Để Trở Thành Chuyên Gia Bảo Mật (Module 8 – P2) Captrue Flooding Spoofing

Wireshark Capture Và Ứng Dụng Bộ Lọc.

Như đã giới thiệu trước đây, Wiresharke là một phiên bản nâng cao của Ethereal và hoàn toàn miễn phí (download tại http://www.wireshark.org/download.html) . Chương trình này có khả năng bắt giữ hầu hết các gói tin truyền trên hệ thống mạng với mọi giao thức khác nhau. Vì vậy Wiresharke thường được các hacker cũng như chuyên gia bảo mật sử dụng trong quá trình nghe lén hay chẩn đoán, khắc phục sự cố mạng. Tuy nhiên, những truyền thông trên mạng khá nhiều làm cho kết quả hiện thị bị tràn ngập những thông tin làm cho khó theo dõi, do đó các bạn cần nắm một số bộ lọc để loại bốt những kết quả không cần thiết và chỉ hiện thị hay bắt giữ các thông tin đáng quan tâm. Sau đây là một số ví dụ ứng dụng bộ lọc của WireSharke :

 ip.dst eq www.eccouncil.org— Thiết lập này chỉ bắt giữ các gói tin có địa chỉ đích là trang web www.eccouncil.org
 ip.src == 192.168.1.1 — Thiết lập này chỉ bắt giữ các gói tin đến từ máy tính có địa chỉ IP là 192.168.1.1
 eth.dst eq ff:ff:ff:ff:ff:ff — Thiết lập này chỉ bắt giữ các gói tin được gởi dưới dạng broadcast tại lớp 2 của mô hình OSI. 7

MAC Flooding
Như vậy, các bạn đã thấy sự khác biệt của dạng tấn công passive sniff và active sniff được sử dụng tùy theo hệ thống mạng dùng hub hay switch. Với cơ chế đầu độc ARP các hacker có thể giả mạo địa chỉ MAC để bắt giữ các thông tin trái phép. Ngoài phương pháp này thì hacker có thể sử dụng những công cụ làm tràn ngập mạng bởi các gói tin hay tín hiệu ARP giả mạo để thiết bị switch không hoạt động được theo cơ chế truyền trực tiếp mà phải chuyển qua cách truyền thông broadcast thông thường như các thiết bị hub vẫn hay dùng. Điều này cũng xảy ra khi hệ thống mạng có nhiều tiến trình đầu độc ARP đang diễn ra bằng Ettercap, lúc đó các bạn sẽ thấy đèn tín hiệu của thiết bị switch nhấp nhày liên tục hay thậm chí bị treo buộc phải khởi động lại thì mới hoạt động được.

Kỹ Thuật DNS Spoofing

Spoofing có nghĩ là giả mạo, vậy thuật ngữ DNS Spoofing hay còn gọi là DNS poisoning là kỹ thuật là cho máy chủ DNS chấp nhận những thông tin phân giải địa chỉ IP giả mạo và lưu trữ các thông tin này trên dữ liệu cache, sau đó là gởi về cho các máy trạm (DNS client) khi các máy này có nhu cầu phân giải các thông tin DNS đã bị hacker giả mạo. ví dụ như khi các bạn muốn truy cập vào trang web www.netpro.edu.vn thì lại bị phân giải qua địa chỉ IP của w.security365.vn . Điều này thật sự nguy hiêm khi chúng ta truy 8 cập vào trang paypal hay các tài khoản ngân hàng trực tuyến để thực hiện giao dịch nhưng lại bị dẫn sang những web giả mạo có chủ ý đánh cắp tài khoản của người dùng. Đây là một hình thức tấn công rất nguy hiểm vì người dùng khó mà phát hiện ra một khi đã “tin tưởng” vào máy chủ DNS mà mình đã cấu hình hay được cấu hình. Để có thể tấn công theo hình thức này các hacker sẽ tìm cách khai   hác các máy chủ DNS bị lỗi để buộc chúng chấp nhận các thông tin không hợp lệ, đây là một hình thức tấn công gián  tiếp nhưng tác động mạnh lên kết quả phân giải của người dùng
Không giống trong môi trường thật, chúng ta có thể nghi ngờ khi nhận được những chỉ dẫn sai để đi đến một nơi nào đó, các máy tính hoàn toàn tin tưởng khi nhận được các đáp ứng từ nơi mà chúng cho là xuất phát từ những nguồn tin cậy. Sau đây là một số kỹ thuật
DNS Spoofing thông dụng :

 Intranet spoofing—hoạt động như là một thiết bị trên cùng lớp mạng nội bộ.
 Internet spoofing—hoạt động như một thiết bị trên internet
 Proxy server DNS poisoning—thay đổi các chỉ mục DNS trên proxy server để chuyển
hướng người dùng đến một trạm đích khác.
 DNS cache poisoning— thay đổi chỉ mục DNS trên bất kì hệ thống nào để chuyển
hướng người dùng đến một trạm đích khác.

