CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG 1. Tấn công trong mạng máy tính 1. Khái niệm về tấn công mạng Tấn công mạng là hoạt động có chủ ý của kẻ phạm tội lợi dụng các lỗ hổng của hệ thố ng thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí mật của hê ̣ thố ng thông tin.
An toàn mạng Internet ngày càng phát triển rộng rãi, vấn đề an ninh trên môi trường mạng ngày càng trở nên cấp thiết. Các cuộc tấn công mạng đang gia tăng cả về số lượng và mức độ nghiêm trọng. Các phương thức và hệ thống bảo mật truyền thống đã không còn hiệu quả để đảm bảo an toàn thông tin và dữ liệu cho các tổ chức, cá nhân. Yêu cầu cần có những giải pháp, công cụ tiên tiến hơn để bảo vệ thông tin và dữ liệu trên mạng máy tính.
An toàn mạng có thể hiểu là cách bảo vệ nhằm đảm bảo an toàn cho tất cả các thành phần của mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng. An toàn mạng thường bao gồm: Xác định chính xác các khả năng, nguy cơ xâm nhập mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. - Các kiểu vi phạm an toàn mạng Các lỗ hổng về an toàn và bảo mật của hệ thống là những tình huống có khả năng gây mất mát và tổn hại hệ thống. Có 4 hiểm họa đối với an toàn hệ thống là: Sự phá hoại, sự sửa đổi, sự can thiệp và sự giả mạo.
+ Sự phá hoại: Tài nguyên của hệ thống sẽ bị mất đi, không ở trạng thái sẵn sàng hoặc không thể sử dụng được. Cố ý phá hoại các thiết bị phần cứng, xóa bỏ file dữ liệu, chương trình hoặc làm sai chức năng quản lý của hệ điều hành để nó không thể tìm ra được file cụ thể trên đĩa. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 4 + Sự can thiệp: đối tượng không được phép có thể truy cập vào hệ thống sử dụng tài nguyên hệ thống hoặc sao chép chương trình, sao chép dữ liệu trái phép. + Sự sửa đổi: Thay đổi giá trị cơ sở dữ liệu, sửa đổi chương trình làm chương trình không hoạt động đúng với chức năng được thiết kế, thay đổi dữ liệu đang truyền qua phương tiện điện tử.
+ Sự giả mạo: Giả mạo những đối tượng hợp pháp trong hệ thống, đưa ra giao dịch giả vào mạng truyền thông, thêm dữ liệu vào cơ sở dữ liệu hiện có. - Các mục tiêu an toàn mạng Đảm bảo an toàn mạng là nhằm mục đích đảm bảo cho tính đúng đắn, độ tin cậy cao nhất của thông tin được xử lý, đồng thời bảo vệ được các thông tin được lưu trữ trong các cơ sở dữ liệu và thông tin lưu chuyển trên mạng. Một hệ thống được xem là an toàn chỉ có sự kết hợp của ba đặc tính: Tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài nguyên mạng và các dịch vụ mạng. Vấn đề an toàn thông tin còn thể hiện qua mối quan hệ giữa người sử dụng với hệ thống mạng và tài nguyên mạng.
Các quan hệ này được đảm bảo bằng các phương thức xác thực, cấp phép sử dụng và từ chối phục vụ [1]. + Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng. + Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc. + Tính sẵn sàng: Thông tin phải luôn sãn sàng để tiếp cận, phục vụ theo đúng mục đích và đúng cách.
+ Tính chính xác: Thông tin phải có độ chính xác và tin cậy. + Tính không khước từ: Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin. Lỗ hổng bảo mật Lỗ hổng bảo mật là những lỗi phần mềm, lỗi trong đặc điểm kỹ thuật và thiết kế, nhưng đa số là lỗi trong lập trình. Cấu trúc phần mềm được thiết kế bởi con người, và những dòng code trong đó cũng được viết bởi con người, vì vậy việc xuất hiện lỗi Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 5 là không thể tránh khỏi.
