Series Sniffing – Phần 2 : Các hình thức tấn công sniffing phổ biến

0

Hello mọi người, sau bài viết phần 1 tại đây thì mình sẽ gửi tới các bạn phần 2 của series bài viết này <3 . Bạn nào chưa đọc phần 1 thì có thể theo dõi tại đây : https://anonymousvn.org/series-sniffing-phan-1-tong-quan-ve-sniffing.hav/

1.Lắng nghe thông tin qua Hub

Phương pháp tấn công

Sniffing trên mạng môi trường Hub là 1 giấc mơ đối với bất kỳ ai, bởi gói tin được gửi đi qua thiết bị Hub thì sẽ đi qua tất cả các cổng kết nối với Hub đó. Một khung gói tin khi chuyển từ máy A sang máy B thì đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loan tin (broadcast).

Mô hình lắng nghe thông tin qua Hub

Để phân tích lưu lượng đi qua 1 máy tính kết nối với 1 thiết bị Hub thì chỉ cần kết nối một packet sniffer tới 1 cổng còn trống trên Hub. Tuy nhiên, những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân. Vì thế các chương trình nghe lén phải có chức năng giải mã dữ liệu ở dạng nhị phân để hiểu được chúng. Ngoài ra, kẻ tấn công sẽ chuyển card mạng sang chế độ Promiscuous. Chế độ Promiscuous cho phép card mạng nhìn thấy tất cả các gói tin đi qua hệ thống dây mạng. Khi card mạng được đặt dưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đích đến. Từ đó, kẻ tấn công có thể thấy được tất cả truyền thông đến và đi từ máy tính đó, cũng như truyền thông giữa các thiết bị khác kết nối với thiết bị Hub. Tuy nhiên, ngày nay mạng Hub không còn được ưa chuộng bởi vì chỉ có 1 thiết bị duy nhất có thể truyền thông tại một thời điểm, 1 thiết bị kết nối qua 1 Hub phải cạnh tranh băng thông với các thiết bị khác cũng đang cố gắng truyền thông qua thiết bị Hub đó. Khi hai hay nhiều thiết bị truyền thông ngay tại cùng một thời điểm, sẽ dễ xảy ra xung đột. Vì thế nên dù Hub có tiện lợi, dễ sử dụng nhưng ngày nay, hầu hết các mạng đều sử dụng Switch thay cho Hub.

Các biện pháp phòng chống

Phương pháp lắng nghe thông tin qua Hub khó phát hiện và phòng chống, vì kẻ tấn công chỉ tiến hành lắng nghe trên đường truyền và bắt giữ lại những gói tin mà không có sự tác động đáng kể nào vào hệ thống. Vì thế một trong những cách đơn giản nhất là làm cách nào để các gói tin không còn broadcast nữa, bằng cách sử dụng Switch thay cho Hub. Ngoài ra có thể dùng phương pháp “lấy độc trị độc” là sử dụng chính các công cụ nghe lén để phát hiện mình có bị nghe lén hay không. Các công cụ này ngoài việc thực hiện tác vụ nghe lén, còn có khả năng dò tìm trên mạng nội bộ có máy nào đang nghe lén hay không.

Tấn công MAC 

Khái niệm địa chỉ MAC

Địa chỉ MAC (Media Access Control) là kiểu địa chỉ vật lí, đặc trưng cho một thiết bị hoặc một nhóm các thiết bị trong LAN. Địa chỉ này được dùng để nhận diện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích.

Địa chỉ MAC gồm một bộ sáu cặp hai ký tự, cách nhau bằng dấu hai chấm. Ví dụ 00:1B:44:11:3A:B7 là một địa chỉ MAC.

Phương pháp tấn công

Tấn công MAC là kỹ thuật khá phổ biến trong mạng LAN. Mục đích của kỹ thuật này là làm ngập lụt switch với một số lượng lớn yêu cầu. Thoạt nhìn thì thấy đây chỉ là mục đích phá hoại nhưng đối tượng tấn công có thể đi xa hơn khi tận dụng để nghe lén các gói tin của người khác.

Kẻ tấn công phải nằm trong chính mạng LAN đó và sử dụng một ứng dụng phần mềm để tạo thật nhiều frame với địa chỉ MAC giả mạo (MAC spoofing) rồi gửi đến switch. Khi nhận được frame này, switch không phân biệt được đâu là giả đâu là thật và sẽ xem nó như một frame bình thường. Lúc này, switch sẽ cập nhật các địa chỉ MAC mới vào bảng CAM.

Bảng CAM (Content Addressable Memory), cũng có thể gọi là bảng MAC, là nơi lưu trữ các địa chỉ MAC của các port và các tham số VLAN trong switch. Nhờ vào bảng CAM, switch có thể biết được một thiết bị có địa chỉ MAC X đang nằm ở port vật lý nào để còn đẩy frame trả lời về port đó. Kẻ tấn công sẽ đầu độc switch liên tục toàn các địa chỉ MAC giả mạo. Bảng CAM của switch thì có kích thước giới hạn, nên đến một thời điểm nào đó bảng CAM sẽ bị đầy.

Đầu độc switch bằng địa chỉ MAC giả khiến bảng CAM trong sswitch bị đầy.

Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của nó, coi thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi gói tin ARP request đến switch để hỏi địa chỉ MAC của máy B. Máy B lúc này nhận được gói tin sẽ gửi phản hồi lại cho máy A sau đó các gói tin được lưu chuyển từ A đến B mà không chuyển sang các máy khác. Tuy nhiên, lúc này bảng CAM đã bị đầy tràn, các lưu lượng ARP request sẽ làm ngập lụt mỗi cổng của switch. Switch đã bị lụt với các gói tin của các địa chỉ MAC khác nhau và sẽ broadcast lưu lượng mà ko cần thông qua bảng CAM nữa. Đến lúc này thì switch hoạt động không khác gì hub. Kẻ tấn công sẽ sử dụng 1 công cụ Packet Sniffer để thâu tóm các dữ liệu mong muốn.

Switch hoạt động như một hub và lắng nghe được thông tin trong mạng.

Các biện pháp phòng chống

Nguyên lí chung của các phương pháp phòng chống là không để các gói tin có địa chỉ MAC lạ đi qua switch. Phương pháp phòng chống hiệu quả nhất là cấu hình port security trên switch. Đây là một đặc trưng cấu hình cho phép điều khiển việc truy cập vào cổng switch thông qua địa chỉ MAC của thiết bị gắn vào. Khi switch nhận được một gói tin chuyển đến, nó sẽ kiểm tra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước đó. Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà switch sẽ xử lí gói tin đến với các mức độ khác nhau.

Các lệnh cấu hình port security:

  • Switch(config-if)# switchport mode access
  • Switch(config-if)# switchport port-security: Cho phép cổng được hoạt động trong chế độ port-security.
  • Mặc định thì cổng chỉ cho phép một địa chỉ MAC (một thiết bị) được gán vào và số địa chỉ có thể nằm trong khoảng từ 1 đến 1024.
  • Switch(config-if)#sw port-security violation shutdown: Nếu vi phạm sẽ tắt cổng, kẻ tấn công sẽ không thể làm tràn bảng CAM

Tác giả : Hoàng Sơn Hà

Leave A Reply

Your email address will not be published.