hiện các hành động nguy hiểm trước khi

chúng xảy ra. Host IDS cũng có tác dụng đối với kiểu tấn công này

5.1.3. Tấn công vào mật khẩu (Password attack)

Có các phương thức để tiếp cận:





Kiểu dễ nhận thấy nhất là ăn trộm mật khẩu, mang lại quyền quản trị cho kẻ tấn cơng

có thể truy cập mọi thơng tin trong mạng.







Đốn hay bẻ khóa mật khẩu là phương thức tiếp cận bằng cách thử nhiều lần mật

khẩu để tìm được đáp án đúng. Với kiểu bẻ khóa, kẻ tấn cơng cần truy cập tới mật

khẩu đã được mã hóa hay file chứa mật khẩu đã mã hóa. Và sử dụng chương trình

đốn mật khẩu với thuật tốn mã hóa để xác định mật khẩu đúng.

Giải pháp: Một Network IDS có thể phát hiện và ngăn chặn cố gắng đốn mật



khẩu, nhưng nó khơng hiệu quả trong việc phát hiện truy cập trái phép tới file bị mã

hóa. Trong khi đó, Host IDS lại thể hiện hiệu quả trong việc phát hiện đoán mật khẩu

cũng như truy cập trái phép.

5.1.4. Chiếm đặc quyền (Privilege-grabbing)

Khi kẻ tấn công đã xâm nhập được hệ thống, chúng sẽ cố chiếm quyền truy cập.Khi

thành cơng, chúng sẽ tìm cách phá hoại hệ thống hoặc đánh cắp thông tin quan trọng. Một

số kỹ thuật thường dung cho việc chiếm đặc quyền:





Đoán hay đánh cắp mật khẩu root, admin







Gây tràn bộ đệm







Khai thác registry







Sử dụng file, script hay lỗi của hệ điều hành, ứng dụng.



Giải pháp: Cả NIDS và HIDS đều có thể xác định được việc thay đổi đặc quyền

trái phép

5.1.5. Cài đặt mã nguy hiểm (Hostile code insertion):

Một số loại tấn cơng có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấy

trộm dữ liệu, gây từ chối dịch vụ, xóa file hay tạo backdoor cho lần truy cập tiếp theo.





Virus: khi được thực thi sẽ dẫn tới hành động tự động, có hoặc khơng có hại, luôn tạo

ra bản sao của file hệ thống, file ứng dụng hay dữ liệu.







Trojan Horse: được đặt tên như một chương trình người ta muốn sử dụng nhưng thực

tế chúng kích hoạt các hành động dẫn tới hỏng hệ thống

Giải pháp: khơng có loại IDS nào chống việc phá hoại từ virus hay Trojan. Cách



tốt nhất là cài đặt phần mềm diệt virus

5.1.6. Tấn công hạ tầng bảo mật (Security infrastructure attack)

Có nhiều loại tấn cơng can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mật

như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dung hay thay đổi các quyền của

file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có them quyền truy cập hay tạo

them nhiều đường xâm nhập vào hệ thống

Giải pháp: HIDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hành

động như trên

5.1.7. Time to Live Attack

Những cuộc tấn cơng đòi hỏi kẻ tấn cơng phải có kiến thức về topology của mạng nạn

nhân

- Những thơng tin này có thể thu được bằng cách sử dụng các công cụ như tracert

trong đó cung cấp các thơng tin về số lượng các thiết bị định tuyến giữa các kẻ tấn công và

nạn nhân.



- Một router có mặt giữa IDS và nạn nhân - và kẻ tấn công thực hiện các cuộc tấn

công bằng cách phá vỡ nó thành ba mảnh.

- Kẻ tấn công gửi fragment 1 với giá trị TTL lớn và điều này được nhận bởi cả IDS và

các nạn nhân, sau đó gửi fragment thứ hai (2') có giá trị TTL của 1 và tải trọng giả.

- Fragment này được nhận bởi các IDS trong khi các router loại bỏ nó như là các giá trị

TTL hiện đang giảm xuống bằng khơng.

