Tweet
Mô hình OSI gồm 7 lớp:
Physical , Data Link, Network, Transport, Session, Presentation, Application
Mô hình OSI thiết kế theo dạng: Dữ liệu chỉ chuyển từ lớp bên trên xuống cho lớp dưới mà không quan tâm lớp bên dưới làm gì, sau khi bên dưới xử lý dữ liệu xong sẽ đưa ngược lại cho lớp bên trên mà không quan tâm lớp bên trên sẽ xử lý như thế nào. Do đó khi có bất kì một hành động tấn công nào trong một lớp nào thuôc OSI thì lớp bên trên và lớp bên dưới cũng không có sự thông báo gì cả mà chỉ không nhận được dữ liệu từ lớp bên trên đưa xuống và lớp bên dưới đưa lên
Cho nên nếu một lớp bị tấn công thì tất cả các lớp bị ảnh hưởng.
Không update hệ điều hành cho các thiết bị thường xuyên nên xảy ra lỗ hỏng bảo mật
Hoặc trực tiếp từ các người dùng do tải các phần mềm lạ có kèm theo virus ….
Địa chỉ Mac address là một dãy 48 bit được hiển thị dưới dạng Hexa và được chia làm 2 phần:
Phần đầu tiên gồm 3 byte được định danh cho nhà cung cấp thiết bị do tổ chức IEEE qui định
Ví dụ: card mạng đó được sản xuất bởi HP, card mạng đó được sản xuất bởi Grandstream ….
Phần thứ 2 gồm 3 byte cuối: do nhà sản xuất gán cho các thiết bị của mình
Ví dụ: F4AC.FCBA.00CC, 001C.BC4A.00AC ….
Nếu một địa chỉ Mac ffff.ffff.ffff thì đây là một mac address dạng Broadcast, khi gửi một Frame ra thì tất cả các thiết bị trong một network điều nhận được.
Trong bài viết này mình sẽ giới thiệu 2 dạng tấn công phổ biến :Spanning Tree Protocol (STP) Attacks và Address Resolution Protocol(ARP) Attacks
Dạng 1: Spanning Tree Protocol (STP) Attacks
Những điểm quan trọng của một hệ thống mạng nếu bị lỗi có thể khiến cả hệ thống bị gián đoạn, để tránh hiện tượng gián đoạn xảy ra thì những vị trí quan trọng của hệ thống cần được dự phòng. Khi có trường hợp một đường link nào đó bị lỗi, hệ thống sẽ chuyển qua sử dụng một thiết bị hoặc đường link dự phòng.
Switch đại diện cho thiết bị hệ thống chuyển mạch lớp 2 . Cơ chế hoạt động của Switch là khi nhận được một tin broadcast nó sẽ nhân bản Frame rồi gửi ra tất cả các cổng trừ cổng nhận vào nên khi các Switch đấu với nhau tạo thành một vòng tròn sẽ xảy ra hiên tượng loop
Spanning Tree Protocol: một giao thức chống Loop, cơ chế hoạt động là sẽ khóa một port để các đường link không tạo thành một vòng tròn kín nên ta sử dụng giao thức Spanning Tree Protocol để khóa một port trên mộ vòng kín. Nhưng khi sử dụng giao thức Spanning Tree Protocol thì trong hệ thống các Switch sẽ bầu chọn ra một Root Switch, nơi mà mọi dữ liệu được đổ về nên hacker sẽ lợi dụng việc này để tấn công
Khi đấu nối 2 Switch lại với nhau thì các port của Switch có thể sẽ tự động thiết lập đường Trunk do giao thức Dynamic Trunking Protocol được bật tự động trên một số dòng Switch của Cisco
Hacker sẽ lợi dụng giao thức DTP này để tấn công, hacker dùng những phần mềm để giả mạo một máy tính thành Switch để thiết lập đường trunk với các Switch trong hệ thống rồi gửi ra các Frame BPDU min để bầu chọn mình là Root Switch. Khi này máy tính của hacker đã là Root Switch, theo nguyên tắc thì những dữ liệu sẽ được forward về cho Root Switch khi đó hacker sẽ nhận được mọi thông tin dữ liệu
.
Điều kiện để quá trình tấn công này một máy tính cần phải có ít nhất 2 port để tạo ít nhất thành một vòng kín
Dạng 2: Address Resolution Protocol(ARP) Attacks
Giao thức ARP được sử dụng để phân giải địa chỉ động lớp network (địa chỉ IP) thành một địa chỉ lớp DataLink (Mac address) để phục vụ cho việc đóng gói một gói tin IP vào Frame Ethernet
Một host khi muốn biết địa chỉ Mac address của địa chỉ ip nào đó, thì nó sẽ gửi ra một gói tin broadcast ARP Request để truy vấn với IP này thì ứng với Mac address nào ?
