Phần 1 : Phân tích gói tin với WIRESHARK
Phần 2 : Xử lý các tính huống thực tế với WireShark (1)
Phần 3 : Xử lý các tính huống thực tế với WireShark (2)

Địa chỉ trên Google Docs:
http://docs.google.com/View?docid=dg34rcvn_22cn7krtjs
Xử lý các tính huống thực tế với WireShark (1)
http://docs.google.com/Doc?id=dg34rcvn_78hs7d6cgc
Xử lý các tính huống thực tế với WireShark (2)
http://docs.google.com/Doc?id=dg34rcvn_60c9v5jgcb

2. Xử lý các tình huống về băng thông mạng

Anatomy of a Slow Download (cốt lõi của việc download chậm)

Tình huống: cả mạng download rất chậm

Tiến hành : đặt wireshark lắng nghe toàn bộ đầu ra của mạng

Phân thích : hình ảnh dưới đây cho thấy có rất nhiều kết nối TCP,HTTP điều này có nghĩa là có rất nhiều kết nối HTTP download dữ liệu về nên chiếm băng thông của mạng.

Hình 3.2-1: We need to filter out all of this HTTP and TCP traffic.

Mở cửa sổ Alalyze->Expert Infos để thấy thêm thông tin.

Hình 3.2-2: The Expert Infos window shows us chats, warnings, errors, and notes.

Mặc định Expert Infos hiển thị tất cả các thông tin. Nếu chỉ hiện thị Error+Warn+Note thì ta sẽ có các thông tin sau.

Hình 3.2-3: The Expert Infos window (sans chats) summarizes all of the problems with this download.

Hình trên cho thấy:

• có rất nhiều kết nối TCP do chương trình Window update mở

• có hiện tượng TCP Previous segment lost packets và các gói tin TCP gửi đi bị lặp ACK và bị drop, khiến TCP phải gửi lại gói tin.

 có thể 2 nguyên nhân trên chiếm băng thông của mạng và làm giảm tốc độ download.

Khảo sát tiếp các thông tin theo hướng này ta nhận được các thông tin ở các hình phía dưới.

Hình 3.2-4: Previous segment lost packets indicate a problem.

Hình 3.2-5: A fast retransmission is seen after a packet is dropped.

Statistics >TCP Stream Graph > Round Trip Time Graph

Hình 3.2-6: The round trip time graph for this capture

Các hình cho thấy dự đoán ở bước trên là chính xác. Các file sẽ không thể được download về nếu thời gian lớn hơn 0.1 s, thời gian lý tưởng là 0,04s.

Kết luận : nguyên nhân do download chậm là có nhiều chương trình Windows update (có thể các máy để auto update) và hiện tượng mất gói tin. Như vậy cần tắt bớt các chương trình Windows update.

Did That Server Flash Me?

Tình huống : anh Thanh phàn nàn rằng không thể truy cập vào một phần website Novell để download một số phần mềm cần thiết. Mỗi lần truy cập vào site đó trình duyệt đều tải vài tải nhưng có gì hơn thế nữa. Mạng có vấn đề gì không ?

Thông tin chúng ta có: sau khi kiểm tra sơ bộ thì tất cả các máy tính đều bình thường trừ máy tính của anh Thanh. Như vậy vấn đề nằm ở máy tính của anh Thanh.

Tiến hành: cài Wireshark và bắt gói tin khi truy cập website Novell trên máy của Thanh

Phân thích:

Thông tin nhận được khi bắt đầu có kết nối HTTP đến website Novell:

Hình 3.2-18: The capture begins with standard HTTP communication.

Từ phía client gửi gói tin RST để kết thúc kết nối HTTP:

Hình 3.2-19: Packets 28 and 29 present a problem.

Lý do gì khiến client gửi gói tin RST ? Sử dụng một trong các tính năng cao cấp của Wireshark là Follow TCP Stream để thấy chi tiết nội dung mà phía server Novell trả về khi dùng hàm GET của HTTP.

Hình 3.2-20: This Flash request is the source of our problem.

Như vậy có thể nhìn thấy, phần Flash được mở dưới dạng PopUp nhưng Thanh không thấy gì. Kiểm tra thì thấy trình duyệt khóa tính năng PopUP.

Kết luận : trình duyệt block popup

POP Goes the Email Server

Tình huống : gửi thư chậm trong cùng domain và khác domain. Thời gian nhận được thư từ khi gửi từ 5-10 phút.

Thông tin chúng ta có:

• Mail của công ty sử dụng một mail server riêng.

• Mail server dùng Post Office Protocol (POP) để nhận

Tiến hành:

Bắt gói tin tại máy mail server

Phân thích:

Thông tin về giao thức POP qua Wireshark

Hình 3.2-25: This capture includes a lot of POP packets.

Hình 3.2-26: Changing the time display format gives us an idea of how much data we are receiving in what amount of time.

Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm thì nhận thấy như sau:

Hình 3.2-27: The details of packet 1 show information about the email being sent.

File đính kèm được chèn rất nhiều kí tự giống nhau vào để tăng kích thước file đính kèm, kiểm tra tiếp số lượng mail như thế này thì thấy số lượng lớn.

Có thể đi đến kết luận mail server bị spam làm cho năng lực xử lý các yêu cầu gửi đến bị giảm xuống, tương tự như tấn công từ chối dịch vụ.

Hướng giải quyết : tìm và phát hiện nguồn của thư rác, có thể dùng blacklist để cấm các địa chỉ gửi thư rác.

Kết luận : spam mail với file attach lớn

3. Một số tình huống an ninh mạng cơ bản

OS Fingerprinting (Nhận dạng OS)

OS Fingerprinting là một kỹ thuật phổ biến được các haker sử dụng để thu thập các thông tin về server từ xa, từ đó có những thông tin hữu ích để thực hiện các bước tấn công tiếp theo.

Như xác định các lỗi có thể có với server mục tiêu, chuẩn bị các công cụ phù hợp cho cuộc tấn công.

Một trong các kỹ thuật xử dụng là gửi các gói tin ICMP ít thông dụng.

• Sử dụng ICMP traffic,dùng ping sẽ không bị “cảnh báo”

• Sử dụng traffic like Timestamp request/reply, Address mask request, Information request không phổ biến lắm.

Hình 3.3-1: This is the kind of ICMP traffic you don’t want to see.

Dùng các ICMP request không phổ biến như trên đôi khi sẽ nhận được những thông tin từ mục tiêu phản hồi lại.

Nếu các request đó được chấp nhận thì có thể dùng ICMP-based OS fingerprinting scans để quét thử.

Xử lý : vì các traffic thông thường sẽ không bao giờ thấy các gói ICMP loại 13,15,17 do đó chúng ta có thể tạo ra bộ lọc để lọc các gói này.

Ví dụ : icmp .type==13 || icmp .type==15 || icmp .type==17.

A Simple Port Scan (quét cổng ở dạng đơn giản)

Một trong các chương trình quét port nhanh và phổ biến nhất là : nmap

Mục tiêu của người tấn công:

• tìm các port mở

• xác định các tunnel bí mật

Chúng ta có thể nhận dạng việc quét cổng bằng cách đặt máy “nghe” trên máy chủ cần bảo vệ để theo dõi.

Hình 3.3-2: A port scan shows multiple connection attempts on various ports.

Như trên hình có thể nhận ra rằng có những kết nối rất đáng nghi ngờ giữa máy 10.100.25.14 (local machine) và máy 10.100.18.12 (remote computer).

Log file cho thấy máy tính từ xa (remote computer) gửi gói tin đến rất nhiều cổng khác nhau trên máy local ví dụ cổng 21,1028…

Nhưng đặc biệt là những cổng nhạy cảm như telnet (22), microsoft-ds, FTP (21), và SMTP (25) những cổng này được gửi số lượng gói tin lớn hơn vì đây là những cổng có khả năng xâm nhập cao do lỗi của những ứng dụng sử dụng cổng này. Các gói tin đó có thể là các đoạn mã khai thác.

Blaster Worm (Sâu Blaster)

Hiện tượng: Máy tính phía client hiển thị của sổ thông báo shutdown máy trong vòng 60s. Các thông báo này xuất hiện liên tục.

Thông tin chúng ta có:

• máy tính client đã cài chương trình diệt virus mới nhất tại thời điểm đó

Tiến hành:

Cài đặt Wireshark trên máy có virus.

Phân tích:

Màn hình Wireshark đã thể hiện các hành vi có nguy hại đến máy tính của virus Blaster, được thể hiện bằng màu đỏ, đen.

Hình 3.3-9: We shouldn’t see this level of network activity with only the timer running on this machine.

Một trong các kinh nghiệm để phát hiện virus là xem dữ liệu các gói tin ở dạng thô (raw), rất có thể sẽ có những thông tin hữu ích.

Hình 3.3-10: No useful information can be discerned from packet 1.

Sau khi tìm một số gói tin thì thấy có gói tin mang lại thông tin hữu ích.

Hình 3.3-11, chúng ta thấy có địa chỉ trỏ đến thư mục C:\WINNT\System32. Thư mục này là một trong những thư mục quan trong nhất của hệ điều hành Windows.

Hình 3.3-11: The reference to C:\WINNT\System32 means something might be accessing our system files.

Tiếp tục tìm thông tin theo cách trên, phát hiện ra tên chương trình của sâu Blaster như ở hình 3.3-12.

Hình 3.3-12: Packet 4 shows a reference to msblast.exe.

Khi đã xác định được ví trí file của virus ta sẽ có nhiều cách giải quyết theo các mục đích khác nhau. Đối với người dùng thông thường thì tắt tiến trình có tên đó sau đó xóa các file virus đó đi…

Trong khuôn khổ tiểu luận chúng tôi đã nêu ra một số vấn đề cơ bản có thể xử lý bằng cách sử dụng Wireshark và kỹ năng phân tích gói tin.

Ngoài ra còn có rất nhiều tình huống khác và các tình huống nâng cao hơn tuy nhiên chúng tôi không đề cập ở đây.

Các vấn đề khác bạn đọc có thể tham khảo thêm qua tài liệu chúng tôi nêu ở phần phụ lục.

Phụ lục

Tài liệu tham khảo

[1]. Chris Sanders, PRACTICAL PACKET ANALYSIS, Using Wireshark to Solve Real-World Network Problems- No Startch Press,2007

[2]. Angela Orebaugh,Gilbert Ramirez,Josh Burke,Larry Pesce,Joshua Wright,Greg Morris, Wireshark & Ethereal Network Protocol Analyzer Toolkit- Syngress Publishing,2007

[3]. Angela Orebaugh, Ethereal Packet Sniffing - Syngress Publishing,2004

Các nội dung chính theo chủ đề này:
Phần 1 : Phân tích gói tin với WIRESHARK
Phần 2 : Xử lý các tính huống thực tế với WireShark (1)
Phần 3 : Xử lý các tính huống thực tế với WireShark (2)

Địa chỉ trên Google Docs:
http://docs.google.com/View?docid=dg34rcvn_22cn7krtjs
Xử lý các tính huống thực tế với WireShark (1)
http://docs.google.com/Doc?id=dg34rcvn_78hs7d6cgc
Xử lý các tính huống thực tế với WireShark (2)
http://docs.google.com/Doc?id=dg34rcvn_60c9v5jgcb

1. Một số tình huống cơ bản

Trong phần này chúng ta sẽ đề cập đến vấn đề cụ thể hơn. Sử dụng Wireshark và phân tích gói tin để giải quyết một vấn đề cụ thể của mạng.

Chúng tôi xin đưa ra một số tình huống điển hình.

A Lost TCP Connection (mất kết nối TCP)

Một trong các vấn đề phổ biến nhất là mất kết nối mạng.Chúng ta sẽ bỏ qua nguyên nhân tại sao kêt nối bị mất, chúng ta sẽ nhìn hiện tượng đó ở mức gói tin.

Ví dụ:

Một ví truyền file bị mất kết nối:

Bắt đầu bằng việc gửi 4 gói TCP ACK từ 10.3.71.7 đến 10.3.30.1.

Hình 3.1-1: This capture begins simply enough with a few ACK packets.

Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi lại gói của TCP.

Hình 3.1-2: These TCP retransmissions are a sign of a weak or dropped connection.

Theo thiết kế, TCP sẽ gửi một gói tin đến đích, nếu không nhận được trả lời sau một khoảng thời gian nó sẽ gửi lại gói tin ban đầu. Nếu vẫn tiếp tục không nhận được phản hồi, máy nguồn sẽ tăng gấp đôi thời gian đợi cho lần gửi lại tiếp theo.

Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhận được phản hồi thì kết nối được coi là kết thúc.

Hiện tượng này ta có thể thấy trong Wireshark như sau:

Hình 3.1-4: Windows will retransmit up to five times by default.

Khả năng xác định gói tin bị lỗi đôi khi sẽ giúp chúng ta có thể phát hiện ra mấu trốt mạng bị mất là do đâu.

Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP)

Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ICMP ping. Nếu may mắn thì phía mục tiêu trả lời lại điều đó có nghĩa là bạn đã ping thành công, còn nếu không thì sẽ nhận được thông báo không thể kết nối tới máy đích. Sử dụng công cụ bắt gói tin trong việc này sẽ cho bạn nhiều thông tin hơn thay vì chỉ dung ICMP ping bình thường. Chúng ta sẽ nhìn rõ hơn các lỗi của ICMP.

Hình 3.1-5: A standard ping request from 10.2.10.2 to 10.4.88.88

Hình dưới đây cho thấy thông báo không thể ping tới 10.4.88.88 từ máy 10.2.99.99.

Như vậy so với ping thông thường thì ta có thể thấy kết nối bị đứt từ 10.2.99.99. Ngoài ra còn có các mã lỗi của ICMP, ví dụ : code 1 (Host unreachable)

Hình 3.1-6: This ICMP type 3 packet is not what we expected.

Unreachable Port (không thể kết nối tới cổng)

Một trong các nhiệm vụ thông thường khác là kiểm tra kết nối tới một cổng trên một máy đích. Việc kiểm tra này sẽ cho thấy cổng cần kiểm tra có mở hay không, có sẵn sang nhận các yêu cầu gửi đến hay không.

Ví dụ, để kiểm tra dịch vụ FTP có chạy trên một server hay không, mặc định FTP sẽ làm việc qua cổng 21 ở chế độ thông thường. Ta sẽ gửi gói tin ICMP đến cổng 21 của máy đích, nếu máy đích trả lời lại gói ICMP loại o và mã lỗi 2 thì có nghĩa là không thể kết nối tới cổng đó.s

Fragmented Packets

Hình 3.1-7: This ping request requires three packets rather than one because the data being transmitted is

above average size.

Ở đây có thể thấy kích thước gói tin ghi nhận được lớn hơn kích thước gói tin mặc định gửi đi khi ping là 32 bytes tới một máy tính chạy Windows.

Kích thước gói tin ở đây là 3,072 bytes.

Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn)

No Connectivity (không kết nối)

Vấn đề : chúng ta có 2 nhân viên mới Hải và Thanh và được sắp ngồi cạnh nhau và đương nhiên là được trang bị 2 máy tính. Sauk hi được trang bị và làm các thao tác để đưa 2 máy tính vào mạng, có một vấn đề xảy ra là máy tính của Hải chạy tốt, kết nối mạng bình thường, máy tính của Thanh không thể truy nhập Internet.

Mục tiêu : tìm hiểu tại sao máy tính của Thanh không kết nối được Internet và sửa lỗi đó.

Các thông tin chúng ta có

• cả 2 máy tính đều mới

• cả 2 máy đều được đặt IP và có thể ping đến các máy khác trong mạng

Nói tóm lại là 2 máy này được cấu hình không có gì khác nhau.

Tiến hành

Cài đặt Wireshark trực tiếp lên cả 2 máy.

Phân tích

Trước hết trên máy của Hải ta nhìn thấy một phiên làm việc bình thường với HTTP. Đầu tiên sẽ có một ARP broadcast để tìm địa chỉ của gateway ở tầng 2, ở đây là 192.168.0.10. Khi máy tính của Hải nhận được thông tin nó sẽ bắt tay với máy gateway và từ đó có phiên làm việc với HTTP ra bên ngoài.

Hình 3.1-12: Hải’s computer completes a handshake, and then HTTP data transfer begins.

Trường hợp máy tính của Thanh

Hình 3.1-13: Thanh’s computer appears to be sending an ARP request to a different IP address.

Hình trên cho thấy yêu cầu ARP không giống như trường hợp ở trên. Địa chỉ gateway được trả về là 192.168.0.11.

Như vậy có thể thấy NetBIOS có vấn đề.

NetBIOS là giao thức cũ nó sẽ được thay thế TCP/IP khi TCP/IP không hoạt động. Như vậy là máy của Thanh không thể kết nối Internet với TCP/IP.

Chi tiết yêu cầu ARP trên 2 máy :

Máy Hải

Máy Thanh

Kết luận : máy Thanh đặt sai địa chỉ gateway nên không thể kết nối Internet, cần đặt lại là 192.168.0.10.

The Ghost in Internet Explorer (con ma trong trình duyệt IE)

Hiện tượng : máy tính của A có hiện tượng như sau, khi sử dụng trình duyệt IE, trình duyệt tự động trỏ đến rất nhiều trang quảng cáo. Khi A thay đổi bằng tay thì vẫn bị hiện tượng đó thậm chí khở động lại máy cũng vẫn bị như thế.

Phân tích

Hình 3.1-16: Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wire should set off some alarms.

Chi tiết gói tin thứ 5:

Hình 3.1-17: Looking more closely at packet 5, we see it is trying to download data from the Internet.

Từ máy tính gửi yêu cầu GET của HTTP đến địa chỉ như trên hình.

Hình 3.1-18: A DNS query to the weatherbug.com domain gives a clue to the culprit.

Gói tin trả lại bắt đầu có vấn đề : thứ tự các phần bị thay đổi.

Một số gói tiếp theo có sự lặp ACK.

Sau một loạt các thay đổi trên thì có truy vấn DNS đến deskwx.weatherbug.com

Đây là địa chỉ A không hề biết và không có ý định truy cập.

Như vậy có thể là có một process nào đó đã làm thay đổi địa chỉ trang chủ mỗi khi IE được bật lên. Dùng một công cụ kiểm tra process ẩn ví dụ như Process Explore và thấy rằng có tiến trình weatherbug.exe đang chạy. Sau khi tắt tiến trình này đi không còn hiện tượng trên nữa.

Thông thường các tiến trình như weatherbug có thể là virus, spyware.

Giao diện Process Explore

Lỗi kết nối FTP

Tình huống : có tài khoản FTP trên Windows Server 2003 đã update service packs vừa cài đặt xong, phần mềm FTP Server hoàn toàn bình thường, khoản đúng nhưng không truy nhập được.

Thông tin chúng ta có

• FTP làm việc trên cổng 21

Tiến hành

Cài đặt Wireshark trên cả 2 máy.

Phân tích

Client:

Hình 3.1-19: The client tries to establish connection with SYN packets but gets no response; then it sends a

few more.

Client gửi các gói tin SYN để bắt tay với server nhưng không có phản hồi từ server.

Server :

Hình 3.1-20: The client and server trace files are almost identical.

Có 3 lý do có thể dẫn đến hiện tượng trên

• FTP server chưa chạy, điều này không đúng vì FTP server của chúng ta đã chạy như kiểm tra lúc đầu

• Server quá tải hoặc có lưu lượng quá lớn khiến không thể đáp ứng yêu cầu. Điều này cũng không chính xác vì server vừa mới được cài đặt.

• Cổng 21 bị cấm ở phía clien hoặc phía server hoặc ở cả 2 phía. Sau khi kiểm tra và thấy rằng ở phía Server cấm cổng 21 cả chiều Incoming và Outgoing trong Local Security Policy

Kết luận

Đôi khi bắt gói tin không cho ta biết trực tiếp vấn đề nhưng nó đã hạn chế được rất nhiều trường hợp và giúp ta đưa ra suy đoán chính xác vấn đề là gì.

Phần 1 : Phân tích gói tin với WIRESHARK
Phần 2 : Xử lý các tính huống thực tế với WireShark (1)
Phần 3 : Xử lý các tính huống thực tế với WireShark (2)

Địa chỉ trên Google Docs:
http://docs.google.com/View?docid=dg34rcvn_22cn7krtjs
Xử lý các tính huống thực tế với WireShark (1)
http://docs.google.com/Doc?id=dg34rcvn_78hs7d6cgc
Xử lý các tính huống thực tế với WireShark (2)
http://docs.google.com/Doc?id=dg34rcvn_60c9v5jgcb

(Nội dung chi tiết của http://docs.google.com/View?docid=dg34rcvn_22cn7krtjs trong bài Phân tích gói tin với WIRESHARK)

Hàng ngày, có hàng triệu vấn đề lỗi trong một mạng máy tính, từ việc đơn giản là nhiễm Spyware cho đến việc phức tạp như lỗi cấu hình router, và các vấn đề này không thể được xử lý tất cả lập tức. Tốt nhất là chúng ta có thể hi vọng thực hiện công việc đó bằng cách chuẩn bị đầy đủ các kiến thức và các công cụ tương ứng với các vấn đề. Tất cả các vấn đề trên mạng đều xuất phát ở mức gói, nơi mà không có gì được che dấu đối với chúng ta, nơi mà không có thứ gì bị ẩn đi bởi các cấu trúc menu, các hình ảnh bắt mắt hoặc là các nhân viên không đáng tin cậy. Không có gì bí mật ở đây, và chúng ta có thể điều khiển được mạng và giải quyết các vấn đề. Đây chính là thế giới của phân tích gói tin.

1. Thế nào là phân tích gói tin?

Phân tích gói tin, thông thường được quy vào việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và phiên dịch các dữ liệu sống như là các luồng đang lưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng. Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công cụ được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên đường dây. Phân tích gói tin có thể giúp chung ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật.

Có một vài kiểu chương trình nghe gói tin, bao gồm cả miễn phí và sản phẩm thương mại. Mỗi chương trình được thiết kế với các mục tiêu khác nhau. Một vài chương trình nghe gói tin phổ biến như là tcpdump (a command-line program), OmniPeek, và Wireshark (cả hai đều là chương trình có giao diện đồ hoạ). Khi lựa chọn chương trình nghe gói tin, ta cần phải quan tâm đến một số vấn đề: các giao thức mà chương trình cần hỗ trợ, tính dễ sử dụng, chi phí, hỗ trợ kỹ thuật và chương trình hỗ trợ cho hệ điều hành nào.

2. Các bước để nghe gói tin:

Quá trình nghe gói tin được chia làm 3 bước: thu thập dữ liệu, chuyển đổi dữ liệu và phân tích.

