Bài giảng An toàn an ninh mạng - Bài 11: An toàn bảo mật các giao thức mạng - Bùi Trọng Tùng

 IP khác trong một 
 khoảng thời gian
 Hạn chế tương tác với proxy, VPN, Dynamic DNS
 • Máy trạm người dùng: sử dụng dịch vụ DNS tin cậy
 • Máy chủ:
 Từ chối các thông điệp HTTP request có trường Host là một tên 
 miền không nhận diện được
 Xác thực người dùng
 • Firewall: chặn các thông điệp DNS Reponse phân giải 
 tên miền thành 1 địa chỉ cục bộ
 28
 14
Làm thế nào để dịch vụ DNS an toàn hơn
• Ý tưởng cơ bản: sử dụng mật mã học
• Giải pháp 1: sử dụng kết nối SSL/TLS
 Phân tích?
• Giải pháp 2: chứng thực bản ghi DNS
 DNSSEC
 Phân tích?
 29
1.2. Tấn công dịch vụ DHCP
• Dynamic Host Configuration Protocol
• Cấp phát các cấu hình IP tự động cho máy trạm:
 Địa chỉ IP
 Địa chỉ gateway router
 Địa chỉ DNS server
• Sử dụng UDP, cổng 67
 30
 15
 Hoạt động của DHCP
 New DHCP 
 client server
 Thông điệp DHCP 
Kẻ tấn công Offer có địa chỉ IP, 
bên trong có gateway router, 
thể nghe thấy DNS server và thời 
một máy trạm gian sử dụng cấp 
mới phát yêu phát cho client
cầu DHCP Kẻ tấn công bên trong có 
 thể phát thông điệp DHCP 
 Offer trước server 31
 Các nguy cơ tấn công DHCP
 • Lỗ hổng: Bất kỳ máy trạm nào yêu cầu cũng được cấp 
 phát địa chỉ IP
 Nguy cơ: Tấn công DoS làm cạn kho địa chỉ
 • Lỗ hổng: Không có xác thực cho các thông tin cấp phát từ 
 DHCP server:
 Nguy cơ: Thay địa chỉ DNS server tin cậy bằng địa chỉ DNS của kẻ 
 tấn công.
 Nguy cơ: Thay địa chỉ default router, cho phép kẻ tấn công:
 Chặn bắt, do thám thông tin
 Tấn công phát lại
 Tấn công man-in-the-middle
 • Phòng chống: DHCP Snooping
 32
 16
 3. TẤN CÔNG GIAO THỨC TCP
 Bùi Trọng Tùng,
 Viện Công nghệ thông tin và Truyền thông,
 Đại học Bách khoa Hà Nội
 33
Nhắc lại về TCP
• Transmission Control Protocol
• Hướng liên kết (connection-oriented), tin cậy:
 Thiết lập liên kết: bắt tay 3 bước
 Truyền dữ liệu
 Kết thúc liên kết
• Báo nhận, phát lại
• Điều khiển luồng
• Điều khiển tắc nghẽn
 34
 17
 Nguy cơ ATBM với TCP (Tính sẵn sàng)
 • Tấn công DoS – SYN Flooding
 Kẻ tấn công gửi hàng loạt gói tin SYN với địa chỉ nguồn là các địa 
 chỉ IP giả
 Server gửi lại SYN/ACK, chuẩn bị tài nguyên để trao đổi dữ liệu, 
 chờ ACK trong thời gian time-out
 tấn công thành công nếu trong thời gian time-out làm cạn kiệt tài 
 nguyên của ứng dụng, máy chủ vật lý
 Client (initiator) Server
 Server chờ ACK 
 từ client
Kẻ tấn công 
không gửi lại 
ACK
 35
 Tấn công can thiệp vào kết nối TCP
 • Quá trình trao đổi dữ liệu kết thúc bình thường: giao thức 
 TCP cho phép 2 bên đóng liên kết một cách độc lập (gửi 
 gói tin FIN)
 Tin cậy: chờ nhận ACK
 Liên kết chỉ thực sự hủy khi 2 bên đã đóng
 • Ngược lại, nếu quá trình trao đổi dữ liệu không thể kết 
 thúc bình thường (tiến trình ứng dụng kết thúc đột ngột, 
 các gói tin lỗi), gói tin RST (reset) được gửi đi:
 Việc đóng liên kết xuất phát từ một bên
 Không cần chờ ACK
 Liên kết được hủy nếu Sequence Number là phù hợp
 kẻ tấn công có thể ngắt kết nối đột ngột của người dùng nếu biết 
 được thông tin về số hiệu cổng, Sequence Number
 36
 18
 RST Injection
 Client (initiator) Server
 IP address 1.2.1.2, port 3344 IP address 9.8.7.6, port 80
 ...
