Với sự phát triển không ngừng của công nghệ 4.0, môi trường Internet ngày càng khẳng định vị trí của mình. Tuy nhiên, cùng với đó, các nguy cơ trên mạng cũng ngày càng tăng nhất là trong thời kì dịch bệnh diễn biến phức tạp, hệ thống làm việc và học tập trực tuyến đang được triển khai rộng rãi. Các cuộc tấn công mạng đang diễn ra từng ngày, từng giờ với số vụ và phương thức tấn công gia tăng với tốc độ đáng kinh ngạc, chỉ với một số kỹ thuật tấn công mạng, tin tặc có thể thâm nhập và đánh cắp dữ liệu quan trọng của công ty. Chính vì vậy, việc nghiên cứu biện pháp ứng phó trước, trong và sau sự cố là đặc biệt quan trọng. Trong phạm vi đề tài này, chúng ta cùng tìm hiểu về các biện pháp điều tra, phân tích tấn công lên ứng dụng web để có thể giảm thiểu đến mức thấp nhất những thiệt hại mà tin tặc để lại cũng như có các biện pháp ứng phó phù hợp trong tương lai.
TỔNG QUAN VỀ ĐIỀU TRA MẠNG VÀ THU THẬP CHỨNG CỨ
Khái niệm điều tra mạng
1.1.1 Khái niệm điều tra số Điều tra số (đôi khi còn gọi là Khoa học điều tra số) là một nhánh của ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong các thiết bị kỹ thuật số, thường có liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu được sử dụng tương đương với điều tra máy tính nhưng sau đó được mở rộng để bao quát toàn bộ việc điều tra của tất cả các thiết bị có khả năng lưu trữ dữ liệu số Điều tra số có thể được định nghĩa là việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống Điều tra số gồm 3 giai đoạn: thu thập thông tin, phân tích, báo cáo
1.1.2 Phân loại điều tra số Điều tra số là một lĩnh vực liên quan đến việc phục hồi và điều tra các chứng cứ số được tìm thấy trong các thiết bị kỹ thuật số, được phân chia thành 3 loại là: điều tra máy tính, điều tra mạng và điều tra thiết bị di động Trong đó, điều tra mạng (Network Forensics) tập trung vào việc chặn bắt, sao lưu và phân tích lưu lượng mạng nhằm phục vụ điều tra trong công tác phòng chống tội phạm mạng
Điều tra mạng khác với các loại hình điều tra số khác ở chỗ nó xử lý thông tin dễ thay đổi và khó dự đoán Lưu lượng mạng có thể bị mất sau khi được truyền đi, do đó quá trình điều tra cần phải linh hoạt và chủ động Các điều tra viên phải dựa vào thông tin từ các thiết bị an toàn như bộ lọc gói và tường lửa để thực hiện nhiệm vụ của mình.
Hệ thống phát hiện xâm nhập đã được triển khai để dự đoán hành vi vi phạm, sử dụng các kỹ năng và kỹ thuật cần thiết cho việc điều tra mạng phức tạp Các thông tin được khai thác từ bộ nhớ đệm của web, proxy, cũng như việc chặn bắt thụ động lưu lượng truy cập mạng giúp xác định các hành vi bất thường.
1.1.4 Các tấn công lên mạng máy tính
Mặc dù công nghệ đã có những tiến bộ vượt bậc, nhưng các cuộc tấn công mạng ngày càng trở nên phổ biến và hậu quả của chúng ngày càng nghiêm trọng Tấn công mạng là hành vi xâm nhập trái phép vào hệ thống máy tính, website, cơ sở dữ liệu, hạ tầng mạng, hoặc thiết bị cá nhân và tổ chức thông qua internet với mục đích bất hợp pháp.
Tấn công bằng mã độc
Tấn công malware là một trong những hình thức tấn công phổ biến nhất, bao gồm các loại như spyware, ransomware, virus và worm Tin tặc thường lợi dụng các lỗ hổng bảo mật hoặc dụ dỗ người dùng nhấp vào các liên kết hoặc email lừa đảo (phishing) để cài đặt phần mềm độc hại Khi malware được cài đặt thành công, nó có thể gây ra nhiều hậu quả nghiêm trọng.
Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng
Cài đặt thêm những phần mềm độc hại khác
Lén lút theo dõi người dùng và đánh cắp dữ liệu (spyware)
Làm hư hại phần mềm, phần cứng, làm gián đoạn hệ thống
Phishing là một hình thức giả mạo nhằm chiếm đoạt lòng tin của người dùng, thường thông qua email Mục tiêu chính của các cuộc tấn công phishing là đánh cắp thông tin nhạy cảm như thẻ tín dụng và mật khẩu Đôi khi, phishing còn được sử dụng như một phương tiện để lừa người dùng cài đặt phần mềm độc hại (malware) vào thiết bị của họ, trở thành một phần trong cuộc tấn công malware.
Tấn công trung gian (MitM) là hình thức tấn công nghe lén, diễn ra khi kẻ tấn công xâm nhập vào giao tiếp giữa hai bên Khi đã thành công trong việc chen vào, kẻ tấn công có khả năng đánh cắp dữ liệu quan trọng từ giao dịch đó.
Loại tấn công này xảy ra khi:
Khi nạn nhân kết nối vào một mạng Wifi công cộng không an toàn, kẻ tấn công có khả năng "chen vào giữa" thiết bị của nạn nhân và mạng Wifi Điều này dẫn đến việc thông tin mà nạn nhân gửi đi có thể bị rơi vào tay kẻ tấn công.
Khi phần mềm độc hại được cài đặt thành công trên thiết bị, kẻ tấn công có khả năng dễ dàng truy cập và thay đổi dữ liệu của nạn nhân.
DoS (Denial of Service) là một hình thức tấn công mạng, trong đó tin tặc làm tê liệt tạm thời hệ thống, máy chủ hoặc mạng nội bộ bằng cách tạo ra một lượng lớn traffic hoặc yêu cầu đồng thời Hệ quả là hệ thống bị quá tải, khiến người dùng không thể truy cập vào dịch vụ trong thời gian diễn ra cuộc tấn công DoS.
DDoS (Distributed Denial of Service) là một biến thể của tấn công DoS, trong đó tin tặc sử dụng mạng lưới máy tính (botnet) để tấn công nạn nhân Một điểm đáng lo ngại là các máy tính trong botnet thường không nhận thức được rằng chúng đang bị lợi dụng để thực hiện các cuộc tấn công.
Lỗ hổng Zero-day (0-day vulnerabilities) là những lỗ hổng bảo mật chưa được công bố và chưa được các nhà cung cấp phần mềm phát hiện, do đó không có bản vá chính thức Việc khai thác những lỗ hổng này rất nguy hiểm và khó lường, có thể gây ra hậu quả nghiêm trọng cho người dùng và cả cho nhà phát hành sản phẩm.
Chiến thuật phòng chống Đối với cá nhân:
Sử dụng mật khẩu mạnh
Hạn chế truy cập các điểm wifi công cộng
Không sử dụng các phần mềm crack
Cập nhật phần mềm, hệ điều hành mới nhất
Cẩn thận khi duyệt mail để tránh bị đánh lừa
Sử dụng phần mềm diệt virus
Không click vào các đường link không rõ nguồn gốc Đối với tổ chức, doanh nghiệp:
Xây dựng chính sách bảo mật có các điều khoản rõ ràng
Lựa chọn phần mềm, đối tác một cách kỹ càng Ưu tiên những bên có cam kết bảo mật và cam kết cập nhật thường xuyên
Không sử dụng các phần mềm crack
Sử dụng dịch vụ đám mây uy tín
Đánh giá bảo mật và xây dựng chiến lược an ninh tổng thể cho tổ chức
Tổng quan về ứng dụng web
1.2.1 Khái niệm Ứng dụng web là một ứng dụng khách chủ sử dụng giao thức HTTP để tương tác với người dùng hay hệ thống khác
Trình khách thường là các trình duyệt web như Internet Explorer, Firefox hoặc Google Chrome, cho phép người dùng gửi và nhận thông tin từ máy chủ thông qua việc tương tác với các trang web Các ứng dụng này có thể bao gồm các trang giao dịch mua bán, diễn đàn và dịch vụ gửi nhận email.
Tốc độ phát triển kỹ thuật xây dựng ứng dụng Web ngày càng nhanh chóng Trước đây, các ứng dụng Web chủ yếu sử dụng CGI (Common Gateway Interface) trên các trình chủ Web, kết nối với cơ sở dữ liệu đơn giản trên cùng một máy chủ Hiện nay, ứng dụng Web được phát triển bằng Java và các ngôn ngữ tương tự, hoạt động trên máy chủ phân tán và kết nối với nhiều nguồn dữ liệu khác nhau.