• Thu thập dữ liệu: đây là bước đầu tiên, chương trình nghe gói tin chuyển giao diện mạng được lựa chọn sang chế độ Promiscuous. Chế độ này cho phép card mạng có thể nghe tất cả các gói tin đang lưu chuyển trên phân mạng của nó. Chương trình nghe gói sử dụng chế độ này cùng với việc truy nhập ở mức thấp để bắt các dữ liệu nhị phân trên đường truyền.

• Chuyển đổi dữ liệu: trong bước này, các gói tin nhị phân trên được chuyển đổi thành các khuôn dạng có thể đọc được.

• Phân tích: phân tích các gói tin đã được chuyển đổi.

Có vài chương trình khác nhau về nghe gói tin, trong tiểu luận này, chúng tôi xin giới thiệu một chương trình điển hình với nhiều tính năng mạnh hỗ trợ việc bắt và phân tích gói tin. Đó là WireShark.

Nội dung gồm các phần chính:

• Phần I: Các cách thức nghe gói tin trên mạng

• Phần II: Giới thiệu WireShark

• Phần III: Các tính huống với WireShark

• Phần IV: Xử lý các tình huống mạng với WireShark

I. Các cách thức nghe gói tin trên mạng

Để thực hiện việc bắt các gói tin trên mạng, ta phải chỉ ra những vị trí tương ứng để đặt “máy nghe” vào hệ thống đường truyền của mạng. Quá trình này đơn giản là đặt “máy nghe” vào đúng vị trí vật lý nào trong một mạng máy tính. Việc nghe các gói tin không đơn giản chỉ là cắm một máy xách tay vào mạng và bắt gói. Thực tế, nhiều khi việc đặt máy nghe vào mạng khó hơn việc phân tích các gói tin. Thách thức của việc này là ở chỗ là có một số lượng lớn các thiết bị mạng phần cứng được sử dụng để kết nối các thiết bị với nhau. Lý do là vì 3 loại thiết bị chính (hub, switch, router) có nguyên lý hoạt động rất khác nhau. Và điều này đòi hỏi ta phải nắm rõ được cấu trúc vật lý của mạng mà ta đang phân tích.

Chúng ta sẽ nghiên cứu một số mạng thực tế để chỉ ra cách tốt nhất để bắt các gói tin trong từng môi trường mạng sử dụng Hub, Switch và Router.

1. Living Promiscuously (chế độ bắt tất cả các gói tin đi qua)

Trước khi nghe các gói tin trên mạng, ta cần một card mạng có hỗ trợ chế độ Promiscuous. Chế độ Promiscuous cho phép card mạng nhìn thấy thất cả các gói tin đi qua hệ thống dây mạng. Khi một card mạng không ở chế độ này, nó nhìn thấy một số lượng lớn các gói tin trên mạng nhưng không gửi cho nó, nó sẽ huỷ (drop) các gói tin này. Khi nó ở chế độ Promiscuous, nó bắt tất cả các gói tin và gửi toàn bộ tới CPU.

2. “Nghe” trong mạng có Hub

Việc nghe trong một mạng có hub là một điều kiện trong mơ cho việc phân tích gói tin. Cơ chế hoạt động của Hub cho phép gói tin được gửi tất cả các cổng của hub. Hơn nữa, để phân tích một máy tinh trên một hub, tất cả các công việc mà bạn cần làm là cắm máy nghe vào một cổng còn trống trên hub. Bạn có thể nhìn thấy tất cả các thông tin truyền và nhận từ tất cả các máy đang kết nối với hub đó, của sổ tầm nhìn của bạn không bị hạn chế khi mà máy nghe của bạn được kết nối với một mạng hub.

3. “Nghe” trong mạng Switched

Một môi trường switched là kiểu mạng phổ biến mà bạn làm việc. Switch cung cấp một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast, multicast. Switch cho phép kết nối song công (full-duplex), có nghĩa là máy trạm có thể truyền và nhận dữ liệu đồng thời từ switch. Khi bạn cắm một máy nghe vào một cổng của switch, bạn chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi và nhận của máy tính mà bạn đang sử dụng.

Có 3 cách chính để bắt được các gói tin từ một thiết bị mục tiêu trên mạng switch: port mirroring, ARP cache poisoning và hubbing out.

Port Mirroring

Port mirroring hay còn gọi là port spanning có thể là cách đơn giản nhất để bắt các lưu lượng từ thiết bị mục tiêu trên mạng switch. Với cách này, bạn phải truy cập được giao diện dòng lệnh của switch mà máy mục tiêu cắm vào. Tất nhiên là switch này phải hỗ trợ tính năng port mirroring và có một port trống để bạn có thể cắm máy nghe vào. Khi ánh xạ cổng, bạn đã copy toàn bộ lưu lượng đi qua cổng này sang một cổng khác.

Hubbing Out

Một cách đơn giản khác để bắt các lưu lượng của thiết bị mục tiêu trong một mạng switch là hubbing out. Hubbing out là kỹ thuật mà trong đó bạn đặt thiết bị mục tiêu và máy nghe vào cùng một phân mạng bằng cách đặt chúng trực tiếp vào một hub.

Rất nhiều người nghĩ rằng hubbing out là lừa dối, nhưng nó thật sự là một giải pháp hoàn hảo trong các tình huống mà bạn không thể thực hiện port mirroring nhưng vẫn có khả năng truy cập vật lý tới switch mà thiết bị mục tiêu cắm vào.

Trong hầu hết các tình huống, hubbing out sẽ giảm tính năng song công của thiết bị mục tiêu (full to haft). Trong khi phương thức này không phải là cách sạch sẽ nhất để nghe, và nó thường được bạn sử dụng như là một lựa chọn khi mà switch không hỗ trợ port mirroring.

Khi hubbing out, chắc chắn rằng bạn sử dụng một cái hub chứ không phải là một switch bị gắn nhầm nhãn. Khi mà bạn sử dụng hub, hãy kiểm tra để chắc chắn rằng nó là một hub bằng cách cắm 2 máy tính vào nó và nhìn xem cái một máy có thể nhìn thấy lưu lượng của cái còn lại không.

ARP Cache Poisoning

Địa chỉ tầng 2 (địa chỉ MAC) được sử dụng chung với hệ thống hệ thống địa chỉ tầng 2. Tất cả các thiết bị trong một mạng liên lạc với nhau thông qua địa chỉ IP. Do switch làm việc tại tầng 2, vì vậy nó phải có khả năng phiên dịch địa chỉ tầng 2 (MAC) sang địa chỉ tầng 3 (IP) hoặc ngược lại để có thể chuyển tiếp gói tin tới thiết bị tương ứng. Quá trình phiên dịch được thực hiện thông qua một giao thức tầng 3 là ARP (Address Resolution Protocol). Khi một máy tính cần gửi dữ liệu cho một máy khác, nó gửi một yêu cầu ARP tới switch mà nó kết nối. Switch đó sẽ gửi một gói ARP broadcast tới tất cả các máy đang kết nối với nó để hỏi. Khi mà máy đích nhận được gói tin này, nó sẽ thông báo cho switch bằng cách gửi địa chỉ MAC của nó. Sau khi nhận được gói tin phản hồi, Switch định tuyến được kết nối tới máy đích. Thông tin nhận được được lưu trữ trong ARP cache của switch và switch sẽ không cần phải gửi một thông điệp ARP broadcast mới mỗi lần nó cần gửi dữ liệu tới máy nhận.

ARP cache poisoning là một kỹ thuật nâng cao trong việc nghe đường truyền trong một mạng switch. Nó được sử dụng phổ biến bởi hacker để gửi các gói tin địa chỉ sai tới máy nhận với mục tiêu để nghe trộm đường truyền hiện tại hoặc tấn công từ chối dịch vụ, nhưng ARP cache poisoning chỉ có thể phục vụ như là một cách hợp pháp để bắt các gói tin của máy mục tiêu trong mạng switch. ARP cache poisoning là quá trình gửi một thông điệp ARP với địa chỉ MAC giả mạo tới switch hoặc router nhằm mục đích nghe lưu lượng của thiết bị mục tiêu. Có thể sử dụng chương trinh Cain & Abel để thực hiện việc này (http://www.oxid.it).

