Tư vấn

Hình thức tấn công mạng

(KHCN) - Trong tình hình an ninh mạng nóng bỏng trên toàn cầu khi xảy ra liên tiếp các vụ tấn công mạng diễn ra trên khắp các nước trên thế giới. Các vụ tấn công mạng ngày càng tinh vi, nhiều hình thái mới và ảnh hưởng mang tính chất quốc gia. Bài viết hôm nay sẽ giới thiệu các hình thức tấn công để bạn đọc có thể hiểu được qui mô và mục đích của các cuộc tấn công.  

Tấn công do thám (Reconnaissance attack)

 Nếu như kẻ trộm trước khi đột nhập nhà gia chủ thì trước hết hắn ta phải đi thăm dò, quan sát ngôi nhà, đường đi lối lại, các điểm sơ hở. Tương tự như vậy đối với cuộc tấn công mạng kiểu thăm dò, kẻ tấn công sẽ thu thập thông tin về hệ thống định tấn công (nạn nhân), các dịch vụ đang chạy, các lỗ hổng. Các công cụ mà kẻ tấn công thường sử dụng trong kiểu tấn công này là công cụ chặn bắt gói tin (packet sniffer) và bộ quét cổng (port scannner).

 

Cách thức mà kẻ tấn công tiến hành như sau: đầu tiên dùng kỹ thuật ping sweep để kiểm tra xem hệ thống nạn nhân đang có những địa chỉ IP nào đang hoạt động. Sau đó kẻ tấn công sẽ kiểm tra những dịch vụ đang chạy, những cổng đang mở trên những địa chỉ IP tìm thấy ở trên. Công cụ mà kẻ tấn công thường sử dụng ở bước này là Nmap, ZenMap.
Sau khi xác định được những cổng đang mở, kẻ tấn công sẽ gửi các truy vấn tới các cổng này để biết được thông tin về các phần mềm, hệ điều hành đang chạy. Sau khi có trong tay các thông tin này, kẻ tấn công sẽ tìm cách khai thác các lỗ hổng đang tồn tại trên hệ thống đó. Kẻ tấn công có kinh nghiệm sẽ lựa chọn thời điểm phù hợp để thực hiện việc khai thác lỗ hổng để tránh bị phát hiện.
Để tấn công thăm dò, hacker thường dùng các công cụ:
- Truy vấn thông tin Internet
- Ping sweep
- Port Scan
- Packet sniffer
Truy vấn thông tin Internet
Khi hacker muốn tấn công mạng một tổ chức, một công ty, đầu tiên hắn ta sẽ tìm hiểu xem tổ chức hay công ty đó có sở hữu website có tên miền là gì. Sau đó hacker sẽ sử dụng các công cụ tìm kiếm để truy vấn các thông tin về chủ sở hữu tên miền, địa chỉ (địa lý) gắn với tên miền đó. Thêm nữa, có thể truy ra ai đang sở hữu địa chỉ IP và tên miền đang gắn với địa chỉ IP này.

Ping sweep and port scan
Là 2 công cụ dùng để phát hiện lỗ hổng trên các thiết bị và hệ thống. Các công cụ này sẽ kiểm tra thông tin về địa chỉ IP, cổng, hệ điều hành, phiên bản hệ điều hành, dữ liệu trên cổng TCP và UDP. Kẻ tấn công sử dụng các thông tin này cho mục đích tấn công.
Ping sweep là kỹ thuật quét một dải địa chỉ IP để phát hiện xem có thiết bị nào đang sở hữu địa chỉ IP trong dải đó. Công cụ ping sweep sẽ gửi gói tin ICMP echo request tới tất cả các địa chỉ IP trong dải và chờ đợi gói tin ICMP echo reply phản hồi từ các thiết bị.
Port scan là công cụ quét cổng. Mỗi dịch vụ chạy trên máy đều gắn với một cổng (well-known port). Công cụ quét cổng sẽ quét một dải các cổng để phát hiện xem cổng nào đang lắng nghe yêu cầu. Nguyên lý là gửi bản tin đến cổng và chờ đợi phản hồi. Nếu có phản hồi từ cổng nào đó tức là cổng đó đang được sử dụng.
Kẻ tấn công sẽ sử dụng kết hợp các công cụ trên theo nguyên lý: đầu tiên truy vấn thông tin trên Internet để lấy thông tin về địa chỉ IP của tên miền mà hắn muốn tấn công. Tiếp đó dùng công cụ ping sweep để quét tìm các máy đang hoạt động. Tiếp theo sử dụng công cụ port scan để lấy được thông tin về các cổng và dịch vụ đang hoạt động trên các máy. Sau đó kẻ tấn công tiếp tục rà soát các dịch vụ này để tìm ra những điểm yếu có thể khai thác. Công cụ hiện đang được ưa chuộng là Nexpose - Rapid7

Packet Sniffer
Là một công cụ cho phép cấu hình card mạng ở chế độ hỗn độn (promiscuous mode), là chế độ có thể chặn bắt các gói tin bất kỳ chạy trên mạng LAN. Với công cụ này, kẻ tấn công có thể bắt các gói tin đang được gửi qua lại trên mạng LAN và phân tích. Nếu gói tin không được mã hóa thì kẻ tấn công sẽ dễ dàng đọc được nội dung.
Tình huống ở đây có thể là một nhân viên IT bất mãn với sếp, anh ta muốn dò la các thông tin từ máy tính của sếp. Bằng cách sử dụng công cụ packet sniffer, anh ta có thể chặn bắt các gói tin được gửi trong mạng LAN và lọc ra gói tin có địa chỉ nguồn từ máy của sếp, sau đó đọc nội dung.
Một điều lưu ý ở đây là để có thể chặn bắt gói tin, máy của kẻ tấn công phải nằm cùng subnet với hệ thống nạn nhân hoặc chiếm được quyền quản lý thiết bị switch.

Tấn công truy cập (Access attack)

 Tấn công truy cập thường khai thác các lỗ hổng của hệ thống nạn nhân. Các lỗ hổng này thường là: lỗ hổng trong các dịch vụ xác thực, dịch vụ FTP, dịch vụ web. Sau khi khai thác lỗ hổng, kẻ tấn công sẽ có quyền truy cập vào tài khoản web, database và các dữ liệu nhạy cảm khác. Kiểu tấn công này thường rất đa dạng về hình thức nhưng có điểm chung là kẻ tấn công thường dùng từ điển để đoán mật khẩu.

Tấn công từ chối dịch vụ (DoS)


Kiểu tấn công này chắc nhiều bạn đã biết. Cách thức là kẻ tấn công gửi một số lượng cực lớn các yêu cầu, vượt quá năng lực xử lý của hệ thống nạn nhân, làm cho hệ thống đó ngừng hoạt động. Và do vậy nó không thể phục vụ cho các yêu cầu từ các client hợp lệ.
Ngoài cách trên, kẻ tấn công còn có thể khai thác các lỗ hổng của các chương trình ứng dụng để làm cho ứng dụng ngừng hoạt động.

TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn