Tải bản đầy đủ (.docx) (137 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Các kỹ thuật tấn công mạng và biện pháp phòng chống

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.11 MB, 137 trang )

Page 1

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
Giáo viên hướng dẫn


Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 2

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………

………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
Giáo viên phản biện

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 3

LỜI CẢM ƠN
Lời đầu tiên, nhóm em xin gửi lời cảm ơn đến các thầy cô trong Khoa Công Nghệ
Thông Tin những người đã dạy dỗ, chỉ bảo tận tâm chúng em trong suốt những học kỳ
vừa qua cũng như đã tạo những điều kiện tốt nhất cho chúng em có thể thực hiện đề tài
này.
Nhóm em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới Thầy Nguyễn Đăng Quang,
xin cảm ơn thầy đã tận tình chỉ bảo, cung cấp tài liệu tham khảo, hướng dẫn và tạo điều
kiện tốt nhất để nhóm em có thể hoàn thành đề tài.
Xin gửi lời cảm ơn tới những người thân, những người bạn đã trao đổi, giúp đỡ và động
viên chúng em rất nhiều trong suốt quá trình thực hiện.
Tuy chúng em đã cố gắng rất nhiều nhưng vẫn khó tránh khỏi những thiếu sót. Kính
mong quý thầy cô và các bạn đóng góp ý kiến để đề tài được hoàn thiện hơn nữa. Chúng
em xin chân thành cảm ơn!

Nhóm thực hiện đề tài

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 4


MỤC LỤC

DANH MỤC HÌNH ẢNH

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 5

DANH MỤC CÁC TỪ VIẾT TẮT
IDS

Intrusion Detection System

ICMP

Internetwork Control Message Protocol

SMTP

Simple Mail Transfer Protocol -SMTP

IPC$

Inter-Communication Process

TCP

Transfer Control Protocol


SID

Security Identifier

DNS

Domain Name Server

NBNS

NetBios Name Service

UDP

User Datagram Protocol

IGMP

Internet Group Management Protocol

SLIP

Serial Line Interface Protocol

BPF

Berkley Packet Filter

NIC


Network Interface Card-Cổng Ethernet)

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 6

CHNTPW

Change NT Password

POP3

Post Office Protocol Version 3

ICF

Internet Connection Firewall

SSL

Secure Socket Layer

SAM

Security Accounts Manager

1 CHƯƠNG 1: ĐẶT VẤN ĐỀ
1.1 Tổng quan

Hiện nay, các lĩnh vực công nghệ thông tin, công nghệ mạng máy tính và mạng
internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ mạng đã thâm nhập hầu
hết vào các lĩnh vực đời sống xã hội. Các thông tin trên internet cũng đa dạng về nội
dung, hình thức và các thông tin đó cần được bảo mật bởi tính kinh tế, tính chính xác và
tính tin cậy của nó.
Bên cạnh đó, thủ đoạn của các hacker ngày càng tinh vi và nguy hiểm, các hình
thức phá hoại mạng cũng trở nên phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ đặt
ra cho người quản trị mạng là hết sức quan trọng và cần thiết nên vấn đề bảo mật cho dữ
liệu đang là vấn đề được quan tâm hàng đầu. Tìm hiểu các thủ đoạn mà hacker sử dụng,
chúng ta sẽ có những biện pháp thiết thực để phòng chống các cuộc tấn công. “Hiểu
hacker để chống hacker”, từ đó có thể kiểm tra các lỗi bảo mật của hệ thống và đưa ra các
giải pháp phòng chống một cách hiệu quả và toàn vẹn. Xuất phát từ những thực tế đó, đề
tài này sẽ tìm hiểu về các cách tấn công phổ biến hiện nay và cách phòng chống loại tấn
công tương ứng.
Thông qua việc nghiên cứu một số phương pháp tấn công và biện pháp phòng
chống các loại tấn công đó, chúng em mong muốn góp một phần nhỏ vào việc nghiên cứu
và tìm hiểu về các vấn đề an ninh mạng giúp cho việc học tập và nghiên cứu. Mong rằng
sau khi đọc đồ án “Các kỹ thuật tấn công mạng và biện pháp phòng chống” sẽ đưa ra
cái nhìn tổng quan về hack cũng như giúp những người chưa hiểu biết về hack sẽ có cái
nhìn rõ ràng hơn.

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 7

1.2 Hiện trạng
1.2.1 Bản tin về an ninh mạng
1.2.1.1 Bản tin năm 2011
“Chiều 20/06/2011, tại Hà Nội diễn ra hội thảo: “An tòan, an ninh mạng Việt Nam: Nguy

cơ và giản pháp” nhằm thảo luận tìm hiểu rõ nguyên nhân, từ đó đưa ra những biện pháp
khắc phục tình trạng nhiều website của các cơ quan, tổ chức trong nước bị hacker tấn
công thời gian qua.
Cách đây ít hôm, Thủ tướng Chính phủ đã trực tiếp ban hành chỉ thị số 897/CTTTg chỉ đạo các Bộ, ngành, địa phương tăng cường giải pháp đảm bảo an toàn thông tin
số. Điều này cho thấy, an ninh mạng ngày càng có nguy cơ bị xâm phạm.
Khi ban hành chỉ thị 897, Thủ tướng chính phủ cũng đã nêu rõ, trong thời gian qua,
tình hình mất an toàn thông tin số nước ta diễn biến phức tạp, xuất hiện nhiều nguy cơ đe
dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ phát triển kinh tế xã
hội và bảo đảm quốc phòng an ninh.
Trong đó, bản thân các vụ tấn công trên mạng và các vụ xâm nhập hệ thống công
nghệ thông tin là nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài sản, cạnh tranh
không lành mạnh và một số vụ mất an toàn thông tin số khác đang gia tăng ở mức báo
động về số lượng, đa dạng về hình thức, tinh vi hơn về công nghệ.
Máy chủ Việt Nam là “sân tập” của hacker quốc tế.
Chỉ trong vòng chưa đầy 20 ngày của tháng 6, số lượng tấn công website Việt Nam
tăng lên khá lớn so với bình thường với hàng trăm các website tiếng Việt có tên miền .vn
và .com đã bị hacker dồn dập tấn công. Điển hình là trong đêm 6/6, hơn 200 website tiếng
Việt có tên miền .vn và .com đã bị một nhóm hacker có tên CmTr đã tấn công và đã cài
lại một file chứa mã độc vào website.
Theo thống kê của trang web Zone-H – chuyên thống kê các website bị tấn công
trên toàn cầu, chỉ trong 20 ngày đầu tháng 6, có khoảng 446 website “.vn” đã bị hacker
tấn công, trong đó có 16 trang chứa tên miền “.gov.vn”. Chỉ tính riêng tuần đầu tiên của
tháng 6 cũng đã có 407 website tên miền .vn bị hacker tấn công.
Còn theo ông Nguyễn Quang Huy, Trưởng Phòng Kỹ thuật Hệ thống Trung tâm
Ứng cứu khẩn cấp sự cố máy tính Việt Nam - VNCert, từ cuối tháng 5 đầu tháng 6, chúng
ta tiếp nhận rất nhiều cuộc tấn công và các trang web của doanh nghiệp (DN) và nhiều cơ
quan tổ chức Chính phủ. Có thông tin vài trăm website. Có thông tin cho biết số lượng
trang web bị tấn công lên tới 1.500. Hay như vụ Diễn đàn hacker Việt Nam
(www.hvaonline.net), ngày 12 và 13 cũng bị tấn công từ chối dịch vụ (D-DOS) với cường
độ rất lớn khiến mọi truy cập đến địa chỉ này đều không thực hiện được.

Vấn đề đáng báo động ở đây là ngoài việc tấn công đơn thuần vào các diễn đàn,
trang thông tin điện tử có số lượng truy cập lớn như: rongbay.com, enbac.com, kenh14…
hacker còn tấn công cả những địa chỉ có tên miền gov.vn của các cơ quan thuộc Chính
phủ như website www.ntc.mofa.gov.vn của Bộ Ngoại giao Việt Nam,
Caugiay.hanoi.gov.vn - cổng thông tin điện tử quận Cầu Giấy, Hà Nội, và gần đây nhất,

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 8

ngày 20/6, nhóm hacker Hmei7 đã “hỏi thăm” website của Sở Thông tin–Truyền thông
Hà Nội ().

Hình 1.1 Danh sách các website của Việt Nam bị hacker tấn công

Do mức độ các website bị tấn công dồn dập và với số lượng lớn như trên, nhiều
chuyên gia công nghệ cho rằng, nguyên nhân là do hacker đã chiếm được một máy chủ
của một nhà cung cấp dịch vụ hosting để từ đó tấn công giao diện hàng loạt website trên
đó. Theo đánh giá của ông Triệu Trần Đức, Tổng giám đốc CMC Info Sec: Hiện nay, các
website của Việt Nam đều mắc những lỗi giống nhau, chỉ bằng 3 cách đơn giản thì 300
trang web đã có thể bị hack, trong đó, phổ biến nhất là search trên Google. Thực tế, máy
chủ của Việt Nam cứ dựng lên là trở thành “sân tập” cho hacker thế giới.
Những cuộc tấn công này đều là những hành động đơn lẻ, mang tính chất tự phát
của những hacker bán chuyên nghiệp. Nguyên nhân chủ yếu là do đơn vị quản lý của các
website này chưa thực sự chú trọng đến việc đầu tư cho vấn đề bảo mật, vẫn còn nhiều lỗ
hổng để các hacker dễ dàng khai thác.
Không có những nhận định quá bi quan như CMC, ông Huy cho biết: Thực tế
không quá nhiều vụ tấn công như một số hãng bảo mật đã đưa ra. Có vụ chỉ 1 cuộc tấn
công đã nắm được quyền kiểm soát máy chủ cài vài chục trang web khác nhau. Nếu thống

kê số vụ tấn công thì ít hơn nhiều so với số lượng trang web.
Theo đánh giá của đại diện VnCert, những cuộc tấn công này đều là những hành
động đơn lẻ, mang tính tự phát nhiều với mức độ nguy hiểm chưa cao, không thể hiện
trình độ của hacker. Có thể hiểu là mức độ sơ khai. Qua kiểm tra, có nhiều dấu hiệu
Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 9

hacker tấn công từ nước ngoài qua các địa chỉ IP xuất phát từ nhiều nước như Trung
Quốc, Hồng Kông, Hàn Quốc, Mỹ... Có cả IP từ Việt Nam. Tuy nhiên, hiện cũng chưa có
thống kê cụ thể số vụ tấn công từ các quốc gia nhất định.”
Trích dẫn từ : “An toàn, an ninh mạng Việt Nam: Nguy cơ
và giải pháp”
1.2.1.2 Bản tin năm 2013
“TP - Năm 2013 tiếp tục ghi nhận nhiều cuộc tấn công từ chối dịch vụ (DDoS) vào
website của các tổ chức, doanh nghiệp, cơ quan nhà nước ở Việt Nam. Trong đó nhiều
hình thức tấn công mới tinh vi đã bắt đầu xuất hiện.
VNCERT không chủ động phát hiện được sớm mà chỉ ngăn chặn khi website đã bị
tấn công
VNCERT không chủ động phát hiện được sớm mà chỉ ngăn chặn khi website đã bị
tấn công.
Gần một triệu máy tính Việt Nam nhiễm mã độc
Tháng bảy vừa qua, liên tiếp nhiều báo mạng lớn ở Việt Nam như Vietnamnet.vn,
Tuoitre.vn, Dantri.com.vn bị tấn công từ chối dịch vụ dẫn đến hoạt động chập chờn, có
lúc tê liệt.
Theo TS Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu Khẩn cấp Máy tính Việt
Nam (VNCERT), cuộc tấn công DDoS vào ba báo điện tử lớn được thực hiện với bốn đợt
tấn công mà mỗi đợt tấn công, máy chủ điều khiển lại nằm ở một quốc gia như Đức, Hà
Lan, Ucraina.

Máy chủ thay đổi liên tục, các công cụ tấn công botnet trong đợt tấn công này cũng
thay đổi liên tục cho thấy sự tinh vi và nguy hiểm trong các đợt tấn công thời gian gần
đây.
Ông Khánh cho hay, sự tấn công của các mạng botnet vẫn là một trong những mối
nguy hiểm chính với hệ thống website ở Việt Nam. VNCERT liên tục ghi nhận tình trạng
nhiều mạng lưới botnet quốc tế có sự “góp mặt” của các máy tính, địa chỉ IP tại Việt
Nam, chẳng hạn mạng lưới Zeus Botnet có 14.075 địa chỉ IP thuộc không gian mạng Việt
Nam. Các mạng Sality, Downadup, Trafficconverter có 113.273 địa chỉ IP Việt Nam.
Ước tính có khoảng 500.000- 1.000.000 máy tính ở Việt Nam đang nằm trong các mạng
botnet của thế giới. Điều đáng lo ngại, theo ông Khánh là sự xuất hiện của các hình thức
tấn công botnet mới và các mạng này đã bắt đầu tấn công vào Việt Nam như mạng Robot
được điều hành bởi một nhóm tin tặc ở IRAN đã tấn công các trang web trên toàn thế
giới.
Tại Việt Nam đã có 2.309 website bị tấn công với mã độc cài trên 6.978 trang web.
Mạng botnet này đang cho thuê công khai trên không gian mạng. “Hiện chúng tôi rất lo
lắng và đang tìm cách phối hợp để ngăn chặn”, ông Khánh nói.
Một loại hình mới là mạng botnet Razer cũng mới xuất hiện và bắt đầu tham gia
tấn công một số doanh nghiệp hosting ở Việt Nam. Sự xuất hiện của nhiều hình thức tấn
công botnet mới đang đặt ra cho cơ quan chức năng nhiều khó khăn trong việc ngăn chặn

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 10

và chống đỡ “việc bóc gỡ các mã độc của các hình thức tấn công botnet mới như thế nào
cần phải tiếp tục nghiên cứu”, theo ông Khánh.
Chưa có kịch bản ứng phó
Mặc dù việc tấn công botnet vào hệ thống máy tính, website ở Việt Nam ngày càng
nguy hiểm song khả năng chống đỡ của các tổ chức, cơ quan ở Việt Nam vẫn hạn chế.”

Trích dẫn từ : “Tấn công mạng ở Việt Nam ngày càng nguy
hiểm”

1.3 Hacker và ảnh hưởng của việc hack
1.3.1 Hacker - họ là ai?
Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năng tạo ra hay
khám phá ra các phần mềm hay phần cứng của máy tính. Đối với một số hacker, hack là
một sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính mạng.
Mục đích của họ có thể là tím hiểu kiến thức hoặc phá hoại bất hợp pháp. Một số
mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, số bảo
hiểm xã hội, mật khẩu, email…
1.3.2 Các lại hacker
• Black Hats: là người có kỹ năng tính toán xuất sắc, sử dụng thành thạo các
công cụ và máy tính, có các hoạt động phá hoại, ví dụ như crackers.
• White Hats: người biết nhiều kỹ năng của hacker, và sử dụng chúng cho mục
đích phòng thủ, ví dụ như chuyên gia phân tích an ninh mạng.
• Gray Hats: là người làm cả 2 việc, tấn công và phòng thủ ở những thời điểm
khác nhau.
• Suicide Hacker: người tấn công các cơ sở hạ tầng quan trọng mà không cần
quan tâm đến phải chịu 30 năm tù vì các hành vi của mình.

1.4 Ảnh hưởng của việc hack
Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của hacker
gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm. Hành vi trộm cắp
thông tin cá nhân khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới các vụ
kiện. Hack có thể làm 1 công ty bị phá sản. Botnet có thể được sử dụng để khởi động các
loại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm doanh
thu. Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng và
bán chúng cho các đối thủ cạnh tranh.


1.5 Các loại tấn công mạng
1.5.1 Tấn công hệ điều hành
Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng để được truy
cập vào một hệ thống mạng. Một số lỗi hệ điều hành như:
- Tràn bộ đệm.
- Lỗi trong hệ điều hành.
- Hệ thống chưa được vá hệ điều hành.

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 11

1.5.2 Tấn công cấu hình sai
Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trị
hoặc nhiễm virus, giúp hacker tận dụng những lỗ hổng này để khai thác và xâm nhập vào
hệ thống như chỉnh sửa sai DNS, thông tin cấu hình IP…
1.5.3 Tấn công các cấp độ ứng dụng
Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng, nhưng chưa
kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khai thác, bao gồm các cuộc tấn công như:
- Tràn bộ đệm.
- XSS.
- Tấn công từ chối dịch vụ.
- Lừa đảo.
- Chiếm quyền điều khiển.
- Man-in-Middle attack.

1.6 Mục tiêu và phạm vi của đề tài
1.6.1 Mục tiêu
Ngày nay, thủ đoạn của các hacker ngày càng tinh vi và nguy hiểm hơn, vì vậy vấn

đề bảo mật cho dữ liệu đang là vấn đề được quan tâm hàng đầu. Qua việc tìm hiểu được
các thủ đoạn mà hacker sử dụng, chúng ta sẽ có những biện pháp thiết thực để phòng
chống các cuộc tấn công vào dữ liệu. Chính vì lý do trên nhóm chúng em quyết định thực
hiện đề tài “Các kỹ thuật tấn công mạng và biện pháp phòng chống”, với phương châm:
“hiểu hacker để chống hacker”, lúc đó có thể kiểm tra các lỗi bảo mật của hệ thống và đưa
ra các giải pháp phòng chống một cách hiệu quả và toàn vẹn.
1.6.2 Phạm vi:
- Tìm hiểu một số phương thức tấn công:
o Xác định thông tin Banner.
o Liệt kê thông tin mục tiêu.
o Scan mục tiêu.
o Nghe lén các tập tin.
o Giả mạo thông tin.
o Brute Force.
o Tìm điểm yếu của mục tiêu.
o Wireless.
- Tìm hiểu một số biện pháp phòng chống:
o Fire wall
o Quản trị mạnh.
o Đặt mật khẩu.
o Phần mềm quét virus.
o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết.
o Sử dụng SSH, VPN, IPsec.
Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 12

-


o Thay đổi Banner.
o Thực thi chính sách bảo mật.
o Truy tố những vi phạm.
o Hủy các tài liệu, văn bản trước khi cho vào sọt rác.
o Restrict Anonymous.
o Host-based firewalls.
o Sử dụng hệ thống phát hiện xâm nhập (IDS).
o Sử dụng các thông tin registrants chung.
o Hạn chế vô danh (Restrict Anonymous).
o Tùy chỉnh Registry (Registry Edit).
o Sử dụng registrants để ẩn các thông tin cá nhân.
o ...
Giới thiệu một số công cụ hỗ trợ trong tấn công:
o Angry IP Scanner
o WinFingerprint
o LanGuard
o Visual Route 2010
o WireShark
o LanSpy
o Fscan
o IPScan
o Visio
o Retina
o Smac
o TcpDump
o LC6 (L0phtCrack Password Auditor Enterprise)
o …

1.7 Phương pháp thực hiện
-


Nghiên cứu tài liệu.
Làm thực nghiệm trên máy ảo.

