Kiểu tấn công bằng cách can thiệp vào giữa phiên liên lạc của 2 hệ thống gọi là gì

1. Nhằm tiêu tốn tài ngun tính tốn như băng thông, dung lượng đĩa cứng hoặc thờigian xử lý2. Phá vỡ các thơng tin cấu hình như thơng tin định tuyến3. Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.4. Phá vỡ các thành phần vật lý của mạng máy tính5. Làm tắc nghẽn thơng tin liên lạc có chủ đích giữa các người dùng và nạn nhân dẫnđến việc liên lạc giữa hai bên không được thông suốt.Một cuộc tấn công từ chối dịch vụ có thể bao gồm cả việc thực thi malware nhằm:Làm quá tải năng lực xử lý, dẫn đến hệ thống khơng thể thực thi bất kì một cơng việcnào khác.Những lỗi gọi tức thì trong microcode của máy tính.Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng thái hoạtđộng khơng ổn định hoặc bị đơ.Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài nguyênhoặc bị thrashing. VD: như sử dụng tất cả các năng lực có sẵn dẫn đến khơng một cơngviệc thực tế nào có thể hồn thành được.Gây crash hệ thống.Tấn công từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến một trangweb nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến khi băng thơng củatrang web đó bị q hạn.5.1.2. Quét và thăm dò (Scanning và Probe)Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để xác định điểm yếu.Việc thăm dò có thể thực hiện bằng cách ping tới hệ thống cũng như kiểm tra các cổng TCPhoặc UDP để phát hiện ra ứng dụng có những lỗi đã được biết tới. Giải pháp: Network IDS có thể phát hiện các hành động nguy hiểm trước khichúng xảy ra. Host IDS cũng có tác dụng đối với kiểu tấn công này5.1.3. Tấn công vào mật khẩu (Password attack)Có các phương thức để tiếp cận:Kiểu dễ nhận thấy nhất là ăn trộm mật khẩu, mang lại quyền quản trị cho kẻ tấn cơngcó thể truy cập mọi thơng tin trong mạng.Đốn hay bẻ khóa mật khẩu là phương thức tiếp cận bằng cách thử nhiều lần mậtkhẩu để tìm được đáp án đúng. Với kiểu bẻ khóa, kẻ tấn cơng cần truy cập tới mậtkhẩu đã được mã hóa hay file chứa mật khẩu đã mã hóa. Và sử dụng chương trìnhđốn mật khẩu với thuật tốn mã hóa để xác định mật khẩu đúng.Giải pháp: Một Network IDS có thể phát hiện và ngăn chặn cố gắng đốn mậtkhẩu, nhưng nó khơng hiệu quả trong việc phát hiện truy cập trái phép tới file bị mãhóa. Trong khi đó, Host IDS lại thể hiện hiệu quả trong việc phát hiện đoán mật khẩucũng như truy cập trái phép.5.1.4. Chiếm đặc quyền (Privilege-grabbing)Khi kẻ tấn công đã xâm nhập được hệ thống, chúng sẽ cố chiếm quyền truy cập.Khithành cơng, chúng sẽ tìm cách phá hoại hệ thống hoặc đánh cắp thông tin quan trọng. Mộtsố kỹ thuật thường dung cho việc chiếm đặc quyền:Đoán hay đánh cắp mật khẩu root, adminGây tràn bộ đệmKhai thác registrySử dụng file, script hay lỗi của hệ điều hành, ứng dụng. Giải pháp: Cả NIDS và HIDS đều có thể xác định được việc thay đổi đặc quyềntrái phép5.1.5. Cài đặt mã nguy hiểm (Hostile code insertion):Một số loại tấn cơng có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể lấytrộm dữ liệu, gây từ chối dịch vụ, xóa file hay tạo backdoor cho lần truy cập tiếp theo.Virus: khi được thực thi sẽ dẫn tới hành động tự động, có hoặc khơng có hại, luôn tạora bản sao của file hệ thống, file ứng dụng hay dữ liệu.Trojan Horse: được đặt tên như một chương trình người ta muốn sử dụng nhưng thựctế chúng kích hoạt các hành động dẫn tới hỏng hệ thốngGiải pháp: khơng có loại IDS nào chống việc phá hoại từ virus hay Trojan. Cáchtốt nhất là cài đặt phần mềm diệt virus5.1.6. Tấn công hạ tầng bảo mật (Security infrastructure attack)Có nhiều loại tấn cơng can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng bảo mậtnhư tạo tường lửa trái phép, chỉnh sửa tài khoản của người dung hay thay đổi các quyền củafile. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm nhập có them quyền truy cập hay tạothem nhiều đường xâm nhập vào hệ thốngGiải pháp: HIDS có thể bắt giữ các cuộc đăng nhập mà thực hiện những hànhđộng như trên5.1.7. Time to Live AttackNhững cuộc tấn cơng đòi hỏi kẻ tấn cơng phải có kiến thức về topology của mạng nạnnhân- Những thơng tin này có thể thu được bằng cách sử dụng các công cụ như tracerttrong đó cung cấp các thơng tin về số lượng các thiết bị định tuyến giữa các kẻ tấn công vànạn nhân. - Một router có mặt giữa IDS và nạn nhân - và kẻ tấn công thực hiện các cuộc tấncông bằng cách phá vỡ nó thành ba mảnh.- Kẻ tấn công gửi fragment 1 với giá trị TTL lớn và điều này được nhận bởi cả IDS vàcác nạn nhân, sau đó gửi fragment thứ hai (2') có giá trị TTL của 1 và tải trọng giả.- Fragment này được nhận bởi các IDS trong khi các router loại bỏ nó như là các giá trịTTL hiện đang giảm xuống bằng khơng.- Ở giai đoạn này, IDS chỉ có fragment 2 đã thực hiện kết hợp lại và stream đã bịflushed- Kẻ tấn công cuối cùng sẽ gửi fragment thứ hai với một payload hợp lệ, nạn nhân thựchiện việc kết hợp lại trên những fragment 1, 2 và 3 và sẽ bị tấn cơng.- Kẻ tấn cơng sau đó sẽ gửi fragment 3 với một TTL hợp lệ. Điều này làm cho IDSthực hiện một giao thức TCP-reassembly trên những fragment 1, 2'và 3 trong khi nạn nhânvẫn còn chờ đợi cho fragment thứ hai5.1.8. Overlapping Fragment AttackTại host destination, sau khi nhận đủ các fragment từ một packet ban đầu (bằng cáchnhìn vào field MF và tính tổng cộng chiều dài của các fragment đã nhận được), công việc táilập packet ban đầu sẽ bắt đầu. Rất không may là thuật toán tái lập nằm trong RFC của IPhiện tại cho phép các fragment có thể ghi đè lên nhau. Kẻ tấn công gửi fragment đầu tiên(offset = 0) với đầy đủ thông tin hợp lệ để vượt qua static packet filter, sau đó sẽ dùng cácfragment tiếp theo (offset !=0, không bị kiểm tra bởi static packet filter) để ghi đè lên vùngthông tin header của fragment đầu tiên. Ví dụ như kẻ tấn cơng muốn xâm nhập vào mailserver tại host A được bảo vệ bởi một static packet filter F. Ngoài mail server, host A cònđóng vai trò web server, F cho phép kết nối từ ngoài vào web server nhưng cản tất cả kết nốivào mail server. Kẻ tấn công sẽ tạo ra fragment đầu tiên có source port = 12345, và dest portlà 80, giả sử fragment này có chiều dài là 30 bytes. Fragment này sẽ được F cho qua.Fragment thứ 2, lẽ ra phải có offset=30, tuy nhiên, kẻ tấn cơng cố tình chỉnh offset lại bằng26, và chính 4 byte này đủ để kẻ tấn cơng có thể overwrite giá trị dest port từ 80 thành 255.1.9. Polymorphic Shellcode: (Shellcode đa hình)Hầu hết IDSes có signature cho các chuỗi thường được sử dụng trong shellcode. Điềunày dễ dàng bị vượt qua bằng cách sử dụng mã hóa shellcode chứa một stub giải mãshellcode. Điều này có nghĩa rằng shellcode có thể hồn tồn khác nhau mỗi khi nó đượcgửi. Shellcode đa hình cho phép kẻ tấn cơng để ẩn shellcode của họ bằng cách mã hóa nótrong một hình thức đơn giản. Dẫn đến khó khăn cho IDS để xác định dữ liệu này như shellcode.Phương pháp này cũng giúp giấu đi các chuỗi thường được sử dụng trongshellcode, làm cho signature shellcode vô dụng.5.1.10. ASCII shellcodeASCII shellcode chỉ chứa ký tự chứa trong các tiêu chuẩn ASCII.Hình thức shellcodenày cho phép kẻ tấn cơng để vượt qua những kí tự hạn chế thường được thực thi trong vòngchuỗi nhập mã.Nó cũng giúp kẻ tấn cơng vượt qua mơ hình