Phân Tích Lưu Lượng Thông Tin Trên Đường Truyền

thuộc vào kỹ năng của kẻ tấn công tại bước này, họ có thể di chuyển từ một tài khoản cấp thấp lên các tài khoản có quyền cao hơn và còn được gọi là thực hiện việc leo thang quyền truy cập.

Bước 4: Duy trì truy cập được thực hiện khi kẻ tấn công đã tấn công thành công vào mục tiêu và cố gắng duy trì sự kiểm soát như nghe lén thông tin, thay đổi, can thiệp và hoạt động của hệ thống, cài đặt các phần mềm gián điệp, che giấu các hành vi trên hệ thống...

Bước 5: Xóa dấu vết là bước cuối cùng kẻ tấn công cố gắng để loại bỏ các bằng chứng về sự hiện diện của họ trong hệ thống bị tấn công. Kẻ tấn công sẽ xóa các log tập tin và phá hủy bằng chứng khác có thể cho những manh mối có giá trị cần thiết cho chủ sở hữu hệ thống để xác định một cuộc tấn công xảy ra.

3.2.2. Tấn công thụ động

Tấn công thụ động (Passive Attack) là kiểu tấn công mà đối tượng bị tấn công không biết mình đang bị tấn công. Trong các kiểu tấn công này, tin tặc không tác động trực tiếp đến hệ thống thông tin hay mục tiêu tấn công mà chỉ nghe, xem, đọc nội dung mà không làm thay đổi nội dung thông điệp.

Trong một cuộc tấn công bị động, các kẻ tấn công sẽ kiểm soát các luồng thông tin không được mã hóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tin nhạy cảm có thể được sử dụng trong các kiểu tấn công khác. Các cuộc tấn công thụ động bao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã các traffic mã hóa yếu và thu thập các thông tin xác thực như mật khẩu.

Tấn công thụ động còn được gọi là nghe lén (Eavesdropping) là một loại tấn công đơn giản nhưng đặc biệt nguy hiểm. Trong tấn công thụ động, kẻ tấn công thực hiện nghe trộm những thông tin trên đường truyền dữ liệu mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Vì vậy, những kẻ tham gia tấn công bị động rất khó bị phát hiện do dữ liệu không hề bị thay đổi trong quá trình truyền tin nên người gửi và người

nhận đều không thể phát hiện ra sự nghe lén của kẻ tấn công. Tấn công thụ động đặc biệt khó phát hiện khi những kẻ tấn công đã đột nhập được vào hệ thống truyền tin. Vì vậy, để đối phó với hình thức tấn công này, người ta thường tìm các biện pháp để bảo vệ đường truyền trước khi kẻ tấn công có cơ hội xâm nhập. Một số loại hình tấn công thụ động phổ biến gồm: nghe trộm đường truyền, phân tích lưu lượng...

3.2.2.1. Nghe trộm đường truyền

Nghe trộm đường truyền (“trộm cáp” trên mạng) là phương thức tấn công chủ yếu trong loại hình tấn công thụ động. Ở đây, kẻ nghe lén sẽ bằng một cách nào đó xen ngang được quá trình truyền thông điệp giữa hai máy nguồn và máy đích, qua đó có thể rút ra được những thông tin quan trọng. Trong phương thức này, kẻ tấn công không dùng máy trực tiếp mà thông qua các dịch vụ mạng để nghe những thông tin được truyền qua lại trên mạng. Loại tấn công này có thể được thực hiện bằng các thiết bị phần cứng như các thiết bị bắt sóng wifi để tóm những gói tin được truyền trong vùng phủ sóng, hoặc sử dụng các chương trình phần mềm như các chương tình nghe lén (packet sniffer) nhằm bắt các gói tin được truyền qua lại trong mạng LAN.



D Đọc nội dung thông điệp mà Bob gửi cho Alice


Kênh truyền thông


B A

Hình 3.3. Nghe trộm thông tin trên đường truyền

Có thể bạn quan tâm!

Xem toàn bộ 142 trang tài liệu này.