1.8 Kết quả dự kiến
-

Trình bày tổng quan về tấn công mạng và biện pháp phòng chống.
Thực hiện tấn công mạng.
Các biện pháp phòng thủ.
Ví dụ minh họa quá trình tấn công.

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 13

2 CHƯƠNG 2: TẤN CÔNG XÁC ĐỊNH THÔNG TIN BANNER
2.1 Giới thiệu:
-

-

Xác định thông tin banner là kiểu tấn công được kẻ tấn công sử dụng để thu thập
một số thông tin banner từ các dịch vụ đang chạy trên máy mục tiêu bằng cách kết
nối đến các cổng khác nhau trên máy của mục tiêu, kết hợp sử dụng một số ứng
dụng hỗ trợ như: telnet, netcat, scanline, xprobe2, amap để tấn công. Kẻ tấn công
cũng có thể thực hiện khai thác thông tin thông qua email, điện thoại, tiếp xúc trực
tiếp, thông qua người quen, các mối quan hệ cá nhân…nhằm khai thác các thông
tin vô tình bị tiết lộ từ phía người dùng. Từ đó kẻ tấn công dựa vào những thông

tin thu thập được sẽ lựa chọn cách thức tấn công phù hợp.
Các thông tin thường bị thu thập có thể là: tên hệ điều hành, tên server, phiên bản,
thời gian, các cổng đang mở, service mục tiêu đang sử dụng…
Các biện pháp phòng chống thường được sử dụng cho kiểu tấn công này là:
• Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết.
• Thay đổi Banner.
• Dùng IDS (Intrusion Detection System) để phát hiện các tập tin UDP đến port
32132 (IDS to detect UDP to port 32132).
• Từ chối yêu cầu/trả lời từ ICMP (Internetwork Control Message Protocol).
• Thực thi các chính sách bảo mật.
• Hủy các tài liệu, văn bản trước khi cho vào sọt rác.

2.2 Thực hiện:
-

Chuẩn bị: xem phần phụ lục.
Các lab thực hiện trong chương này:
• Lab 1: xác định thông tin banner bằng TELNET.
• Lab 2: Xác định thông tin Banner bằng NETCAT.
• Lab 3: Xác định thông tin Banner bằng SCANLINE.
• Lab 4: Xác định hệ điều hành (OS) bằng XPROBE2.
• Lab 5: Xác định thông tin Banner bằng AMAP.
• Lab 6: Xác định thông tin Banner bằng BANNER
• Lab 7: Kỹ thuật lừa đảo.
2.2.1 Lab 1: Xác định thông tin Banner bằng TELNET:
• Công cụ: Telnet

Các kỹ thuật tấn công mạng và biện pháp phòng chống



Page 14

• Điều kiện thực hiện: Không
• Mô tả: Ứng dụng Telnet thường sử dụng cổng 23 để thu thập một số thông tin
banner từ các dịch vụ đang chạy trên máy của mục tiêu bằng cách kết nối vào
những cổng khác nhau trên máy của mục tiêu.
• Cách thực hiện:
 Windows:
- Từ cửa sổ DOS prompt, gõ lệnh theo cú pháp:
telnet (Địa chỉ IP hoặc Hostname) (Cổng)lnet
-

Ví dụ, dùng telnet để kết nối đến cổng 80 của địa chỉ www.hcmute.edu.vn. Gõ lệnh
sau:

-

Enter -> gõ lệnh get ->Enter.
Kết quả thu được:

Hình 2.2 Kết quả sau khi dùng lệnh telnet trên windows
-

Các thông tin banner được xác định bởi telnet khi kết nối đến cổng 80 bao gồm:
• Phiên bản của http service: HTTP/1.1.
• Phân loại nội dung: text/html.
• Http server: Microsoft-HTTPAPI/2.0.
• Ngày, giờ, +GMT.
• Chiều dài các ký tự.
 Linux:

- Tương tự trên hệ điều hành windows. Từ Linux terminal, gõ lệnh:

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 15

- Kết quả thu được:

Hình 2.3 Kết quả sau khi dùng lệnh telnet trên Linux
-

Ngoài ra telnet còn có thể kết nối đến các cổng khác nhau để thu thập được những
banner khác nhau. Ví dụ:
• Port 21: FTP – File Transfer Protocol.
• Port 25: SMTP - Simple Mail Transfer Protocol.
• Port 110: POP3 - Post Office Protocol Version 3
• …..
• Biện pháp phòng chống:
o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết.
o Sử dụng SSH, VPN, IPsec.
o Thay đổi Banner.
2.2.2




Lab 2: Xác định thông tin Banner bằng NETCAT:
Công cụ: Netcat
Điều kiện thực hiện: Không.