Đây là những lỗ hổng nằm ủ mình trong hệ thống phần mềm, đợi đến khi bị phát hiện. Khi đó, chúng có thể được dùng để tấn công vào hệ thống. Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ở các dịch vụ cung cấp như sendmail, web, ftp.
Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows, UNIX; hoặc trong các ứng dụng mà người sử dụng thương xuyên sử dụng [1]. Phân loại lỗ hổng bảo mật : - Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo Dos. Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống.Không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp. - Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ.
Mức độ nguy hiểm trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. - Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.
Các kiểu tấn công mạng phổ biến - Tấn công thăm dò Kiểu tấn công thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống. Việc thăm dò được thăm dò theo các bước thăm dò thụ động (thu thập các thông tin được công khai) và thăm dò chủ động(sử dụng các công cụ để tìm kiếm thông tin trên máy tính của nạn nhân). Thăm dò nó cũng là một giai đoạn tấn công, trong giai đoạn này mục đích của người tấn công là thu thập mọi thông tin của hệ thống, tìm kiếm các lỗ hổng để thực hiện các giai đoạn tấn công tiếp theo. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 6 - Nghe trộm (Eavesdropping) Nhìn chung, phần lớn các thông tin liên lạc mạng diễn ra ở dạng rõ (cleartext) - định dạng không bảo đảm an toàn, cho phép kẻ tấn công có thể can thiệp vào dữ liệu trên mạng như nghe lén, chỉnh sửa nội dung thông tin.
Nếu không có các dịch vụ mã hóa mạnh mẽ dựa trên mật mã, dữ liệu trên mạng có thể bị đọc bởi những kẻ có ý đồ xấu và gây ra tổn thất lớn cho cá nhân cũng như các tổ chức. Việc nghe trộm thông tin trên đường truyền có thể được thực hiện bằng việc cài keylog, phần mềm chặn bắt gói tin, phân tích giao thức hay thậm chí là các thiết bị phần cứng hỗ trợ việc “lắng nghe” các thông tin liên lạc trên mạng. - Tấn công truy cập Tấn công truy cập là kiểu tấn công giúp người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền hay đơn giản chỉ là truy cập vào hệ thống. + Tấn công truy cập hệ thống: Người tấn công thường tìm kiếm quyền truy cập đến một thiết bị bằng cách chạy một đoạn mã, bằng những công cụ hỗ tợ (Hacking tool) hoặc là khai thác một điểm yếu của ứng dụng hay một dịch vụ đang chạy trên máy chủ.
+ Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. + Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản người sử dụng ban đầu không được cho phép truy cập. Khi kẻ xâm nhập đạt được mức độ quyền truy cập đủ cao, họ có thể cài đặt phần mềm như là backdoors và Trojan horses, cũng như cho phép truy cập sâu hơn và thăm dò.
Mục đích chung là chiếm được quyền truy cập ở mức độ quản trị. Khi đã đạt được mục đích đó, họ có toàn quyền điều khiển hệ thống mạng. - Tấn công từ chối dịch vụ Đây là cách tấn công làm cho hệ thống bị tấn công quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động của hệ thống hoặc hệ thống phải nhưng hoạt động. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 7 Tùy theo phương thức thực hiện mà mà nó được biết dưới nhiều tên gọi khác nhau.
Mục đích là lợi dụng sự yếu kém của giao thức TCP (Transmision control protocol) để thực hiện tấn công tưg chối dịch vụ Dos (Denial of Service), mới hơn là tấn công từ chối dịch vụ phân tán Ddos, mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ Drdos. + Tấn công từ chối dịch vụ cổ điển Tấn công từ chối dịch vụ cổ điển DoS là một phương pháp tấn công từ chối dịch vụ xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop, SYN Attack… Các kiểu tấn công này thường được áp dụng đối với đối tượng tấn công là hệ thống máy chủ bảo mật kém, băng thông (bandwidth) yếu, thậm chí trong nhiều trường hợp, đối tượng tin tặc có thể sử dụng đường truyền có tốc độ vừa phải cũng có thể thực hiện thành công các kiểu tấn công này. Tear drop: Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi.