BÁO CÁO MÔN HỌC AN TOÀN THÔNG TIN MẠNG
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.75 MB, 71 trang )
ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO MÔN HỌC
AN TOÀN THÔNG TIN MẠNG
Đà Nẵng, 2019
Contents
Bài 1: Tấn công bắt gói tin ............................................................................................................................. 3
Bài 2: Tấn công bẻ khóa .............................................................................................................................. 15
Bài 3: Quét thông tin máy chủ .................................................................................................................... 21
Bài 4: Xây dựng các luật cho Snort.............................................................................................................. 33
Bài 5: Phân tích mã độc............................................................................................................................... 39
Bài 7: Dịch ngược mã nguồn và tìm password............................................................................................ 48
Bài 8: Windows Server Firewall .................................................................................................................. 53
Bài 1: Tấn công bắt gói tin
Sử dụng công cụ Wireshark, thực hiên:
1. Tiến hành bắt gói tin
- Wireshark là công cụ dùng để phân tích các giao thức của mạng cho phép xem chi
tiết các giao thức mạng hiện có, bắt các gói tin từ nhiều nguồn khác nhau và phân tích
offine chúng. Wireshark có thể hoạt động trên nhiều hệ thống mạng khác nhau
- Để bắt được gói tin trong mạng, ta cần cài Wireshark trên máy tính có kết nối mạng
và chương trình Wireshark phải chạy trước khi diễn ra quá trình trao đổi dữ liệu.
Khởi động chương trình Wireshark, chon card Wi-fi 2 sau đó Start capturing packets
để bắt đầu bắt gói tin
Giao diện chương trình sẽ hiển thị các gói tin đi qua card theo thời gian thực. Để
dừng việc bắt gói tin ta click vào nút ô vuông màu đỏ ở giao diện(Stop capturing packets)
2. Phân tích gói tin
Để xem nội dung chi tiết gói tin, click vào vị trí gói tin cần phân tích. Gói tin được
phân tích ở đây có số thứ tự 6801.
Một cửa sổ mới hiện ra chứa thông tin được chia theo các lớp tương ứng với mô hình
TCP/IP của gói tin được chọn.
Tại mục đầu tiên cho phép ta xem các thông tin tổng quát về gói tin bắt được bao gồm kích
thước, thời gian bắt…
Mục thứ 2 cho phép ta xem thông tin của lớp Link bao gồm địa chỉ MAC đích, địa chỉ
MAC nguồn, kiểu frame.
Mục thứ 3 cho phép ta xem thông tin của lớp Internet bao gồm phiên bản, chiều dài header,
tổng chiều dài, địa chỉ IP nguồn, đích, giao thức…
Mục thứ 4 cho phép ta xem thông tin gói tin ICMP như type, code, data.
a. Lọc theo luật các gói tin
Để lọc gói tin theo luật cụ thể, ví dụ các gói tin dùng giao thức TCP, tạo trường filter
và nhập tcp sau đó Enter.
b. Phân tích quá trình bắt tay 3 bước theo giao thức TCP
Để phân tích quá trình bắt tay 3 bước, trước tiên ta cần xác định địa chỉ IP của Server
đích.
Để xác định địa chỉ IP của server đích, tại cửa sổ cmd ta gõ lệnh ping <domain name>
Bước tiếp theo là khởi động Wireshark và bắt đầu quá trình bắt gói tin trên card mạng
đã chọn. Nhập vào trường filter nội dụng ip.addr == <ip server>. Ví dụ ở đây là ip.addr
== 113.171.23.11 sau đó enter.
Mở trình duyệt và truy cập vào địa chỉ web server trên, quá trình bắt tay 3 bước của
giao thức TCP sẽ đc wrieshark bắt lại.
Để dễ quan sát ta chọn Statistics-> Flow Graph. Tích vào chọn mục Limit to display
filter và chọn TCP Flows tại mục Flow type
Ta gọi máy có địa chỉ IP = 192.168.1.6 là máy A, server có IP = 113.171.23.11 là máy
B
A gửi gói tin TCP có cờ SYN = 1 (yêu cầu kết nối), giá trị sequence number khởi đầu
seq(A) = 0.