4. Nghe trong mạng sử dụng Router

Tất cả các kỹ thuật nghe trong mạng switch đều có thể được sử dụng trong mạng router. Chỉ có một việc cần quan tâm khi mà thực hiện với mạng router là sự quan trọng của việc đặt máy nghe khi mà thực hiện xử lý một vấn đề liên quan đến nhiều phân mạng. Broadcast domain của một thiết bị được mở rộng cho đến khi nó gặp router. Khi đó, lưu lượng sẽ được chuyển giao sang dòng dữ liệu router tiếp theo và bạn sẽ mất liên lạc với các gói tin đó cho đến khi bạn nhận được một ACK của các máy nhận trả về. Trong tình hướng này, dữ liệu sẽ lưu chuyển qua nhiều router, vì vậy rất quan trọng để thực hiện phân tích tất cả lưu lượng trên các giao diện của router.

Ví dụ, liên quan đến vấn đề liên kết, bạn có thể gặp phải một mạng với một số phân mạng được kết nối với nhau thông qua các router. Trong mạng đó, một phân mạng liên kết với một phân mạng với mục đích lưu trữ và tham chiếu dữ liệu. Vấn đề mà chúng ta đang cố gắng giải quyết là phân mạng D không thể kết nối với các thiết bị trong phân mạng A.

Khi mà bạn nghe lưu lượng của một thiết bị trong phân mạng D. Khi đó, bạn có thể nhìn tháy rõ ràng lưu lượng truyền tới phân mạng A, nhưng không có biên nhận (ACK) nào được gửi lại. Khi bạn nghe luồng lưu lượng ở phân mạng cấp trên để tìm ra nguyên nhân vấn đề, bạn tìm ra rằng lưu lượng bị huỷ bởi router ở phân mạng B. Cuối cùng dẫn đến việc bạn kiểm tra cấu hình của router, nếu đúng, hãy giải quyết vấn đề đó của bạn. Đó là một ví dụ điển hình lý do vì sao cần nghe lưu lượng của nhiều thiết bị trên nhiều phân mạng với mục tiêu xác định chính xác vấn đề.

Network Maps

Để quyết định việc đặt máy nghe ở đâu, cách tốt nhất là bạn phải biết được một cách rõ ràng mạng mà bạn định phân tích. Nhiều khi việc xác định vấn đề đã chiếm nửa khối lượng công việc trong việc xử lý sự cố.

II. Giới thiệu WireShark

WireShark có một bề dầy lịch sử. Gerald Combs là người đầu tiên phát triển phần mềm này. Phiên bản đầu tiên được gọi là Ethereal được phát hành năm 1998. Tám năm sau kể từ khi phiên bản đầu tiên ra đời, Combs từ bỏ công việc hiện tại để theo đuổi một cơ hội nghề nghiệp khác. Thật không may, tại thời điểm đó, ông không thể đạt được thoả thuận với công ty đã thuê ông về việc bản quyền của thương hiệu Ethereal. Thay vào đó, Combs và phần còn lại của đội phát triển đã xây dựng một thương hiệu mới cho sản phẩm “Ethereal” vào năm 2006, dự án tên là WireShark.

WireShark đã phát triển mạnh mẽ và đến nay, nhóm phát triển cho đến nay đã lên tới 500 cộng tác viên. Sản phẩm đã tồn tại dưới cái tên Ethereal không được phát triển thêm.

Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay. Nó có thể đáp ứng nhu cầu của cả các nhà phân tích chuyên nghiệp và nghiệp dư và nó đưa ra nhiều tính năng để thu hút mỗi đối tượng khác nhau.

Các giao thực được hỗ trợ bởi WireShark:

WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từ những loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và Bit Torrent. Và cũng bởi Wireshark được phát triển trên mô hình mã nguồn mở, những giao thức mới sẽ được thêm vào. Và có thể nói rằng không có giao thức nào mà Wireshark không thể hỗ trợ.

• Thân thiện với người dùng: Giao diện của Wireshark là một trong những giao diện phần mềm phân tích gói dễ dùng nhất. Wireshark là ứng dụng đồ hoạ với hệ thống menu rât rõ ràng và được bố trí dễ hiểu. Không như một số sản phẩm sử dụng dòng lệnh phức tạp như TCPdump, giao diện đồ hoạ của Wireshark thật tuyệt vời cho những ai đã từng nghiên cứu thế giới của phân tích giao thức.

• Giá rẻ: Wireshark là một sản phẩm miễn phí GPL. Bạn có thể tải về và sử dụng Wireshark cho bất kỳ mục đích nào, kể cả với mục đích thương mại.

• Hỗ trợ: Cộng đồng của Wireshark là một trong những cộng đồng tốt và năng động nhất của các dự án mã nguồn mở.

• Hệ điều hành hỗ trợ Wireshark: Wireshark hỗ trợ hầu hết các loại hệ điều hành hiện nay.

Một số tính năng nâng cao của Wireshark

1. Name Resolution

Dữ liệu truyền trong mạng thông qua một vài hệ thống địa chỉ, các địa chỉ này thường dài và khó nhớ (Ví dụ: MAC). Phân giải điạch chỉ là quá trình mà một giao thức sử dụng để chuyển đổi một địa chỉ loại này thành một địa chỉ loại khác đơn giản hơn. Chúng ta có thể tiết kiệm thời gian bằng cách sử dụng một vài công cụ phân giải địa chỉ để file dữ liệu ta bắt được dễ đọc hơn. Ví dụ như là chúng ta có thể sử dụng phân giải tên DNS để giúp định danh tên của một máy tính mà ta đang có gắng xác định như là nguồn của các gói cụ thể.

Các kiểu công cụ phân giải tên trong Wireshark: có 3 loại

• MAC Name Resolution: phân giải địa chỉ MAC tầng 2 sang địa chỉ IP tầng 3. Nếu việc phân giải này lỗi, Wireshark sẽ chuyển 3 byte đầu tiên của địa chỉ MAC sang tên hãng sản xuất đã được IEEE đặc tả, ví dụ: Netgear_01:02:03.

• Network Name Resolution: chuyển đổi địa chỉ tầng 3 sang một tên DNS dễ đọc như là MarketingPC1.

• Transport Name Resolution: chuyển đổi một cổng sang một tên dịch vụ tương ứng với nó, ví dụ: cổng 80 là http.

2. Protocol Dissection

Một protocol dissector cho phép Wireshark phân chia một giao thức thành một số thành phần để phân tích. ICMP protocol dissector cho phép Wireshark phân chia dữ liệu bắt được và định dạng chúng như là một gói tin ICMP. Bạn có thể nghĩ rằng một dissector như là một bộ phiên dịch giữa dòng dữ liệu trên đường truyền và chương trình Wireshark. Với mục đích để hỗ trợ một giao thức nào đó, một dessector cho giao thức đó phải được tích hợp trong Wireshark. Wireshark sử dụng đồng thời vài dissector để phiên dịch mỗi gói tin. Nó quyết định dissector nào được sử dụng bằng cách sử dụng phân tích lôgic đã được cài đặt sẵn và thực hiện việc dự đoán. Thật không may là Wireshark không phải lúc nào cũng đúng trong việc lựa chọn dissector phù hợp cho một gói tin. Tuy nhiên, ta có thể thay đổi việc lựa chọn này trong từng trường hợp cụ thể.