 Attacker chèn gói tin RST
 IP address 6.6.6.6, port N/A
 SrcA=9.8.7.6, SrcP=80,
 DstA=1.2.1.2, DstP=3344, 
 RST, Seq = y+1, Ack = x+16
Client từ chối 
các dữ liệu 
được gửi từ X
server thực sự 37
 Data Injection
 Client (initiator) Server
 IP address 1.2.1.2, port 3344 IP address 9.8.7.6, port 80
 ...
 Attacker chèn dữ liệu giả
 IP address 6.6.6.6, port N/A
 SrcA=9.8.7.6, SrcP=80,
 DstA=1.2.1.2, DstP=3344, 
 ACK, Seq = y+1, Ack = x+16
 Client tiếp tục Data=“200 OK  ”
 quá trình với dữ 
 liệu giả
Client từ chối 
gói tin vì Seq. 
Number không 
phù hợp 38
 19
Tấn công kết nối TCP trong trường hợp 
không biết thông tin về kết nối
• Nhận xét: trong các kịch bản tấn công trên, kẻ tấn công 
 cần phải theo dõi các thông số trên kết nối (cổng, 
 Sequence Number...)
• Trong trường hợp không có các thông tin này, kẻ tấn công 
 vẫn có thể thực hiện bằng cách đoán nhận
• Hoặc đơn giản hơn: giả mạo kết nối TCP
• Phòng chống?
 39
Tấn công giả mạo kết nối TCP
 Client Server
 IP address 1.2.1.2, port N/A IP address 9.8.7.6, port 80
 Giả mạo SrcA=1.2.1.2, SrcP=5566, 
 client DstA=9.8.7.6, DstP=80, SYN, Seq = z
Attacker 
không biết 
gói tin này
 Điều gì cản trở attacker 
Attacker phải hoàn thành được thực hiện thành công?
giai đoạn bắt tay 3 bước
 SrcA=1.2.1.2, SrcP=5566, DstA=9.8.7.6,
 DstP=80, ACK, Seq = z+1, ACK = y+1
 SrcA=1.2.1.2, SrcP=5566, DstA=9.8.7.6,
 DstP=80, ACK, Seq = z+1, ACK = y+1,
 Data = “GET /transfer-money.html”
 40
 20
 3. TẤN CÔNG CÁC GIAO THỨC TẦNG MẠNG
 Bùi Trọng Tùng,
 Viện Công nghệ thông tin và Truyền thông,
 Đại học Bách khoa Hà Nội
 41
Giao thức IP và ICMP
• Internet Protocol:
 Giao thức kết nối liên mạng
 Hướng không kết nối (connectionless), không tin cậy
• Internet Control Message Protocol
 Nằm trên giao thức IP
 Hướng không kết nối (connectionless), không tin cậy
 Kiểm tra trạng thái hoạt động của các nút mạng khác
• Vấn đề của giao thức IP và ICMP:
 Không cần thiết lập liên kết
 Dễ dàng giả mạo địa chỉ IP nguồn và đích trên các gói tin
 Có thể gửi liên tục với số lượng lớn các gói tin
 42
 21
 Phân mảnh gói tin IP
• Đường truyền có một giá 
 trị MTU (Kích thước đơn Phân mảnh: 
 vị dữ liệu tối đa) in: 1 gói tin lớn
 out: 3 gói tin nhỏ hơn
• Các đường truyền khác 
 nhau có MTU khác nhau 
• Một gói tin IP lớn quá Hợp nhất
 MTU sẽ bị
 Chia làm nhiều gói tin nhỏ 
 hơn
 Được tập hợp lại tại trạm 
 đích
 43
 Nguy cơ tấn công vào giao thức IP (Tính 
 sẵn sàng)
 • Tấn công DoS – Teardrop: Lợi dụng cơ chế phân mảnh 
 của giao thức IP
 Offset cho biết vị trí của mảnh tin trong gói tin ban đầu
 0 1399