Một ứng dụng web gồm các thành phần:
Hình 1.2.1 Cấu trúc ứng dụng web
- Máy khách sử dụng trình duyệt: IE, Firefox, …
1.2.3 Hoạt động Đầu tiên trình duyệt sẽ gửi một yêu cầu (request) đến trình chủ Web thông qua các phương thức cơ bản GET, POST, của giao thức HTTP Trình chủ lúc này có thể cho thực thi một chương trình được xây dựng từ nhiều ngôn ngữ như Perl, C/C++, hoặc trình chủ yêu cầu bộ diễn dịch thực thi các trang ASP, PHP, JSP, theo yêu cầu của trình khách
Tùy thuộc vào các tác vụ của chương trình đã cài đặt, nó thực hiện các phép xử lý, tính toán và kết nối đến cơ sở dữ liệu, lưu trữ thông tin từ trình khách và trả về cho trình khách một luồng dữ liệu theo định dạng giao thức HTTP, bao gồm hai phần.
- Header mô tả các thông tin về gói dữ liệu và các thuộc tính, trạng thái trao đổi giữa trình duyệt và máy chủ
Body là phần nội dung dữ liệu mà máy chủ gửi đến máy trạm, bao gồm các loại tệp như HTML, hình ảnh, video hoặc văn bản.
1.2.4 Các tấn công lên ứng dụng Web
Website là nguồn thông tin nhanh chóng và hiệu quả, do đó thường xuyên trở thành mục tiêu của tin tặc Một trong những phương thức tấn công phổ biến nhất là khai thác lỗ hổng bảo mật trong ứng dụng web Dưới đây là một số cách thức tấn công thường được áp dụng.
Bruteforce là phương pháp thử nghiệm tất cả các khả năng để đoán thông tin cá nhân như tài khoản, mật khẩu và số thẻ tín dụng Nhiều hệ thống sử dụng mật khẩu hoặc thuật toán mã hóa yếu, tạo điều kiện cho tin tặc áp dụng phương pháp tấn công này Khi thành công, chúng có thể đăng nhập và truy cập vào tài nguyên hệ thống Để bảo vệ, cần áp dụng các biện pháp an ninh mạnh mẽ hơn.
Để tăng cường độ mạnh cho mật khẩu, cần đảm bảo mật khẩu có độ dài tối thiểu 6 ký tự, không chứa chuỗi username, và phải có ít nhất 1 ký tự số cùng 1 ký tự đặc biệt Hơn nữa, không cho phép sử dụng lại mật khẩu đã thay đổi trước đó và cần quản lý, điều khiển thông báo lỗi một cách hiệu quả.
Sử dụng cơ chế chứng thực (Basic hoặc Digest Authentication)
Hạn chế số lần đăng nhập hoặc khóa tài khoản đăng nhập sai
Sử dụng module Mod_Dosevasive để xác định dấu hiệu của kiểu tấn công này
Tấn công xác thực yếu
Lỗi xác thực yếu xảy ra khi website cho phép truy cập vào các tài nguyên nhạy cảm mà không yêu cầu quyền truy cập đầy đủ Các trang quản trị viên là ví dụ điển hình cho vấn đề này Nếu không có cơ chế kiểm soát truy cập hợp lý, tin tặc có thể dễ dàng vượt qua và chiếm quyền truy cập vào những trang này.
Tân công cơ chế quản lý phiên
Khi một tài khoản xác thực với server, server sẽ tạo ra một sessionID duy nhất để duy trì kết nối Nếu sessionID bị đoán ra, phiên đăng nhập có thể bị chiếm đoạt Do đó, việc bảo vệ sessionID là rất quan trọng để đảm bảo an toàn cho tài khoản người dùng.
Sử dụng SSL trong quá trình truyền thông
Sử dụng cơ chế tạo sessionID ngẫu nhiên
Đặt giới hạn thời gian tồn tại cho sessionID
XSS là một trong những kỹ thuật tấn công phổ biến nhất hiện nay và là vấn đề bảo mật quan trọng cho các nhà phát triển và người dùng web Bất kỳ website nào cho phép người dùng đăng thông tin mà không kiểm tra chặt chẽ mã độc đều có thể gặp phải lỗi XSS Tin tặc thường tấn công bằng cách chèn mã độc vào các website động như ASP, PHP, CGI.
