tấn công mạng máy tínhnguyên tắc port scan 1. tcp scan trên gói tcp/udp có 16 bit dành...
TRANSCRIPT
Tấn công mạng máy tínhTấn công mạng máy tính
Port scan attackPort scan attack
Eavesdropping attackEavesdropping attack
IP spoofing attackIP spoofing attack
ManManininthethemiddle Attackmiddle Attack
Replay attackReplay attack Replay attackReplay attack
Hijacking AttackHijacking Attack
Denial of Service / Distributed Denial Denial of Service / Distributed Denial of Service (of Service (DoSDoS//DDoSDDoS) Attacks) Attacks
CácCác loạiloại tấntấn côngcông phầnphần mềmmềm
11
Nguyên tắc truyền thông tinNguyên tắc truyền thông tin
Cấu tạo gói tin TCP Cấu tạo gói tin TCP
Phần giữa IP và ứng dụngPhần giữa IP và ứng dụng
22
Cấu tạo gói tin IPCấu tạo gói tin IP
Nguyên tắc truyền thông tinNguyên tắc truyền thông tin
33
Nguyên tắc truyền thông tinNguyên tắc truyền thông tin
Các gói tin chỉ ra địa chỉ, cổng đến từ Các gói tin chỉ ra địa chỉ, cổng đến từ đó hệ thống mạng sẽ định hướng đó hệ thống mạng sẽ định hướng chuyển gói tinchuyển gói tin
Các gói tin chỉ ra nguồn gửi để nơi Các gói tin chỉ ra nguồn gửi để nơi nhận có phản hồi phù hợpnhận có phản hồi phù hợpnhận có phản hồi phù hợpnhận có phản hồi phù hợp
Sử dụng chỉ số thứ tự để xác định Sử dụng chỉ số thứ tự để xác định cách lắp ghépcách lắp ghép
Sử dụng các bít cờ để xác định nội Sử dụng các bít cờ để xác định nội dung dữ liệu, và trạng thái điều dung dữ liệu, và trạng thái điều khiểnkhiển
44
Nguyên tắc truyền thông tinNguyên tắc truyền thông tin
Các pha kết nốiCác pha kết nối
•• thiết lập kết nối thiết lập kết nối
•• truyền dữ liệu truyền dữ liệu
•• kết thúc kết nối kết thúc kết nối
55
Nguyên tắc truyền thông tinNguyên tắc truyền thông tin
CácCác trạngtrạng tháithái kếtkết nốinối LISTEN LISTEN
SYNSYNSENT SENT
SYNSYNRECEIVED RECEIVED
ESTABLISHED ESTABLISHED
FINFINWAITWAIT1 1 FINFINWAITWAIT1 1
FINFINWAITWAIT2 2
CLOSECLOSEWAIT WAIT
CLOSING CLOSING
LASTLASTACK ACK
TIMETIMEWAIT WAIT
CLOSED CLOSED 66
Nguyên tắc truyền thông tinNguyên tắc truyền thông tin
Mô tả thông tinMô tả thông tin
•• LISTENLISTEN
đang đợi yêu cầu kết nối từ một TCP và đang đợi yêu cầu kết nối từ một TCP và cổng bất kỳ ở xacổng bất kỳ ở xa
•• SYNSYNSENTSENT
đang đợi TCP ở xa gửi một gói tin TCP với đang đợi TCP ở xa gửi một gói tin TCP với đang đợi TCP ở xa gửi một gói tin TCP với đang đợi TCP ở xa gửi một gói tin TCP với các cờ SYN và ACK được bậtcác cờ SYN và ACK được bật
•• SYNSYNRECEIVEDRECEIVED
đang đợi TCP ở xa gửi lại một tin báo nhận đang đợi TCP ở xa gửi lại một tin báo nhận sau khi đã gửi cho TCP ở xa đó một tin báo sau khi đã gửi cho TCP ở xa đó một tin báo nhận kết nốinhận kết nối
77
Nguyên tắc truyền thông tinNguyên tắc truyền thông tin
Mô tả thông tinMô tả thông tin
•• ESTABLISHEDESTABLISHED
cổng đã sẵn sàng nhận/gửi dữ liệu với TCP ở cổng đã sẵn sàng nhận/gửi dữ liệu với TCP ở xa (đặt bởi TCP client và server)xa (đặt bởi TCP client và server)
•• TIMETIMEWAITWAIT
đang đợi qua đủ thời gian để chắc chắn là đang đợi qua đủ thời gian để chắc chắn là đang đợi qua đủ thời gian để chắc chắn là đang đợi qua đủ thời gian để chắc chắn là TCP ở xa đã nhận được tin báo nhận về yêu TCP ở xa đã nhận được tin báo nhận về yêu cầu kết thúc kết nối của nó. Theo cầu kết thúc kết nối của nó. Theo RFC 793RFC 793, , một kết nối có thể ở tại trạng thái TIMEmột kết nối có thể ở tại trạng thái TIMEWAIT trong vòng tối đa 4 phút.WAIT trong vòng tối đa 4 phút.
88
Kết nốiKết nối
Client: gửi gói tin SYN, tham số Client: gửi gói tin SYN, tham số sequence numbersequence numberđược gán cho một giá trị ngẫu nhiên được gán cho một giá trị ngẫu nhiên XX. .
Server: gửi lại SYNServer: gửi lại SYN--ACK, tham số ACK, tham số acknowledgment acknowledgment numbernumber X + 1, tham số X + 1, tham số sequence numbersequence number được gán được gán ngẫu nhiên ngẫu nhiên YY
Client: gửi ACK, tham số Client: gửi ACK, tham số sequence numbersequence number X + X + 1,tham số 1,tham số acknowledgment numberacknowledgment number Y + 1 Y + 1 1,tham số 1,tham số acknowledgment numberacknowledgment number Y + 1 Y + 1
99
Kết thúc phiênKết thúc phiên
+ Bước I: Client gửi đến FIN ACK+ Bước I: Client gửi đến FIN ACK+ Bước II: Server gửi lại c ACK+ Bước II: Server gửi lại c ACK+ Bước III: Server lại gửi FIN ACK+ Bước III: Server lại gửi FIN ACK+ Bước IV: Client gửi lại ACK+ Bước IV: Client gửi lại ACK
1010
Gói tin UDPGói tin UDP
Cấu trúc UDPCấu trúc UDP
1111
Gói tin UDPGói tin UDP
IPv4 UDPIPv4 UDP
1212
Nguyên tắc Port scanNguyên tắc Port scan
1. TCP Scan1. TCP Scan
Trên gói TCP/UDP có 16 bit dành cho Trên gói TCP/UDP có 16 bit dành cho Port Number điều đó có nghĩa nó có Port Number điều đó có nghĩa nó có từ 1 từ 1 –– 65535 port. 65535 port.
Thường chỉ scan từ 1 Thường chỉ scan từ 1 1024.1024. Thường chỉ scan từ 1 Thường chỉ scan từ 1 1024.1024.
Một số phương pháp:Một số phương pháp:
1313
Nguyên tắc Port scanNguyên tắc Port scan
SYN Scan: SYN Scan:
•• Gửi SYN với một thông số PortGửi SYN với một thông số Port
•• Nhận SYN/ACK thì Client biết Port đó Nhận SYN/ACK thì Client biết Port đó trên Server được mở. trên Server được mở.