 Offset = 0/8 = 0
 0 1400 2800 3999 1400 2799
 Offset = 1400/8 = 175
 2800 3999
 Offset = 2800/8 = 350
 Kẻ tấn công gửi các mảnh có 
 giá trị Offset chồng lên nhau
 44
 22
Nguy cơ tấn công vào giao thức ICMP 
(Tính sẵn sàng)
• Ping of Death: gửi liên tục các gói tin ICMP có kích thước 
 tối đa (xấp xỉ 64 KB)
• Smurf attack
 45
Tấn công các giao thức định tuyến
• Định tuyến: tìm ra đường đi ngắn nhất tới các mạng đích
 Bảng định tuyến: lưu thông tin đường đi
• Định tuyến tĩnh: người dùng định nghĩa nội dung của 
 bảng định tuyến an toàn nhưng không cập nhật theo 
 sự thay đổi trạng thái của các liên kết
• Định tuyến động: router tự động xây dựng nội dung bảng 
 định tuyến
• Đặc điểm của định tuyến:
 Mỗi nút chỉ chắc chắn về các thông tin cục bộ
 Các nút trao đổi thông tin định tuyến theo cơ chế flooding
 46
 23
Định tuyến trên mạng Internet
• Chia thành các vùng tự trị định tuyến AS
 Thường được đăng ký và quản lý bởi ISP
• Phân cấp:
 Định tuyến nội vùng(IGP): RIP, OSPF, IGRP, EIGRP
 Định tuyến ngoại vùng(EGP): BGP
 AS400 BGP
 AS100 BGP AS300
 BGP BGP
 IGP
 AS200
 47
Hoạt động của BGP(tóm tắt)
• Hỗ trợ định tuyến không phân lớp
• Tìm đường tới các vùng tự trị (AS)
• Mỗi router quảng bá thông tin đường đi tới các router 
 khác bằng bản tin UPDATE
 Thông tin đường đi: danh sách các AS trên đường đi tới AS đích
• Thực hiện các chính sách trong quá trình chọn đường
 Lựa chọn đường ra
 Quảng bá đường vào
 
 48
 24
 BGP: Chính sách lựa chọn-quảng bá
 Quảng bá Lựa chọn
 Khách hàng
 A
 C
 Đối thủ
cạnh tranh B
  Lựa chọn: Đường đi nào được dùng để chuyển 
 dữ liệu tới AS đích?
  Kiểm soát thông tin ra khỏi AS
  Quảng bá: Quảng bá cho AS khác đường đi nào?
  Kiểm soát thông tin vào AS
 49
 Hoạt động của BGP – Ví dụ
 NLRI: 128.1.1.0/24
 Nexthop: 190.225.11.1
 NLRI: 128.1.1.0/24
 ASPath: 200 100
 Nexthop: 192.208.10.1
 ASPath: 100
 192.208.10.2 AS200 190.225.11.1
 192.208.10.1 AS400
 AS100
 129.213.1.2
 128.1.1.0/24
 AS300 150.211.1.1
 129.213.1.1
 NRLI:128.1.1.0/24 NLRI: 128.1.1.0/24
 Nexthop: 129.213.1.2 Nexthop: 150.212.1.1
 ASPath: 100 ASPath: 300 100
 50
 25
Tấn công các giao thức định tuyến
• RIPv1: không hỗ trợ các cơ chế xác thực thông tin trao 
 đổi giữa các nút khai thác tấn công thay đổi, giả mạo 
 thông tin
• RIPv2, OSPF: hỗ trợ cơ chế xác thực pre-shared key
 Khóa không ngẫu nhiên, do người dùng lựa chọn
• OSPF: Lợi dụng cơ chế quảng bá thông tin LSA giả để 
 tấn công DoS (black-hole attack)
• BGP: Giả mạo thông tin định tuyến để điều hướng dữ liệu 
 Hậu quả: tấn công từ chối dịch vụ, man-in-the-middle, 
 thư rác...