An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 14

Nghe trộm (Packet Sniffer) là một dạng của chương trình nghe trộm được sử dụng phổ biến để giám sát sự di chuyển của thông tin. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện các yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phạm tội, nó sẽ trở thành những mối hiểm họa lớn và rất khó có thể phát hiện. Kẻ tấn công hay các đối thủ cạnh tranh có thể ăn cắp các thông tin có giá trị như thông điệp thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật,... từ bất cứ nơi nào trên mạng.

Đối với thương mại điện tử, “trộm cắp” trên mạng đang là một mối nguy hại lớn đe doạ tính bảo mật của các dữ liệu kinh doanh quan trọng. Nạn nhân của nó không chỉ là các doanh nghiệp mà cả những cá nhân, những người có tham gia thương mại điện tử.

Trong một mạng Wifi, các máy muốn truyền tin cho nhau đều dùng môi trường truyền là không gian. Tức là các gói tin sẽ được truyền đi trong toàn bộ không gian. Các thông điệp trong gói tin này có thể bị bắt dễ dàng trên đường truyền chỉ bằng các thiết bị bắt sóng đơn giản. Đây là môi trường cực kỳ thuận lợi cho những kẻ tấn công có thể khai thác lỗ hổng này nếu mạng wifi không có chính sách bảo mật tốt.

Một nghiên cứu mới đây cho hay, chỉ cần chưa đầy 2 phút các kẻ tấn công có thể sẽ phá vỡ hệ thống bảo vệ kết nối qua Internet không dây của nhiều hộ gia đình để đánh cắp các thông tin nhạy cảm. Nguyên nhân là do hiện nay, rất nhiều hộ gia đình vẫn đang trông cậy vào cơ chế mã hóa WEP (Wireless Equivalent Protection) để ngăn chặn người khác dùng trộm mạng wifi của họ mặc dù đã được cảnh báo trước về những lỗ hổng lớn của hệ thống này.

Mạng LAN cũng là nơi mà kẻ tấn công có thể dễ dàng nghe trộm đường truyền. Nguyên nhân chủ yếu là các gói tin trong mạng sẽ được gửi đi cho toàn bộ các máy nằm trong mạng. Vì vậy, một thông điệp có thể bị bất cứ máy nào trong mạng lấy được nếu biết dùng phần mềm thích hợp. Một số phần mềm tiêu biểu như Packet Sniffer có thể bắt được toàn bộ các gói tin bên trong một mạng LAN. Kẻ tấn công chỉ cần chiếm được một

máy tính trong mạng là có thể nghe trộm được tất cả thông điệp từ các máy khác.

Nghe trộm Password: kẻ tấn công có thể lấy được mật khẩu của người sử dụng, sau đó chúng truy nhập một cách chính quy vào hệ thống, nó cũng giống như là lấy được chìa khoá, sau đó đàng hoàng mở cửa và khuân đồ ra. Tấn công theo kiểu này cũng có thể được thực hiện bởi các loại phần mềm gián điệp (Spyware) hoặc các loại mã độc (Malicious). Các loại mã độc này nếu bị lây nhiễm vào máy tính của chúng ta sẽ hoạt động như một tiến trình ngầm và sẽ lấy cắp các thông tin của chúng ta bằng cách “lắng nghe” các thông tin của chúng ta sau đó sẽ gửi về một địa chỉ nào đó ở trên mạng (được các kẻ tấn công đặt sẵn).

Xem lén thư tín điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã ẩn bí mật gắn vào một thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu. Chẳng hạn, một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo cho cấp trên thông báo phát hiện của mình. Người này, sau đó, sẽ tiếp tục gửi thông báo tới tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ nào đó, sử dụng kỹ thuật xem lén thư điện tử, có thể theo dõi và biết được toàn bộ thông tin trong các bức thư điện tử gửi tiếp sau đó bàn về vấn đề này. Và sẽ rất nguy hiểm nếu như các thông tin bí mật trong nội bộ doanh nghiệp bị kẻ xấu biết được và sử dụng vào những mục đích bất chính.