•• Ngược lại Client nhận gói RST/SYN.Ngược lại Client nhận gói RST/SYN.•• Ngược lại Client nhận gói RST/SYN.Ngược lại Client nhận gói RST/SYN.
FIN Scan: FIN Scan:
•• Client gửi gói FIN với số port nhất định. Client gửi gói FIN với số port nhất định.
•• Nhận ACK thì Server mở port đó, Nhận ACK thì Server mở port đó,
•• Server gửi về gói RST thì Client biết Server gửi về gói RST thì Client biết Server đóng port đó.Server đóng port đó.
1414
Nguyên tắc Port scanNguyên tắc Port scan
NULL Scan Sure: NULL Scan Sure:
•• Client gửi tới Server những gói TCP với Client gửi tới Server những gói TCP với số port cần Scan không chứa thông số số port cần Scan không chứa thông số Flag nào, Flag nào,
•• Server gửi lại gói RST thì tôi biết port đó Server gửi lại gói RST thì tôi biết port đó trên Server bị đóng.trên Server bị đóng.trên Server bị đóng.trên Server bị đóng.
XMAS Scan Sorry: XMAS Scan Sorry:
•• Client gửi gói TCP với số Port nhất định Client gửi gói TCP với số Port nhất định cần Scan chứa nhiều Flag như: FIN, cần Scan chứa nhiều Flag như: FIN, URG, PSH. URG, PSH.
•• Nếu Server trả về gói RST tôi biết port Nếu Server trả về gói RST tôi biết port đó trên Server bị đóng.đó trên Server bị đóng. 1515
Nguyên tắc Port scanNguyên tắc Port scan
TCP Connect:TCP Connect:
•• gửi đến Server những gói tin yêu cầu kết nối gửi đến Server những gói tin yêu cầu kết nối port cụ thể trên server. port cụ thể trên server.
•• Nếu server trả về gói SYN/ACK thì mở cổng Nếu server trả về gói SYN/ACK thì mở cổng đó.đó.
ACK Scan:ACK Scan:
•• Scan này nhằm mục đích tìm những Access Scan này nhằm mục đích tìm những Access Controll List trên Server. Client cố gắng kết Controll List trên Server. Client cố gắng kết nối tới Server bằng gói ICMP nối tới Server bằng gói ICMP
•• nhận được gói tin là Host Unreachable thì nhận được gói tin là Host Unreachable thì client sẽ hiểu port đó trên server đã bị lọc.client sẽ hiểu port đó trên server đã bị lọc.
1616
Công cụ portscanCông cụ portscan
Tự xây dựng dựa trên cấu mô tả Tự xây dựng dựa trên cấu mô tả
RPC Scan: Kiểm tra dịch vụ RPCRPC Scan: Kiểm tra dịch vụ RPC
Windows Scan: tương tự như ACK Windows Scan: tương tự như ACK Scan, nhưng nó có thể chỉ thực hiện Scan, nhưng nó có thể chỉ thực hiện trên một số port nhất định.trên một số port nhất định.trên một số port nhất định.trên một số port nhất định.
FTP Scan: Có thể sử dụng để xem FTP Scan: Có thể sử dụng để xem dịch vụ FTP có được sử dụng trên dịch vụ FTP có được sử dụng trên Server hay khôngServer hay không
IDLE: cho phép kiểm tra tình trạng IDLE: cho phép kiểm tra tình trạng của máy chủ. của máy chủ.
1717
Eavesdropping attackEavesdropping attack
Nghe lénNghe lén
Mục tiêu: thu nhận thông tin truyềnMục tiêu: thu nhận thông tin truyền
•• Nhận được các thông tin truyền không Nhận được các thông tin truyền không mã hóamã hóa
•• Nhận được các thông tin đã mã hóa, từ Nhận được các thông tin đã mã hóa, từ •• Nhận được các thông tin đã mã hóa, từ Nhận được các thông tin đã mã hóa, từ đó phục vụ các tấn công khác (replay đó phục vụ các tấn công khác (replay attack)attack)
Không để dấu vếtKhông để dấu vết
Khó phòng chốngKhó phòng chống
1818
Eavesdropping attackEavesdropping attack
Sử dụng các phương pháp vật lýSử dụng các phương pháp vật lý
•• Nghe trộm qua đường truyền vật lýNghe trộm qua đường truyền vật lý
•• Qua hệ thống sống vô tuyếnQua hệ thống sống vô tuyến
Nghe lén mạngNghe lén mạng
•• Tham gia vào mạngTham gia vào mạng•• Tham gia vào mạngTham gia vào mạng
•• Nhận các gói tin được truyền đến cổng Nhận các gói tin được truyền đến cổng mạngmạng
•• Nếu mạng sử dụng là switch thì cần Nếu mạng sử dụng là switch thì cần phải sử dụng phương pháp man phải sử dụng phương pháp man –– in in ––the the middlemiddle
Nghe lén bằng phần mềm gián điệpNghe lén bằng phần mềm gián điệp1919
Eavesdropping attackEavesdropping attack
EttercapEttercap, Ethereal, , Ethereal, dsniffdsniff, , TCPdumpTCPdump, , SniffitSniffit,... ,...
NhiềuNhiều côngcông cụcụ phầnphần cứngcứng kháckhác thamthamgiagia vàovào cáccác mạngmạng, , phươngphương thứcthứctruyềntruyềntruyềntruyền
2020
Eavesdropping attackEavesdropping attack
Một số phương pháp phòng chống:Một số phương pháp phòng chống:
Sử dụng switch thay cho hubSử dụng switch thay cho hub
Giám sát địa chỉ MACGiám sát địa chỉ MAC
Sử dụng cơ chế mã hóa truyền tin, Sử dụng cơ chế mã hóa truyền tin, và mã hóa theo thời gianvà mã hóa theo thời gianvà mã hóa theo thời gianvà mã hóa theo thời gian
2121
Eavesdropping attackEavesdropping attack
Sử dụng các dịch vụ mã hóa trong Sử dụng các dịch vụ mã hóa trong liên kết: SSL (Secure Sockets Layer), liên kết: SSL (Secure Sockets Layer), thiết lập IPSec và mạng riêng ảo VNP thiết lập IPSec và mạng riêng ảo VNP (Virtual Private Network),… sử dụng (Virtual Private Network),… sử dụng SSH (Secure Shell Host) thay cho SSH (Secure Shell Host) thay cho SSH (Secure Shell Host) thay cho SSH (Secure Shell Host) thay cho Telnet, Rlogin; dùng SFTP (secure Telnet, Rlogin; dùng SFTP (secure FTP) thay vì FTP; dùng giao thức FTP) thay vì FTP; dùng giao thức https thay cho http v.v…https thay cho http v.v…
2222
Eavesdropping attackEavesdropping attack
Sử dụng các phần mềm phát hiện sự Sử dụng các phần mềm phát hiện sự hoạt động của các chương trình nghe hoạt động của các chương trình nghe lén trên mạng như AntiSniff, lén trên mạng như AntiSniff, PromiScan, Promqry and PromqryUI, PromiScan, Promqry and PromqryUI, ARPwatch, Ettercap, v.v… Riêng với ARPwatch, Ettercap, v.v… Riêng với ARPwatch, Ettercap, v.v… Riêng với ARPwatch, Ettercap, v.v… Riêng với Ettercap Ettercap ((http://ettercap.sourceforge.nethttp://ettercap.sourceforge.net), ),
Các công cụ chống tấn công gián Các công cụ chống tấn công gián điệpđiệp
2323
Eavesdropping attackEavesdropping attack
Tạo ra các gói tin có địa chỉ IP giả Tạo ra các gói tin có địa chỉ IP giả mạo không là địa chỉ máy gửi gói tinmạo không là địa chỉ máy gửi gói tin
Vượt qua các kiểm soát về nguồn gốc Vượt qua các kiểm soát về nguồn gốc địa chỉ ipđịa chỉ ip
Phục vụ các mô hình tấn công khác Phục vụ các mô hình tấn công khác Phục vụ các mô hình tấn công khác Phục vụ các mô hình tấn công khác
•• Tấn công về phiênTấn công về phiên
•• Tấn công kiểu phản xạTấn công kiểu phản xạ
Giải phápGiải pháp
•• Không sử dụng xác thực là địa chỉ IPKhông sử dụng xác thực là địa chỉ IP
•• Phát hiện các bất thường về kết nối Phát hiện các bất thường về kết nối mạngmạng 2424
2525
TCP spoofingTCP spoofing
Ta có 2 loại giả mạo địa chỉ IP:Ta có 2 loại giả mạo địa chỉ IP:
Giả mạo bằng cách bắt gói (nonGiả mạo bằng cách bắt gói (nonblind spoofing)blind spoofing), , phânphân tíchtích sốsố thứthứ tựtự, , chocho máymáy cùngcùng mạngmạng..
