Cackieutancong.docx

I. TỔNG QUAN MAN IN THE MIDDLE 1. Man in the Middle là gì? Man in the Middle là một trong những kiểu tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhân và các tổ chức lớn chính, nó thường được viết tắt là MITM. 2. Đă ̣c điể m: a. Kẻ tấ n công ở trong cùng mang Lan. b. Hoa ̣t đô ̣ng bằ ng cách kế t nố i máy tính na ̣n nhân và chia sẻ dữ liê ̣u giữa chúng. CÁC KIỂU TẤN CÔNG

II. 1. Các kiể u tấ n công. a. ARP Poison Routing. o Đây là hình thức tấ n công lâu đời nhấ t, đơn giản nhưng hiê ̣u quả. o ARP là giao thức kế t hơ ̣p điạ chỉ Ip và điạ chỉ MAC trên cùng hê ̣ thố ng ma ̣ng.ARP tâ ̣p trung vào hai gói: ARP request và ARP reply, ARP gửi gói tin ARP request cho tấ t cả các máy tính trong cùng mô ̣t đoa ̣n ma ̣ng. Khi nhâ ̣n đươ ̣c gói tin phản hồ i thiế t bi ̣ sẽ câ ̣p nhâ ̣t bảng ARP cache của nó và hai thiế t bi ̣có thể truyề n thông với nhau. o Do bảng tính không an toàn trong giao thức ARP, khi mô ̣t máy tin ́ h A muố n trao đổ i với máy tin ́ h B trong cùng mô ̣t đoa ̣n ma ̣ng, máy A sẽ gửi gói tin ARP request đế n tấ t cả máy tính trong ma ̣ng đó, và kẻ tấ n công C nhâ ̣n đươ ̣c gói tin từ A, C sẽ gửi ARP repaly la ̣i A, A nghi ̃ rằ ng đây là máy B mình tìm kiế m. máy A sẽ câ ̣p nhâ ̣t bảng ARP cache của mình. o Khi đó, A gửi gói tin cho B nhưng thực chấ t la ̣i gửi cho kẻ tấ n công C. b. Tấ n công bằ ng giả danh DNS. o Giả ma ̣o DNS là mô ̣t kỹ thuâ ̣t sử du ̣ng mô ̣t host giả nào đó, đánh lừa người du ̣ng đăng nhâ ̣p vào đó nhằ m đánh cắ p thông tin người dùng. o Để thực hiê ̣n tấ n công: kẻ tấ n công cầ n giả ma ̣o ARP cache chuyể n điạ chỉ DNS thâ ̣t sang host DNS của kẻ tấ n công. 2. Biê ̣n pháp phòng chố ng a. ARP Poison Routing (cách tấ n công này rấ t khó phòng chố ng, tuy nhiên chúng ta có thể giảm khả năng tấ n công trong viê ̣c giả ma ̣o ARP Cache)

o Mã hoá ARP Cache: Giả mạo ARP Cache chỉ là một kỹ thuật tấn công mà nó chỉ sống sót khi cố gắng chặn lưu lượng giữa hai thiết bị trên cùng một LAN. Chỉ có một lý do khiến cho bạn lo sợ về vấn đề này là liệu thiết bị nội bộ trên mạng của bạn có bị thỏa hiệp, người dùng tin cậy có ý định hiểm độc hay không hoặc liệu có ai đó có thể cắm một thiết bị không tin cậy vào mạng. Mặc dù chúng ta thường tập trung toàn bộ những cố gắng bảo mật của mình lên phạm vi mạng nhưng việc phòng chống lại những mối đe dọa ngay từ bên trong và việc có một thái độ bảo mật bên trong tốt có thể giúp bạn loại trừ được sự sợ hãi trong tấn công được đề cập ở đây o Kiể m tra lưu lươ ̣ng của ARP: Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache. Bạn có thể xem ARP cache của máy tính Windows bằng cách mở nhắc lệnh và đánh vào đó lệnh arp –a. Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh arp –s <MAC ADDRESS>. Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn hoàn toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các client thông qua một kịch bản tự động. Điều này sẽ bảo đảm được các thiết bị sẽ luôn dựa vào ARP cache nội bộ của chúng thay vì các ARP request và ARP reply. o Tùy chọn cuối cùng cho việc phòng chống lại hiện tượng giả mạo ARP cache là phương pháp phản ứng có liên quan đến việc kiểm tra lưu lượng mạng của các thiết bị. Bạn có thể thực hiện điều này với một vài hệ thống phát hiện xâm phạm (chẳng hạn như Snort) hoặc thông qua các tiện ích được thiết kế đặc biệt cho mục đích này (như xARP). Điều này có thể khả thi khi bạn chỉ quan tâm đến một thiết bị nào đó, tuy nhiên nó vẫn khá cồng kềnh và vướng mắc trong việc giải quyết với toàn bộ đoạn mạng.

b. Giả ma ̣o DNS (biê ̣n pháp này rấ t khó biế t vì it́ có dấ u hiê ̣u nhâ ̣n biế t tấ n công) o Bảo mâ ̣t Lan: Các tấn công giống như trên thường được thực thi từ bên trong mạng của bạn. Nếu các thiết bị mạng của an toàn thì sẽ bạn sẽ giảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công giả mạo. o Không dựa vào Internet với hê ̣ thố ng bảo mâ ̣t: Trên các hệ thống an toàn và có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt nhất để không sử dụng đến DNS. Nếu bạn có phần mềm sử dụng hostname để thực hiện một số công việc của nó thì chúng cần phải được điều chỉnh những gì cần thiết trong file cấu hình thiết bị. o Sử du ̣ng IDS: Trên các hệ thống an toàn và có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt nhất để không sử dụng đến DNS. Nếu bạn có phần mềm sử dụng hostname để thực hiện một số công việc của nó thì chúng cần phải được điều chỉnh những gì cần thiết trong file cấu hình thiết bị. o DNSSEC là một giải pháp thay thế mới cho DNS, sử dụng các bản ghi DNS có chữ ký để bảo đảm sự hợp lệ hóa của đáp trả truy vấn. Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được chấp thuận là “tương lai của DNS”