Đồ án: Xây dựng Công cụ Tấn công MiTM và Đánh giá An toàn Mạng

LỜI MỞ ĐẦU Hiện nay, trong thời đại công nghiệp 4.0 đang phát triển mạnh mẽ, các công ty công nghệ đang tìm kiếm và phát triển các thiết bị IoT, công nghệ, giao thức mới nhằm nâng cao đời sống xã hội lên một tầm cao mới. Tuy nhiên, do sự phát triển nhanh vượt trội của công nghệ thông tin, các cơ chế an toàn bảo mật không thể bắt kịp được tốc độ đó, khiến cho chúng ta dễ bị nhắm đến bởi các cuộc tấn công mạng khi sử dụng các thiết bị đó. Ảnh hưởng của các cuộc tấn công mạng có thể rất lớn, tùy theo mức độ quan trọng và giá trị tài sản của mục tiêu. Các cuộc tấn công mạng có thể xảy ra ở bất kỳ đâu, kể cả trong chính mạng nội bộ ta đang sử dụng. Trong mạng nội bộ LAN, kẻ tấn công có thể sử dụng nhiều phương pháp khác nhau nhằm đánh cắp thông tin cá nhân, thông tin đăng nhập, tài liệu quan trọng, … của người dùng bị nhắm đến. Một trong những phương pháp tấn công hay được sử dụng, đó là tấn công người xen giữa hay còn gọi là tấn công Man–in–The–Middle. Để bảo vệ trước các cuộc tấn công Man-in-the-middle, nhiều công cụ kiểm thử đã được xây dựng để mô phỏng các cuộc tấn công và phát hiện các lỗ hổng trong mạng máy tính, phục vụ cho việc thiết kế các cơ chế phát hiện và bảo mật mạng cần thiết trước kiểu tấn công này. Tuy nhiên, nhiều công cụ tấn công chưa thực hiện được nhiều phương thức tấn công hay các kỹ thuật tấn công vẫn chưa hoàn thiện. Ví dụ, công cụ tấn công Ettercap là một công cụ tấn công Man-in-The- Middle lâu đời nhưng thông tin đọc được chỉ giới hạn ở tên đăng nhập và mật khẩu. Vậy, việc phát triển công cụ tấn công Man-in-The-Middle vẫn còn nhiều tiềm năng để thêm vào các phương thức mới hay cải thiện các kỹ thuật đã có. Chính vì lý do này, đề tài được chọn khi xây dựng đồ án này là “Xây dựng công cụ tấn công Man-In-The-Middle phục vụ đánh giá an toàn mạng” với mục tiêu là:  Giới thiệu về tấn công Man-in-the-middle và tìm hiểu về các phương thức và kỹ thuật tấn công Man-in-the-middle được sử dụng hiện nay. i  Phân tích, thiết kế và lập trình công cụ tấn công MiTM  Thử nghiệm công cụ tấn công MiTM  Tìm hiểu về cách phòng chống và phát hiện tấn công MiTM Sau thời gian nghiên cứu đồ án, các mục tiêu đề ra cơ bản đã đạt được. Tuy nhiên, do kiến thức và kỹ năng lập trình còn hạn chế nên không thể tránh khỏi thiếu sót, vậy nên rất mong thầy cô cùng các bạn học viên cùng đóng góp ý kiến để tác giả đồ án có thể hoàn thiện đề tài này. ii MỤC LỤC LỜI CẢM ƠN.i LỜI MỞ ĐẦU.ii DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT.vi DANH MỤC HÌNH ẢNH.vii Chương 1: Tìm hiểu về tấn công Man – in – The – Middle (MiTM). Khái niệm tấn công. Các phương pháp thực hiện tấn công Man – in – The – Middle (MiTM). DNS Cache Poisoning. Các hình thức tấn công Man – in – the – middle. Packet Injection and Modification (Thêm và thay đổi gói tin).21 Chương 2: Xây dựng công cụ tấn công MiTM. Giới thiệu về công cụ được xây dựng. Phân tích và thiết kế chức năng. Tấn công ARP Spoofing. Phát hiện ARP Spoofing (ARP Spoofing detector). Lắng nghe HTTP (HTTP Sniffer). 