HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN -🙞🙞🙞🙞🙞 - HỌC PHẦN: AN TỒN MẠNG Báo cáo tập lớn: Tìm hiểu công cụ nghe Sniffing and Spoofing - DNSChef Giảng viên hướng dẫn: Sinh viên thực hiện: Mã sinh viên: Nhóm: TS Tuấn Đặng Minh Trần Trọng Hiếu B18DCAT090 02 Hà Nội 2021 MỤC LỤC Danh sách thuật ngữ tiếng Anh viết tắt Viết tắt Thuật ngữ tiếng Anh Thuật ngữ tiếng Việt DOS Disk Operating System Hệ điều hành mã nguồn mở HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Giao thức liệu người dùng IPv4 Internet Protocol version Giao thức mạng phiên IPv6 Internet Protocol version Giao thức mạng phiên Lời mở đầu Ngày nay, internet thứ thiếu sống Mà đa phần ứng dụng internet ngày sử dụng mơ hình máy chủ - máy khách Sau nhiều nghiên cứu phân tích thống kê, kết luận mơ hình giao tiếp dễ bị công nhiều mối đe dọa công từ chối dịch vụ (DOS) , công nghe – giả mạo ( Snifffing and spoofing),.v.v Trong tài liệu chủ yếu tập trung vào nội dung công nghe – giả mạo (Snifffing and spoofing) công cụ DNSChef Chúng ta tìm hiểu cách thức cài đặt hoạt động cơng cụ để phát hiện, hiểu chuẩn bị sẵn sàng cách khắc phục công xảy Sniffer thuật ngữ thường dùng điệp viên, ám việc nghe thông tin đối phương Trong mơi trường bảo mật thơng tin sniffer cơng cụ có khả chặn bắt gói tin trình truyền hiển thị dạng giao diện đồ họa hay dịng lệnh để theo dõi dễ dàng Một số ứng dụng sniffer cao cấp khơng đánh cắp gói tin mà ráp chúng lại thành liệu ban đầu thư điện tử hay tài liệu gốc Sniffer dùng để đánh chặn liệu hai hệ thống tùy thuộc vào công cụ chế bảo mật thiết lập mà hacker đánh cắp thơng bí mật tài khoản người dùng mật đăng nhập vào Web, FTP, Email, POP3/SMTP hay tin nhắn nhanh chương trình Yahoo ! Messenger, Skype, ICQ Ngày nay, sniffer khơng sử dụng hacker mà chuyên gia bảo mật hày quản trị mạng thường hay sử dụng chúng để dị tìm lỗi, khắc phục cố hay tìm kiếm luồng thơng tin bất thường hệ thống mạng Spoofing - Bất kỳ loại hành vi mà kẻ công che giấu người dùng đích thực thiết bị để bảo mật thơng tin có lợi quan trọng cho lợi ích họ gọi giả mạo Có nhiều loại giả mạo khác giả mạo trang web, giả mạo email giả mạo ip Các phương pháp phổ biến khác bao gồm công giả mạo ARP công giả mạo máy chủ DNS I Tổng quan Sniffing Spoofing Tìm hiểu chung Sniffing 1.1 Giới thiệu Sniffer - Khởi đầu Sniffer tên sản phẩm Network Associates có tên Sniffer Network Analyzer Tấn công Sniffer hiểu đơn giản chương trình cố gắng nghe ngóng Các lưu lượng thông tin (trong hệ thống mạng) Tương tự thiết bị cho phép nghe đường dây điện thoại Chỉ khác môi trường chương trình Sniffer thực nghe mơi trường mạng máy tính 1.2 Đối tượng Sniffing là: - Password(Từ Email, Web, SMB, FTP, SQL Telnet) - Các thơng tin thẻ tín dụng - Văn Email - Các tập tin di đông mạng (Tập tin Email, FTP, SMB) 1.3 Mục đích sử dụng công Sniffer - Tấn công Sniffer thường sử dụng vào mục đích khác biệt Nó cơng cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Cũng theo hướng tiêu cực chương trình cài vài hệ thống mạng máy tính với mục đích