Tấn công Layer 2 và biện pháp phòng vệ

[CyberGhostVN]

- Trong hệ thống mạng của 1 doanh nghiệp hay 1 tổ chức thì Layer 2 (theo mô hình OSI) là layer yếu nhất và dễ bị tấn công nhất. Với tầng này thì có rất nhiều kiểu và kĩ thuật tấn công. VD như: Tấn công làm tràn bảng MAC của Switch, tấn công ARP Spoofing, tấn công VLAN Hoping... Sau đây tôi sẽ trình bày về kĩ thuật tấn công làm tràn bảng MAC của thiết bị Switch.
- Tôi sẽ sử dụng công cụ macof trong Backtrack 5 R3 để làm ngập bảng MAC của Switch và gây ra hiện tượng "treo". Để hiểu chi tiết về kĩ thuật này và cách thức thực hiện cũng như biện pháp phòng tránh mời bạn đọc truy cập vào đây: http://www.bachkhoa-aptech.com/Detail/security/tan-cong-layer-2-va-bien-phap-phong-ve.htm

 

Re: Tấn công Layer 2 và biện pháp phòng vệ

Bạn nên post bài đầy đủ để các bạn thành viên tham khảo nhé.

 

Re: Tấn công Layer 2 và biện pháp phòng vệ

- http://www.bachkhoa-aptech.com/Detail/security/tan-cong-layer-2-va-bien-phap-phong-ve.htm

Link này KHÔNG đầy đủ nội dung về tấn công Layer 2.

Để cụ thể hóa các hình thức tấn công Layer 2 (tấn công trong mạng LAN), mình liệt kê các hình thức phổ biến, đó là:
· MAC address spoofing attacks: tấn công giả mạo địa chỉ MAC
· MAC address table overflows: làm tràn bảng MAC trên switch
· STP manipulation:tấn công giao thức STP
· VLAN attacks: tấn công VLAN
· DHCP attacks: tấn công DHCP
Các bạn cho thông tin chi tiết về từng kiểu tấn công nhé

 

Re: Tấn công Layer 2 và biện pháp phòng vệ

Cảm ơn tất cả anh em đã đóng góp ý kiến. Em sẽ cố gắng viết đầy đủ hơn để mọi người tham khảo.

 

Tấn công giả mạo địa chỉ MAC: ARP Spoofing

​

Hình 1. ARP spoofing​

​

​

Trên hình 1 hai máy tính đang khởi tạo kết nối qua môi trường truyền multiaccess (switch). Máy A muốn kết nối với máy B thì A phải biết địa chỉ IP và địa chỉ MAC của B. Giả sử A biết địa chỉ IP của B, là 132.12.25.2. Để xác định địa chỉ MAC của B, A đầu tiên sẽ tìm trong bảng ARP cache. Nếu địa chỉ MAC của B không có trong bảng, A gửi một gói tin ARP Request quảng bá tới switch, để yêu cầu máy nào có IP 132.12.25.2 thì gửi trả về địa chỉ MAC. B nhận được trả lời bằng gói tin ARP reply chứa địa chỉ MAC và địa chỉ IP. Sau quá trình này A và B có thể truyền thông với nhau.

​

​

Hình 2. ARP Cache​

Hacker sử dụng ARP spoofing khai thác lỗ hổng giao thức ARP này bằng cách giả mạo địa chỉ MAC. Sau khi A gửi gói tin ARP request, hacker sẽ bắt được gói tin này (vì gói tin là quảng bá) và gửi trả lại ARP reply đên A với địa chỉ MAC của máy Hacker và IP của B. Tiếp theo Hacker đến gửi tiếp gói tin ARP reply đến host B với địa chỉ MAC của máy Hacker và IP của A. Lúc này mọi liên lạc từ A đến B đều đi qua máy Hacker.
Về cơ bản Hacker có thể thuyết phục bất kỳ một máy hay thiết bị mạng trên hạ tầng mạng LAN tin tưởng gói tin ARP reply mà Hacker đã giả mạo. Bằng cách này, Hacker có thể chuyển hướng tất cả các kết nối giữa 2 thiết bị mạng và đưa toàn bộ các gói tin được gửi từ A và B, đi về máy mình, rồi tiến hành nghe lén, đánh cắp thông tin mật khẩu hay thay đổi dữ liệu.
Dsniff, Cain & Abel, ettercap, Yersinia, etc... và nó rất dễ dàng trong việc thao tác và thực hiện một cuộc tấn công. Đơn giản và rất hiệu quả.