Giả mạo địa chỉ IP từ xa (blind Giả mạo địa chỉ IP từ xa (blind Giả mạo địa chỉ IP từ xa (blind Giả mạo địa chỉ IP từ xa (blind spoofing ):spoofing ): kháckhác mạngmạng, , có có đượcđược số số TCP sequence chính xác là rất TCP sequence chính xác là rất khó.Tuy nhiên ,khó.Tuy nhiên , với một số kĩ thuật,với một số kĩ thuật,chẳng hạn như định tuyến theo địa chẳng hạn như định tuyến theo địa chỉ nguồn,máy tấn công cũng có thể chỉ nguồn,máy tấn công cũng có thể xác định chính xácxác định chính xác đượcđược chỉ số đó.chỉ số đó. 2626
ĐỊNH TUYẾN THEO NGUỒNĐỊNH TUYẾN THEO NGUỒN
IP source routing là một cơ chế cho IP source routing là một cơ chế cho phép một máy nguồn chỉ ra đường đi phép một máy nguồn chỉ ra đường đi một cách cụ thể và không phụ thuộc một cách cụ thể và không phụ thuộc vào bảng định tuyến của các router.vào bảng định tuyến của các router.
KẻKẻ tấntấn côngcông gửigửi góigói tin tin vàvà đưađưa rara KẻKẻ tấntấn côngcông gửigửi góigói tin tin vàvà đưađưa rarabảngbảng địnhđịnh tuyếntuyến theotheo đườngđường cốcố địnhđịnh. . NơiNơi nhậnnhận góigói tin tin theotheo đúngđúng bảngbảngđịnhtđịnht uyếnuyến cócó sẵnsẵn gửigửi lạilại..
2727
2828
CHỐNG GIẢ MẠO ĐỊA CHỈ IPCHỐNG GIẢ MẠO ĐỊA CHỈ IP
Để làm giảm nguy cơ tấn công giả Để làm giảm nguy cơ tấn công giả mạo địa chỉ IP cho một hệ thống mạo địa chỉ IP cho một hệ thống mạng,ta có thể sử dụng các phương mạng,ta có thể sử dụng các phương pháp sau:pháp sau:Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập Dùng danh sách kiểm tra truy cập (Access Control List(Access Control ListACL) trên các ACL) trên các interface của router.interface của router. Một ACL có thể Một ACL có thể dc dùng để loại bỏ những traffic từ dc dùng để loại bỏ những traffic từ bên ngoài mà lại bên ngoài mà lại đượcđược đóng gói bởi đóng gói bởi một địa chỉ trong mạng cục bộ khi bị một địa chỉ trong mạng cục bộ khi bị lôi cuốn vào một cuộc tấn công Ddos.lôi cuốn vào một cuộc tấn công Ddos.
2929
CHỐNG GIẢ MẠO ĐỊA CHỈ IPCHỐNG GIẢ MẠO ĐỊA CHỈ IP
DùngDùng mật mã xác thực.Nếu cả hai mật mã xác thực.Nếu cả hai đầu của cuộc nói chuyện đã đầu của cuộc nói chuyện đã đượcđược xác xác thực,thực, khả năng tấn công theo kiểu khả năng tấn công theo kiểu MMananininthethemiddle có thể middle có thể đượcđược ngăn ngăn cản.cản.cản.cản.Mã hoá traffic giữa các thiết bị (giữa Mã hoá traffic giữa các thiết bị (giữa 2 router,hoặc giữa 2 hệ thống cuối 2 router,hoặc giữa 2 hệ thống cuối và router) bằng một IPSec tunnelvà router) bằng một IPSec tunnel
3030
3131
Kết luận Kết luận
IP IP giảgiả mạomạo làlà mộtmột vấnvấn đềđề khókhó khănkhănđểđể giảigiải quyếtquyết, , bởibởi vìvì nónó liênliên quanquan đếnđếncấucấu trúctrúc góigói tin IP. tin IP.
MặcMặc dùdù khôngkhông cócó giảigiải pháppháp dễdễ dàngdàngchocho cáccác vấnvấn đềđề giảgiả mạomạo IP, IP, bạnbạn cócóchocho cáccác vấnvấn đềđề giảgiả mạomạo IP, IP, bạnbạn cócóthểthể ápáp dụngdụng mộtmột sốsố phươngphương phápphápchủchủ độngđộng vàvà phảnphản ứngứng đơnđơn giảngiản tạitạicáccác nútnút, , vàvà sửsử dụngdụng cáccác bộbộ địnhđịnhtuyếntuyến trongtrong mạngmạng đểđể giúpgiúp phátphát hiệnhiệnmộtmột góigói tin tin giảgiả mạomạo vàvà theotheo dõidõi nónótrởtrở lạilại vớivới nguồnnguồn cócó nguồnnguồn gốcgốc củacủanónó. .
