PDA

View Full Version : Tổng quan về bảo mật - Các kiểu tấn công và các giai đoạn



tranthanhliem
29-08-2007, 08:42 AM
Tác giả: Việt Duy - PTIT.


Các cách tấn công có thể được chia thành 3 kiểu và 3 giai đoạn.
Ba kiểu tấn công là :

• Thăm dò
• Truy cập
• Từ chối dịch vụ (DoS).

Ba giai đoạn là :

• Định nghĩa đối tượng tấn công.
• Thăm dò : vừa là một giai đoạn , vừa là một kiểu tấn công.
• Xâm nhập hoặc tấn công tài nguyên mạng.
Tùy theo từng giai đoạn mà cách tấn công cũng sẽ thay đổi theo.

Các kiểu tấn công

Kiểu tấn công thăm dò


Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lổ hổng hoặc dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS thường được tiến hành bởi kiểu tấn công thăm dò. Hiển nhiên, các hacker phải biết có thể tấn công cái gì trước khi xâm nhập. Thăm dò giống như một kẻ trộm nhà băng muốn biết có bao nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đường thoát hiểm. Thăm dò là một kiểu tấn công, nó cũng là một giai đoạn tấn công.


Kiểu tấn công truy cập


Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là truy cập vào hệ thống.

Tấn công truy cập hệ thống : truy cập hệ thống là hành động nhằm đạt được quyền truy cập bất hợp pháp đến một hệ thống mà ở đó hacker không có tài khoản sử dụng. Hacker thường tìm kiếm quyền truy cập đến một thiết bị bằng cách chạy một đoạn mã hay bằng những công cụ hack (hacking tool) , hay là khai thác một yếu điểm của ứng dụng hoặc một dịch vụ đang chạy trên máy chủ .

Tấn công truy cập thao túng dữ liệu: thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. Nó có thể đơn giản như việc tìm phần mềm chia sẻ (share) trên máy tính Window 9x hay NT, hay khó hơn như việc cố gắng xâm nhập một hệ thống tín dụng của cục thông tin (credit bureau’s information).

Tấn công truy cập nâng cao đặc quyền : nâng cao đặc quyền là một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản người sử dụng ban đầu không được cho phép truy cập. Khi hacker đạt được mức độ quyền truy cập đủ cao, họ có thể cài đặt phần mềm như là backdoors và Trojan horses, cũng như cho phép truy cập sâu hơn và thăm dò. Mục đích chung của hacker là chiếm được quyền truy cập ở mức độ quản trị. Khi đã đạt được mục đích đó, họ có toàn quyền điều khiển hệ thống mạng.


Kiểu tấn công từ chối dịch vụ (DoS)


Kiểu tấn công DoS được thực hiện nhằm làm vô hiệu hóa, làm hư hỏng , hay gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng những hệ thống này của người dùng. Dạng phạm tội điện tử này là dạng tấn công tồi tệ nhất mà các công ty thương mại điện tử phải đối mặt bởi vì mục đích duy nhất của hacker là ngăn chặn người dùng sử dụng các dịch vụ điện tử của các công ty. Ý định của dạng tấn công này chỉ đơn giản nhằm gây tổn hại và chống lại một công ty trong việc buôn bán.

Một hacker với một PC ở nhà phải mất một lượng lớn thời gian tạo ra đủ lưu lượng mạng để làm quá tải một nhóm máy chủ Internet . Để tấn công DoS hiệu quả , hacker sử dụng nhiều hệ thống máy tính khác nhau nhằm lấn át máy chủ (đích). Sử dụng nhiều hệ thống máy tính để tấn công máy chủ hay mạng được gọi là tấn công từ chối dịch vụ phân phối (DDoS). Dạng tấn công này đã từng thành công khi tấn công web site của Yahoo!, ebay và CNN.com. Một hacker liên quan sau đó bị bắt và bị truy tố.


Các giai đoạn tấn công

Giai đoạn đầu tiên – Mục tiêu

Là giai đoạn định nghĩa đối tượng. Điều đầu tiên cần làm rõ trong mọi hoạt động cũng như việc hacking là xác định được mục tiêu. Kết quả của việc xác lập mục tiêu của kiểu tấn công dẫn đến việc hình thành , chọn lựa những những công cụ và phương pháp phù hợp. Mục tiêu đơn giản là toàn bộ mục đích của người xâm nhập. Nếu kẻ xâm nhập có động cơ trả thù thì kiểu tấn công DoS phù hợp với nhu cầu đó. Nếu kẻ tấn công là một đối thủ thì, xâm nhập hệ thống và thao túng dữ liệu mới là mục tiêu . Khi kẻ xâm nhập tiến hành những bước của một kiểu tấn công, thì mục tiêu có thể và thường thay đổi Một yếu tố quan trọng khác nữa trong việc xác định mục tiêu là động cơ đằng sau sự xâm nhập. Hầu hết những script kiddies (hacker mới vào nghề) bị thúc đẩy bởi sự hồi hộp, gay cấn trong khi đó những hacker cao cấp bị thúc đẩy bởi những động cơ như thử thách trí tuệ, trả thù, kiếm tiền bất hợp pháp.