đánh hơi, nghe thông tin đoạn mạng này…Dưới số tính Sniffer sử dụng theo hướng tích cực tiêu cực : + Tự động chụp tên người sử dụng (Username) mật khơng mã hố (Clear Text Password) Tính thường Hacker sử dụng để công hệthống bạn + Chuyển đổi liệu đường truyền để quản trị viên đọc hiểu ý nghĩa liệu Bằng cách nhìn vào lưu lượng hệ thống cho phép quản trị viên phân tích lỗi mắc phải hệ thống lưu lượng mạng 1.4 Sniffing thường xảy đâu? - Sniffing chủ yếu xảy mặt vật lý Nghĩa kẻ cơng phải tiếp cận Và điều khiển thành phần hệ thống mạng Chẳng hạn máy tính Ví dụ kẻ cơng dùng laptop PC dịch vụ Internet, quán café WiFi, hệ thống mạng nội doanh nghiệp, v.v… Trường hợp hệ thống máy tính nghe trộm Và kẻ cơng cách xa Kẻ cơng tìm cách điều khiển máy tính hệ thống Rồi cài đặt trình nghe vào máy để thực nghe trộm từ xa 1.5 Mức độ nguy hiểm Sniffing - Hiện nay, nghe trộm mạng thực dễ dàng Bởi có q nhiều cơng cụ giúp thực Yersinia, Ettercap, Mana, Rebind, Responder… Các công cụ ngày “tối ưu hóa” để dễ sử dụng Và tránh bị phát sử thực thi So với kiểu công khác, công dạng Sniffing nguy hiểm Bởi ghi lại tồn thông tin truyền dẫn mạng Và người sử dụng bị nghe trộm lúc Do máy tính họ hoạt động bình thường, khơng có dấu hiệu bị xâm hại Điều dẫn đến việc phát phòng chống nghe trộm khó Và phịng chống bị động Nghĩa phát bị nghe trộm tình trạng bị nghe trộm 1.6 Các giao thức sử dụng Sniffing - Telnet Rlogin : ghi lại thông tin Password, usernames - HTTP: Các liệu gởi mà khơng mã hóa - SMTP : Password liệu gởi khơng mã hóa - NNTP : Password liệu gởi khơng mã hóa - POP : Password liệu gởi khơng mã hóa - FTP : Password liệu gởi không mã hóa - IMAP : Password liệu gởi khơng mã hóa 1.7 Phương thức hoạt động công Sniffer - Công nghệ Ethernet xây dựng nguyên lý chia sẻ Theo khái niệm tất máy tính hệ thống mạng cục Đều chia sẻ đường truyền hệ thống mạng Hiểu cách khác tất máy tính Đều có khả nhìn thấy lưu lượng liệu Được truyền đường truyền chung Như phần cứng Ethernet xây dựng với tính lọc Và bỏ qua tất liệu không thuộc đường truyền chung với - Nó thực điều nguyên lý Bỏ qua tất Frame có địa MAC khơng hợp lệ Khi Sniffer tắt tính lọc Và sử dụng chế độ hỗn tạp (promiscuous mode) Nó nhìn thấy tất lưu lượng thông tin từ máy B đến máy C Hay lưu lượng thông tin máy hệ thống mạng Miễn chúng nằm hệ thống mạng 1.8 Phân loại Sniffing: a Active: - Chủ yếu hoạt động môi trường có thiết bị chuyển mạch gói, phổ biến dạng mạch sử dụng Switch Kẻ công thực sniffing dựa chế ARP RARP (2 chế chuyển đổi từ IP sang MAC từ MAC sang IP) cách phát gói tin đầu độc, mà cụ thể phát gói thơng báo cho máy gửi gói tin "tơi người nhận" mặc khơng phải "người nhận" Ngồi ra, sniffer cịn có thểdùng phương pháp giả địa MAC, thay đổi MAC thân thành MAC máy hợp lệ qua chức lọc MAC thiết bị, qua ép dịng liệu qua card mạng Tuy nhiên, gói tin phải gửi nên chiếm băng thông Nếu thực sniffing nhiều máy mạng lượng gói tin gửi lớn (do liên tục gửi gói tin giả mạo) dẫn đến nghẽn mạng b Passive: - Chủ yếu hoạt động mơi trường khơng có thiết bị