3232
ManMan--inin--thethe--middle Attackmiddle Attack
3333
1.Khái niệm1.Khái niệm
Tấn công khi làm cho hai bên kết Tấn công khi làm cho hai bên kết nối, hiểu nhầm người thứ 3 là đối tác nối, hiểu nhầm người thứ 3 là đối tác của mìnhcủa mình
Tấn công bằng bộ phát sống giả mạo Tấn công bằng bộ phát sống giả mạo (AP)(AP)(AP)(AP)
•• Sử dụng bộ phát có sóng mạnh hơnSử dụng bộ phát có sóng mạnh hơn
•• Máy kết nối nhầm, hoặc xác thực nhầmMáy kết nối nhầm, hoặc xác thực nhầm
Tấn công bằng làm giả tín hiệu tính Tấn công bằng làm giả tín hiệu tính hiệu ARPhiệu ARP
•• Gửi các thông điệp map giữa IP và MACGửi các thông điệp map giữa IP và MAC
3434
1.Khái niệm1.Khái niệm
3535
1.Khái 1.Khái niệmniệm
Tấn công vào DNSTấn công vào DNS
•• Dựa trên cơ chế gửi và nhận địa chỉ IP Dựa trên cơ chế gửi và nhận địa chỉ IP thông qua tên miềnthông qua tên miền
•• Gửi một địa chỉ IP khác với địa chỉ tên Gửi một địa chỉ IP khác với địa chỉ tên miềnmiền
3636
1.Khái niệm1.Khái niệm
Tấn công vào DNSTấn công vào DNS
3737
a. Phương thức tấn công giả mạo a. Phương thức tấn công giả mạo ARP CacheARP Cache
a.1 a.1 GiảGiả mạomạo ARP Cache (ARP Cache ARP Cache (ARP Cache Poisoning): Poisoning): LàmLàm trungtrung giangian quáquá trìnhtrìnhtruyềntruyền tin.tin.
a.2 a.2 TruyềnTruyền thôngthông AR. AR. GiaoGiao thứcthức ARP ARP đượcđược thiếtthiết kếkế đểđể phụcphục vụvụ chocho nhunhu cầucầuđượcđược thiếtthiết kếkế đểđể phụcphục vụvụ chocho nhunhu cầucầuthôngthông dịchdịch cáccác địađịa chỉchỉ giữagiữa cáccác lớplớp thứthứhaihai vàvà thứthứ baba củacủa mômô hìnhhình OSI. OSI.
////LớpLớp thứthứ haihai ((lớplớp datadatalink) link) sửsử dụngdụngđịađịa chỉchỉ MAC MAC đểđể cáccác thiếtthiết bịbị phầnphần cứngcứngcócó thểthể truyềntruyền thôngthông vớivới nhaunhau mộtmộtcáchcách trựctrực tiếptiếp.. 3838
3939
4040
Giả mạo AP, ARP đưa ra trang web Giả mạo AP, ARP đưa ra trang web trung gian để giả các giao thức SSL, trung gian để giả các giao thức SSL, ……
4141
4242
4. Công cụ MITM tấn công4. Công cụ MITM tấn công
Có một số công cụ để nhận ra một Có một số công cụ để nhận ra một cuộc tấn công MITM.cuộc tấn công MITM. Những công cụ Những công cụ này đặc biệt hiệu quả trong môi này đặc biệt hiệu quả trong môi trường mạng LAN, bởi vì họ thực hiện trường mạng LAN, bởi vì họ thực hiện các chức năng thêm, như khả năng các chức năng thêm, như khả năng các chức năng thêm, như khả năng các chức năng thêm, như khả năng giả mạo arp cho phép đánh chặn của giả mạo arp cho phép đánh chặn của giao tiếp giữa các máy.giao tiếp giữa các máy.
PacketCreatorPacketCreator
EttercapEttercap
DsniffDsniff
Cain e AbelCain e Abel 4343
5. Cách chống lại tấn công MITM5. Cách chống lại tấn công MITM
BảoBảo mậtmật vậtvật lýlý (Physical security) (Physical security) làlàphươngphương pháppháp tốttốt nhấtnhất đểđể chốngchống lạilạikiểukiểu tấntấn côngcông nàynày..
NgoàiNgoài rara, , tata cócó thểthể ngănngăn chặnchặn hìnhhìnhthứcthức tấntấn côngcông nàynày bằngbằng kỹkỹ thuậtthuật mãmãthứcthức tấntấn côngcông nàynày bằngbằng kỹkỹ thuậtthuật mãmãhoáhoá: : mãmã hoáhoá traffic traffic trongtrong mộtmột đườngđườnghầmhầm IPSec, hacker IPSec, hacker sẽsẽ chỉchỉ nhìnnhìn thấythấynhữngnhững thôngthông tin tin khôngkhông cócó giágiá trịtrị..
4444
6. 6. hìnhhình thứcthức tấntấn côngcông MITM:MITM:
GiảGiả mạomạo ARP CacheARP Cache
ChiếmChiếm quyềnquyền điểuđiểu khiểnkhiển SSLSSL
DNS SpoofingDNS Spoofing
4545
Replay attackReplay attack((tấn công phát lạitấn công phát lại))
4646
Thẻ phiênThẻ phiên
Sử dụng thông tin nghe lénSử dụng thông tin nghe lén
•• Lưu trữLưu trữ
•• Gửi lại thông tin đến máy cần để xác Gửi lại thông tin đến máy cần để xác thựcthực
Giải phápGiải pháp Giải phápGiải pháp
•• Xác thực theo phiên (chỉ số phiên)Xác thực theo phiên (chỉ số phiên)
•• Sử dụng phương pháp xác thực lại theo Sử dụng phương pháp xác thực lại theo thời gian (sau thời gian kết nối)thời gian (sau thời gian kết nối)
4747
Mô hình
HIJACKING ATTACKHIJACKING ATTACKKẻ tấn công chiếm quyền điều Kẻ tấn công chiếm quyền điều
khiểnkhiển
Nghe lén trao đổiNghe lén trao đổi
Gửi tín hiệu cắt kết nối clientGửi tín hiệu cắt kết nối client
Tiếp tục kết nối với serverTiếp tục kết nối với server Tiếp tục kết nối với serverTiếp tục kết nối với server
4949
HIJACKING ATTACKHIJACKING ATTACK
5050
I. Thế nào là một kẻ tấn công I. Thế nào là một kẻ tấn công chiếm quyền điều khiển?chiếm quyền điều khiển?
NgheNghe lénlén thôngthông tin tin liênliên lạclạc
ĐợiĐợi kếtkết thúcthúc quáquá trìnhtrình xácxác thựcthực
GửiGửi tíntín hiệuhiệu yêuyêu cầucầu kếtkết thúcthúc
TiếpTiếp tụctục liênliên kếtkết vớivới máymáy còncòn lạilại TiếpTiếp tụctục liênliên kếtkết vớivới máymáy còncòn lạilại
5151
II. Giải phápII. Giải pháp
Tiến hành mã hóa phiênTiến hành mã hóa phiên
Xác thực phiên theo thời gianXác thực phiên theo thời gian
5252
V. Công cụ kẻ tấn công chiếm V. Công cụ kẻ tấn công chiếm quyền điều khiển sử dụng:quyền điều khiển sử dụng:
Có một vài chương trình có sẵn có Có một vài chương trình có sẵn có thể thực hiện được việc chiếm quyền thể thực hiện được việc chiếm quyền điều khiển.điều khiển.
Dưới đây là một vài chương trình Dưới đây là một vài chương trình thuộc loại này:thuộc loại này:thuộc loại này:thuộc loại này:
•• JuggernautJuggernaut
•• HuntHunt
•• IP WatcherIP Watcher
•• TTSightSight
•• Paros HTTP HijackerParos HTTP Hijacker
5353
Tấn công Tấn công
từ chối dịch vụ từ chối dịch vụ
(DoS Attacks)(DoS Attacks)
5454
Tấn công từ chối dịch vụTấn công từ chối dịch vụ
Tấn công làm cho một hệ thống nào Tấn công làm cho một hệ thống nào đó bị quá tải không thể cung cấp đó bị quá tải không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. dịch vụ hoặc phải ngưng hoạt động.
