Các kiểu tấn công

Security Awareness Presented by: ATHENA Security Team Security Awareness Các kiểu tấn công Chương 3: Các kiểu tấn công Phân loại hình thức tấn công Tấn công từ chối dịch vụ (DoS/ DDoS) Khai thác bảo mật của phần mềm (Software Exploitation) Tấn công kiểu Wardialing Tấn công kiểu Dumpster Diving Các kiểu đánh lừa phi kỹ thuật (Social Engineering) Chương 3: Các kiểu tấn công (cont.) Virus tin học Nghe trộm gói tin (Sniffer) Các dạng phần mềm gián điệp Logic Bombs Sâu máy tính (Worm) Tấn công từ bên trong (Back doors) Phân loại hình thức tấn công Tấn công chủ động Tấn công thụ động Tấn công password Tấn công bằng code Các kiểu tấn công chủ động Tấn công từ chối dịch vụ (Deny of service-DoS) Tấn công từ chối dịch vụ phân tán (Distributed Deny of Service -DDoS) Tấn công tràn bộ đệm (Buffer Overflow) SYN Attack Sự giả mạo (spoofing) Man in the Middle (MITM) TCP/IP Hijacking Wardialing Dumpster Diving Social Engineering Các kiểu tấn công thụ động Scanning Sniffing Eavesdropping Các kiểu tấn công Password Đoán password Phá Password (brute force) Tấn công dạng từ điển Password (dictionary-based password) Các kiểu tấn công bằng Code Tấn công từ bên trong (Backdoors) Viruses Trojans Worms Lỗ hổng trong phần mềm (Software exploitation) Khóa hoặc giải thuật yếu (weak keys and mathematical) Tấn công từ chối dịch vụ (DoS Attacks) Tấn công từ chối dịch vụ Tấn công làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. Tấn công kiểu này chỉ làm gián đoạn hoạt động của hệ thống chứ rất ít có khả năng thâm nhập hay chiếm được thông tin dữ liệu của nó Các loại tấn công từ chối dịch vụ Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service) Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) Tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (Distributed Reflection Denial of Service). Biến thể của tấn công DoS Broadcast Storms SYN Finger Ping Flooding,… Mục tiêu tấn công DoS Mục tiêu nhằm chiếm dụng các tài nguyên của hệ thống (máy chủ) như: Bandwidth, Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU,… Làm hoạt động của hệ thống bị quá tải dẫn đến không thể đáp ứng được các yêu cầu (request) hợp lệ nữa. Tấn công từ chối dịch vụ cổ điển Là phương thức xuất hiện đầu tiên, giản đơn nhất trong kiểu tấn công từ chối dịch vụ.Các kiểu tấn công thuộc phương thức này rất đa dạng Ví dụ một dạng tấn công tiêu biểu: SYN Attack Bắt tay ba chiều trong kết nối TCP Bắt tay ba chiều trong kết nối TCP Bước 1: Client (máy khách) sẽ gửi các gói tin (packet chứa SYN=1) đến máy chủ để yêu cầu kết nối. Bước 2: Khi nhận được gói tin này, server sẽ gửi lại gói tin SYN/ACK để thông báo cho client biết là nó đã nhận được yêu cầu kết nối và chuẩn bị tài nguyên cho việc yêu cầu này. Server sẽ giành một phần tài nguyên hệ thống như bộ nhớ đệm (cache) để nhận và truyền dữ liệu. Ngoài ra, các thông tin khác của client như địa chỉ IP và cổng (port) cũng được ghi nhận. Bước 3: Cuối cùng, client hoàn tất việc bắt tay ba lần bằng cách hồi âm lại gói tin chứa ACK cho server và tiến hành kết nối. DoS dùng kỹ thuật SYN Flood DoS dùng kỹ thuật SYN Flood Hacker cài một chương trình phá hoại (malicious code) vào client. Client không hồi đáp tín hiệu ACK (bước 3) về cho server. Server không còn tài nguyên phục vụ cho những yêu cầu truy cập hợp lệ. DoS dùng kỹ thuật SYN Flood Tấn công từ chối dịch vụ kiểu phân tán (DDoS) Xuất hiện vào mùa thu 1999 So với tấn công DoS cổ điển, sức mạnh của DDoS cao hơn gấp nhiều lần. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động. Tấn công từ chối dịch vụ kiểu phân tán (DDoS) Tấn công từ chối dịch vụ kiểu phân tán (DDoS) Tấn công từ chối dịch vụ kiểu phân tán (DDoS) Chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian (zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó. Tấn công từ chối dịch vụ kiểu phân tán (DDoS) Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS Xuất hiện vào đầu năm 2002, là kiểu tấn công mới nhất, mạnh nhất trong họ DoS. Nếu được thực hiện bởi kẻ tấn công có tay nghề thì nó có thể hạ gục bất cứ hệ thống nào trên thế giới trong phút chốc. DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS. Mục tiêu chính của DRDoS là chiếm đoạt toàn bộ băng thông của máy chủ, tức là làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy chủ. Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS Với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị quá tải, bandwidth bị chiếm dụng bởi server lớn. Tính “nghệ thuật” là ở chỗ chỉ cần với một máy tính với modem 56kbps, một hacker lành nghề có thể đánh bại bất cứ máy chủ nào trong giây lát mà không cần chiếm đoạt bất cứ máy nào để làm phương tiện thực hiện tấn công. Khai thác các lỗ hổng bảo mật của phần mềm (Software Exploitation) Tập trung vào HĐH máy chủ, các ứng dụng web, các thiết bị phần cứng và những phần mềm của các hãng thứ ba (third party) phục vụ vận hành hệ thống. Chỉ cần một thời gian rất ngắn sau khi được phát hiện,công bố thì có rất nhiều tài liệu, mã nguồn, công cụ hướng dẫn khai thác được phát tán rộng rãi trên Internet. Khai thác các lỗ hổng bảo mật của phần mềm (Software Exploitation) Nếu không kịp cập nhật các hotfix, các bản sửa lỗi patch kịp thời thì việc hệ thống bị bị tấn công là điều hoàn toàn có thể xảy ra. Việc cập nhật này đa phần là không được thực hiện đầy đủ, thậm chí không thực hiện. Điều này cũng để hiểu vì không có chính sách rõ ràng, không có sự phân công và nhân lực thực hiện. Đây cũng là thực trạng chung của nhiều tổ chức hiện nay. Và là một trong những nguyên nhân quan trọng để hệ thống bị tấn công do chúng không được cập nhật, vá lỗi kịp thời. Các lỗ hổng bảo mật của phần mềm tiêu biểu Unicode IIS Tràn bộ đệm (Buffer Over Flow) Lỗi Unicode IIS Lỗi Unicode IIS (Unicode Internet Information Service) trên các máy chủ web IIS sử dụng hệ điều hành mạng Windows NT của hãng Microsoft. Chỉ cần sử dụng vài Script URL và một vài câu lệnh DoS đơn giản, kẻ tấn công có thể dễ dàng chiếm quyền điều khiển máy chủ. Lỗi tràn bộ đệm (Buffer overflow) Tình trạng tràn bộ đệm xảy ra khi dữ liệu được gửi đến ứng dụng nhiều hơn mong đợi và khi xảy ra tình trạng này, kẻ tấn công có thể lợi dụng để thực thi các mã chương trình nhằm tấn công giành quyền điều khiển hệ thống. Kỹ thuật tấn công này có thể làm cho hệ thống bị tê liệt hoặc làm cho quản trị viên hệ thống mất khả năng kiểm soát hoàn toàn tạo điều kiện cho kẻ tấn công xâm nhập. Lỗi tràn bộ đệm(buffer overload) Điều đáng chú ý đối với quản trị mạng là lỗi này xuất hiện ở tất cả các sản phẩm nổi tiếng, cả phần cứng lẫn phần mềm. Lỗi này không chỉ được sử dụng để đột nhập máy chủ mà còn được dùng để đột nhập vào các bộ định tuyến mạng (router), tường lửa quốc gia,… Tấn công kiểu Wardialing Là kiểu tấn công quay vào một block nhiều số điện thoại thông qua modem để tìm một máy tính có thể kết nối vào. Kẻ tấn công dùng một phần mềm ví dụ như war dialer để tự động quay số vào một hệ thống một cách liên tục Kết nối vào một máy có sẵn Hoặc làm nghẽn hệ thống tổng đài doanh nghiệp Tấn công Dumpster Diving Dumpster Diving là quá trình tìm kiếm những thông tin thông qua việc đào bới thùng rác của nạn nhân. Cách tấn công này rất hiệu quả, có thể dễ dàng tìm được thông tin về các sản phẩm,những ghi chép nội bộ, thậm chí có thể là password của user,… trong các tờ giấy vụn được ném vào trong thùng rác. Đây là hành động không cẩn thận của con người Kiểu tấn công phi kỹ thuật (Social Engineering) Đây là kỹ thuật lừa đảo không đòi hỏi sử dụng quá nhiều yếu tố kỹ thuật, Thậm chí không có liên quan đến kỹ thuật thuần túy (non-technical) để tìm kiếm, khai thác thông tin phục vụ cho mục tiêu tấn công. Phương cách thực hiện có thể thông qua thư tín, email, điện thoại hay tiếp xúc trực tiếp, thông qua người quen, các mối quan hệ cá