chuyển mạch gói, phổ biến dạng mạng sử dụng Hub Do khơng có thiết bị chuyển mạch gói nên gói tin broadcast mạng Chính vậy, việc thực sniffing đơn giản Kẻ công không cần gửi gói tin giả mạo nào, cần bắt gói tin từPort (dù host nhận gói tin khơng phải nơi đến gói tin đó) Hình thức sniffing khó phát máy tự broadcast gói tin Ngày hình thức thường sử dụng Hub khơng cịn ưa chuộng nhiều, thay vào Switch Tìm hiểu chung Spoofing 2.1 Giới thiệu Spoofing - Spoofing hành động ngụy trang thông tin liên lạc một nguồn tin cậy, xác định nguồn khơng xác định - Spoofing áp dụng cho email, gọi điện thoại trang web mang tính kỹ thuật hơn, chẳng hạn máy tính giả mạo địa IP, Giao thức phân giải địa (ARP) máy chủ Hệ thống tên miền (DNS) - Việc giả mạo sử dụng để có quyền truy cập vào thơng tin cá nhân mục tiêu, phát tán phần mềm độc hại thơng qua liên kết tệp đính kèm bị nhiễm, bỏ qua kiểm soát truy cập mạng phân phối lại lưu lượng để thực công từ chối dịch vụ Lừa đảo thường cách diễn viên xấu có quyền truy cập để thực công mạng lớn mối đe dọa dai dẳng tiên tiến công trung gian 2.2 Các công Spoofing a Giả mạo email - Giả mạo email hành động gửi email có địa người gửi sai, thường phần công lừa đảo thiết kế để đánh cắp thông tin nạn nhân, lây nhiễm máytính nạn nhân phần mềm độc hại để xin tiền Điển hình cho email độc hại bao gồm ransomware , phần mềm quảng cáo, tiền điện tử , Trojan (như Emotet ) phần mềm độc hại làm nô lệ máy tính bạn botnet (xem DDoS ) - Nhưng địa email giả mạo lúc đủ để đánh lừa người bình thường Hãy tưởng tượng nhận email lừa đảo với địa giống địa Facebook trường người gửi, phần thân email viết văn bản, khơng có thiết kế hay HTML để nói logo khơng phải logo Đó khơng phải thứ chúng tơi quen nhận từ Facebook giơ cờ đỏ Theo đó, email lừa đảo thường bao gồm kết hợp tính lừa đảo: + Địa người gửi sai thiết kế trông giống từ người bạn biết tin tưởng người bạn, đồng nghiệp, thành viên gia đình công ty bạn kinh doanh Trong thay đổi gần đây, lỗi Gmail cho phép kẻ lừa đảo gửi email mà khơng có địa người gửi mà khơng phải người dùng bình thường bạn nhìn thấy Phải số bí kỹ thuật để xem chuỗi mã độc sử dụng để làm cho trường "From" xuất trống + Trong trường hợp công ty tổ chức, email bao gồm nhãn hiệu quen thuộc; ví dụ: logo, màu sắc, phông chữ, nút gọi hành động, v.v + Các công lừa đảo Spear nhắm vào cá nhân nhóm nhỏ cơng ty bao gồm ngôn ngữ cá nhân hóa địa người nhận theo tên b Giả mạo website - Giả mạo website tất việc làm cho trang web độc hại trông giống trang web hợp pháp Trang web giả mạo trông giống trang đăng nhập cho trang web mà bạn thường xuyên sử dụng thương hiệu, giao diện người dùng chí tên miền giả mạo trông giống từ nhìn Tội phạm mạng sử dụng trang web giả mạo để nắm bắt tên người dùng mật bạn (còn gọi giả mạo đăng nhập) thả phần mềm độc hại vào máy tính bạn ( tải xuống theo ổ đĩa ) Một trang web giả mạo thường sử dụng với trị giả mạo email, email liên kết đến trang web Cả “google.com” “www.google.com” khớp với mục nhập “ Google.com “ giải xác thành “ 