3. Following TCP Streams

Một trong những tính năng hữu ích nhất của Wireshark là khả năng xem các dòng TCP như là ở tầng ứng dụng. Tính năng này cho phép bạn phối hợp tất cả các thông tin liên quan đến các gói tin và chỉ cho bạn dữ liệu mà các gói tin này hàm chứa giống như là người dùng cuối nhìn thấy trong ứng dụng. Còn hơn cả việc xem các dữ liệu đang được truyền giữa máy trạm và máy chủ trong một mớ hỗn độn, tính năng này sắp xếp dữ liệu để có thể xem một cách đơn giản. Bạn có thể sử dụng công cụ này để bắt và giải mã một phiên instant messages được gửi bởi một người làm thuê (người này đang bị nghi ngờ phát tán các thông tin tài chính của công ty).

4. Cửa sổ thống kê phân cấp giao thức

Khi bắt được một file có kích thước lớn, chúng ta cần biết được phân bố các giao thức trong file đó, bao nhiêu phần trăm là TCP, bao nhiêu phần trăm là IP và DHCP là bao nhiêu phần trăm,... Thay vì phải đếm từng gói tin để thu được kết quả, chúng ta có thể sử dụng cửa sổ thống kê phân cấp giao thức của Wireshark. Đây là cách tuyệt với để kiểm thử mạng của bạn. Ví dụ, nếu bạn biết rằng 10% lưu lượng mạng của bạn được sử dụng bởi các lưu lượng ARP, và một ngày nào đó, bạn thấy lưu lượng ARP lên tới 50%, bạn hoàn toàn có thể hiểu rằng đang có một cái gì đó không ổn xảy ra.

5. Xem các Endpoints

Một Endpoint là chỗ mà kết nối kết thúc trên một giao thức cụ thể. Ví dụ, có hai endpoint trong kết nối TCP/IP: các địa chỉ IP của các hệ thống gửi và nhận dữ liệu, 192.168.1.5 và 192.168.0.8. Một ví dụ ở tầng 2 có thể là kết nối giữa hai NIC vật lý và địa chỉ MAC của chúng. Các NIC gửi và nhận dữ liệu, các MAC đó tạo nên các endpoint trong kết nối.

Khi thực hiện phân tích gói tin, bạn có thể nhận ra rằng bạn đã khoanh vùng vấn đề chỉ còn là một enpoint cụ thể trong mạng. Hộp thoại Wireshark endpoints chỉ ra một vài thống kê hữu ích cho mỗi endpoint, bao gồm các địa chỉ của từng máy cũng như là số lượng các gói tin và dung lượng đã được truyền nhận của từng máy.

6. Cửa số đồ thị IO

Cách tốt nhất để hình dung hướng giải quyết là xem chúng dưới dạng hình ảnh. Cửa sổ đồ thị IO của Wireshark cho phép bạn vẽ đồ thị lưu lượng dữ liệu trên mạng. Bạn có thể sử dụng tính năng này để tìm kiếm các đột biến hoặc những thời điểm không có dữ liệu truyền của các giao thức cụ thể mà bạn đang quan tâm. Bạn có thể vẽ đồng thời 5 đường trên cùng một đồ thị cho từng giao thức mà bạn quan tâm bằng các màu khác nhau. Điều này giúp bạn dễ dàng hơn để thấy sự khác nhau của các đồ thị.

15

Phần 1 : Vấn đề bảo mật với VoIP
Phần 2 : Các mối đe dọa và sự tấn công trong VoIP (1)
Phần 3 : Các mối đe dọa và sự tấn công trong VoIP (2)
Phần 4 : Các mối đe dọa và sự tấn công trong VoIP (3)
Phần 5 : Các mối đe dọa và sự tấn công trong VoIP (4)

7.    Nghe trộm (Eavesdropping)
Đây là hình thức tấn công tỏ ra rất hiệu quả khi dữ liệu trên đường truyền không được mã hóa. Attacker có thể dựa vào các lỗi ARP, bắt gói tin tại các điểm trung gian như gateway, proxy,…

Việc nghe trộm có thể chia thành 3 loại:
■ Traffic analysis (link, network, và transport layers)
■ Signaling eavesdropping
■ Media eavesdropping
Một vài ví dụ với nghe trộm dùng công cụ Ethereal, Wireshark, Cain & Abel
Eavesdropping Using Ethereal/Wireshark
 
Eavesdropping Using Cain & Abel
Công cụ này chủ yếu khai thác dựa trên ARP poisoning để tấn công MITM, relay SIP hoặc lấy gói tin RTP.
 
Eavesdropping Using VLAN Hopping

Real-Time Eavesdropping by Manipulating MGCP
 

8.    Giả mạo (Masquerading)
Về nguyên lý phương pháp này rất đơn giản là giả mạo cái gọi là thực. Phương pháp này xuất phát từ chính đời sống xa hội và nó đã ra đời từ thời cổ đại.
Ví dụ kinh điển nhất chính là chiến tranh thành Troy. Sau này có sự ra đời của Trojan horse là lấy theo tên Trojan của chiến tranh Trojan.

Các kiểu tấn công giả mạo:
Caller ID Spoofing : giả mạo Caller ID
Presence Hijacking
 
Impersonating a Call Manager and Diverting All Calls

Listing of Masquerading Attacks in VoIP
9.    Gian lận (Fraud)
Ngày nay gian lân trực tuyến cũng như gian lận trong VoIP càng trở lên phổ biến. Việc gian lận dễ này ra ở các bộ phận chuyển giao của dịch vụ. Trong năm 2004 FBI cho biết tỷ lệ gian lận trực tuyến tăng 64% so với 2003, tổng thiệt hại là 68.14 triệu $. Vấn đề gian lận trong viễn thông đặc cũng được quan tâm một cách đăc biệt. Vì mạng viễn thông cơ bản tăng chưởng 10%/năm.Gian lận trong viễn thông năm 2003 khiến các nhà cung cấp dịch vụ thiệt hại đến 35-40 tỷ $. Do đó gian lận rất được quan tâm đến trong NGN và IMS trong đó có VoIP.
Một số kiểu gian lận trong VoIP
a.    Fraud Through Call-Flow Manipulation
b.    Phishing

c.    Fraud Management

Tài liệu tham khảo

[1]. Bùi Thế Duy,Truyền thông đa phương tiện (slide) , khoa CNTT, Đại học Công nghệ, Đại học Quốc Gia Hà Nội, 2006

[2]. Peter Thermos, Ari Takanen , Securing VoIP Networks: Threats, Vulnerabilities, and Countermeasures- Addison Wesley,2007

[3]. David Endler, Mark Collier, Hacking Exposed VoIP: Voice Over IP Security Secrets & Solutions, McGraw-Hill/Osborne © 2007, ISBN: 9780072263640

[4]. Theodore Wallingford, VoIP Hacks, O'Reilly, 2005, ISBN: 0-596-10133-3

[5]. Thomas Porter, Practical VoIP Security, Syngress, 2006 , ISBN: 1597490601

[6]. Jim Higdon,The Top 5 VoIP Security Threats of 2008, http://www.voip-news.com

Phần 1 : Vấn đề bảo mật với VoIP
Phần 2 : Các mối đe dọa và sự tấn công trong VoIP (1)
Phần 3 : Các mối đe dọa và sự tấn công trong VoIP (2)
Phần 4 : Các mối đe dọa và sự tấn công trong VoIP (3)
Phần 5 : Các mối đe dọa và sự tấn công trong VoIP (4)

5.    Tấn công kiểu quấy rối (Annoyance (SPIT))
Kiểu tấn công này nhằm đến người dùng làm giảm uy tín của nhà cung cấp dịch vụ. Việc tấn công này có thể là tự động bằng phần mềm hay bán tự động. Chẳng hạn tự động gọi đến một số nào đó vào một khoảng thời gian nhất định, có thể đi kèm nội dung xấu,…
Để tránh được việc tấn công này hệ thống cần có các biện pháp bảo vệ như blacklist,…

6.    Truy nhập trái phép (Unauthorized Access)
Đây là kiểu tấn công phổ biến không chỉ đối với hệ thống VoIP.Ba phương pháp tấn công để lấy thông tin phục vụ cho việc truy nhập trái phép:

■ Mạo danh (Impersonation)
■ Tấn công ở mức trung gian, chủ yếu là mạng (Man-in-the-middle attacks)
■ Total compromise

Đối với Impersonation: bao gồm ăn trộm mật khẩu, đoán mật khẩu,…

Đối với Man-in-the-middle attacks: người dùng thực sự không đăng nhập vào hệ thống nhưng khi họ đăng nhập vào hệ thống kẻ tấn công nghe trộm ở mức mạng LAN hay tương tự để lấy thông tin truy nhập hay session khi chưa bị timeout.