​

​

Hình 3. Ettercap chặn bắt và phân tích gói tin telnet login​

 

Anh nktung giới thiệu biện pháp phòng vệ cho mọi người đi ạ

 

Anh em nghiên cứu công cụ ARP Spoofing mình giới thiệu nhé.
XArp là một ứng dụng bảo mật, sử dụng các phương pháp tiên tiến để dò tìm tấn công ARP. Tấn công ARP cho phép kẻ tấn công âm thầm nghe trộm hoặc thao tác tất cả các dữ liệu bạn gửi qua mạng. Dữ liệu này bao gồm tài liệu, emaiil, hội thoại VoiceIP. Tấn công ARP không bị phát hện bởi firewall và các tính năng bảo mật của hệ điều hành: firewall không bảo vệ bạn khỏi tấn công ARP. Xarp đã được phát triển để giải quyết vấn đề này: nó sử dụng công nghệ tiên tiến để dò tìm tấn công ARP và giúp bạn giữ các dữ liệu được an toàn. [h=3]Các tính năng chính:[/h]

• Các cấp độ bảo mật đã được đặt sẵn
• Tổng quan về các host
• Dò tìm tấn công ARP
• Chống lại tấn công ARP
• Cài đặt dò tìm cho mỗi loại giao diện mạng
• Gửi thông báo qua email
• Cấu hình thông báo chi tiết.

Đố anh nào hacking vào được máy tính của mình sử dụng kỹ thuật ARP Spoofing

Phần mềm này khá tuyệt

Download: http://www.xarp.net/

 

Phần tiếp theo trong bài các kiểu tấn công Layer 2, mình giới thiệu kỹ thuật MAC Table Overflow attack
MAC Table Overflow là kỹ thuật tấn công sử dụng để khai thác điểm yếu bộ nhớ và phần cứng hạn chế trong bảng CAM của Switch. Các loại switch khác nhau có khả năng lưu trữ bảng CAM khác nhau. Tuy nhiên một khi các bảng CAM đã bị làm đầy bởi các địa chỉ MAC giả mạo, Switch sẽ không còn khả năng xác định cổng đích để truyền gói tin, nó sẽ gửi broadcast ra toàn bộ các cổng.
Một kẻ tấn công có thể khai thác hạn chế về giới hạn bảng CAM bằng các bắn các gói tin giả mạo MAC nguồn và đích lên switch, cho đến khi bảng CAM đầy. Một tool trong Kali Linux là Macof (MAC Overflow) có thể tạo ra khoảng 155 nghìn địa chỉ MAC giả mạo/phút. Khi nhận được gói tin ARP Request switch sẽ đẩy các gói tin này đến tất cả các cổng trên nó. Các switch khác trong mạng nội bộ cũng có thể nhận được các gói tin ARP request rồi lại tiếp tục đẩy ra tất cả các cổng trên nó dẫn đến là toàn bộ hệ thống mạng bị quá tải. Lưu lượng các gói tin ngập trong mạng nội bộ khi hiện tượng tràn bảng CAM xảy ra. Những kẻ tấn công có thể chớp cơ hội này để chặn bắt các gói tin của người dùng.

 

Phần tiếp theo trong loạt bài về tấn công layer 2, mình giới thiệu kiểu tấn công DHCP:

Trên hạ tầng mạng của doanh nghiệp, giao thức thường cấp phát địa chỉ IP là DHCP - Dynamic Host Configuration. Sử dụng DHCP sẽ nhanh hơn và chính xác hơn so với việc cấu hình địa chỉ IP thông tin cấu hình tĩnh bằng tay.
Để có được thông tin địa chỉ IP động, một client gửi 1 bản tin DHCP request đến DHCP server. Một máy chủ DHCP gần nhất nhận gói tin sẽ gửi lại một bản tin DHCP respone trong đó bao gồm các thông tin như địa chỉ IP, subnet mask và default gateway.
Đầu tiên, một DHCP client muốn nhận mới một địa chỉ IP (chứ không phải muốn phục hồi lại thời gian “thuê” của một địa chỉ IP mà nó đang sử dụng) sẽ gửi lên toàn mạng (broadcast) một thông điệp DHCP Discover có chứa địa chỉ MAC của nó để tìm kiếm sự hiện diện của DHCP server.
·Nếu có DHCP server thuộc cùng subnet với client trên thì DHCP server này sẽ phản hồi lại cho client bằng một thông điệp DHCP Offer có chứa một địa chỉ IP (và các thiết lập TCP/IP khác) .
·Ngay khi nhận được gói DHCP Offer đến đầu tiên, client sẽ trả lời lại cho server (dĩ nhiên là gửi cho server nào mà nó nhận được gói DHCP Offer đến đầu tiên trong trường hợp có nhiều DHCP server nằm cùng subnet với nó) một thông điệp DHCP Request, chấp thuận địa chỉ mà Server đề nghị
·Cuối cùng, DHCP server gửi lại cho client thông điệp DHCP Acknowledgment để xác nhận lvới client. Và từ đây client có thể sử dụng địa chỉ IP vừa “thuê” được để truyền thông với các máy khác trên mạng.

​

Hình 5.1 Quá trình nhận IP của máy trạm​

Điểm mấu chốt ở đây là xuyên suốt quá trình trao đổi thông điệp giữa server và client không hề có quá trình xác thực hay kiểm soát truy cập nào.Vì vậy, server không có cách nào biết được rằng nó có đang liên lạc với bất kì client nào hay kể cả với attacker hay không, và ngược lại client cũng không thể biết được là nó có đang liên lạc với một DHCP server thật hay là một DHCP server giả mạo hay không
Khi attacker tấn công vào trong hệ thống mạng nội bộ qua DHCP, hắn sẽ dựng lên một máy chủ DHCP trên máy tính cá nhân của mình (ví dụ cài phần mềm DHCP Server TFTPD32). Khi đó, máy của attacker có thể trả lời gói tin DHCP request trước khi máy chủ DHCP thật đáp lại (vì có thê DHCP Server giả mạo xử lý nhanh hơn). Bản tin DHCP Offer từ máy attaker có thể chứa thông tin Gateway và DNS giả mạo (ví dụ đặt địa chỉ máy chủ DNS và địa chỉ Gateway sẽ là địa chỉ IP trên máy tính của Attacker). Hậu quả là, tất cả các thông tin liên lạc từ máy Client sẽ đi qua máy tính của kẻ tính tấn công.