192.0.2.1 “ Mặt khác, yêu cầu “ www.thesprawl.org “ ủy quyền thay sửa đổi Cuối cùng, tất biến thể “wordpress.com”, “ www.wordpress.org “ , v.v khớp với mặt nạ “ Wordpress.” giải xác thành “ 192.0.2.3 “ Cuối cùng, truy vấn “ slashdot.org “ không xác định đơn giản ủy quyền với phản hồi thực Bạn định tiêu đề phần cho tất loại ghi DNS hỗ trợ khác, bao gồm loại không hiển thị rõ ràng dòng lệnh: [A], [AAAA], [MX], [NS], [CNAME], [PTR], [NAPTR] [SOA] Ví dụ: xác định phần [PTR] tệp 'dnschef.ini': Hãy quan sát hành vi DNSChef với loại ghi này: Và khách hàng thấy thực truy vấn DNS ngược: Một số ghi yêu cầu định dạng xác Ví dụ điển hình SOA NAPTR 2.6 Lọc nâng cao: Bạn trộn kết hợp đầu vào từ tệp dịng lệnh Ví dụ: lệnh sau sử dụng hai tham số “ - file “ “- fakedomains”: Lưu ý định nghĩa cho “thesprawl.org” tham số dòng lệnh ưu tiên “dnschef.ini” Điều hữu ích bạn muốn ghi đè giá trị tệp cấu hình Slashdot.org phân giải địa IP giả mạo định tham số “fakedomains” Yêu cầu tor.com ủy quyền khơng định dịng lệnh tệp cấu hình 2.7 Các cấu hình khác: Vì lý bảo mật, DNSChef lắng nghe giao diện 127.0.0.1 cục (hoặc :: cho IPv6) theo mặc định Bạn đặt DNSChef lắng nghe giao diện khác cách sử dụng tham số “- interface”: cho IPv6: Theo mặc định, DNSChef sử dụng máy chủ DNS công cộng Google để thực yêu cầu proxy Tuy nhiên, bạn xác định danh sách máy chủ định danh tùy chỉnh cách sử dụng tham số * - máy chủ tên *: Có thể định cổng máy chủ định danh không chuẩn ký hiệu IP # PORT: Đồng thời tự khởi động DNSChef cổng thay cổng “ -p “ tham số: Giao thức DNS sử dụng qua UDP (mặc định) TCP DNSChef triển khai chế độ TCP kích hoạt cờ “- tcp “ III Tấn công giả mạo trang web thu thập thông tin Kịch cơng Điều xảy cách chiếm đoạt yêu cầu DNS khách hàng Vì vậy, thay máy chủ DNS thức phản hồi 45.60.5.11 địa IP máy chủ web lưu trữ trang Trả lời mà thay 192.168.1.2 địa máy chủ Kali mạng LAN Địa IP nội máy chủ Kali định tuyến cơng khai điều khơng có nghĩa bạn khơng thể cung cấp qua Internet DMZ, phiên đám mây, VPN, v.v Với mục đích hướng dẫn để chứng minh kỹ thuật Tôi sử dụng máy chủ Kali cục Nếu cách bạn truy cập vào định tuyến nạn nhân, bạn đưa DNS cơng làm máy chủ DNS danh sách Điều có nghĩa với điều kiện khởi động, truy vấn trước, sau đến máy chủ DNS thực Thực nạn nhân không khôn ngoan máy chủ DNS bổ sung thêm vào họ nhìn thấy nó, họ chí đặt câu hỏi Chuẩn bị cơng cụ: - máy ảo: Kali window - Tool DNSChef - Tool Setoolkit Cả tool tích hợp sẵn Kali Demo công Đầu tiên chiếm quyền điều khiển DNS duyệt qua reply.com: Nó hoạt dộng, ta vào máy nạn nhân chạy “nslookup” Ta thấy máy nạn nhân bị lừa “reply.com” chuyển thành 192.168.1.2 thay 45.60.5.1.11 Tiếp theo sử dụng công cụ “Setoolkit”- Đây công cụ cự kỳ mạnh mẽ với vô số chức Cụ thể giả mạo trang web để thu thập thông tin đăng nhập Nếu lần bạn chạy “ setoolkit ”, yêu cầu bạn chấp nhận tuyên bố từ chối trách nhiệm để nói bạn khơng sử dụng cho điều bất hợp pháp Chọn 1) “Social-Engineering Attacks” Tiếp theo chọn 2) “Website Attack Vectors” Chọn 3) “Credential Harvester