Các Công Cụ Tấn Công DNS Spoofing

EtherFlood : Được sử dụng để làm tràn ngập một hệ thống Ethernet switch và làm nó hoạt động như  ub. Với cách này hacker có thể bắt giữ tất cả những truyền thông trên lớp mạng chứ không chỉ những gói tin được gởi và nhận từ chính máy của họ.
Dsniff : Gồm tập hợp nhiều công cụ khác nhau có thể chạy trên Windows và Linux (tuy nhiên khi sử dụng  sniff trên Linux sẽ đạt hiệu quả tốt hơn với đầy đủ các tính nang của nó). Những chức năng mà dsniff cung cấp gồm có bắt giữ các thông điệp thư điện tử với mailsnarf, bắt giữ tập tin với filesnarf, đánh cắp thông điệp chat với msgsnarf… Tuy nhiên, ứng dụng này chỉ hoạt động hiệu quả trong môi trường hub với cơ chế passsive sniff, trên các hệ thống mạng sử dụng Ethernet switch thì dsniff không có tác dụng.
Packet Crafter : Được dùng để tạo ra các gói tin TCP/UDP đã được tùy biến lại ví dụ đổi địa chỉ nguồn của các gói tin hay thiết lập các cờ theo mục đích riêng của hacker như đặt cờ RST yêu cầu hệ thống nhận phải reset lại các kết nối, sữa đổi giá trị tuần tự sequence number …
Cain & Able : Mặc dù dsniff mất tác dụng trong môi trường mạng chuyển mạch với thiết bị switch, nhưng  các hacker có thể sử dụng Cain & Able với sức mạnh hơn nhiều có khả năng chặn bắt các gói tin thông qua bước đầu độc ARP để điều 9 hướng các dữ liệu nhạy cảm về máy của hacker và đánh cắp thông tin nhạy cảm của người dùng. Ngoài ra, cain & Able có khả năng bắt cả những gói tin voice ip của Skype,  giả mạo chứng chỉ điện tử để thâm nhập các hộp thư Gmail, Yahoo hay bẻ khóa mật khẩu của hệ thống mạng không dây, mật khẩu mã hóa với MD5.
SMAC : Dùng để thay đổi địa chỉ MAC của một hệ thống, cho phép hacker giả mạo địa chỉ phần cứng khi  ấn công vào một mục tiêu nào đó, qua mặt được cơ chế kiểm tra dựa trên địa chỉ MAC.
MAC Changer : Công cụ dùng để thay đổi địa chỉ MAC trên Unix/Linux, cho phép hacker giả mạo địa chỉ phần cứng và cả thông tin của nhà sản xuất.
WinDNSSpoof : Một công cụ đơn giãn chạy trên Windows dùng để giả mạo địa thông tin DNS. Thông thường, hacker kết hợp WinDNSSpoof với một ứng dụng có khả năng đầu độc ARP để mang lại hiệu quả  cho WinDNSSpoof trên các hệ thống mạng dùng thiết bị swicth.
Distributed DNS Flooder : Có khả năng gởi một số lượng lớn các yêu cầu truy vấn đến máy chủ DNS, tạo ra một cuộc tấn công từ chối dịch vụ (DOS) khiến cho máy chủ DNS không thể đáp ứng các yêu cầu

Cách Phòng Chống Sniffer
Để phòng chống bị nghe lén hay đánh cắp thông tin chúng ta cần cẩn thận khi truy cập tại các hệ thống mạng công  ộng như sân bay, quán cà phê wifi. Trong trường hợp cần phải kiểm tra thư hay truy cập thông tin bí mật trên những hệ thống mạng không an toàn nên sử dụng cơ chế mã hóa hay dùng VPN. Có những giải pháp VPN miễn phí rất hiệu   quả trong môi trường mạng không dây như giải pháp dùng Hot Pot Shield (http://anchorfree.com/)
Ngoài ra, các bạn có thể cài đặt chương trình dò tìm và phát hiện các sniffer ở trên mạng như XARP, ứng dụng này sẽ cảnh báo ngay khi phát hiện có một dấu hiệu khả nghi xuất hiện như có máy tính đang hoạt động ở chế độ promicouse hay đang tiến hành ARP poisoning. Các bạn có thể download chương trình XARP tại đây http://www.chrismc.de
Nếu hệ thống mạng được quản lý thông qua máy chủ Active Directory thì giải pháp phòng chống đơn giãn như đã đề cập cấu hình địa chỉ MAC tĩnh đối với default gateway cho tất cả các máy tính thông qua chính sách an ninh của toàn vùng kết hợp với một kịch bản chạy khi khởi động, để tất cả các máy tính đề được cập nhập thông tin này sau khi khởi động. Vì chúng ta cập nhật thông tin này thông qua lệnh arp –s thông thường thì khi máy tính khởi động lại dữ liệu trên sẽ bị xóa.
Tổng Kết
Như vậy, trong chương này chúng ta đã thảo luận về một chủ đế rất quan trọng đó là tấn công dưới dạng nghe lén. Các bạn đã phân biệt được thế nào là Active Sniff và Passive Sniff cũng như thế nào là MAC Flooding, DNS Spoofing kèm  theo đó là những giả pháp phòng chống thích hợp. Có một bài thực hành phòng chống sniffer mà tôi đã trình bày
trogn chương trình đào tạo CEH là sử dụng công cụ AntiNetcut 3, đây là ứng dụng chạy được trên hệ thống Windows XP, Windows 7 và hoàn toàn miễn phí. Khi cài đặt công cụ này các bạn có thể bảo vệ mình khỏi sự dòm ngó của các  sniffer một cách tư động. Trong chương tới chúng ta sẽ tìm hiểu về dạng tấn công phi kỹ thuật Social Engineering