​

Hình 5.2 Rogue DHCP server attack​

Nếu attacker xây dựng được các dịch vụ (Web, DNS…) giả mạo, thì có thể chuyển hướng các yêu cầu phân giải tên miền từ máy client. Từ đó client có thể bị điều hướng truy cập vào các trang web chứa mã độc (gmail giả mạo, facebook giả mạo) mà attacker tạo sẵn để đánh cắp thông tin dữ liệu… từ clients.
Đơn giản hơn attacker có thể giả mạo default gateway cung cấp cho client để khi client truy cập ra ngoài mạng hắn sẽ chụp nhanh được toàn bộ thông tin của khách hàng trước khi chuyển tiếp chúng tới default gateway thật trên mạng và khi đó kết nối mạng vẫn hoạt động bình thường nhưng clients không hề nhận biết rằng họ đã bị ăn trộm thông tin (một dạng tấn công Man-In-The-Middle).
Cũng có một vấn đề đó là: nếu DHCP thật xử lý nhanh hơn DHCP giả mạo thì xác suất thành công của kiểu tấn công này sẽ rất thấp. Vậy chiêu thức của kẻ tấn công trong trường hợp này là gì? Câu trả lời là DHCP Starvation attack:
- Đầu tiên attacker thực hiện tấn công DHCP server thật bằng cách gửi liên tiếp các gói tin DHCP request đến DHCP server thật với địa chỉ MAC giả mạo (ví dụ tool Macof). DHCP thật sẽ trả lời các yêu cầu đó cho đến khi Pool địa chỉ IP mà nó quản lý "cạn kiệt"- không còn IP để cấp phát cho client khác nữa.
- Tiếp theo attacker dựng DHCP server giả mạo để cung cấp thông tin IP giả mạo cho người dùng trong mạng.

 

Phần tiếp theo mình trình bày tiếp về tấn công TELNET

TELNET (viết tắt của TErminaL NETwork) là một giao thức mạng (network protocol) được dùng để truy cập từ xa đến một thiết bị mạng (switch, router, server...) để quản trị. Telnet là một giao thức giữa client-server, dựa trên một kết nối tin cậy. Giao thức này hoạt động ở tầng 7 và sử dụng giao thức TCP cổng 23. Tuy nhiên Telnet KHÔNG bảo mật vì những lý do sau:

• Telnet, theo mặc định, không mã hóa bất kỳ dữ liệu được gửi qua kết nối (bao gồm cả mật khẩu), và vì vậy có khả năng bị nghe trộm các thông tin liên lạc và từ đó hacker có thể tóm được mật khẩu quản trị. Attacker có thể chặn bắt các gói tin đi qua bằng các công cụ phân tích gói tin như wireshack.
• Hầu hết các thao tác của Telnet không có chứng thực rằng sẽ đảm bảo thông tin liên lạc được thực hiện giữa hai bên như mong muốn và không bị chặn ở giữa.
• Rất nhiều lỗ hổng bảo mật đã được phát hiện trong những năm qua khi sử dụng câu lệnh thông thường như telnet

Vì thế telnet là giao thức rất dễ bị tấn công bằng các kỹ thuật: Đánh hơi phiên telnet (Telnet communication sniffing), Tấn công vét cạn (Telnet brute force attack), tấn công từ chối dịch vụ ( Telnet DoS – Denial of Service)
Telnet brute force attack: kẻ tấn công sử dụng danh sách các mật khẩu phổ biến và một tool thiết kế để thiết lập một phiên telnet, đăng nhập bằng mật khẩu nằm trong danh sách từ điển. Tool này có thể kết hợp các từ (word) tuần tự với nhau để từ đó có thể dò ra password. Nếu có thời gian thì kiểu tấn công này sẽ có thể phá được tất cả các password được sử dụng.

Telnet DoS - tấn công từ chối dịch vụ. Các cuộc tấn công DoS là một cách để phá vỡ truyền thông của hai thiết bị mạng bằng cách sử dụng tất cả băng thông của kết nối. Để làm như vậy kẻ tấn công gửi nhiều gói dữ liệu không đúng với quy định của giao thức TCP. Cụ thể ở đây là kẻ tấn công có thể sử dụng kỹ thuật SYN-FLOOD. Khi các máy tính khi nhiễm mã độc, sẽ chạy ứng dụng Telnet trên các máy tính đó (ví dụ windows XP), để tạo ra kết nối dạng half-open với một thiết bị mạng, làm cho line telnet bị chiếm dụng trong thời gian dài, do vậy người quản trị mạng không thể login vào thiết bị.

 

Khen cho mấy bạn chịu khó nghiên cứu và chăm chỉ post bài.
Tuy nhiên khi các bạn đưa các kỹ thuật tấn công ra, thì cũng nên nói cho đủ ý, rằng thế giới người ta đã chống lại bằng cách nào. Nếu không nói đủ, nó sẽ làm hiểu biết bị thiếu đi 1 phần uổng công cho mấy bạn trẻ đang học kiến thức.