Attack Method” Tiếp theo chọn 2) “Site Cloner” Lưu ý: “Setoolkit” chạy máy chủ web riêng Nếu bạn chạy Apache NGINX, hỏi bạn xem bạn có muốn dừng dịch vụ hay không (bạn làm để điều hoạt động) Trong vài giây, trang web giả mạo nhân Nếu tơi mở “http://192.168.1.2”, tơi thấy cục trang giả mạovà trang trông giống hệt Nhật ký “ setoolkit ” trông này: IV Kết luận nhận xét: DNSChef xây dựng đầu mô-đun SocketServer sử dụng phân luồng để giúp xử lý nhiều yêu cầu đồng thời Công cụ thiết kế để lắng nghe cổng TCP UDP (mặc định cổng 53) yêu cầu đến chuyển tiếp yêu cầu cần thiết đến máy chủ DNS thực qua UDP [Thư viện dnslib] tuyệt vời ( https://bitbucket.org/paulc/dnslib/wiki/Home ) sử dụng để phân tích tập hợp lại gói DNS Nó đặc biệt hữu ích tạo gói phản hồi dựa truy vấn DNSChef có khả sửa đổi truy vấn cho ghi kiểu "A", "AAAA", "MX", "CNAME", "NS", "TXT", "PTR", "NAPTR", "SOA", "ANY" Rất dễ dàng để mở rộng sửa đổi hành vi cho ghi Chỉ cần thêm mục nhập “if qtype == "RECORD TYPE") “ cho biết nội dung cần trả lời Danh mục tài liệu tham khảo admin (2020, December 10) malwarebytes Retrieved December 15, 2021, from malwarebytes.com: https://www.malwarebytes.com/spoofing?fbclid=IwAR21To- nAzZ76Xe6Fquxka0BxsoUGnIap0BIwAx8lGWFhgJop6Wl7DEXNMg Nguyễn Hợp Quang (2019, October 30) kipalog Retrieved December 12, 2021, from kipalog.com: https://kipalog.com/posts/Series-Sniffing -Phan-1 -Tong-Quan-Ve-Sniffing? fbclid=IwAR2lmAinEQWTc8LgF48cB_OPbUaXtabp12lwGZVPcidHbFWw2Y8eFHVWnU iphelix (2019, March 28) Dnschef , from github.com: https://github.com/iphelix/dnschef Michael White (2020, Octorber 19), from levelup.gitconnected.com: https://levelup.gitconnected.com/ethical-hacking-part-9-dns-hijacking-credentialharvesting-db57302e5131 Lời cảm ơn Đầu tiên, em xin chân thành cảm ơn thầy Đặng Minh Tuấn Học Viện Công Nghệ Bưu Chính Viễn Thơng đưa mơn An Tồn Mạng vào hệ thống chương trình đào tạo học viện Thông qua môn học em nghe giảng nhiều kiến thức an toàn bảo mật mạng kiến thức khác có liên quan đặc biệt kiến thức BlockChain Thực kiến bổ ích tiết học thầy Đặng Minh Tuấn niềm cảm hứng giúp tăng thêm đam mê em với ngành An Toàn Thông Tin Bài báo cáo kết thức học phần em cịn nhiều thiếu sót, mong thầy bỏnhững thiếu sót định báo cáo em góp ý thêm cho em báo cáo để hoàn thiện tương lai.Một lần nữa, em xin chân thành cảm ơn thầy suốt thời gian qua! Hà Nội, ngày 24 tháng 12 năm 2021 Sinh viên Trần Trọng Hiếu ... thầy Đặng Minh Tuấn Học Viện Cơng Nghệ Bưu Chính Viễn Thơng đưa mơn An Tồn Mạng vào hệ thống chương trình đào tạo học viện Thơng qua mơn học em nghe giảng nhiều kiến thức an toàn bảo mật mạng kiến... trị giả mạo email, email liên kết đến trang web - Cũng đáng lưu ý trang web giả mạo không giống trang web bị công Trong trường hợp hack trang web , trang web thực bị xâm phạm tiếp quản tội phạm... mạo website - Giả mạo website tất việc làm cho trang web độc hại trông giống trang web hợp pháp Trang web giả mạo trông giống trang đăng nhập cho trang web mà bạn thường xuyên sử dụng thương hiệu,