Vì gói tin ARP request được phát broadcast nên tất cả các host sẽ nhận được gói ARP request này, tất cả các host kiểm tra xem có đúng địa chỉ IP của mình không,nếu không trùng thì bỏ qua, chỉ có thiết bị nào có địa chỉ IP trùng với địa chỉ ip có trong ARP request thì mới trả lời lại bằng gói tin ARP Reply(dạng Unicast). Rồi host này sẽ lưa vào bảng ARP cache của nó
Khi một host nhận được gói tin ARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host mà mình mong muốn hay không. Hacker sẽ dựa vào gói tin ARP reply này để tấn công. Hacker sẽ dựa vào đặc điểm này tấn công vào hệ thống Switch
Man in the middle:
Hacker sẽ đứng giữa nghe lén thông tin giữa các máy tính trong hệ thống
Giả sử, một máy tính A có địa chỉ Ip là 192.168.1.1 và địa chỉ MAC 0000.0000.aaaa, máy tính B ( máy tính của hacker) có địa chỉ Ip là 192.168.1.254 và địa chỉ MAC 0000.0000.bbbb và máy tính C có địa chỉ Ip là 192.168.1.2 và địa chỉ MAC 0000.0000.bbbb
Đầu tiên, hacker gửi gói ARP reply (giả mạo) đến hotst A với địa chỉ IP là 192.168.1.2 và MAC là 0000.0000.bbbb , cùng lúc gửi gói ARP reply đến hotst B với địa chỉ IP là 192.168.1.1 và MAC là 0000.0000.bbbb
Lúc này host A nhận đươc ARP reply sẽ lưa lại trong bản ARP cache của mình. Khi host A muốn gửi thông tin đến cho B, host A kiểm tra trong bảng ARP của mình thấy ứng với IP 192.168.1.2 có địa chỉ MAC 0000.0000.bbbb là của hacker. Trong khi đó máy tính của hacker sẽ mở chức năng IP Forwarding chuyển tải nội dung mà host A gửi cho B. Khi này mọi dữ liệu điều được truyền tải qua máy tính B của Hacker nên mọi dữ liệu điều bị hacker nghe lén
Lúc này dữ liệu vẫn đến được đích nhưng hơi chậm hơn so với bình thường
.
Chú thích:
Chiều gói tin đi từ C đến A : →
Chiều gói tin đi từ A đến B : →
Trong windows ta có thể sử dụng arp –s để thêm vào bảng ARP table. Dùng câu lệnh ipconfig /all để xem IP và MAC
Đối với các mạng lớn hơn ta sử dụng trính năng Port Security trên Switch, tính năng này ta sẽ qui định những MAC nào có thể sử dụng được port trên Swich hoặc sử dụng DHCP server để cấp địa chỉ động cho các thiết bị
Physical , Data Link, Network, Transport, Session, Presentation, Application
Mô hình OSI thiết kế theo dạng: Dữ liệu chỉ chuyển từ lớp bên trên xuống cho lớp dưới mà không quan tâm lớp bên dưới làm gì, sau khi bên dưới xử lý dữ liệu xong sẽ đưa ngược lại cho lớp bên trên mà không quan tâm lớp bên trên sẽ xử lý như thế nào. Do đó khi có bất kì một hành động tấn công nào trong một lớp nào thuôc OSI thì lớp bên trên và lớp bên dưới cũng không có sự thông báo gì cả mà chỉ không nhận được dữ liệu từ lớp bên trên đưa xuống và lớp bên dưới đưa lên
Cho nên nếu một lớp bị tấn công thì tất cả các lớp bị ảnh hưởng.
- Các hình thức tấn công:
Không update hệ điều hành cho các thiết bị thường xuyên nên xảy ra lỗ hỏng bảo mật
Hoặc trực tiếp từ các người dùng do tải các phần mềm lạ có kèm theo virus ….
- Địa chỉ MAC:
Địa chỉ Mac address là một dãy 48 bit được hiển thị dưới dạng Hexa và được chia làm 2 phần:
Phần đầu tiên gồm 3 byte được định danh cho nhà cung cấp thiết bị do tổ chức IEEE qui định
Ví dụ: card mạng đó được sản xuất bởi HP, card mạng đó được sản xuất bởi Grandstream ….
Phần thứ 2 gồm 3 byte cuối: do nhà sản xuất gán cho các thiết bị của mình
Ví dụ: F4AC.FCBA.00CC, 001C.BC4A.00AC ….
Nếu một địa chỉ Mac ffff.ffff.ffff thì đây là một mac address dạng Broadcast, khi gửi một Frame ra thì tất cả các thiết bị trong một network điều nhận được.
Trong bài viết này mình sẽ giới thiệu 2 dạng tấn công phổ biến :Spanning Tree Protocol (STP) Attacks và Address Resolution Protocol(ARP) Attacks
Dạng 1: Spanning Tree Protocol (STP) Attacks
Những điểm quan trọng của một hệ thống mạng nếu bị lỗi có thể khiến cả hệ thống bị gián đoạn, để tránh hiện tượng gián đoạn xảy ra thì những vị trí quan trọng của hệ thống cần được dự phòng. Khi có trường hợp một đường link nào đó bị lỗi, hệ thống sẽ chuyển qua sử dụng một thiết bị hoặc đường link dự phòng.