Giai đoạn hai thăm dò


Giai đoạn thăm dò, như chính tựa đề của nó, là giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông tin về hệ thống đối tượng. Thông thường những hacker có kinh nghiệm thường thu thập những thông tin về công ty đối tượng, như là vị trí của công ty, số điện thoại, tên của những nhân viên, địa chỉ e-mail, tất cả đều hữu dụng với người xâm nhập có kinh nghiệm.

Thăm dò _ thông tin công cộng

Tên nhân viên, địa chỉ e_mail là điểm khởi đầu thuận lợi cho các hacker có thể đoán nhận user name của tài khoản nhân viên. Thông thường họ sử dụng tên hay họ của nhân viên để làm tài khoản máy tính trong mạng của họ. Địa chỉ e_mail cũng là một dạng user name thông thường cho tài khoản máy tính của họ. Những công ty lớn thường ấn định số phone của họ trong công ty điên thoại cục bộ cũng như nhiều tập đoàn có tiếp đầu ngữ quay số cho riêng họ. Những công cụ bẻ khóa mạnh thì luôn có sẵn trên Internet. Khi đã đoán được username, thì vấn đề còn lại chỉ là thời gian để bẻ gãy những password yếu kém.

Thăm dò điện tử


Kẻ tấn công phải tiến hành thăm dò để tìm tài nguyên hay hệ thống nào đó có trên mạng. Nếu người tấn công không có những hiểu biết về mạng đối tượng , họ phải tìm nguồn tài nguyên của công ty được đặt ở đâu một cách logic. Khi đã có được địa chỉ IP của công ty , người tấn công có thể bắt đầu dò tìm và quét mạng để tìm điểm yếu của máy chủ, ứng dụng, hay những thiết bị cơ sở hạ tầng.

Một cách điển hình người ta thường sử dụng tiện ích quét ping (ping sweep utility), nhờ tiện ích này người ta có thể quét một khoảng lớn các địa chỉ IP. Mục đích của việc này là tìm xem máy chủ nào đang trên mạng. Tiện ích quét ping xác định những đối tượng đang có mặt trên mạng. Khi đã biết được IP của host tồn tại trên mạng, người tấn công sau đó có thể bắt đầu dò tìm những máy chủ này để tìm thêm thông tin, như là OS hay các chương trình ứng dụng đang chạy trên host. Thuật ngữ dò tìm (probing) được định nghĩa là những cố gắng nhằm khai thác thông tin về máy chủ trên mạng. Probing được hoàn thành bằng việc tìm thấy những cổng mở trên những máy tính chủ. Cổng (port) giống như một con đường ảo tới máy tính. Một máy tính muốn được mời hay sử dụng các dịch vụ trên mạng ,trước hết nó phải có một cổng mở. Những máy chủ web thường sử dụng cổng 80, trong khi đó máy chủ FTP sử dụng cổng 21. Kẻ tấn công có thể xác định được dịch vụ nào đang chạy trên máy bằng cách xác định những cổng nào được máy tính mở.


Những công cụ thăm dò

Hầu hết những công cụ hack thông thường và phổ biến rộng rãi là công cụ thăm dò. Mục đích chính của những công cụ này là giúp kỹ sư mạng trong xử lý lưu lượng hay bảo trì mạng, nhưng hacker lại sử dụng những công cụ này để tìm kiếm những nguồn tài nguyên mạng bất hợp pháp. Rất nhiều những công cụ này được chế tạo cũng như cải tiến nhằm giúp hacker trong những hành động trái phép. Nhiều công cụ được phát triển dưới cái mác của những công cụ hợp pháp của các kỹ sư mạng nhưng thực chất nó được xây dựng nhằm làm trợ thủ cho những hacker.

Khi mà những công cụ phát hiện xâm nhập và bảo mật ngày càng trở nên phức tạp thì những công cụ hack cũng như vậy. Hacker biết việc dò tìm cũng như quét sẽ gây nghi ngờ, báo động. Chính vì điều này, các hacker bắt đầu phát triển những phần mềm mới nhằm giấu đi mục đích chính của hành động. Những công cụ thăm dò được sử dụng nhiều ngày nay là MAP WHOIS, SATAN Ping, Portscanner Nslookup Strobe Trace.

Giai đoạn thứ ba-giai đoạn tấn công


Giai đoạn cuối cùng là giai đoạn tấn công. Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm nhập mạng và tài nguyên hệ thống trên mạng. Bằng cách sử dụng các thông tin đã thu thập được, một vài hacker có thể thực hiện việc tấn công nhều lần cho đến khi phát hiện được lỗi bảo mật để có thể khai thác.

Một khi hacker có được quyền xâm nhập hệ thống máy chủ trên mạng, thì máy chủ đó được mô tả như đang bị thỏa hiệp (compromised). Bất cứ hệ thống nào có mối liên hệ tin tưởng với máy chủ đã bị hại thì cũng có thể bị xem như đang bị hại.