B đồng ý kết nối, trả lời bằng gói tin TCP có cờ ACK = 1, cờ SYN = 1 và giá trị
sequence number seq(B) = 0, ACK = seq(A) + 1 = 0+1 = 1(đã nhận được gói tin 0 của
A và chờ gói tin 1).
A xác nhận thiết lập kết nối bằng việc trả lời gói tin TCP có cờ ACK = 1, giá trị ACK
= seq(B) + 1 = 0+1(nghĩa là đã nhận gói tin) của B và chời gói tin 1)
c. Lưu file dữ liệu bắt được
d. Để lưu lại, đầu tiên ta dừng quá trình bắt gói tin bằng việc nhấn nút ô vuông
màu đỏ (Stop capturing packets). Sau đó chọn File->Save, chon vị trí lưu
Bài 2: Tấn công bẻ khóa
1. Chức năng Decoders
Xem các mật khẩu wifi được lưu
2. Chức năng Network
Quét tất cả các máy trong mạng
Kết nối từ xa
Kết nối thông qua địa chỉ IP của máy ở xa.
Nhập Username và Password để đăng nhập vào máy ở xa.
Quản lí Groups, Users, Share Folders trên máy ở xa
3. Chức năng Cracker
Bẻ khóa mã hóa MD5
4. Chức năng Sniffer
Bài 3: Quét thông tin máy chủ
1. Công cụ GFI
GFI Languard Network Security Scanner cho phép quét mạng, phát hiện các nguy cơ
xâm nhập, phân tích các cổng (ports) đang mở trên các máy tính, các tài nguyên đang được
chia sẻ, các cảnh báo về lỗ hổng, yếu điểm của các máy tính, mức độ cập nhật các phiên
bản, các lỗ hổng…
Ngoài ra, công cụ GUI Languard còn một số chức năng khác NSLookup,SNMP… cho
phép phát hiện được cac lỗi trong toàn bộ hệ thống mạng , từ đó giúp người quản trị cấu
hình mạng, phát hiện và khắc phục lỗi.
1.1.
Bắt đầu 1 lượt quét mới
Mục tiêu được chọn ở đây là một máy tính chạy Windows có địa chỉ IP là: 192.168.20.2
Chế đọ quét là Full Scan. Tại mục Credentials chọn Alternative Credentials, sau đó điền
User và Password của user trên máy tính đó, sau đó chọn Scan
1.2.
Kết quả sau khi quét
1.3.
Thông tin các cổng TCP, UDP đang mở trên máy được quét
1.4.
Thông tin các thư mục được chia sẻ trên máy được quét
1.5.
Thông tin về tài khoản người dùng trên máy được quét
1.6.
Thông tin về các tiến trình đang chạy trên máy được quét
\
1.7.
Danh sách các lỗ hổng tiềm ẩn trên máy được quét
1.8.
Thống kê bảo mật cho máy
2. Công cụ Whois
Dùng để lấy thông tin của một máy chủ trên mạng mà ta cần thu thập thông tin liên quan
đến máy chủ này.
Sử dụng các website chuyên dụng như www.whois.com. Để tìm các thông tin về địa chỉ
ip, email, khai thác thông tin liên quan phục vụ cho công việc sau này.
2.1.
Mở trình duyệt web, nhập vào địa chỉ
Nhập tên miền hay địa chỉ IP của máy chủ muốn thu thập thông tin, sau đó tìm kiếm. Ở
đây ta nhập vào địa chỉ ip của phòng đào tạo 113.117.23.11
2.2.
Mục Doamin Profile
Mục này cung cấp thông tin về: trạng thái đăng ký (Regiter Status), name server, địa chỉ
IP, vị trí tương đối , ASN.
Ta cần thu thập tất cả các thông tin, kể cả những thông tin bình thường nhất về máy chủ
này.
2.3.
Mục Website
Cung cấp thông tin về: tiêu đề website, loại server. Respone code, điểm SEO.