nhân,… nhằm dẫn dụ, khai thác các thông tin do vô tình bị tiết lộ từ phía người dùng Kiểu tấn công phi kỹ thuật (Social Engineering) khai thác các yếu tố tâm lý Khai thác khía cạnh giao tiếp xã hội nhiều hơn là sử dụng các yếu tố kỹ thuật thông thường Đây cũng là nguyên nhân khiến kỹ thuật này hết sức phổ biến trong thực tế cuộc sống. Viruses Viruses Một chương trình máy tính được thiết kế dưới dạng một trò chơi khăm, hoặc một sự phá hoại ngầm, có thể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành các thao tác vô ích, vô nghĩa, đôi khi là thao tác phá hoại. Khi một vi rút nhiễm vào đĩa, nó tự lây lan bằng cách gắn vào các chương trình khác trong hệ thống, kể cả phần mềm hệ thống. Giống như vi rút ở người, tác hại của vi rút máy tính có thể chưa phát hiện được trong thời gian vài ngày hay vài tuần. Trong thời gian đó mọi đĩa đưa vào hệ máy đều mang theo một bản sao ẩn của vi rút đó - các đĩa này đều bị nhiễm vi rút Các loại Virus Virus Databases Phòng chống Viruses Không chép lại các đĩa sao lậu của các chương trình thương phẩm, vì các đĩa này có thể chứa vi rút. Mua và sử dụng chương trình kiểm tra vi rút thường xuyên. Cài đặt một chương trình kiểm tra vi rút lưu trú trong bộ nhớ, như Norton Antivirus chẳng hạn. Không download các chương trình lạ trên internet. Có thể bị nhiễm spyware từ các chương trình này. Phòng chống Viruses Giải pháp cho doanh nghiệp Chương trình Antivirus cho Desktop Chương quét virus cho Email Server Các ứng dụng quét virus cho hệ thống mạng Thói quen tốt cho nhà quản trị mạng Cập nhật patch và virus signature Huấn luyện nhân viên không mở các file đính kèm nguy hiểm Mở các đuôi file bị dấu Tấn công nghe trộm gói tin (Sniffer) Tấn công nghe trộm gói tin (Sniffer) Sniffer Là cách tấn công dùng kỹ thuật nghe trộm gói tin trên mạng. Một tool dùng để tấn công sniffer có thể giám sát và lấy được nội dung của các gói dữ liệu đi trên dây dẫn hoặc qua không khí trong mạng không dây. Đây là một kỹ thuật rất mạnh, các kẻ tấn công có thể dùng để dò tìm password, nội dung e-mail, hoặc các dữ liệu khác khi gửi qua mạng ở dạng clear text. Các công cụ dùng để sniffer tiêu biểu là: Ettercap, Cain. Các dạng phần mềm gián điệp (Trojan Horse) Trojan horse: là một chương trình được cải trang như một chương trình ứng dụng thú vị nào đó. Ví dụ như các game. Khi chương trình này chạy nó có thể thực thi và cài đặt các ứng dụng điều khiển từ xa. Trojan horse không tự lây nhiễm từ máy tính này sang máy tính khác. Một máy tính nhiễm Trojan horse, máy tính sẽ mở một cổng nào đó cho hacker kết nối vào và chiếm quyền điều khiển hệ thống Các dạng phần mềm gián điệp (Trojan Horse) Những việc Trojan có thể làm: Ăn cắp password Xóa files Kết nối với các sites khác …… Worm Worm Worm Một chương trình độc lập cho phép nhân bản từ máy tính này sang máy tính khác thông qua hệ thống mạng. Thường làm ngẽn mạch hệ thống mạng khi nó phát tán Không ảnh hưởng chương trình khác Ví dụ: Code Red, Nimda Tấn công kiểu Logic bombs Tấn công kiểu Logic bombs Logic bombs hay còn gọi là bombs thời gian. Chúng được thiết kế để thực hiện công viêc phá hoại của chúng khi gặp một điều kiện nào đó. Một ví dụ nổi tiếng về tấn công Logic bombs. Đó là khi các máy tính nhiễm virus Chernobyl. Các máy tính nhiễm virus này vẫn hoạt động bình thường cho đến ngày 26 tháng 4 (ngày nổ nhà máy điện hạt nhân Chernobyl ở Ucraina). Các máy tính bị ghi lại BIOS hệ thống và xóa ổ đĩa cứng. Backdoors Là một chương trình truy xuất từ xa được cài đặt vào máy tính của nạn nhân và cho phép có thể điều khiển từ xa. Việc cài đặt có thể hợp pháp hoặc bất hợp pháp. Ví dụ như cài các chương trình hợp pháp để người quản trị điều khiển hệ thống từ xa .Cài đặt VNC, PC anywhere. Nhiều chương trình backdoor có thể cho phép leo thang đặc quyền.Hacker có thể từ xa nâng quyền truy xuất vào hệ thống từ cấp độ user lên admin Summary Hỏi - Đáp Q&A ? ?