 51
Tấn công BGP: Giả mạo thông tin đường 
đi
 Destination Route Destination Route
 Google G←B Google M
 G B C M
 Đường đi của M tới 
 g là tốt hơn của B
 52
 26
Tấn công BGP: Giả mạo thông tin đường 
đi
 Destination Route Destination Route
 Google G←B←C Google G←B←M
 G B C M E
 Đường đi của M 
Destination Route D
 tới G là tốt hơn 
 Google G←B←D của D
 53
Tấn công BGP: Giả mạo thông tin đường 
đi
• Chính sách của E: Không lựa chọn đường đi qua C
 Destination Route Destination Route
 Google G←B←C Google G←B←X←M
 G B C M E
 Đường đi của M 
 không qua C
 54
 27
Tấn công BGP: Path hijack
• Lợi dụng cơ chế Longest Matching
 55
BGP hijacking – Ví dụ
• Tháng 02/08: chính phủ Pakistan ngăn cản các truy cập 
 vào trang Youtube:
 Địa chỉ của Youtube: 208.65.152.0 /22
 youtube.com: 208.65.153.238 /22
 Pakistan Telecom quảng bá một thông tin định tuyến BGP tới mạng 
 208.65.153.0 /24 các router trên Internet cập nhật đường đi 
 mới theo quy tắc longest matching bị đánh lừa youtube.com 
 nằm ở Pakistan không thể truy cập youtube.com trong 2 giờ
• Tháng 03/2014: dịch vụ DNS của bị Google tấn công với 
 địa chỉ 8.8.8.8/32
 Không thể truy cập được từ một số nước ở Nam Mỹ trong 22 phút
 56
 28
BGP hijacking – Ví dụ
• Tháng 2/2013: đường đi từ các AS Guadalajara tới 
 WasingtonDC chuyển hướng qua Belarus trong vài giờ
 Đường đi đúng: Alestra (Mexico) PCCW (Texas) Qwest (DC)
• Tương tự: tấn công tấn công Dell SecureWorks năm 
 2014, ISP của Italia vào 6/2015
 57
S-BGP
• Sử dụng cơ chế mật mã học
 R1 R11
 R6 R12
 R2
 R7
 R3 R9 R13
 R8
 R14
 R5 R4 R10 R15
 C1 C2 C358
 29
 Hoạt động của OSPF(tóm tắt)
 • Router quảng bá thông tin liên kết LSA trên mạng
 • Mỗi router thu thập các thông tin LSA xây dựng 
 topology của mạng tìm đường đi ngắn nhất
 LSAX
 LSAX
 X A X A
X has link to A, cost 10
 LSAX
X has link to C, cost 20 C B D C B D
 (a) (b)
 X A X A
 LSAX
 LSAX
 C B D C B D
 LSA
 X 59
 (c) (d)
 Các cơ chế ATBM trên OSPF
 • Xác thực các bản tin LSA
 Trên mỗi liên kết, 2 router chia sẻ một giá trị bí mật
 Sử dụng hàm MAC để tạo mã xác thực:
 MAC(k, m) = MD5(data || key || pad || length)
 • Cơ chế “fight back”: nếu router nhận được LSA của chính 
 nó với giá trị timestamp mới hơn, ngay lập tức quảng bá 
 bản tin LSA mới.
 60
 30
Tấn công giao thức OSPF
• Kẻ tấn công gửi thông tin LSA giả mạo để các router cập 
 nhập đường đi ngắn nhất qua router không có thực
• Ví dụ
 Victim (DR)
 phantom a remote 
 router attacker
 LAN
 cency
 adja
 net 1
 61
 3. TẤN CÔNG CÁC GIAO THỨC TẦNG LIÊN KẾT 
 DỮ LIỆU VÀ TẦNG VẬT LÝ
 Bùi Trọng Tùng,
 Viện Công nghệ thông tin và Truyền thông,
 Đại học Bách khoa Hà Nội
 62
 31
Các nguy cơ tấn công
• Nghe lén:
 Với các mạng quảng bá (WiFi, mạng hình trục, mạng sao dùng 
 hub): dễ dàng chặn bắt các gói tin
 Với các mạng điểm-điểm:
 Đoạt quyền điều khiển các nút mạng
 Chèn các nút mạng một cách trái phép vào hệ thống
 Công cụ phân tích: tcpdump, Wireshark, thư viện winpcap, thư viện 
 lập trình Socket
• Giả mạo thông tin: tấn công vào giao thức ARP, VLAN, cơ 
 chế tự học MAC của hoạt động chuyển mạch
• Phá hoại liên kết: chèn tín hiệu giả, chèn tín hiệu nhiễu, 
 chèn các thông điệp lỗi...
• Thông thường tấn công vào mạng LAN do kẻ tấn công 
 bên trong gây ra.