Mô tả: Ứng dụng Netcat sử dụng để thu thập một số thông tin banner cụ thể từ các
dịch vụ đang chạy trên máy của mục tiêu bằng cách kết nối vào những port khác
nhau trên máy của mục tiêu.
• Cách thực hiện:
 Windows:
- Từ cửa sổ DOS prompt, thực hiện câu lệnh theo cú pháp:
nc <tuỳ chọn> (Địa chỉ IP) (Cổng)
-

Các tùy chọn của netcat bao gồm:

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 16

-

-

-

-

-d: tách Netcat khỏi cửa sổ lệnh hay là console, Netcat sẽ chạy ở chế độ ẩn
(không hiển thị trên thanh Taskbar).
-e: thi hành chương trình program exe, thường dùng trong chế độ lắng nghe.
-h: gọi hướng dẫn.
-i: trì hoãn thời gian (mili giây) trước khi gửi một dòng dữ liệu đi.
-l: đặt Netcat vào chế độ lắng nghe để chờ các kết nối đến.

-L: buộc Netcat "cố" lắng nghe. Nó sẽ lắng nghe trở lại sau mỗi khi ngắt một
kết nối.
-n: chỉ dùng địa chỉ IP ở dạng số, chẳng hạn như 192.168.16.7, Netcat sẽ
không kiểm tra DNS.
-o: ghi log vào file.
-p: chỉ định cổng port.
-r: yêu cầu Netcat chọn cổng ngẫu nhiên (random).
-s: giả mạo địa chỉ IP nguồn.
-t: không gửi các thông tin phụ đi trong một phiên telnet.
-u: dùng UDP (mặc định netcat dùng TCP).
-v: hiển thị chi tiết các thông tin về kết nối hiện tại (-vv sẽ hiển thị thông tin
chi tiết hơn nữa).
-w: đặt thời gian timeout cho mỗi kết nối là mili giây.
-z: chế độ zero I/O, thường được sử dụng khi scan port.
Ví dụ, sử dụng Netcat để lấy thông tin banner từ cổng 80 của mục tiêu có địa chỉ
IP 203.113.147.177 (cổng mặc định của dịch vụ HTTP). Từ thư mục chứa ứng
dụng Netcat, gõ lệnh sau:
Trong đó:
-v: Tùy chọn hiển thị chi tiết các thông tin về kết nối.
-n: Chỉ dùng địa chỉ IP (không sử dụng hostname).
203.113.147.177: địa chỉ IP của www.hcmute.edu.vn.
80: cổng 80.
Ấn Enter (Ban đầu có thể xuất hiện thông báo netcat không hoạt động hoặc đang bị
kẹt).
Nhập ký tự bất kỳ, ấn Enter.
Kết quả thu được giống kết quả của Lab 1 khi sử dụng telnet.

Các kỹ thuật tấn công mạng và biện pháp phòng chống



Page 17

Hình 2.4 Kết quả sau khi dùng lệnh netcat trên windows
 Linux:
- Kết quả thu được:

Hình 2.5 Kết quả sau khi dùng lệnh netcat trên Linux

-

Cũng giống telnet, netcat có thể kết nối đến nhiều cổng khác nhau trên máy của
mục tiêu để thu thập những thông tin banner khác nhau từ các dịch vụ đang chạy
trên máy mục tiêu (cổng 21, 25, 80…).
• Biện pháp phòng chống:
o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết.
o Sử dụng SSH, VPN, IPsec.
o Thay đổi Banner.

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 18

2.2.3




Lab 3: Xác định thông tin Banner bằng SCANLINE:
Công cụ: Scanline

Điều kiện thực hiện: Không.
Mô tả: Ứng dụng Scanline được sử dụng để thu thập một số thông tin banner từ
các dịch vụ đang chạy bằng cách kết nối đến các cổng khác nhau trên máy của mục
tiêu, từ đó các kẻ tấn công dựa vào những thông tin thu thập được sẽ lựa chọn cách
thức tấn công phù hợp.
• Cách thực hiện:
- Tải hoặc cài đặt scanline từ đĩa CD.
- Từ cửa sổ DOS prompt, di chuyển đến thư mục scanline đã cài đặt, thực hiện câu
lệnh theo cú pháp:
sl <tuỳ chọn> (Địa chỉ IP)
-