Tấn công kiểu này chỉ làm gián đoạn Tấn công kiểu này chỉ làm gián đoạn hoạt động của hệ thống chứ rất ít có hoạt động của hệ thống chứ rất ít có hoạt động của hệ thống chứ rất ít có hoạt động của hệ thống chứ rất ít có khả năng thâm nhập hay chiếm được khả năng thâm nhập hay chiếm được thông tin dữ liệu của nóthông tin dữ liệu của nó
5555
Các loại tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ cổ điển Tấn công từ chối dịch vụ cổ điển
DoS (Denial of Service)DoS (Denial of Service)
Tấn công từ chối dịch vụ phân tán Tấn công từ chối dịch vụ phân tán
DDoS (Distributed Denial of DDoS (Distributed Denial of Service) Service) Service) Service)
Tấn công từ chối dịch vụ theo Tấn công từ chối dịch vụ theo
phương pháp phản xạ phương pháp phản xạ DRDoS DRDoS (Distributed Reflection Denial (Distributed Reflection Denial of Service).of Service).
5656
Biến thể của tấn công DoS
Broadcast StormsBroadcast Storms
SYNSYN
FingerFinger
PingPing
Flooding,… Flooding,… Flooding,… Flooding,…
5757
Mục tiêu tấn công DoSMục tiêu tấn công DoS
Mục tiêu nhằm chiếm dụng các tài Mục tiêu nhằm chiếm dụng các tài nguyên của hệ thống (máy chủ) như: nguyên của hệ thống (máy chủ) như: Bandwidth, Kernel Table, Swap Bandwidth, Kernel Table, Swap Space, Cache, Hardisk, RAM, CPU,…Space, Cache, Hardisk, RAM, CPU,…
Làm hoạt động của hệ thống bị quá Làm hoạt động của hệ thống bị quá Làm hoạt động của hệ thống bị quá Làm hoạt động của hệ thống bị quá tải dẫn đến không thể đáp ứng được tải dẫn đến không thể đáp ứng được các yêu cầu (request) hợp lệ nữa.các yêu cầu (request) hợp lệ nữa.
5858
Tấn công từ chối dịch vụ cổ điểnTấn công từ chối dịch vụ cổ điển
Là phương thức xuất hiện đầu tiên, Là phương thức xuất hiện đầu tiên, giản đơn nhất trong kiểu tấn công từ giản đơn nhất trong kiểu tấn công từ chối dịch vụ.Các kiểu tấn công thuộc chối dịch vụ.Các kiểu tấn công thuộc phương thức này rất đa dạngphương thức này rất đa dạng
Ví dụ một dạng tấn công tiêu biểu:Ví dụ một dạng tấn công tiêu biểu: Ví dụ một dạng tấn công tiêu biểu:Ví dụ một dạng tấn công tiêu biểu:
•• SYN AttackSYN Attack
5959
Bắt tay ba chiều trong kết nối TCP
6060
Bắt tay ba chiều trong kết nối TCPBắt tay ba chiều trong kết nối TCP
BướcBước 1: Client (1: Client (máymáy kháchkhách) ) sẽsẽ gửigửicáccác góigói tin (packet tin (packet chứachứa SYN=1).SYN=1).
BướcBước 2: Server 2: Server sẽsẽ gửigửi lạilại góigói tin tin SYN/ACK, SYN/ACK, chuẩnchuẩn bịbị tàitài nguyênnguyên chochoviệcviệc yêuyêu cầucầu nàynày..việcviệc yêuyêu cầucầu nàynày..
BướcBước 3: 3: CuốiCuối cùngcùng, client , client hoànhoàn tấttấtviệcviệc bắtbắt taytay baba lầnlần bằngbằng cáchcách hồihồi âmâmlạilại góigói tin tin chứachứa ACK ACK chocho server server vàvàtiếntiến hànhhành kếtkết nốinối. .
6161
DoS dùng kỹ thuật SYN Flood
6262
DoS dùng kỹ thuật SYN Flood
Hacker cài một chương trình phá Hacker cài một chương trình phá hoại (malicious code) vào client.hoại (malicious code) vào client.
Client không hồi đáp tín hiệu ACK Client không hồi đáp tín hiệu ACK (bước 3) về cho server.(bước 3) về cho server.
Server không còn tài nguyên phục vụ Server không còn tài nguyên phục vụ Server không còn tài nguyên phục vụ Server không còn tài nguyên phục vụ cho những yêu cầu truy cập hợp lệ. cho những yêu cầu truy cập hợp lệ.
6363
DoS dùng kỹ thuật SYN Flood
6464
Tấn công từ chối dịch vụ kiểu phân tán (DDoS)
Xuất hiện vào mùa thu 1999Xuất hiện vào mùa thu 1999
So với tấn công DoS cổ điển, sức So với tấn công DoS cổ điển, sức mạnh của DDoS cao hơn gấp nhiều mạnh của DDoS cao hơn gấp nhiều lần. lần.
Hầu hết các cuộc tấn công DDoS Hầu hết các cuộc tấn công DDoS Hầu hết các cuộc tấn công DDoS Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hệ thống dẫn đến hệ thống ngưng hoạt động.hoạt động.
6565
6666
Tấn công từ chối dịch vụ kiểu phân tán (DDoS)
6767
Tấn công từ chối dịch vụ kiểu phân tán (DDoS)
Chiếm dụng và điều khiển nhiều máy Chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian tính/mạng máy tính trung gian (zombie) (zombie)
từ nhiều nơi từ nhiều nơi
để đồng loạt gửi ào ạt các gói tin để đồng loạt gửi ào ạt các gói tin để đồng loạt gửi ào ạt các gói tin để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn (packet) với số lượng rất lớn
nhằm chiếm dụng tài nguyên và làm nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tràn ngập đường truyền của một mục tiêu xác định nào đó.tiêu xác định nào đó.
6868
Tấn công từ chối dịch vụ kiểu phân tán (DDoS)
6969
Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS
Xuất hiện vào đầu năm 2002, là kiểu Xuất hiện vào đầu năm 2002, là kiểu tấn công mới nhất, mạnh nhất trong họ tấn công mới nhất, mạnh nhất trong họ DoS. DoS.
Nếu được thực hiện bởi kẻ tấn công có Nếu được thực hiện bởi kẻ tấn công có tay nghề thì nó có thể hạ gục bất cứ hệ tay nghề thì nó có thể hạ gục bất cứ hệ thống nào trên thế giới trong phút thống nào trên thế giới trong phút chốc.chốc.DRDoS là sự phối hợp giữa hai kiểu DoS DRDoS là sự phối hợp giữa hai kiểu DoS DRDoS là sự phối hợp giữa hai kiểu DoS DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS.và DDoS.
Mục tiêu chính của DRDoS là chiếm Mục tiêu chính của DRDoS là chiếm đoạt toàn bộ băng thông của máy chủ, đoạt toàn bộ băng thông của máy chủ, tức là làm tắc nghẽn hoàn toàn đường tức là làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống của kết nối từ máy chủ vào xương sống của Internet và tiêu hao tài nguyên máy Internet và tiêu hao tài nguyên máy chủ.chủ.
7070
7171
Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS
Với nhiều server lớn tham gia nên Với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị quá server mục tiêu nhanh chóng bị quá tải, bandwidth bị chiếm dụng bởi tải, bandwidth bị chiếm dụng bởi server lớn.server lớn.