JSP có thể chứa các thẻ HTML hoặc đoạn mã script nguy hiểm, gây hại cho người dùng khác Những đoạn mã này thường được chèn vào bằng các ngôn ngữ lập trình phía client như JavaScript và JScript.
DHTML và cũng có thể là cả các thẻ HTML Ví dụ: Sử dụng XSS chèn mã java script trực tiếp trên URL Biện pháp đối phó:
Lọc dữ liệu, chỉ cho phép các dữ liệu hợp lệ
Sử dụng Mod_Security để lọc một số dữ liệu tấn công XSS
Tấn công SQL Injection được thực thi bằng cách chèn các câu truy vấn
SQL là ngôn ngữ dùng để tương tác giữa máy khách và ứng dụng Khi khai thác lỗi SQL Injection thành công, tin tặc có thể truy cập dữ liệu nhạy cảm trong cơ sở dữ liệu, thực hiện các thao tác như chèn, cập nhật hoặc xóa dữ liệu, và thậm chí thực thi các hành động với quyền quản trị Điều này cho phép họ kiểm soát hệ điều hành của máy chủ.
SELECT * FROM Users WHERE Username=’$username’ AND
Câu truy vấn này thường được sử dụng trong các ứng dụng để xác thực người dùng Nếu truy vấn trả về giá trị xác nhận thông tin người dùng đang đăng nhập đúng và có trong cơ sở dữ liệu, người dùng sẽ được phép đăng nhập vào hệ thống; ngược lại, họ sẽ không thể đăng nhập.
Người dùng thường điền thông tin vào các trường được gọi là web form Thay vì nhập đúng tên đăng nhập và mật khẩu, họ có thể thử nghiệm bằng cách sử dụng các ký tự đặc biệt.
Khi đó câu truy vấn sẽ là:
SELECT * FROM Users WHERE Username=’1′ OR ‘1’ = ‘1’ AND
Giả sử rằng giá trị của các tham số được gửi tới máy chủ bằng phương thức GET, thì có một câu lệnh khai thác lỗi như sau:
KỸ THUẬT ĐIỀU TRA, PHÂN TÍCH TẤN CÔNG WEB
Kỹ thuật điều tra, phân tích phía người dùng
2.1.1 Điều tra, phân tích người dùng
Người dùng ứng dụng web bao gồm khách hàng, người dùng mạng máy tính, quản trị viên và cả các kẻ tấn công, tất cả đều có nhu cầu kết nối với trang web để thực hiện các hành động theo mong muốn của mình.
Việc điều tra và phân tích người dùng là cần thiết để xác định họ là nạn nhân hay kẻ tấn công, đặc biệt trong bối cảnh các phương pháp tấn công client-side như XSS và Phishing Nếu không có chứng cứ số hoặc không thể tiếp cận thiết bị truy cập của người dùng, việc điều tra trở nên khó khăn, ảnh hưởng đến những người dùng hợp lệ và nạn nhân của các cuộc tấn công Để xác định một người có phải là kẻ tấn công hay không, ngoài chứng cứ từ Server-side, cần có thêm bằng chứng trực tiếp từ thiết bị của người dùng để đưa ra quyết định chính xác về hành vi vi phạm.
Phân tích dữ liệu trên hệ điều hành
Phân tích dữ liệu trên trình duyệt
Nội dung chuyên đề sẽ phân tích kỹ hơn về kỹ thuật phân tích dữ liệu trên trình duyệt
2.1.2 Phân tích dữ liệu trên trình duyệt
Trình duyệt web là công cụ để thực hiện các hoạt động khác nhau trên
Người dùng Internet sử dụng trình duyệt để thực hiện nhiều chức năng quan trọng, bao gồm tìm kiếm thông tin, truy cập tài khoản email và thực hiện giao dịch thương mại điện tử.
Trình duyệt ghi lại nhiều dữ liệu quan trọng về hoạt động của người dùng, bao gồm các URL đã truy cập, cookie, tệp bộ nhớ cache, cũng như thời gian truy cập và thời gian sử dụng trình duyệt.