Đối với total compromise: attacker có toàn bộ quyền điều khiển và có thể cài các chương trình gián điệp, virus hay sâu,… vào hệ thống.
 
Hình 7. Các vị trí có thể xảy ra truy nhập trái phép
Một số điểm có thể để lộ thông tin truy nhập:
■ Cấu hình mặc định các phần mềm (Ví dụ không xóa tài khoản mặc định, không xóa các phần không cần thiết,…)
■ Để mật khẩu mặc định
■ Không phân quyền truy cập cho các phần có chức năng khác nhau
■ Lỗi xâm nhập qua các dịch vụ: TFTP, FTP, Telnet, RPC
■ Các lỗi với quyền của file và thư mục: để quyền thực thi, để quyền ghi,… đối với những file, thư mục không cần thiết
Để chống lại xâm nhập trái phép các phần sau cần được thiết kế và triển khai cẩn thận :
-    Application controls
-    Network controls
-    Management
-    Billing
-    Provisioning

Một vài ví dụ về tấn công kiểu này:
SIP Authentication Dictionary Attack
 
Hình 8. Dò mật khẩu bằng tấn công từ điển

Exploiting a Software Vulnerability

(còn nữa)

Phần 1 : Vấn đề bảo mật với VoIP
Phần 2 : Các mối đe dọa và sự tấn công trong VoIP (1)
Phần 3 : Các mối đe dọa và sự tấn công trong VoIP (2)
Phần 4 : Các mối đe dọa và sự tấn công trong VoIP (3)
Phần 5 : Các mối đe dọa và sự tấn công trong VoIP (4)

4.    Tấn công từ chối dịch vụ
Tấn công DoS là kiểu tấn công gửi yêu cầu liên tục với số lượng lớn đến dịch vụ cần tấn công, có thể là dựa vào lỗi của mục tiêu. Tùy theo nguồn của các tấn công mà chia thành DoS thông thường và DDoS. Mục đích là làm cho mục tiêu bị ngưng trệ không có khả năng đáp ứng dịch vụ được gửi tới. Mức độ nặng có thể khiến hệ thống bị hỏng, cơ sở dữ liệu bị phá vỡ,…

Đối với hệ thống VoIP các mục tiêu có khả năng bị tấn công DoS là :
■ Content/protocol layer—SDP, encoded voice, encoded video
■ Application—H.323, SIP, RTP, RTCP, Radius, Diameter, HTTP,
SNMP
■ Application-level encryption—TLS/SSL
■ Transport—TCP, SCTP, UDP
■ Network-level encryption—IPSec
■ Network—IPv4, IPv6
■ Link—PPP, AAL3/4, AAL5
■ Physical—SONET, V.34, ATM, Ethernet

Bảng dưới đây cung cấp đầy đủ thông tin về khả năng bị tấn công của các thành phần đó.
 
       
Các mục tiêu tiềm năng liên quan đến giao thức SIP:
■ Tấn công ở mức thấp sử dụng các giao thức IPv4, UDP, TCP
■ Tấn công vào  TLS hoặc IPSec
■ Tấn công vào SIP sessions
■ Tấn công vào RTP streams

Một số phương pháp tấn công từ chối dịch vụ với VoIP

a.    Malformed Packet Denial of Service
Phương pháp này còn gọi là fuzzing, quá trình tấn công sinh ra các gói tin xấu (malformed packets) một cách ngẫu nhiên. Một trong các công cụ tấn công kiểu này là PROTOS được phát triển từ năm 2002 do trường University of Oulu khởi sướng.

Hình ảnh dưới đây là hình ảnh thử nghiệm tấn công bằng PROTOS năm 2006.
 
Hình 4. Thử nghiệm fuzzing bằng PROTOS với Ekiga
b.    SIP Flooding Attack
Kiểu này tấn công theo kiểu flooding (làm lụt), mục tiêu là giao thức SIP.
 

Hình 5. Kiểm tra lỗi SIP Fooding

c.    SIP Signaling Loop Attack
Tấn công dựa vào lỗi vòng lặp, tạo nên những vòng lặp vô hạn làm lấp đầy đường truyền.
 
Hình 6. Mô hình SIP Signaling Loop Attack

(còn nữa)

Phần 1 : Vấn đề bảo mật với VoIP
Phần 2 : Các mối đe dọa và sự tấn công trong VoIP (1)
Phần 3 : Các mối đe dọa và sự tấn công trong VoIP (2)
Phần 4 : Các mối đe dọa và sự tấn công trong VoIP (3)
Phần 5 : Các mối đe dọa và sự tấn công trong VoIP (4)

1.    Các mối đe dọa trong VoIP
Tháng 8/2006, S. Niccolini đã gửi một bản thảo lên IETF trình bày các mối đe dọa đối với VoIP. Nội dung được nêu trong IETF “VoIP Security Threats”. Phiên bản đầu tiên đền cập đến các vấn đề sau:
•    Interception and modification threats
•    Interruption-of-service threats
•    Abuse-of-service threats
•    Social threats
 
Có nhiều cách phân loại khác nhau, IETF phân loại ra một số loại cơ bản như sau:

■ Gây gián đoạn và quấy rối dịch vụ—Kẻ tấn công (attacker) cố gắng phá dịch vụ VoIP bao gồm ở các mức : hệ thống quản trị, hệ thống dự phòng, hệ thống truy nhập và điều khiển.Việc tấn công vào từ các thành phần mạng gồm có routers, máy chủ DNS, SIP proxies, các phần điều phối phiên (secssion).
Phương thức tấn công có thể từ xa, không nhất thiết phải truy nhập trực tiếp, thông qua việc lợi dụng các lỗ hổng của giao thức dùng trong VoIP, lỗi của hệ thống. Một hình thức quấy rối gọi là SPIT (spam through Internet telephony – tạm dịch là gọi điện quấy rối qua Internet).
■ Nghe trộm và phân tích dữ liệu trên đường truyền— Kẻ tấn công (attacker)  sẽ tìm cách thu thập các thông tin nhạy cảm để chuẩn bị cho các tấn công ở mức độ sâu hơn. Trong VoIP (hoặc trong các ứng dụng đa phương tiện trên Internet), attacker có khả năng giám sát các dòng tín hiệu hoặc dữ liệu không được mã hóa, không được bảo vệ trao đổi giữa các người dùng. Phương thức này là lắng nghe, lưu trữ, phân tích các gói tin hay giả mã thời gian thực trên đường truyền có thể là chủ động hoặc có thể là bị động. Mục đích của các Attacker là các thông tin nhạy cảm như thông tin thẻ tín dụng, các thông tin mật khẩu khác,…
■ Giả mạo và đánh lừa—Kẻ tấn công có thể giả người sử dụng, thiết bị hoặc thậm trí là dịch vụ để xâm nhập vào hệ thống mạng, dịch vụ, các thành phần trong hệ thống hay lấy cắp thông tin. Kẻ tấn công giả mạo thường sử dụng các thông tin giả mạo, truy nhập trái phép thậm trí là gây ra lỗi và xâm nhập khi hệ thống bị gián đoạn. Mục tiêu của tấn công giả mạo là người dùng, thiết bị, các thành phần mạng. Một ví dụ đơn giản là tấn công ARP như DNS poisoning, trỏ địa chỉ mục tiêu sang địa chỉ khác mà hacker đã định trước. Người dùng hoàn toàn không hề biết mình đang truy nhập vào hệ thống khác.
■ Truy nhập trái phép— Là khả năng xâm nhập vào dịch vụ, hệ thống chức năng, thành phần mạng một cách không chính thống. Attacker có thể xâm nhập thông qua các lỗ hổng như tràn bộ đệm, cấu hình mặc định, mức bảo vệ kém có thể bẻ gãy.Ví dụ attacker lợi dụng lỗ hổng vào SIP proxy sau đó chèn các đoạn tín hiệu vào các dòng dữ liệu rồi lại chuyển tiếp làm thay đổi thông tin ban đầu.
■ Gian lận—Khả năng này xảy ra khi kẻ tấn công đã có một quyền gì đó trong hệ thống có thể là do các tấn công khác mang lại. Sau đó attacker có thể lợi dụng quyền hạn có được vào mục đích cá nhân như ăn trộm cước, ăn trộm dịch vụ… Đây là một vấn đề rất được quan tâm đối với các nhà cung câp dịch vụ các nhà phân phối.

2.    Sự gián đoạn của dịch vụ (Service Disruption)
Việc tấn công làm gián đoạn dịch vụ có thể là do tấn công từ chối dịch vụ DoS. Trong tấn công DoS có hai loại chính là DoS thông thường và DDoS – DoS phân tán, khi bị tấn công này thì rất ít hệ thống có khả năng chống đỡ được. Hình dưới đây cho thấy các dịch vụ trong VoIP có thể bị gián đoạn khi bị tấn công DoS.
 
Hình 2. Các điểm có thể bị ảnh hưởng khi bị tấn công DoS
Tấn công DoS có thể thực hiện vào bất cứ thành phần nào của hệ thống.
 
Hình 3. Các mục tiêu tấn công của DoS
Các mục tiêu dễ tấn công và đem lại xác suất thành công cao khi tấn công DoS là tấn công vào các thành phần của hệ thống, bao gồm:
■ Các thành phần mạng:
-    Thiết bị đầu cuối
-    Lõi của mạng như signaling gateway,…
-    Các thiết bị truyền dẫn :  routers,…
■ Các thành phần của ứng dụng và dịch vụ
-    Signaling
-    Media
■ Hệ điều hành
-    Management
-    Billing
-    Fraud
-    Security
-    Provisioning

Chiến lược phòng thủ theo chiều sâu “defense in depth” đòi hỏi VoIP phải được thiết kế và bảo trì các vấn đề an ninh từ mức máy chủ cho đến các thiết bị đầu cuối.

3.    Các tấn công liên quan đến dịch vụ điện thoại
Để đảm bảo thông suốt trong hệ thống VoIP thì các hệ thống điện thoại kết nối vào phải hoạt động một cách thông suốt. Đây cũng có thể là mục tiêu của attacker. Các dịch vụ liên quan đến dịch vụ này gồm có :
-    Voicemail
-    caller ID
-    international calling
-    telephone number
-    call waiting
-    call transfer
-    location
-    confidentiality of signaling hoặc media streams
-    lawful intercept
-    emergency services
Ví dụ với :
■ Voicemail— Tấn công một cách đơn giản có thể là đoán mật khẩu hay brutefore nếu mật khẩu không đủ mạnh. Một số hành động của attacker là xóa tin nhắn, thay đổi thông tin cá nhân, chuyển cuộc gọi đến một số khác,…

■ Caller ID— Các tấn công phổ biến là dùng spoofing ID nhằm lấy các thông tin cá nhân.

■ Follow-me service— Attacker sử dụng phương pháp hijack để chen ngang vào cuộc gọi.

(còn nữa)

Phần 1 : Vấn đề bảo mật với VoIP
Phần 2 : Các mối đe dọa và sự tấn công trong VoIP (1)
Phần 3 : Các mối đe dọa và sự tấn công trong VoIP (2)
Phần 4 : Các mối đe dọa và sự tấn công trong VoIP (3)
Phần 5 : Các mối đe dọa và sự tấn công trong VoIP (4)
Tóm tắt :
1.    Các mối đe dọa trong VoIP
2.    Sự gián đoạn của dịch vụ (Service Disruption)
3.    Các tấn công liên quan đến dịch vụ điện thoại
4.    Tấn công từ chối dịch vụ (DoS)
5.    Quấy rối (Annoyance SPIT)
6.    Truy nhập trái phép (Unauthorized Access)
7.    Nghe trộm (Eavesdropping)
8.    Giả mạo (Masquerading)
9.    Gian lận (Fraud)


Việc kết nối giữa điện thoại truyền thống PSTN (Public Switch Telephone Network) với mạng IP (Internet Protocol) được coi như là nói đến mạng thế hệ mới NGN (Next Generation Network). Cũng như việc kết nối giữa mạng Internet và mạng không dây là nói đến IMS (IP Multimedia Subsystem). Cả hai kiến trúc này đều giữ vai trò quan trọng trong việc phát triển từ thông tin liên lạc truyền thống nên thông tin liên lạc đa phương tiện. Thuật ngữ triple play là một dịch vụ bao gồm truyền tiếng nói, hình ảnh và dữ liệu đến người dùng hay thuật ngữ quad play là dịch vụ bao gồm truyền tiếng nói, hình ảnh và dữ liệu và truyền thông di dộng.
Dịch vụ VoIP là một dịch vụ chạy trên cả hai mạng dịch vụ NGN và IMS. VoIP là dịch vụ thời gian thực bao gồm đàm thoại, video và trò chơi. Với yêu cầu thời gian thực và tầm quan trọng của dữ liệu nên việc triển khai VoIP đòi hỏi phải có độ an toàn cao. Vấn đề bảo mật với VoIP là khá phức tạp, cần sự phối hợp chặt chẽ của nhiều chuyên gia thuộc nhiều lĩnh vực mới có thể đem lại hiệu quả, bao gồm các chuyên giao về bảo mật mạng, các kỹ sư, các nhà quản lý, các hãng cung cấp sản phẩm.
Trong khuôn khổ các bài viết tôi đăng tại đây,tôi giới thiệu lại về VoIP và nêu ra các phương thức, khả năng bị tấn công đối với VoIP ở các bài viết tiếp theo, việc giải quyết các vấn đề này tôi sẽ đề cập ở một bài viết có phạm vi lớn hơn.

1.    VoIP là gì?
Dịch vụ điện thoại IP là dịch vụ ứng dụng cao cấp cho phép truyền tải các cuộc đàm thoại sử dụng hạ tầng mạng IP. Nguyên tắc VoIP gồm việc số hoá tín hiệu giọng nói, nén tín hiệu đã số hoá, chia tín hiệu thành các gói và truyền những gói số liệu này trên nền IP. Đến nơi nhận, các gói số liệu được ghép lại, giải mã ra tín hiệu analog để phục hồi âm thanh.
Trong dịch vụ điện thoại IP có thể có sự tham gia của 3 loại đối tượng cung cấp dịch vụ như sau:
-    Nhà cung cấp Internet ISP
-    Nhà cung cấp dịch vụ điện thoại Internet ITSP
- &nbs