Mình bổ sung thêm là: mấy trò tấn công L2 này chỉ áp dụng được với mạng gia đình hoặc mạng sinh viên thôi, khi chỉ trang bị switch tính năng cơ bản, rẻ tiền.

Các Enterprise họ mua switch cao cấp dành cho doanh nghiệp (như loại ghẻ nhất của Cisco là CE500 - giá tầm 400$ thì phải, đời mới là gì tôi ko rõ), với nhiều tính năng bảo mật tốt cho doanh nghiệp. Mặc định chỉ cần network admin bật dhcp snooping và port security limit 1 mac per port đối với các port dành desktop/laptop.
Thì tất cả các việc tấn công trên, thậm chí PC đặt static IP cũng không thể chạy được nữa là.

Cụ thể nó gồm các việc chống sau và cơ chế của nó:
- Không có cách nào nào làm tràn bảng mac của nó, do port sẽ đóng lại ngay/drop gói nếu source mac gửi từ máy bạn khác với cái mac đầu tiên nó ghi nhận trong bảng mac. SW mặc định nó học MAC/port từ source mac gửi tới nó, nhưng các sw của Enterprise cho phép bật port security, nó chỉ học 1 mac đầu tiên thôi. Đồng nghĩa với việc port dành cho PC sẽ không thể làm uplink với một switch khác được (nối liên tục nhiều sw). Muốn uplink (trunk hoặc non-trunk) thì quản trị phải khai báo port đó là chế độ học nhiều mac.
- Không đặt được Static IP: khi bật cho port chế độ DHCP Snooping, thì PC phải trải qua quá trình cấp DHCP thì port mới open ra cho IP đã học. Sau khi thực hiện DHCP thì switch (mặc dù là layer 2) nó đọc reply từ DHCP server gửi cho PC, thấy IP rồi bind luôn cái IP + MAC vào cái port đó cho tới khi rút dây mạng ra. Việc bind đó khiến tất cả ARP, các gói IP gửi ra từ PC đều bị kiểm tra source mac, source IP với bind IP đã có, nếu không đúng sw nó drop gói.
- Không thể tự làm DHCP server được, switch nó chỉ cho phép client gửi các gói from client và không gửi tới các request từ client khác. còn port nào chỉ định là DHCP server mới có thể nhận được gói request của client. cái này tương tự bên trên.
- Không tự làm Router được, như trên, cơ chế detect source trong L3 header nó không cho phép PC gửi ra với source IP khác với IP đã được cấp bởi DHCP (mà nó bind lúc trước đó). Router mà không có cái này (source IP là từ Internet về) thì không thể chạy được.
- Không giả ARP được, bạn cố gửi ARP với IP khác source IP được DHCP cấp thì sẽ bị drop ngay tại port, dù không vi phạm MAC.

Tất nhiên mấy tính năng này, sw phải thực hiện nhiều việc hơn và nó đắt tiền hơn. Nhân viên quản trị mạng cũng phải có kế hoạch vì khi triển khai phải biết port nào là port dành cho cắm PC, máy in... port nào là nối các switch với nhau, port nào gắn vào router fw.. nói chung là thêm việc tốn tiền. Không đồng hạng như các sw rẻ tiền dành cho gia đình. Nhưng cuối cùng nó giải quyết được vấn đề tấn công đã nêu ra.

Cisco có publish cả 1 tài liệu dài về việc chống cái này: http://www.cisco.com/c/en/us/produc...0-series-switches/white_paper_c11_603839.html

Mấy trò tấn công L2 này cũng áp dụng được với mạng LAN không dây wifi (trừ việc giả MAC vì mạng không dây nó dùng MAC để bind station, đổi MAC đồng nghĩa với việc xác thực/associate lại), thì may mắn có 1 chức năng là AP isolation, bật lên là cũng hết các tấn công kiểu ở trên. Nhưng mạng không dây có vấn đề khác.