Switch đại diện cho thiết bị hệ thống chuyển mạch lớp 2 . Cơ chế hoạt động của Switch là khi nhận được một tin broadcast nó sẽ nhân bản Frame rồi gửi ra tất cả các cổng trừ cổng nhận vào nên khi các Switch đấu với nhau tạo thành một vòng tròn sẽ xảy ra hiên tượng loop
Spanning Tree Protocol: một giao thức chống Loop, cơ chế hoạt động là sẽ khóa một port để các đường link không tạo thành một vòng tròn kín nên ta sử dụng giao thức Spanning Tree Protocol để khóa một port trên mộ vòng kín. Nhưng khi sử dụng giao thức Spanning Tree Protocol thì trong hệ thống các Switch sẽ bầu chọn ra một Root Switch, nơi mà mọi dữ liệu được đổ về nên hacker sẽ lợi dụng việc này để tấn công
Khi đấu nối 2 Switch lại với nhau thì các port của Switch có thể sẽ tự động thiết lập đường Trunk do giao thức Dynamic Trunking Protocol được bật tự động trên một số dòng Switch của Cisco
Hacker sẽ lợi dụng giao thức DTP này để tấn công, hacker dùng những phần mềm để giả mạo một máy tính thành Switch để thiết lập đường trunk với các Switch trong hệ thống rồi gửi ra các Frame BPDU min để bầu chọn mình là Root Switch. Khi này máy tính của hacker đã là Root Switch, theo nguyên tắc thì những dữ liệu sẽ được forward về cho Root Switch khi đó hacker sẽ nhận được mọi thông tin dữ liệu
.
Tấn công Spanning Tree Protocol
Để ngăn chặn tấn công này, thì phải tắt đi giao thức Dynamic Trunking Protocol, tắt đi các port không sử dụng hoặc sử dụng tính năng port SecurityĐiều kiện để quá trình tấn công này một máy tính cần phải có ít nhất 2 port để tạo ít nhất thành một vòng kín
Dạng 2: Address Resolution Protocol(ARP) Attacks
Giao thức ARP được sử dụng để phân giải địa chỉ động lớp network (địa chỉ IP) thành một địa chỉ lớp DataLink (Mac address) để phục vụ cho việc đóng gói một gói tin IP vào Frame Ethernet
Một host khi muốn biết địa chỉ Mac address của địa chỉ ip nào đó, thì nó sẽ gửi ra một gói tin broadcast ARP Request để truy vấn với IP này thì ứng với Mac address nào ?
Vì gói tin ARP request được phát broadcast nên tất cả các host sẽ nhận được gói ARP request này, tất cả các host kiểm tra xem có đúng địa chỉ IP của mình không,nếu không trùng thì bỏ qua, chỉ có thiết bị nào có địa chỉ IP trùng với địa chỉ ip có trong ARP request thì mới trả lời lại bằng gói tin ARP Reply(dạng Unicast). Rồi host này sẽ lưa vào bảng ARP cache của nó
Khi một host nhận được gói tin ARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host mà mình mong muốn hay không. Hacker sẽ dựa vào gói tin ARP reply này để tấn công. Hacker sẽ dựa vào đặc điểm này tấn công vào hệ thống Switch
Man in the middle:
Hacker sẽ đứng giữa nghe lén thông tin giữa các máy tính trong hệ thống
Giả sử, một máy tính A có địa chỉ Ip là 192.168.1.1 và địa chỉ MAC 0000.0000.aaaa, máy tính B ( máy tính của hacker) có địa chỉ Ip là 192.168.1.254 và địa chỉ MAC 0000.0000.bbbb và máy tính C có địa chỉ Ip là 192.168.1.2 và địa chỉ MAC 0000.0000.bbbb
Đầu tiên, hacker gửi gói ARP reply (giả mạo) đến hotst A với địa chỉ IP là 192.168.1.2 và MAC là 0000.0000.bbbb , cùng lúc gửi gói ARP reply đến hotst B với địa chỉ IP là 192.168.1.1 và MAC là 0000.0000.bbbb
Lúc này host A nhận đươc ARP reply sẽ lưa lại trong bản ARP cache của mình. Khi host A muốn gửi thông tin đến cho B, host A kiểm tra trong bảng ARP của mình thấy ứng với IP 192.168.1.2 có địa chỉ MAC 0000.0000.bbbb là của hacker. Trong khi đó máy tính của hacker sẽ mở chức năng IP Forwarding chuyển tải nội dung mà host A gửi cho B. Khi này mọi dữ liệu điều được truyền tải qua máy tính B của Hacker nên mọi dữ liệu điều bị hacker nghe lén
Lúc này dữ liệu vẫn đến được đích nhưng hơi chậm hơn so với bình thường
.
Chú thích:
Chiều gói tin đi từ C đến A : →
Chiều gói tin đi từ A đến B : →
- Cách ngăn chặn
Trong windows ta có thể sử dụng arp –s để thêm vào bảng ARP table. Dùng câu lệnh ipconfig /all để xem IP và MAC
Đối với các mạng lớn hơn ta sử dụng trính năng Port Security trên Switch, tính năng này ta sẽ qui định những MAC nào có thể sử dụng được port trên Swich hoặc sử dụng DHCP server để cấp địa chỉ động cho các thiết bị