 63
Tấn công trên VLAN
• VLAN: miền quảng bá logic trên các switch phân tách 
 các lưu lượng mạng ở tầng 2
• Các cơ chế ATBM có thể triển khai trên VLAN: điều khiển 
 truy cập (access control), cách ly tài nguyên quan trọng
• Các VLAN được gán các dải địa chỉ IP khác nhau
• Các khung tin Ethernet được gắn thêm VLAN tag (802.1Q 
 hoặc ISL)
• Chuyển mạch chỉ thực hiện trong 1 VLAN
• Trao đổi dữ liệu giữa các VLAN: định tuyến (inter VLAN 
 routing)
 64
 32
Tấn công: VLAN hopping
• Mục đích: truy cập vào các VLAN khác từ Native VLAN
• Lỗ hổng: các dữ liệu chuyển trong Native VLAN không 
 cần gắn tag
• Đánh lừa switch chuyển tiếp các gói tin vào VLAN
• Double-tag attack
 1 96 Data
 VLAN 1 Native 
 Attacker VLAN (1)
 VLAN 96
 96 Data
• Phòng chống?
 65
Tấn công VLAN: DTP và VTP
• Dynamic Trunking Protocol: tự động cấu hình chế độ 
 trunking cho các cổng của VLAN
 Tấn công giả mạo các gói tin DTP để lừa 1 switch kết nối vào 
 VLAN của kẻ tấn công
• VLAN Trunking Protocol: tự động chuyển tiếp thông tin 
 cấu hình VLAN từ VTP server tới các VTP client
 Tấn công giả mạo các gói tin để xóa 1 VLAN (DoS) hoặc thêm 1 
 VLAN gồm tất cả các switch (tạo bão quảng bá – broadcast storm)
• Phòng chống?
 66
 33
Tấn công giao thức STP
• Spanning Tree Protocol: khử 
 loop trên mạng kết nối switch 
 có vòng kín
• Một switch có giá trị priority nhỏ 
 nhất đóng vai trò gốc
• Các switch còn lại tạm ngắt các cổng xa nút gốc nhất:
 Thông thường xác định trọng số của các liên kết dựa trên băng thông
• STP không có cơ chế xác thực
• Tấn công vào STP: đoạt quyền root switch
 DoS: black-hole attack, flooding attack
 Chèn dữ liệu giả mạo vào luồng trao đổi thông tin
 Tấn công man-in-the-middle
 67
Tấn công cơ chế tự học MAC (chuyển 
mạch)
• Tấn công MAC flooding: gửi hàng loạt các gói tin với địa 
 chỉ MAC nguồn là giả bảng MAC bị tràn Các gói tin 
 thực sự bắt buộc phải chuyển tiếp theo kiểu quảng bá:
  Gây bão quảng bá chiếm dụng băng thông đường truyền, tài 
 nguyên của các nút mạng khác
 Nghe trộm thông tin
• Giả mạo địa chỉ MAC
• Phòng chống?
 68
 34
 Tấn công giao thức ARP
 • Address Resolution Protocol: tìm địa chỉ MAC tương ứng 
 với địa chỉ IP
 • Sử dụng phương thức quảng bá ARP Request:
 Không cần thiết lập liên kết
 • Không có cơ chế xác thực ARP Response
 • Tấn công:
 Giả mạo: ARP Spoofing
 DoS
 69
 ARP Spoofing
 Host B
 Host A 10.0.0.3
 10.0.0.1 MAC:
 MAC: 0000:ccab
0000:9f1e
 IP MAC Gratuitious ARP: 
 “My MAC is Attacker
 10.0.0.3 0000:7ee5
 0000:7ee5 and I 10.0.0.6
 have IP address MAC:
 10.0.0.3” 0000:7ee5
 • Đặc biệt nguy hiểm khi đưa địa chỉ MAC giả mạo gateway 
 router:
 Nghe lén
 Man-in-the-middle
 70
 35
Tấn công nghe lén trên tầng vật lý
• Nghe trộm tín hiệu trên cáp đồng
 71
Tấn công nghe lén trên tầng vật lý
• Nghe trộm tín hiệu trên cáp quang
 72
 36
Bài giảng sử dụng một số hình vẽ và ví dụ từ các bài 
giảng:
• Computer and Network Security, Stanford University
• Computer Security, Berkeley University
• Network Security, Illinois University
 73
 37