Tính “nghệ thuật” là ở chỗ chỉ cần với Tính “nghệ thuật” là ở chỗ chỉ cần với Tính “nghệ thuật” là ở chỗ chỉ cần với Tính “nghệ thuật” là ở chỗ chỉ cần với một máy tính với modem 56kbps, một máy tính với modem 56kbps, một hacker lành nghề có thể đánh một hacker lành nghề có thể đánh bại bất cứ máy chủ nào trong giây lát bại bất cứ máy chủ nào trong giây lát mà không cần chiếm đoạt bất cứ mà không cần chiếm đoạt bất cứ máy nào để làm phương tiện thực máy nào để làm phương tiện thực hiện tấn công.hiện tấn công.
7272
Password attackPassword attack
Định nghĩaĐịnh nghĩa
•• Tấn công bằng mật khẩu là một kiểu Tấn công bằng mật khẩu là một kiểu phần mềm tấn công, trong đó kẻ tấn phần mềm tấn công, trong đó kẻ tấn công cố gắng đoán mật khẩu hoặc crack công cố gắng đoán mật khẩu hoặc crack công cố gắng đoán mật khẩu hoặc crack công cố gắng đoán mật khẩu hoặc crack mật khẩu mã hóa các file. mật khẩu mã hóa các file.
7373
Tấn công reset mật khẩuTấn công reset mật khẩu
Nghe lén mật khẩuNghe lén mật khẩu
Tấn công dò mật khẩuTấn công dò mật khẩu
7474
Tấn công reset mật khẩuTấn công reset mật khẩu
•• Biết cơ chế mã hóaBiết cơ chế mã hóa
•• Biết vị trí mã hóaBiết vị trí mã hóa
•• Khả năng truy xuất vào khu vực lưu trữ mã Khả năng truy xuất vào khu vực lưu trữ mã hóahóa
•• Tiến hành tính toán mật khẩu mới lưu vào Tiến hành tính toán mật khẩu mới lưu vào •• Tiến hành tính toán mật khẩu mới lưu vào Tiến hành tính toán mật khẩu mới lưu vào vị trí lưu trữvị trí lưu trữ
7575
Nghe lénNghe lén
•• Nghe lén, trộm mật khẩu lưu trữ vật lýNghe lén, trộm mật khẩu lưu trữ vật lý
•• Nghe lén thông tin từ đó nhận được được Nghe lén thông tin từ đó nhận được được mật khẩu không mã hóamật khẩu không mã hóa
•• Nghe lén và lưu nhận mật khẩu đã mã hóa Nghe lén và lưu nhận mật khẩu đã mã hóa từ đó tiến hành gửi lại xác thực sautừ đó tiến hành gửi lại xác thực sautừ đó tiến hành gửi lại xác thực sautừ đó tiến hành gửi lại xác thực sau
7676
Dò mật khẩuDò mật khẩu
•• Dò mật khẩu từ thông tin thu nhận được từ Dò mật khẩu từ thông tin thu nhận được từ đối tượng bị tấn côngđối tượng bị tấn công
•• Dò tìm mật khẩu thông qua từ điển (đưa ra Dò tìm mật khẩu thông qua từ điển (đưa ra các mật khẩu có thể có theo thống kê)các mật khẩu có thể có theo thống kê)
•• Dò mật theo kiểu vét cạn, tất cả các trường Dò mật theo kiểu vét cạn, tất cả các trường •• Dò mật theo kiểu vét cạn, tất cả các trường Dò mật theo kiểu vét cạn, tất cả các trường hợp mật khẩu có thể cóhợp mật khẩu có thể có
7777
Cách phòng tránhCách phòng tránh
oo Không cho phép user dùng cùng Không cho phép user dùng cùng password trên các hệ thống.password trên các hệ thống.
oo Làm mất hiệu lực account sau một vài lần Làm mất hiệu lực account sau một vài lần loginlogin không thành công. không thành công. loginlogin không thành công. không thành công.
oo Không dùng Không dùng passwordspasswords dạng clear textdạng clear text
oo Dùng Dùng strong passwordsstrong passwords
7878
Định nghĩaĐịnh nghĩa
-- Misuse of Privilege Attack ( Cuộc tấn công sử Misuse of Privilege Attack ( Cuộc tấn công sử dụng sai các đặc quyền) là một loại phần mềm dụng sai các đặc quyền) là một loại phần mềm tấn công, trong đó kẻ tấn công sử dụng đặc tấn công, trong đó kẻ tấn công sử dụng đặc quyền quản trị hệ thống để truy cập dữ liệu quyền quản trị hệ thống để truy cập dữ liệu nhạy cảmnhạy cảm. . Loại tấn công này thường liên quan Loại tấn công này thường liên quan nhạy cảmnhạy cảm. . Loại tấn công này thường liên quan Loại tấn công này thường liên quan đến một nhân viên, với một số quyền quản trị đến một nhân viên, với một số quyền quản trị trên một máy tính, một nhóm các máy móc hay trên một máy tính, một nhóm các máy móc hay một số phần của hệ thống mạngmột số phần của hệ thống mạng
7979
8080
Ví dụVí dụMMột quản trị mạng có khả năng truy cập ột quản trị mạng có khả năng truy cập vào các tập tin vào các tập tin về thông tin cá nhân về thông tin cá nhân được lưu trữ trong cơ sở dữ liệu là một được lưu trữ trong cơ sở dữ liệu là một trong những tài nguyên quan trọngtrong những tài nguyên quan trọng như là như là cơ sở dữ liệu nhận dạng của công ancơ sở dữ liệu nhận dạng của công an. . Từ các tập tin Từ các tập tin về thông tin cá nhân về thông tin cá nhân cơ sở dữ liệu nhận dạng của công ancơ sở dữ liệu nhận dạng của công an. . Từ các tập tin Từ các tập tin về thông tin cá nhân về thông tin cá nhân nàynày, anh ta có thể lấy tên đầy đủ, địa chỉ, , anh ta có thể lấy tên đầy đủ, địa chỉ, số an sinh xã hội, và các dữ liệu khác, mà số an sinh xã hội, và các dữ liệu khác, mà cócó ththểể có thể bán cho những người có thể có thể bán cho những người có thể sử dụng nó cho tội phạm liên quan đến sử dụng nó cho tội phạm liên quan đến gian lận nhận dạng.gian lận nhận dạng.