Kiểm tra các bằng chứng trong quá trình "Browser forensic" là rất quan trọng, vì các trình duyệt lưu trữ các tập tin cần thiết ở nhiều vị trí khác nhau trên hệ điều hành Với sự đa dạng của các trình duyệt, dữ liệu và địa điểm lưu trữ cũng sẽ khác nhau Dưới đây là bảng tổng hợp các bản ghi Cache và các bản ghi liên quan.
Lịch sử, Cookie registry và các tập tin đã tải xuống ở các trình duyệt nổi tiếng, để dễ dàng hơn trong quá trình truy vết và điều tra
Hình 2.1.1 Tổng hợp bản ghi của một số trình duyệt nổi tiếng
Internet Explorer là trình duyệt web phổ biến cho người dùng máy tính, nơi mà các hoạt động trực tuyến được lưu trữ riêng biệt cho từng người dùng, tương ứng với địa chỉ thư điện tử của họ.
Các trình duyệt web lưu trữ dữ liệu người dùng thông qua nhiều phương thức khác nhau, bao gồm Cookie, Cache, lịch sử duyệt web và lịch sử tải xuống Dữ liệu này có thể được lưu trong các tệp cơ sở dữ liệu như index.dat hay container.dat dưới dạng nhị phân Trình duyệt Safari lưu trữ thông tin trong tệp history.plist, bao gồm địa chỉ URLs, ngày tháng truy cập và lượng truy cập của từng website Firefox sử dụng định dạng SQLite với tệp places.sqlite để lưu trữ thông tin Opera lưu trữ dữ liệu trong các tệp dat như cookies4.dat, download.dat và global_history.dat Google Chrome cho phép người dùng tùy chọn cách lưu trữ dữ liệu trong tệp tùy chọn.
Dưới đây là bảng cung cấp địa chỉ, nơi dùng để xóa các bản ghi của từng loại trình duyệt
Hình 2.1.2 Địa chỉ xóa bản ghi dữ liệu của trình duyệt
Kỹ thuật điều tra, phân tích phía máy chủ
Hiện nay, nhiều thiết bị và công cụ hỗ trợ điều tra và phân tích tấn công đã được phát triển, bao gồm các hệ thống như IDS/IPS, honey pot và honey net, giúp việc phát hiện và xử lý các mối đe dọa trở nên dễ dàng hơn.
Bài viết này trình bày hai phương pháp chính để hỗ trợ điều tra và phân tích các cuộc tấn công web trên máy chủ Linux Apache Những phương pháp này được áp dụng trong trường hợp máy chủ không có hệ thống phát hiện xâm nhập hoặc phân tích dữ liệu hiện đại, chủ yếu dựa vào các công cụ mã nguồn mở miễn phí.
Hai phương pháp chính: Phân tích luồng dữ liệu và phân tích tập tin nhật ký
Phương pháp Điểm mạnh Điểm yếu
Phân tích luồng dữ liệu
Có thể phân tích tất cả các thông tin
Dữ liệu cần phải được chặn bắt
Dữ liệu thường cần được lắp ráp, chống phân mảnh và chuẩn hóa, như các gói tin IP và các đoạn IP Việc chặn bắt và giải mã dữ liệu trên đường truyền mã hóa, đặc biệt trong điều kiện tải lưu lượng cao, là rất khó khăn.
Phân tích tập tin nhật ký
Dữ liệu có sẵn trong các tập tin
Các tập tin nhật ký thường chỉ chứa một phần nhỏ của toàn bộ dữ liệu (ví dụ: thiếu các tham số trong gói POST HTTP)
2.2.1 Phân tích luồng dữ liệu
Luồng dữ liệu (RFC3679) là một chuỗi gói tin được gửi từ một nguồn nhất định đến một hoặc nhiều đích, trong đó nguồn xác định và gán nhãn cho chuỗi gói tin đó như một luồng riêng biệt.
Một số dấu hiệu cần chú ý:
Địa chỉ IP nguồn, đích
Giao thức và cờ hiệu
Khối lượng dữ liệu được truyền
Quan hệ giữa các địa chỉ IP:
One to many: Spam, Scan port trên 1 dải mạng,
Many to one: DDOS attack, máy chủ syslog,
Many to many: Đồng bộ dữ liệu, phát tán virus,
One to one: Tấn công có mục tiêu, truyền tin,
Phân tích luồng dữ liệu giúp thanh tra chuỗi gói tin liên quan để phát hiện hành vi nghi ngờ, trích xuất dữ liệu và phân tích các giao thức trong luồng.