 

Cám ơn bạn đã góp ý.
Mình đang đặt vấn đề về nguy cơ, mục đích cũng là để mọi người (như bạn) góp thêm ý kiến để hoàn thiện bài viết. Bạn nói đúng, cần có biện pháp phòng vệ đối với các nguy cơ. Mình cũng đang tìm hiểu để viết phần đó, và phần viết của bạn cho mình thêm ý tưởng để cụ thể hóa biện pháp.

 

Phần tiếp theo mình sẽ trình bày kiểu tấn công vào VLAN có tên VLAN Hopping

VLAN (Virtual LAN) có nghĩa là mạng LAN ảo, một công nghệ được sử dụng phổ biến trong các mạng LAN của doanh nghiệp với mục tiêu làm gia tăng tính an ninh mạng, tiết kiệm chi phí đầu tư thiết bị, tăng hiệu năng thiết bị và làm đơn giản hóa vấn đề quản lý mạng. Tuy nhiên nếu cấu hình sai (lỗi cấu hình) thì có thể dẫn tới những nguy cơ về an ninh. Có 2 kiểu tấn công VLAN là VLAN hoping và VLAN double taging

​

Ảnh. Sơ đồ tấn công VLAN Hopping (nguồn:Cisco CCNA)​

Kiểu tấn công VLAN hopping

Như hình ảnh trên, kết nối giữa 2 switch là kết nối trunk, chuẩn đóng gói là giao thức 802.1Q. Kết nối trunk cho phép lưu lượng của nhiều VLAN chạy qua, ví dụ lưu lượng đến VLAN 10 (đến Server1) và VLAN 20 (đến Server2) có thể đi qua kết nối trunk giữa 2 switch. Tuy nhiên để truy cập vào Server1 thì máy của kẻ tấn công phải nằm ở VLAN10, còn muốn truy cập đến Server2 thì máy của kẻ tấn công phải thuộc VLAN20. Tuy nhiên có một cách khác là đánh lừa switch rằng máy tính của hắn là 1 switch, từ đó thiết lập kết nối trunk từ máy kẻ tấn công đến switch. Để đánh lừa, kẻ tấn công sẽ chạy một phần mềm giả lập giao thức DTP (Dynamic Trunking Protocol) trên máy tính của hắn. Nếu trạng thái cổng của switch để ở chế độ mặc định là Dynamic Auto thì kẻ tấn công sẽ cấu hình phần mềm chạy DTP ở chế độ Dynamic Desirable hoặc Trunk, khi đó kết nối từ máy của kẻ tấn công đến switch là kết nối trunk (hình dưới). Như vậy hacker có thể truy cập vào các VLAN khác nhau, từ đó truy cập được vào Server1 và Server2.

Ảnh. Giao thức DTP - thương lượng mode hoạt động trên cổng switch (Nguồn: Cisco CCNA)​

 

Trong phần này mình tiếp tục liệt kê một kiểu tấn công VLAN đó là VLAN Double-Tagging


Giả sử kẻ tấn công muốn truy cập bất hợp pháp vào Server nằm ở VLAN 20, tuy nhiên máy của hacker lại nằm ở VLAN 99 (native VLAN). Vậy làm thế nào để truy cập vào server?
Kẻ tấn công sẽ gắn thêm một tag VLAN 20 vào trong frame Ethernet gửi đến switch 1. Swich1 nhận thấy frame này thuộc VLAN 99 nên nó loại bỏ tag VLAN 99 và gửi frame lên đường trunk mà KHÔNG gắn tag cho frame này bởi vì frame này thuộc native VLAN. Như vậy nghiễm nhiên frame này bây giờ thuộc VLAN 20. Khi switch 2 nhận được frame VLAN 20, nó sẽ forward đến server nằm ở VLAN 20. Như vậy kẻ tấn công đã truy cập được vào server nằm ở VLAN 20 mặc dù máy của hắn ở VLAN 99.