8181
Nguyên lý tấn công.Nguyên lý tấn công.Nhân viên có quyền truy cập hệ thống Nhân viên có quyền truy cập hệ thống và các dữ liệu nhạy cảm, nhân viên này và các dữ liệu nhạy cảm, nhân viên này sử dụng các hình thức để ăn cắp dữ liệu sử dụng các hình thức để ăn cắp dữ liệu nhạy cảm để bán ra ngoài:nhạy cảm để bán ra ngoài:
Lấy cắp dữ liệu nhạy cảm và chuyển ra Lấy cắp dữ liệu nhạy cảm và chuyển ra ngoài hệ thốngngoài hệ thốngngoài hệ thốngngoài hệ thống
Cung cấp username, password cho Cung cấp username, password cho những người ngoài hệ thống để xâm những người ngoài hệ thống để xâm nhập hệ thốngnhập hệ thống
Cấp quyền truy cập cho những người Cấp quyền truy cập cho những người ngoài hệ thống, dẫn đến mất mát dữ ngoài hệ thống, dẫn đến mất mát dữ liệuliệu
8282
Cách phòng chống.Cách phòng chống.
oo Mỗi nhân viên chỉ được cung cấp một Mỗi nhân viên chỉ được cung cấp một quyền rất nhỏ để truy cập vào từng quyền rất nhỏ để truy cập vào từng phần của hệ thống, không cho phép phần của hệ thống, không cho phép 1 nhân viên có quyền can thiệp vào 1 nhân viên có quyền can thiệp vào 1 nhân viên có quyền can thiệp vào 1 nhân viên có quyền can thiệp vào hệ thốnghệ thống
oo Những chức năng quan trọng của hệ Những chức năng quan trọng của hệ thống phải được đảm bảo do admin thống phải được đảm bảo do admin tin cậy của hệ thống quản lýtin cậy của hệ thống quản lý
8383
Attacks Against the Default Security Attacks Against the Default Security ConfigurationConfiguration
Tấn công vào cấu hình mặc định của Tấn công vào cấu hình mặc định của hệ thốnghệ thống
•• Các mật khẩu mặc địnhCác mật khẩu mặc định•• Các mật khẩu mặc địnhCác mật khẩu mặc định
•• Cấu hình dịch vụ mặc địnhCấu hình dịch vụ mặc định
•• Các thiết lập mặc địnhCác thiết lập mặc định
8484
Software Exploitation AttacksSoftware Exploitation Attacks
•• Tấn công vào lỗ hổng của các ứng dụngTấn công vào lỗ hổng của các ứng dụng
•• Hệ điều hànhHệ điều hành
•• Các ứng dụng thông dụng của bên thứ 3 Các ứng dụng thông dụng của bên thứ 3 cung cấp: SQL server, Oracle server, IE, cung cấp: SQL server, Oracle server, IE, cung cấp: SQL server, Oracle server, IE, cung cấp: SQL server, Oracle server, IE, Firefox, …Firefox, …
8585
AUDIT ATTACKS
TìTình hunh huốống ng cụ cụ ththểể::
•• MộtMột trongtrong cáccác bướcbước quanquan trọngtrọng củacủahacker hacker khikhi đãđã thâmthâm nhậpnhập đượcđược vàovàoServer Server làlà tìmtìm cáchcách xóaxóa dấudấu tíchtích củacủamìnhmình trongtrong Audit Record.Audit Record.
CóCó nhiềunhiều cáchcách đểđể xóaxóa log log nàynày 1 1 cáchcách CóCó nhiềunhiều cáchcách đểđể xóaxóa log log nàynày, , 1 1 cáchcáchrấtrất đơnđơn giảngiản vàvà hiệuhiệu quảquả làlà dùngdùng tool tool auditpolauditpol..
•• AuditpolAuditpol khôngkhông xóaxóa file logfile log màmà nónó chỉchỉdisable disable chứcchức năngnăng auditaudit..
•• BạnBạn cũngcũng cócó thểthể enable enable chứcchức năngnăng nàynàysausau khikhi rútrút luilui.. 8686
AUDIT ATTACKS
CáchCách dùngdùng auditpolauditpol rấtrất dễdễ. . TrướcTrước tiêntiênbạnbạn thửthử kiểmkiểm tratra xemxem máymáy victim victim cócóbậtbật chếchế độđộ audit audit khôngkhông ::C:C:\\auditpol auditpol IP_victimIP_victim Running ... (X) Audit Running ... (X) Audit
Enabled Enabled AuditCategorySystemAuditCategorySystem = Success and = Success and Failure Failure AuditCategoryLogonAuditCategoryLogon = Success and = Success and Failure Failure AuditCategoryLogonAuditCategoryLogon = Success and = Success and Failure Failure AuditCategoryObjectAccessAuditCategoryObjectAccess = Success = Success and Failure and Failure AuditCategoryPrivilegeUseAuditCategoryPrivilegeUse = = Success and Failure Success and Failure AuditCategoryDetailedTrackingAuditCategoryDetailedTracking = Success and = Success and Failure Failure AuditCategoryPolicyChangeAuditCategoryPolicyChange = Success = Success and Failure and Failure AuditCategoryAccountManagementAuditCategoryAccountManagement= Success and Failure Unknown = Success and = Success and Failure Unknown = Success and Failure Unknown = Success and FailureFailure Unknown = Success and Failure 8787
AUDIT ATTACKS
Nó sẽ hiện ra tất cả các chức năng Nó sẽ hiện ra tất cả các chức năng của audit và tình trạng hiện thời của của audit và tình trạng hiện thời của các chức năng đó ( đang bật hay tắt các chức năng đó ( đang bật hay tắt ) Cái mà bạn cần lưu tâm nhất là ) Cái mà bạn cần lưu tâm nhất là ) Cái mà bạn cần lưu tâm nhất là ) Cái mà bạn cần lưu tâm nhất là dòng thông báo đầu tiên " (X) Audit dòng thông báo đầu tiên " (X) Audit Enabled ".Enabled ".
Như vậy audit trên máy victim đang Như vậy audit trên máy victim đang họat động. Ta chỉ cần tắt audit bằng họat động. Ta chỉ cần tắt audit bằng lệnh: lệnh:
8888
AUDIT ATTACKS
C:C:\\auditpol auditpol IP_victimIP_victim /disable Running ... Audit /disable Running ... Audit information changed successfully on information changed successfully on IP_victimIP_victim... New audit policy on ... New audit policy on IP_victimIP_victim ... ( 0 ) Audit ... ( 0 ) Audit Disabled Disabled AuditCategorySystemAuditCategorySystem = No = No AuditCategoryLogonAuditCategoryLogon = No = No AuditCategoryObjectAccessAuditCategoryObjectAccess = No = No AuditCategoryPrivilegeUseAuditCategoryPrivilegeUse = No = No AuditCategoryPrivilegeUseAuditCategoryPrivilegeUse = No = No AuditCategoryDetailedTrackingAuditCategoryDetailedTracking = No = No AuditCategoryPolicyChangeAuditCategoryPolicyChange = No = No AuditCategoryAccountManagementAuditCategoryAccountManagement = No = No Unknown = No Unknown = No Unknown = No Unknown = No
BâyBây giờgiờ thìthì bạnbạn yênyên tâmtâm tungtung hòanhhòanh trongtrongmáymáy victim victim màmà khôngkhông sợsợ bịbị theotheo dõidõi... ... TrướcTrước khikhi logoflogoff f trảtrả lạilại trạngtrạng tháithái ban ban đầuđầu chocho audit . audit .
8989
Takeover Attacks
Tấn công takeover là 1 kiểu tấn Tấn công takeover là 1 kiểu tấn công phần mềm đó là nơi mà kẻ công phần mềm đó là nơi mà kẻ tấn công truy cập hệ thống , điều tấn công truy cập hệ thống , điều khiển máy chủ và kiểm soát hệ khiển máy chủ và kiểm soát hệ thống. thống. thống. thống.
Một kẻ tấn công có thể sử dụng Một kẻ tấn công có thể sử dụng bất kỳ các kiểu tấn công mà chúng bất kỳ các kiểu tấn công mà chúng ta xác định được cho đến nay để ta xác định được cho đến nay để truy cập đươc hệ thống bao gốm IP truy cập đươc hệ thống bao gốm IP spoofing và backdoor. spoofing và backdoor.