Các tùy chọn bao gồm:
-?: Xem giúp đỡ.
-b: Lấy thông tin banner từ port.
-c: Tùy chỉnh Timeout cho TCP và UDP (ms). Mặc định là 4000.
-d: Thời gian chờ giữa các lần scan (ms). Mặc định là 0.
-f: Đọc IPs từ file. Sử dụng "stdin" cho stdin.
-g: Bind to given local port.
-h: Ẩn kết quả cho những hệ thống không có cổng nào được mở.
-i: For pinging use ICMP Timestamp Requests in addition to Echo Requests.
-j: Xuất ra kết quả có phân cách "-----..." giữa các IPs.
-l: Đọc cổng TCP từ file.
-L: Đọc cổng UDP từ file.
-m: Bind to given local interface IP
-n: Không scan port- chỉ ping (trừ khi bạn sử dụng -p).
-o: Xuất file (chế độ overwrite).
-O: Xuất file (chế độ append)
-p: Không ping host trước khi quét.
-q: Timeout cho pings (ms). Mặc định là 2000.

-r: Phân giải địa chỉ IP thành tên máy (Hostnames).
-s: Xuất file định dạng dấu phẩy (csv).
-t: TCP port(s) to scan (một danh sách ports/ranges được phân cách bằng dấu
phẩy).
-T: Sử dụng danh sách nội tại các cổng TCP.
-u: UDP port(s) to scan (một danh sách ports/ranges được phân cách bằng dấu
phẩy).
-U: Sử dụng danh sách nội tại các cổng UDP.

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 19

-

-

-v: Verbose mode (hiển thị toàn bộ quá trình load dưới dạng text mode).
-z: Quét ngẫu nhiên một địa chỉ IP và cổng.
Ví dụ, sử dụng scanline để quét địa chỉ 203.113.147.177, tùy chọn –v và –b. Từ
cửa sổ DOS prompt, gõ lệnh như sau:
Scanline sẽ quét các cổng đang mở trên máy mục tiêu và lấy các thông tin banner
của các dịch vụ đang chạy trên máy.
Kết quả:
• Các cổng 21, 80, 81, 8081, 8080 đang mở.
• Sử dụng Microsoft FTP service.
• Sử dụng Microsoft-HTTPAPI/2.0.

Hình 2.6 Kết quả sau khi dùng lệnh scanline


Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 20

 Chú ý:
- Nếu cổng 13 và 19 được mở, kẻ tấn công có thể lợi dụng để thực hiện tấn công từ
chối dịch vụ (DOS) vào máy chủ.
• Biện pháp phòng chống:
o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết.
o Sử dụng SSH, VPN, IPsec.
o Thay đổi Banner.
2.2.4




Lab 4: Xác định hệ điều hành (OS) bằng XPROBE2:
Xác định hệ điều hành của mục tiêu: Xprobe2
Điều kiện thực hiện: không.
Mô tả: Ứng dụng Xprobe2 giúp xác định hệ điều hành (OS) đang được sử dụng
trên máy của mục tiêu.
• Cách thực hiện:
- Cài đặt Xprobe2 trên Linux.
- Để sử dụng Xprobe2, từ Linux terminal, gõ lệnh theo cú pháp:
xprobe2 <Tùy chọn> (Địa chỉ IP của mục tiêu)
-

Ví dụ, sử dụng Xprobe2 quét mục tiêu có địa chỉ IP 192.168.1.11 để xem hệ điều

hành mục tiêu đang sử dụng. Từ Linux terminal gõ lệnh như sau:

-

Xprobe cho kết quả:

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 21

Hình 2.7 Kết quả sau khi dùng lệnh Xprobe2

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 22

-

Kết quả thu được:
• Dự đoán chính: mục tiêu đang chạy Microsoft Windows XP SP2.
• Những dự đoán phụ khác gồm:
• Microsoft Windows 2003 Server Enterprise Edition.
• Microsoft Windows 2003 Server Standard Edition.
• Microsoft Windows 2000 Workstation.
• Microsoft Windows 2000 Workstation SP1.
• Microsoft Windows 2000 Workstation SP2.
• Microsoft Windows 2000 Workstation SP3.
• Microsoft Windows 2000 Workstation SP4.