47 Chương 3: Thử nghiệm đánh giá an toàn mạng. Hướng dẫn cài đặt công cụ. Thiết lập mô hình thử nghiệm. Thử nghiệm đánh giá an toàn mạng. Khái niệm về đánh giá an toàn mạng. Nghe lén đường truyền HTTP (HTTP Sniffer). Kết quả đánh giá an toàn mạng.60 Chương 4: Phòng chống và phát hiện tấn công Man–in–the–Middle. Một số biện pháp phòng chống và phát hiện tấn công MiTM. Sử dụng công cụ WiTM. 66 TÀI LIỆU THAM KHẢO.67 Phụ lục 1: Chương trình chính của công cụ (WiTM.68 Phụ lục 2: Script chứa các hàm kiểm tra trước (precheck.71 Phụ lục 3: Script chứa chức năng quét mạng (network_scanner.73 Phụ lục 4: Script chứa chức năng tấn công ARP Spoofing và phát hiện ARP Spoofing (ARP_spoofing.74 Phụ lục 5: Script chứa chức năng nghe lén đường truyền HTTP (packet_sniffer. 77 Phụ lục 6: Script chứa chức năng tấn công DNS Spoofing (DNS_spoof.79 Phụ lục 7: Script hướng dẫn sử dụng (help.81 iv DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT ARP Address Resolution Protocol DHCP Dynamic Host Configuration Protocol DNS Domain Name System HSTS HTTP Strict Transport Security HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IP Internet Protocol LAN Local Area Network MAC Media Access Control MiTM Man-in-The-Middle NAT Network Address Translation NIC Network Interface Card NSA National Security Agency OSI Open Systems Interconnection PC Personal Computer SSL Secure Socket Layer TCP Transmission Control Protocol TTL Time To Live UDP User Datagram Protocol URL Uniform Resource Locator VLAN Virtual LAN VoIP Voice over IP VPN Virtual Private Network WEP Wired Equivalent Privacy WiTM Who in The Middle v DANH MỤC HÌNH ẢNH Hình 1. Ví dụ minh họa tấn công MiTM. Hoạt động mạng thông thường. Cách thực hiện tấn công ARP Spoofing của kẻ tấn công. Hoạt động mạng sau khi bị tấn công ARP Spoofing. Quá trình hoạt động của giao thức DHCP. Tấn công DHCP Starvation. Tấn công DHCP Spoofing. Tấn công DNS Cache Poisoning. Tấn công ICMP Redirect. Tấn công DNS Spoofing sử dụng kỹ thuật sửa đổi gói tin. Tấn công Session Hijacking. Tấn công SSL Stripping. Lưu đồ mô tả hoạt động của chức năng quét mạng. Lưu đồ mô tả hoạt động của chức năng tấn công ARP Spoofing. Lưu đồ xử lý dữ liệu nhập vào và lắng nghe đường truyền của chức năng phát hiện ARP Spoofing. Lưu đồ xử lý gói tin ARP và phát hiện tấn công ARP Spoofing. Lưu đồ mô tả hoạt động lắng nghe của chức năng HTTP Sniffer. Lưu đồ xử lý dữ liệu đầu vào và chặn bắt gói tin của chức năng DNS Spoofing. Lưu đồ mô tả cách xử lý gói tin DNS Response của chức năng DNS Spoofing. Giao diện công cụ WiTM. Mô hình mạng thử nghiệm. Cửa sổ Virtual Network Editor trong VMWare Workstation. Cửa số NAT Settings trong VMWare Workstation. Chức năng Network Scanner được chọn. Kết quả sau khi quét của chức năng Network Scanner. Địa chỉ MAC của máy nạn nhân trên Windows 7. Chức năng ARP Spoofing được chọn. Tấn công ARP Spoofing đang được thực hiện. Bảng ARP của máy nạn nhân khi bị tấn công ARP Spoofing. Tấn công ARP Spoofing bị ngừng. Chức năng HTTP Sniffer được chọn. Giao diện Website của học viện Kỹ thuật Mật mã. Kết quả thu được khi người dùng vào trang web. Giao diện trang web có URL http://testphp. Kêt quả thu được khi người dùng đăng nhập vào trang web. Chức năng DNS Spoofing được chọn. Tấn công DNS Spoofing được thực hiện. Kết quả nslookup trên máy nạn nhân với tên miền