Một số công cụ nổi tiếng sử dụng trong quá trình phân tích luồng dữ liệu:
Standard web servers like Apache and IIS generate log messages in a common format known as the Common Log Format (CLF) The CLF log file consists of a series of entries, each corresponding to an individual HTTP request.
Host Ident Authuser Date Request Status Bytes
Host: Tên miền đầy đủ của client hoặc IP
Ident: Nếu chỉ thị IdentityCheck được kích hoạt và client chạy identd, thì đây là thông tin nhận dạng được client báo cáo
Authuser: Nếu URL yêu cầu xác thực HTTP thì tên người dùng là giá trị của mã thông báo này
Date: Ngày và giờ yêu cầu
Request: Dòng yêu cầu của client, được đặt trong dấu ngoặc kép (“”)
Status: Mã trạng thái (gồm ba chữ số)
Bytes: số bytes trong đối tượng trả về cho client, ngoại trừ các HTTP header
Mỗi yêu cầu có thể chứa các các dữ liệu bổ sung như đường liên kết hoặc chuỗi ký tự của người dùng
Nếu mã thông báo không có giá trị, thì mã thông báo được biểu thị bằng một dấu gạch ngang (-)
192.168.40.131 - - [08/May/2018:08:43:52 -0400] "GET /dvwa/login.php
Tập tin nhật ký mang lại lợi ích lớn nhờ vào tính sẵn có và khả năng phân tích dễ dàng Máy chủ web như Apache thường ghi nhật ký mặc định, trong khi các ứng dụng cũng thực hiện ghi nhật ký để theo dõi hành động Mặc dù lưu lượng mạng cung cấp thông tin bổ sung, chi phí thu thập và xử lý thường cao hơn lợi ích mà nó mang lại Việc thu thập lưu lượng mạng yêu cầu thiết bị phần cứng bổ sung và phương pháp như hubs, cổng SPAN hoặc thiết bị nội tuyến Sau khi dữ liệu được thu thập, nó sẽ được phân tích ngay lập tức Hiện nay, dữ liệu lưu lượng mạng có dạng tương tự như tệp nhật ký và sẵn sàng cho phân tích, giúp việc theo dõi bảo mật trở nên dễ dàng và hiệu quả.
Một số công cụ hỗ trợ điều tra mạng và điều tra tấn công web
Các công cụ hỗ trợ điều tra có khả năng chặn bắt, sao lưu, trích xuất, khôi phục và phân tích dữ liệu mạng, góp phần quan trọng vào quá trình điều tra.
Các công cụ này hỗ trợ điều tra viên xác định thời gian, phương thức và nội dung dữ liệu được truyền đi hoặc nhận về, cung cấp chứng cứ số một cách nhanh chóng và chính xác, từ đó tạo điều kiện thuận lợi cho quá trình điều tra.
WireShark, phần mềm phân tích mạng nổi tiếng, được phát triển bởi Gerald Combs và ra mắt phiên bản đầu tiên mang tên Ethereal vào năm 1998.
Năm 1998, sau tám năm kể từ khi phiên bản đầu tiên ra mắt, Combs quyết định từ bỏ công việc hiện tại để theo đuổi cơ hội nghề nghiệp mới Tuy nhiên, ông không thể đạt được thỏa thuận về bản quyền thương hiệu Ethereal với công ty đã thuê ông Thay vào đó, vào năm 2006, Combs cùng đội phát triển đã tạo ra một thương hiệu mới cho sản phẩm Ethereal, mang tên WireShark.
WireShark đã trở thành một công cụ phân tích mạng mạnh mẽ, với sự phát triển của đội ngũ lên đến 500 cộng tác viên Trước đây, sản phẩm này từng mang tên Ethereal nhưng đã không còn được phát triển thêm.
Lợi ích Wireshark đem lại đã giúp cho nó trở nên phổ biến như hiện nay
Nó đáp ứng nhu cầu của cả nhà phân tích chuyên nghiệp lẫn nghiệp dư, cung cấp nhiều tính năng hấp dẫn cho từng đối tượng khác nhau.
Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở miễn phí, được thiết kế để giám sát dữ liệu di chuyển trên mạng Khác với các hệ thống phát hiện xâm nhập dựa trên máy chủ, Snort cung cấp khả năng phát hiện xâm nhập toàn diện cho nhiều thiết bị trong mạng Mặc dù các phương pháp phát hiện xâm nhập vẫn đang trong giai đoạn phát triển, Snort hiện đang được đánh giá là hệ thống tốt nhất trong lĩnh vực này.
Snort là một hệ thống phát hiện xâm nhập (IDS) dựa trên luật, với khả năng phát hiện sự bất thường trong các Header giao thức thông qua các Input plug-in Nó sử dụng các luật được lưu trữ trong các file text, cho phép người quản trị chỉnh sửa Các luật được phân loại và lưu trữ trong các file khác nhau, với file cấu hình chính là snort.conf Khi khởi động, Snort đọc các luật này để xây dựng cấu trúc dữ liệu phục vụ cho việc phân tích dữ liệu thu thập được Việc nhận diện các dấu hiệu và áp dụng chúng vào các luật là một thách thức, vì càng nhiều luật được sử dụng thì yêu cầu về năng lực xử lý để thu thập dữ liệu càng cao.
Snort có một bộ luật định nghĩa sẵn để phát hiện các hành vi xâm nhập, đồng thời cho phép người dùng thêm hoặc xóa các luật tùy chỉnh nhằm giảm thiểu báo động giả.
Foremost là một chương trình điều khiển giúp khôi phục tệp tin thông qua tiêu đề, phụ đề và cấu trúc dữ liệu bên trong, thường được gọi là chạm khắc dữ liệu Nó có khả năng làm việc với các tệp tin ảnh từ các công cụ như dd, Safeback, Encase hoặc trực tiếp từ ổ cứng Người dùng có thể xác định tiêu đề và phụ đề thông qua tệp tin cấu hình hoặc sử dụng switch dòng lệnh cho các dạng tệp tin tích hợp, nhằm tra cứu cấu trúc dữ liệu của định dạng tệp tin, đảm bảo quá trình phục hồi diễn ra nhanh chóng và đáng tin cậy.
NetworkMiner là một công cụ phân tích điều tra mạng (Network Forensics
NetworkMiner là một công cụ phân tích mạng cho Windows, cho phép người dùng chặn và bắt gói tin thụ động Công cụ này giúp nhận diện các hệ điều hành, phiên làm việc, tên host và các cổng mở mà không cần gửi bất kỳ luồng dữ liệu nào lên mạng.
NetworkMiner là công cụ mạnh mẽ cho phép phân tích các tệp tin pcap ở chế độ ngoại tuyến, giúp tái tạo các tập tin truyền tải, cấu trúc thư mục và chứng chỉ từ dữ liệu mạng Mục tiêu chính của NetworkMiner là thu thập thông tin về các host trên mạng, tập trung vào việc thu thập chứng cứ pháp lý thay vì lưu lượng truy cập Công cụ này chú trọng đến việc phân tích thông tin trên từng máy chủ, thay vì chỉ xem xét danh sách các gói tin Bên cạnh đó, NetworkMiner cũng rất hữu ích trong việc phân tích mã độc, chẳng hạn như các máy chủ điều khiển và kiểm soát (C&C).
(command & control – ra lệnh và điều khiển) kiểm soát lưu lượng truy cập từ mạng lưới botnet
NetAnalysis là một công cụ được cấp phép do công ty Digital Detective phát triển để điều tra số các trình duyệt web, hỗ trợ Microsoft Internet Explorer,
Các trình duyệt như Mozilla Firefox, Google Chrome, Apple Safari và Opera cho phép kiểm tra lịch sử Internet, bộ nhớ cache, cookie và các thành phần khác Công cụ này giúp thu thập nhanh chóng bằng chứng dựa trên hành vi người dùng Phần mềm cũng cung cấp các công cụ phân tích hiệu quả để giải mã và hiểu dữ liệu, đồng thời có khả năng sử dụng các truy vấn SQL để xác định bằng chứng liên quan.
Ngoài ra nó có thể được sử dụng để phục hồi các thành phần trình duyệt web đã xóa
FTK là công cụ mạnh mẽ được thiết kế để phân tích toàn bộ hệ thống, cho phép người dùng thực hiện phân tích dữ liệu trình duyệt web với nhiều tính năng và đặc điểm nổi bật.
Lịch sử trình duyệt web được ảo hóa chi tiết Internet Explorer, Firefox, Chrome,
Safari và Opera là hai trình duyệt được hỗ trợ, trong khi dữ liệu trình duyệt web đã xóa có thể được phục hồi thông qua phần mềm FTK Phần mềm này cũng cung cấp tính năng báo cáo kết quả phân tích hiệu quả.
Browser Hisotry Examiner là một công cụ được cấp phép phát triển bởi
Mô tả bài toán
Hình 3.1.1 Mô hình thực hiện tình huống minh họa
- Hacker: IP 10.2.0.142, DG 10.2.0.2, OS Kali Linux
- Webserver: IP 10.2.0.143, DG 10.2.0.2, OS Metasploitable 2
- Công cụ hỗ trợ: Wireshark, BurpSuite
Bước 1 Hacker sử dụng Nmap để quét cổng
Bước 2 Sử dụng WireShark chặn bắt gói tin
Nhận thấy, có một lượng traffic liên tục từ địa chỉ 10.2.0.142 đến
10.2.0.143 với gói tin TCP => Kẻ tấn công đang thăm dò các cổng đang mở và dịch vụ đang chạy trên Web Server.
Kẻ tấn công thực hiện: XMAS Scan (Xác định được máy chủ sử dụng những dịch vụ nào, được chạy trên cổng tương ứng nào)
Hình 3.2.2 Sử dụng WireShark chặn bắt gói tin
Hình 3.2.3 Sử dụng WireShark chặn bắt gói tin
Bước 3: Hacker sử dụng trình duyệt web trên máy tính để truy cập vào địa chỉ IP của máy chủ web Sau khi kiểm tra, hacker phát hiện cổng 80 đang hoạt động, cho phép dịch vụ kết nối.
HTTP đang mở => Hacker thực hiện truy cập vào trang web bằng cách sử dụng địa chỉ IP: http://10.2.0.143
Hình 3.2.4 Giao diện trang web
Bước 4: Sử dụng phần mềm thứ ba Wireshark để theo dõi luồng dữ liệu từ máy Hacker đến Web server
Ở đây, nhận thấy được GET methods đang được yêu cầu từ máy
Phương thức GET được sử dụng để lấy thông tin từ Webserver 10.2.0.143 thông qua URI đã cung cấp Các yêu cầu GET chỉ nên nhận dữ liệu mà không làm thay đổi dữ liệu trên server.
Hình 3.2.5 Gói tin HTTP bắt được bằng Wireshark khi Hacker truy cập vào
Sử dụng TCP Stream để xem quá trình:
Hình 3.2.6 Kết quả của TCP Stream
Bước 5: Hacker sử dụng công cụ Burpsuite và một số tham số cơ bản để thực hiện tấn công mật khẩu như sau:
Hình 3.2.7 Dùng BurpSuite tấn công vét cạn mật khẩu
Bước 6: Trên Wireshark, chúng ta thu thập được các gói tin POST chứa các tham số được lấy từ máy Hacker Phương thức POST là một yêu cầu được sử dụng để gửi dữ liệu đến Server, chẳng hạn như thông tin khách hàng và thông tin tài khoản, thông qua các mẫu.
Hình 3.2.8 Wireshark bắt được hàng loại gói tin HTTP với POST methods
Hình 3.2.9 Nội dung của một gói HTTP POST method bất kỳ (1)
Hình 3.2.10 Nội dung của một gói HTTP POST method bất kỳ (2)
Trên quan điểm của Admin, sau khi quan sát quá trình tấn công trên
Wireshark, nhận thấy: đây là cuộc tấn công thăm dò sau đó thực hiện tấn công vét cạn trên cổng 80 vào Webserver.
Tấn công thăm dò: hàng loạt gói tin TCP SYN, ACK, PUSH,… được gửi đi liên tục
Tấn công vét cạn là phương thức mà kẻ tấn công phát hiện nhiều gói tin HTTP sử dụng phương thức POST với các thông số khác nhau như username và password, được gửi đến trang đăng nhập.
Ngoài các phương thức GET, POST được liệt kê ở trên, theo chuẩn RFC
2616 định nghĩa ra 8 phương thức cho HTTP 1.1 bao gồm: GET, HEAD, POST,
PUT, DELETE, CONNECT, OPTIONS, TRACE.