Nguy cơ nghe trộm đường truyền có thể ngăn chặn được bằng cách mã hóa thông tin trước khi truyền đi trên mạng. Thông tin được mã hóa sẽ khiến kẻ tấn công cho dù có lấy được dữ liệu nhưng cũng không thể giải mã ra được các thông tin tương ứng đích thực.

3.2.2.2. Phân tích lưu lượng

Với những phương pháp mã hóa tiên tiến hiện nay, việc dò ra được khóa để giải mã thông tin gần như không thể thực hiện được. Tuy nhiên, việc truyền dữ liệu chưa hẳn đã an toàn. Kẻ tấn công không giải mã được

dữ liệu nhưng vẫn có khả năng sử dụng một phương pháp khác là phân tích lưu lượng để tấn công hệ thống. Phương pháp này dựa vào sự thay đổi của lưu lượng của luồng thông tin nhằm xác định được một số thông tin có ích.

Phương pháp tấn công dữ liệu này được sử dụng khá phổ biến, đặc biệt là trong các nhiệm vụ do thám chiến tranh. Khi luồng thông tin đột ngột tăng lên có nghĩa là sắp có một sự kiện nào đó xảy ra. Từ đó, đối phương có thể dự đoán được những thông tin quan trọng.

Một biện pháp phòng tránh phương pháp tấn công này là thường xuyên độn thêm dữ liệu thừa vào luồng thông tin lưu chuyển trên mạng. Với cách này, cho dù có hay không có thông tin thì lưu lượng dữ liệu được truyền đi vẫn luôn ổn định, không gây chú ý cho những kẻ tấn công.


Kênh truyền thông

B

A

D

Phân tích lưu lượng

Hình 3.4. Phân tích lưu lượng thông tin trên đường truyền


3.2.3. Tấn công chủ động

Tấn công chủ động là loại hình tấn công có chủ ý, có sự tác động trực tiếp lên nội dung của thông điệp bao gồm cả việc sửa đổi dữ liệu trong khi truyền từ người nhận đến người gửi. Trong phương pháp tấn công này, kẻ tấn công bằng một cách nào đó có thể chặn được gói tin trên đường truyền, thay đổi một hoặc một số thông tin của thông điệp rồi mới gửi lại

cho người nhận. Cách tấn công này có thể gây ra những hậu quả đặc biệt nghiêm trọng nhưng lại dễ phát hiện hơn so với tấn công thụ động. Tấn công chủ động có thể chia ra làm bốn loại:

3.2.2.1. Giả mạo người gửi

Trong những mạng lưới truyền dữ liệu cổ điển, dữ liệu được gửi rất thô sơ, không hề có một sự mã hóa hay xác thực nào từ cả hai phía người gửi và người nhận, vì vậy, kẻ tấn công có thể dễ dàng tạo ra những thông báo, giả mạo nó như một thông báo thực sự từ người gửi để gửi nó cho người nhận.


D Thông điệp của D nhưng nhãn gửi từ B


Kênh truyền


B A


Hình 3.5. Giả mạo người gửi tin

Các thông báo này có thể là những tin tức giả, nhưng yêu cầu để lấy tên tài khoản (account) cũng như mật khẩu (password) để xâm nhập vào máy chủ. Phương pháp tấn công này chỉ áp dụng được với những mạng có độ bảo mật rất kém, còn nói chung hiện nay thì hầu như không thể sử dụng được.

3.2.2.2. Giả mạo địa chỉ

Thường thì các mạng máy tính nối với Internet đều được bảo vệ bởi bức tường lửa (Firewall). Bức tường lửa có thể coi như cái cửa duy nhất mà người đi vào nhà hay đi ra khỏi cũng đều bắt buộc phải qua đó (như cửa khẩu ở sân bay). Như vậy những người trong nhà (trong mạng) sẽ có sự tin tưởng lẫn nhau, tức là được phép dùng tất cả mọi thứ trong nhà (dùng

mọi dịch vụ trong mạng). Còn những người bên ngoài sẽ bị hạn chế tối đa việc sử dụng đồ đạc trong nhà đó. Việc này làm được nhờ bức tường lửa.