- Ở giai đoạn này, IDS chỉ có fragment 2 đã thực hiện kết hợp lại và stream đã bị

flushed

- Kẻ tấn công cuối cùng sẽ gửi fragment thứ hai với một payload hợp lệ, nạn nhân thực

hiện việc kết hợp lại trên những fragment 1, 2 và 3 và sẽ bị tấn cơng.

- Kẻ tấn cơng sau đó sẽ gửi fragment 3 với một TTL hợp lệ. Điều này làm cho IDS

thực hiện một giao thức TCP-reassembly trên những fragment 1, 2'và 3 trong khi nạn nhân

vẫn còn chờ đợi cho fragment thứ hai

5.1.8. Overlapping Fragment Attack

Tại host destination, sau khi nhận đủ các fragment từ một packet ban đầu (bằng cách

nhìn vào field MF và tính tổng cộng chiều dài của các fragment đã nhận được), công việc tái

lập packet ban đầu sẽ bắt đầu. Rất không may là thuật toán tái lập nằm trong RFC của IP

hiện tại cho phép các fragment có thể ghi đè lên nhau. Kẻ tấn công gửi fragment đầu tiên

(offset = 0) với đầy đủ thông tin hợp lệ để vượt qua static packet filter, sau đó sẽ dùng các

fragment tiếp theo (offset !=0, không bị kiểm tra bởi static packet filter) để ghi đè lên vùng

thông tin header của fragment đầu tiên. Ví dụ như kẻ tấn cơng muốn xâm nhập vào mail

server tại host A được bảo vệ bởi một static packet filter F. Ngoài mail server, host A còn

đóng vai trò web server, F cho phép kết nối từ ngoài vào web server nhưng cản tất cả kết nối

vào mail server. Kẻ tấn công sẽ tạo ra fragment đầu tiên có source port = 12345, và dest port

là 80, giả sử fragment này có chiều dài là 30 bytes. Fragment này sẽ được F cho qua.

Fragment thứ 2, lẽ ra phải có offset=30, tuy nhiên, kẻ tấn cơng cố tình chỉnh offset lại bằng

26, và chính 4 byte này đủ để kẻ tấn cơng có thể overwrite giá trị dest port từ 80 thành 25

5.1.9. Polymorphic Shellcode: (Shellcode đa hình)

Hầu hết IDSes có signature cho các chuỗi thường được sử dụng trong shellcode. Điều

này dễ dàng bị vượt qua bằng cách sử dụng mã hóa shellcode chứa một stub giải mã

shellcode. Điều này có nghĩa rằng shellcode có thể hồn tồn khác nhau mỗi khi nó được

gửi. Shellcode đa hình cho phép kẻ tấn cơng để ẩn shellcode của họ bằng cách mã hóa nó

trong một hình thức đơn giản. Dẫn đến khó khăn cho IDS để xác định dữ liệu này như



shellcode.Phương pháp này cũng giúp giấu đi các chuỗi thường được sử dụng trong

shellcode, làm cho signature shellcode vô dụng.

5.1.10. ASCII shellcode

ASCII shellcode chỉ chứa ký tự chứa trong các tiêu chuẩn ASCII.Hình thức shellcode

này cho phép kẻ tấn cơng để vượt qua những kí tự hạn chế thường được thực thi trong vòng

chuỗi nhập mã.Nó cũng giúp kẻ tấn cơng vượt qua mơ hình IDS so sánh trùng khớp với

signature vì các chuỗi được ẩn trong các shellcode trong một lớp ngụy trang tương tự như

shellcode đa hình.



5.2. Tấn cơng vượt Firewall

5.2.1. IP spoofing

Kỹ thuật giả mạo IP(Spoofing IP)

Một hacker có thể giả mạo địa chỉ IP khi quét máy hệ thống để hạn chế thấp nhất khả

năng bị phát hiện.Khi nạn nhân (Victim) gửi trả lời về địa chỉ IP, nó sẽ khơng gửi đến địa

chỉ giả mạo được. Một nhược điểm của giả mạo IP là một phiên TCP khơng thể hồn thành

được, do không thể gửi hồi đáp ACK. Source routing cho phép kẻ tấn cơng chỉ định việc

định tuyến một gói tin có thơng qua Internet. Điều này cũng có thể giảm thiểu cơ hội phát

hiện bằng cách bỏ qua IDS và tường lửa.