facebook. Kết quả nslookup trên máy nạn nhân với tên miền microsoft. Giao diện của chức năng DNS Spoofing trong quá trình tấn công. Chức năng phát hiện tấn công ARP Spoofing được lựa chọn. Thực hiện tấn công ARP Spoofing ở máy nạn nhân. Kết quả chức năng phát hiện tấn công ARP Spoofing của công cụ WiTM .65 vii CHƯƠNG I: TÌM HIỂU VỀ TẤN CÔNG MITM 1. Khái niệm tấn công Man – in – the – middle là một dạng tấn công mà ở đó kẻ tấn công xâm nhập vào cuộc hội thoại giữa hai nhóm người, giả danh cả hai nhóm người và truy cập vào các thông tin mà hai bên đang truyền cho nhau. Tấn công man – in – the – middle cho phép kẻ tấn công chặn, gửi và nhận dữ liệu dành cho người khác hoặc không bao giờ gửi đi, mà hai bên không hề hay biết. Tấn công MiTM là một trong những kiểu tấn công mạng lâu đời nhất trong lịch sử an ninh mạng. Đầu những năm 1980 cho đến giờ, các nhà khoa học máy tính đã phải nghiên cứu những cách có thể ngăn chặn được các nhân tố đe dọa được sử dụng để nghe lén hoặc phá hoại đường truyền. Để có thể thực hiện kiểu tấn công này, kẻ tấn công có thể can thiệp vào đường truyền hợp pháp hoặc tạo ra điểm kết nối giả mà kẻ tấn công kiểm soát. Đường truyền sau khi bị can thiệp sẽ bị loại bỏ mã hóa nhằm đánh cắp, thay đổi hoặc chuyển hướng đường truyền đến địa điểm mà kẻ tấn công muốn chuyển đến. Hình TÌM HIỂU VỀ TẤN CÔNG MITM. Ví dụ minh họa tấn công MiTM Hình 1.1 trên là một ví dụ của tấn công MiTM có thể làm gì nếu xâm nhập thành công. Lúc này, kẻ tấn công Peter sẽ xâm nhập vào cuộc trò chuyện giữa Jack và Jill bằng cách đóng giả Jack và Jill. Tại đây, đối với Jack, Peter là Jill và đối với Jill, Peter là Jack. Khi đó, Jack và Jill nghĩ rằng họ đang nói chuyện trực tiếp với nhau 1 nhưng thực ra, họ đều đang nói chuyện với Peter. Vì lý do này, Peter có thể lắng nghe mọi dữ liệu mà Jack và Jill gửi đến cho Peter và thay đổi thông tin được truyền đi. Trong ví dụ, Jack và Jill đang thực hiện một giao dịch chuyển tiền. Peter thực hiện tấn công MiTM và thay khóa của Jill bằng khóa của chính mình, gửi cho Jack. Sau đó, Peter sẽ chỉnh sửa số tài khoản của Jack bằng tài khoản của mình để Jill chuyển số tiền vốn định gửi cho Jack vào tài khoản của mình. Các cuộc tấn công MiTM đang ngày càng gia tăng, khó phát hiện hơn và đang có xu hướng phát triển để có thể phá được các biện pháp bảo mật hiện nay. Một số cuộc tấn công MiTM gây ảnh hưởng lớn được ghi nhận:  Năm 2011, một lỗ hổng an ninh của cơ quan cấp chứng thư Hà Lan được khai thác để cung cấp chứng thư giả mạo. Các chứng thư giả mạo đó sau được sử dụng để thực hiện tấn công MiTM  Việc cơ quan an ninh quốc gia (NSA) của Mỹ giả mạo thành Google được làm sáng tỏ vào năm 2013 khi Edward Snowden làm rò rỉ các tài liệu của NSA công khai. Sử dụng khả năng chặn bắt các thông tin và giả mạo các chứng chỉ SSL, NSA có thể theo dõi các tìm kiếm tiềm tang của người dùng.  Năm 2014, Lenovo cài đặt một phần mềm adware MiTM gọi là Superfish trên các máy tính PC Windows. Superfish được sử dụng để quét các đường truyền SSL và cài đặt các chứng chỉ cho phép chúng chặn bắt và chuyển hướng các đường truyền an toàn  Năm 2015, một cặp đôi người Anh mất 340.000 Euro trong một cuộc tấn công MiTM nghe lén email và cướp email.