• Microsoft Windows 2000 Server.
• Microsoft Windows 2000 Server Service Pack1.
 Chú ý:
- Cũng có khi dự đoán chính (primary guess) của Xprobe2 không chính xác, ví dụ
Windows XP có thể bị dự đoán nhầm thành Windows 2000. Tuy nhiên, nó vẫn xác
định chính xác đây là hệ điều hành Microsoft Windows.
• Biện pháp phòng chống:
o Dùng IDS (Intrusion Detection System) để phát hiện các tập tin UDP đến port
32132 (IDS to detect UDP to port 32132).
o Từ chối yêu cầu/trả lời từ ICMP (Internetwork Control Message Protocol).
2.2.5




Lab 5: Xác định thông Banner bằng AMAP:
Công cụ: Amap
Điều kiện thực hiện: Không.
Mô tả: Ứng dụng Amap dùng để thu thập những thông tin banner từ các dịch vụ
đang chạy trên máy của mục tiêu bằng cách kết nối vào các cổng khác nhau trên
máy của mục tiêu.
• Cách thực hiện:
- Tải và cài đặt ứng dụng amap trên windows và linux.
- Trên của sổ DOS prompt của windows hay Linux terminal, gõ dòng lệnh theo cú
pháp:
amap <mode> (Địa chỉ IP của mục tiêu)
-

Các mode gồm:
–A: Gửi kích hoạt và phân tích phản ứng (mặc định).

–B: Chỉ cần lấy banner, không cần gửi kích hoạt.
–P: Cho ứng dụng amap làm Port Scanner.
–W: Web Update.

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 23

 Windows:
- Ví dụ, để quét mục tiêu với địa chỉ IP là 192.168.1.11 và lấy thông tin banner từ
cổng 21 của mục tiêu. Từ của sổ DOS prompt chỉ đến thư mục chứa file thực thi
của amap, thực hiện lệnh như sau:
-

Kết quả thu được:
• Mục tiêu đang sử dụng Microsoft FTP Service.

Hình 2.8 Kết quả sau khi dùng lệnh amap trên windows
 Linux:
- Tương tự như Windows, trên Linux terminal, gõ lệnh:
amap –B 192.168.1.11 21
- Kết quả tương tự trên Windows:

Hình 2.9 Kết quả sau khi dùng lệnh amap trên Linux
• Biện pháp phòng chống:
o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết.
o Thay đổi Banner.
2.2.6





Lab 6: Xác định thông tin Banner bằng BANNER:
Công cụ: Banner.c
Điều kiện thực hiện: Không.
Mô tả: Mã Banner.c được biên dịch và sử dụng để thu thập thông tin banner từ
mục tiêu bằng cách kết nối đến các cổng khác nhau trên máy của mục tiêu.
• Cách thực hiện:
- Phải có một tập tin Banner.c chứa các mã dùng để bắt thông tin banner.
- Từ thư mục chứa tập tin Banner.c, để biên dịch các mã của tập tin, gõ lệnh:
gcc banner.c -o banner
-

Sau khi biên dịch tập tin Banner.c, từ Linux terminal gõ lệnh theo cú pháp:

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 24

./banner <IP bắt đầu> <IP kết thúc> <Port bắt đầu> <Port>kết thúc>
-

Ví dụ, lấy thông tin banner từ cổng 21 của địa chỉ 192.168.1.11. Từ Linux
command, gõ lệnh:

-

Kết quả:

• Cổng 21 đang mở.
• Mục tiêu đang sử dụng dịch vụ Microsoft FTP service.

Hình 2.10 Kết quả sau khi dùng lệnh banner ở port 21
-

Tiếp tục với mục tiêu có địa chỉ IP là 192.168.1.11, với port 25 (Simple Mail
Transfer Protocol -SMTP). Kết quả thu được:
• Cổng 25 đang mở.
• Mục tiêu đang sử dụng dịch vụ Microsoft ESMTP MAIL Service – Version:
6.0.3790.3959.

Hình 2.11 Kết quả sau khi dùng lệnh banner ở port 21
Các kỹ thuật tấn công mạng và biện pháp phòng chống


Page 25

• Biện pháp phòng chống:
o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết.
o Sử dụng SSH, VPN, IPsec.
o Thay đổi Banner.
2.2.7




Lab 7: Kỹ thuật lừa đảo:
Kỹ thuật: Dumpster Diving/Personnel
Điều kiện thực hiện: không.

Mô tả: Kỹ thuật Social Engineering rất đa dạng, phong phú và cũng hết sức nguy
hiểm do tính hiệu quả và sự phổ biến. Kỹ thuật này không đòi hỏi phải sử dụng
quá nhiều yếu tố kỹ thuật, thậm chí không có liên quan đến kỹ thuật thuần túy
(non-technical). Hacker có thể thực hiện phương cách này thông qua thư tín, email, điện thoại, tiếp xúc trực tiếp, thông qua người quen, các mối quan hệ cá
nhân... nhằm dẫn dụ, khai thác các thông tin do vô tình bị tiết lộ từ phía người
dùng.
• Biện pháp phòng chống:
o Thực thi chính sách bảo mật.
o Truy tố những vi phạm.
o Hủy các tài liệu, văn bản trước khi cho vào sọt rác.

Các kỹ thuật tấn công mạng và biện pháp phòng chống


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×