Giả mạo địa chỉ là kiểu tấn công mà người bên ngoài (máy tính của kẻ tấn công) sẽ giả mạo mình là một người ở trong nhà (tự đặt địa chỉ IP của mình trùng với một địa chỉ nào đó ở mạng bên trong). Nếu làm được điều đó thì nó sẽ được đối xử như một người (máy) bên trong, tức là được làm mọi thứ, để từ đó tấn cống, lấy trộm, phá huỷ thông tin,...

3.2.2.3. Thay đổi thông điệp

Trong trường hợp không thể giả mạo hoàn toàn thông điệp bên phía người gửi, kẻ tấn công có khả năng chặn và sửa đổi một thông điệp nào đó rồi tiếp tục gửi cho phía nhận. Dữ liệu bị sửa đổi có thể gây ra một số hậu quả nghiêm trọng, chẳng hạn như các báo cáo tài chính hay các giao dịch trong ngân hàng. Tuy nhiên, phương pháp này hiện nay cũng ít phổ biến do các giao dịch hiện thời đã trở nên an toàn hơn nhiều, mọi dữ liệu trước khi gửi đều được mã hóa và xác thực cẩn thận. Vì vậy, việc sửa đổi một thông báo trở nên phức tạp. Kẻ tấn công cần phải tìm ra những phương pháp tấn công dữ liệu khác.

3.2.2.4. Tấn công làm trễ hay tấn công lặp lại

Nếu không thể thực hiện được cả 2 hình thức tấn công trên, tức là không thể tạo ra cũng như sửa đổi thông điệp bên phía người gửi. Kẻ tấn công có thể sử dụng một phương pháp tấn công khác, đó là tấn công lặp lại. Trong cách này, kẻ tấn công chỉ cần lưu lại một thông điệp mà hắn bắt được trước đó, đợi 1 thời điểm thích hợp rồi gửi lại cho bên nhận. Bên nhận không thể phát hiện được đây là thông báo giả mạo do thông báo đó đúng là do bên gửi tạo ra, chỉ có điều đây là thông điệp cũ. Bằng cách tìm cách đón bắt nhiều loại thông báo, kẻ tấn công có thể gây ra những hậu quả nghiêm trọng. Phương pháp tấn công này có thể phòng tránh bằng cách thêm trường thời gian vào bên trong thông điệp. Kẻ tấn công không thể sửa đổi được thông báo nên trường này không bị ảnh hưởng nếu bị gửi lại. Qua việc so sánh trường thời gian trong thông điệp cũ và mới, người

nhận có thể phân biệt được thông báo mình nhận được có phải là thông báo cũ bị gửi lại hay không.

3.2.4. Tấn công từ chối dịch vụ

3.2.4.1. Khái niệm về tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ (Denial of Service - DoS) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. Đối với các hệ thống được bảo mật tốt, khó thâm nhập, tấn công từ chối dịch vụ được kẻ tấn công sử dụng như một cú dứt điểm để triệt hạ hệ thống đó.

Tùy phương thức thực hiện mà DoS được biết dưới nhiều tên gọi khác nhau: cổ điển nhất là kiểu DoS (Denial of Service) tấn công bằng cách lợi dụng sự yếu kém của giao thức TCP (Transmision Control Protocol); sau đó là DDoS (Distributed Denial of Service) - tấn công từ chối dịch vụ phân tán; mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (DistributedReflection Denial of Service).

Mặc dù kẻ tấn công theo hình thức DoS không thể chiếm quyền truy cập hệ thống hay có thể thay đổi thông tin, nhưng nếu một hệ thống không thể cung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại đó cũng là vô nghĩa.

Ví dụ, vào tháng 2 năm 2000, các vụ tấn công DoS là nguyên nhân dẫn tới ngừng hoạt động của hàng loạt website trên thế giới trong nhiều giờ: eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3,5 giờ, E-Trade gần 3 giờ, Yahoo, Buy.com và ZDNet cũng ngừng hoạt động từ 3 - 4 giờ; ngay cả người khổng lồ Microsoft cũng đã từng phải khắc phục những hậu quả nghiêm trọng do DOS gây ra.

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 18/05/2023