IDS so sánh trùng khớp vớisignature vì các chuỗi được ẩn trong các shellcode trong một lớp ngụy trang tương tự nhưshellcode đa hình.5.2. Tấn cơng vượt Firewall5.2.1. IP spoofingKỹ thuật giả mạo IP(Spoofing IP)Một hacker có thể giả mạo địa chỉ IP khi quét máy hệ thống để hạn chế thấp nhất khảnăng bị phát hiện.Khi nạn nhân (Victim) gửi trả lời về địa chỉ IP, nó sẽ khơng gửi đến địachỉ giả mạo được. Một nhược điểm của giả mạo IP là một phiên TCP khơng thể hồn thànhđược, do không thể gửi hồi đáp ACK. Source routing cho phép kẻ tấn cơng chỉ định việcđịnh tuyến một gói tin có thơng qua Internet. Điều này cũng có thể giảm thiểu cơ hội pháthiện bằng cách bỏ qua IDS và tường lửa.5.2.2. Tiny Fragment AttackĐây là dạng tấn công bằng cách chia thật nhỏ và (thật khéo) IP packet ban đầu ra thànhtừng fragment rất nhỏ, sao cho một phần thông tin của TCP header nằm trong IP packet banđầu nằm trong fragment thứ hai. Do static packet filter chỉ kiểm tra fragment có offset = 0,và với bộ TCP header đã bị chia ra như vậy, khả năng static packet filter lọc sót ra rất lớn.Trong thực tế đã có những cơng cụ sử dụng Tiny Fragment Attack để vượt qua Static PacketFilter.5.2.3. Man in middle DNSGiả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin DNSsai cho một host để khi người dùng duyệt đến một địa chỉ nào đó, ví dụ,www.bankofamerica.com có IP XXX.XX.XX.XX, thì cố gắng này sẽ được gửi đến một địachỉ www.bankofamerica.com giả mạo cư trú ở địa chỉ IP YYY.YY.YY.YY, đây là địa chỉ màkẻ tấn công đã tạo trước để đánh cắp các thông tin tài khoản ngân hàng trực tuyến từ ngườidùng. Mỗi truy vấn DNS được gửi qua mạng đều có chứa một số nhận dạng duy nhất, mụcđích của số nhận dạng này là để phân biệt các truy vấn và đáp trả chúng. Điều này có nghĩarằng nếu một máy tính đang tấn cơng của chúng ta có thể chặn một truy vấn DNS nào đóđược gửi đi từ một thiết bị cụ thể, thì tất cả những gì chúng ta cần thực hiện là tạo một góigiả mạo có chứa số nhận dạng đó để gói dữ liệu đó được chấp nhận bởi mục tiêu.Đầu tiên, chúng ta cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưulượng của nó qua host đang tấn cơng của mình, từ đó có thể chặn yêu cầu DNS và gửi đi góidữ liệu giả mạo. Mục đích của kịch bản này là lừa người dùng trong mạng mục tiêu truy cậpvào website độc thay vì website mà họ đang cố gắng truy cập.5.3. Tấn công vượt qua HoneypotsKẻ tấn công sử dụng một hệ thống gọi là hệ thống phát hiện honeypots để phát hiệnra honeypots được cài đặt trên máy mục tiêu. Khi phát hiện, kẻ tấn công cố gắng vượt quachúng để có thể tập trung vào mục tiêu. Việc phát hiện honeypots gồm 3 bước:- Kẻ tấn công xác định sự hiện diện của honeypots bằng cách thăm dò máy chủtrên hệ thống.- Kẻ tấn cơng tạo một gói tin thăm dò độc hại để qt các dịch vụ như HTTPS,SMTPS, IMAPS.Các cổng hiển thị các dịch vụ đang chạy nhưng từ chối các kết nối bắt tay bachiều( three way handshake) sẽ cho thấy sự hiện diện của honeypots. KẾT LUẬNSau quá trình nghiên cứu và tìm hiểu, đề tại đã đạt được một số kết quả:- Hiểu được hệ thống phát hiện xâm nhập IDS, Firewall, Honeypot.- Chức năng và nguyên lý hoạt động IDS, Firewall, Honeypot.- Từ đó có thể đưa ra những biện pháp hữu hiệu áp dụng cho doanh nghiệp.Nhưng còn những vấn đề chúng em chưa làm được:- Chưa tìm hiểu hết được các kĩ thuật lập trình Firewall, IDS, Honeypot.- Chưa tiếp cận được thực tế, nhiều vấn đề chỉ mới qua các tài liệu. TÀI LIỆU THAM KHẢO Tài liệu tiếng anh[1] Giáo trình "Certified Ethical Hacker (CEHv8)" Tài liệu internet[2] http://www.doc.edu.vn.[3] http://www.quantrimang.com.