5.2.2. Tiny Fragment Attack

Đây là dạng tấn công bằng cách chia thật nhỏ và (thật khéo) IP packet ban đầu ra thành

từng fragment rất nhỏ, sao cho một phần thông tin của TCP header nằm trong IP packet ban

đầu nằm trong fragment thứ hai. Do static packet filter chỉ kiểm tra fragment có offset = 0,

và với bộ TCP header đã bị chia ra như vậy, khả năng static packet filter lọc sót ra rất lớn.

Trong thực tế đã có những cơng cụ sử dụng Tiny Fragment Attack để vượt qua Static Packet

Filter.

5.2.3. Man in middle DNS

Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin DNS

sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó, ví dụ,

www.bankofamerica.com có IP XXX.XX.XX.XX, thì cố gắng này sẽ được gửi đến một địa

chỉ www.bankofamerica.com giả mạo cư trú ở địa chỉ IP YYY.YY.YY.YY, đây là địa chỉ mà

kẻ tấn công đã tạo trước để đánh cắp các thông tin tài khoản ngân hàng trực tuyến từ người

dùng.



Mỗi truy vấn DNS được gửi qua mạng đều có chứa một số nhận dạng duy nhất, mục

đích của số nhận dạng này là để phân biệt các truy vấn và đáp trả chúng. Điều này có nghĩa

rằng nếu một máy tính đang tấn cơng của chúng ta có thể chặn một truy vấn DNS nào đó

được gửi đi từ một thiết bị cụ thể, thì tất cả những gì chúng ta cần thực hiện là tạo một gói

giả mạo có chứa số nhận dạng đó để gói dữ liệu đó được chấp nhận bởi mục tiêu.

Đầu tiên, chúng ta cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu

lượng của nó qua host đang tấn cơng của mình, từ đó có thể chặn yêu cầu DNS và gửi đi gói

dữ liệu giả mạo. Mục đích của kịch bản này là lừa người dùng trong mạng mục tiêu truy cập

vào website độc thay vì website mà họ đang cố gắng truy cập.



5.3. Tấn công vượt qua Honeypots

Kẻ tấn công sử dụng một hệ thống gọi là hệ thống phát hiện honeypots để phát hiện

ra honeypots được cài đặt trên máy mục tiêu. Khi phát hiện, kẻ tấn công cố gắng vượt qua

chúng để có thể tập trung vào mục tiêu. Việc phát hiện honeypots gồm 3 bước:

- Kẻ tấn công xác định sự hiện diện của honeypots bằng cách thăm dò máy chủ

trên hệ thống.

- Kẻ tấn cơng tạo một gói tin thăm dò độc hại để qt các dịch vụ như HTTPS,

SMTPS, IMAPS.

Các cổng hiển thị các dịch vụ đang chạy nhưng từ chối các kết nối bắt tay ba

chiều( three way handshake) sẽ cho thấy sự hiện diện của honeypots.



KẾT LUẬN

Sau quá trình nghiên cứu và tìm hiểu, đề tại đã đạt được một số kết quả:

- Hiểu được hệ thống phát hiện xâm nhập IDS, Firewall, Honeypot.

- Chức năng và nguyên lý hoạt động IDS, Firewall, Honeypot.

- Từ đó có thể đưa ra những biện pháp hữu hiệu áp dụng cho doanh nghiệp.

Nhưng còn những vấn đề chúng em chưa làm được:

- Chưa tìm hiểu hết được các kĩ thuật lập trình Firewall, IDS, Honeypot.

- Chưa tiếp cận được thực tế, nhiều vấn đề chỉ mới qua các tài liệu.



TÀI LIỆU THAM KHẢO

 Tài liệu tiếng anh

[1] Giáo trình "Certified Ethical Hacker (CEHv8)"

 Tài liệu internet

[2] http://www.doc.edu.vn.

[3] http://www.quantrimang.com.



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG 5: CÁC KIỂU TẤN CÔNG ĐỂ NÉ TRÁNH IDS, FIREWALL VÀ HONEYPOTS

Tải bản đầy đủ ngay(0 tr)

×