9090
Malicious Software
9191
Viruses
Nó là các chương trình bản sao Nó là các chương trình bản sao truyền đi bằng cách lây nhiễm tới các truyền đi bằng cách lây nhiễm tới các máy tính khác (Selfmáy tính khác (Selfreplicating replicating programs that spread by “infecting” programs that spread by “infecting” other programs)other programs)other programs)other programs)
Gây tổn hại và tốn tiền của Gây tổn hại và tốn tiền của (Damaging and costly)(Damaging and costly)
9292
9393
Virus Databases
9494
Evolution of Virus Propagation Techniques
9595
Protecting Against Viruses
Giải pháp để bảo vệ virus tấn công :Giải pháp để bảo vệ virus tấn công :•• Cài chương trình diệt virus trên máy Cài chương trình diệt virus trên máy
tínhtính
•• Virus filters for eVirus filters for email serversmail servers
•• Tìm và diệt virus nhiễm trên các thiết bị Tìm và diệt virus nhiễm trên các thiết bị mạngmạngmạngmạng
Instill good behaviors in users and Instill good behaviors in users and system administratorssystem administrators•• Keep security patches and virus Keep security patches and virus
signature databases up to date signature databases up to date
9696
Backdoor
Remote access program Remote access program surreptitiously installed on user surreptitiously installed on user computers that allows attacker to computers that allows attacker to control behavior of victim’s computercontrol behavior of victim’s computer
Also known as remote access TrojansAlso known as remote access Trojans
ExamplesExamples ExamplesExamples•• Back Orifice 2000 (BO2K)Back Orifice 2000 (BO2K)
•• NetBusNetBus
Detection and eliminationDetection and elimination•• UpUptotodate antivirus softwaredate antivirus software
•• Intrusion detection systems (IDS)Intrusion detection systems (IDS)
9797
9898
9999
Trojan Horses
Class of malware that uses social Class of malware that uses social engineering to spreadengineering to spread
Types of methodsTypes of methods
•• Sending copies of itself to all recipients Sending copies of itself to all recipients in user’s address bookin user’s address bookin user’s address bookin user’s address book
•• Deleting or modifying filesDeleting or modifying files
•• Installing backdoor/remote control Installing backdoor/remote control programsprograms
100100
Logic Bombs
Set of computer instructions that lie Set of computer instructions that lie dormant until triggered by a specific dormant until triggered by a specific eventevent
Once triggered, the logic bomb Once triggered, the logic bomb performs a malicious taskperforms a malicious taskperforms a malicious taskperforms a malicious task
Almost impossible to detect until Almost impossible to detect until after triggeredafter triggered
Often the work of former employeesOften the work of former employees
For example: macro virusFor example: macro virus•• Uses autoUses autoexecution feature of specific execution feature of specific
applicationsapplications 101101
Worms
SelfSelfcontained program that uses contained program that uses security flaws such as buffer security flaws such as buffer overflows to remotely compromise a overflows to remotely compromise a victim and replicate itself to that victim and replicate itself to that systemsystem
Do not infect other executable Do not infect other executable Do not infect other executable Do not infect other executable programsprograms
Account for Account for 8080% of all malicious % of all malicious activity on Internetactivity on Internet
Examples: Code Red, Code Red II, Examples: Code Red, Code Red II, NimdaNimda
102102
Defense Against Worms
Latest security updates for all Latest security updates for all serversservers
Network and hostNetwork and hostbased IDSbased IDS
Antivirus programsAntivirus programs
103103
Backdoor Attacks
►► Tấn công backdoor là một kiểu tấn Tấn công backdoor là một kiểu tấn công phần mềm, đó là nơi mà kẻ tấn công phần mềm, đó là nơi mà kẻ tấn công tạo ra một cơ chế cho phép công tạo ra một cơ chế cho phép truy nhập vào một máy tính bằng truy nhập vào một máy tính bằng cách sử dụng một phần mềm hoặc cách sử dụng một phần mềm hoặc cách sử dụng một phần mềm hoặc cách sử dụng một phần mềm hoặc tạo thêm một tài khoản người dùng. tạo thêm một tài khoản người dùng.
104104
105105
nếu nó không được tìm thấy và gỡ nếu nó không được tìm thấy và gỡ bỏ, nó có thể tồn tại mãi mãi , bỏ, nó có thể tồn tại mãi mãi , lắng nghe trên một trong số các lắng nghe trên một trong số các cổng (logic) cổng (logic)
Tạo ra cho kẻ tấn công một con Tạo ra cho kẻ tấn công một con đường dễ dàng vào hệ thống và có đường dễ dàng vào hệ thống và có thể thực hiện bất cứ một lệnh nàothể thực hiện bất cứ một lệnh nào
106106
Thông thường thì backdoor dược Thông thường thì backdoor dược thực hiện qua việc sử dụng một số thực hiện qua việc sử dụng một số Trojan horse hoặc một số mã độc Trojan horse hoặc một số mã độc hại khác, tấn công backdoor hại khác, tấn công backdoor thường không thể phát hiện bởi thường không thể phát hiện bởi thường không thể phát hiện bởi thường không thể phát hiện bởi chúng không để lại bất cứ dấu vết chúng không để lại bất cứ dấu vết gì.gì.
107107
Mục đích
Lấy thông tin của các tài khoản cá Lấy thông tin của các tài khoản cá nhân như: Email, Password, nhân như: Email, Password, Usernames, dữ liệu mật …Usernames, dữ liệu mật …
Lây nhiễm các phần mềm ác tính Lây nhiễm các phần mềm ác tính khác như là viruskhác như là viruskhác như là viruskhác như là virus
Đọc lén các thông tin cần thiết và Đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác (xem gửi báo cáo đến nơi khác (xem thêm phần mềm gián điệp)thêm phần mềm gián điệp)
Cài đặt lén các phần mềm chưa Cài đặt lén các phần mềm chưa được cho phépđược cho phép
108108
Cách phòng chống
Cách hữu hiệu nhất là đừng bao Cách hữu hiệu nhất là đừng bao giờ mở các đính kèm được gửi đến giờ mở các đính kèm được gửi đến một cách bất ngờ. Khi các đính một cách bất ngờ. Khi các đính kèm không được mở ra thì Trojan kèm không được mở ra thì Trojan horse cũng không thể hoạt động. horse cũng không thể hoạt động. Cẩn thận với ngay cả các thư điện Cẩn thận với ngay cả các thư điện Cẩn thận với ngay cả các thư điện Cẩn thận với ngay cả các thư điện tử gửi từ các địa chỉ quen biết. tử gửi từ các địa chỉ quen biết. Trong trường hợp biết chắc là có Trong trường hợp biết chắc là có đính kèm từ nơi gửi quen biết thì đính kèm từ nơi gửi quen biết thì vẩn cần phải thử lại bằng các vẩn cần phải thử lại bằng các chương trình chống virus trước khi chương trình chống virus trước khi mở nó. mở nó. 109109
Tấn công mạng máy tínhTấn công mạng máy tính
Port scan attackPort scan attack
Eavesdropping attackEavesdropping attack
IP spoofing attackIP spoofing attack
ManManininthethemiddle Attackmiddle Attack
Replay attackReplay attack Replay attackReplay attack
Hijacking AttackHijacking Attack
Denial of Service / Distributed Denial Denial of Service / Distributed Denial of Service (of Service (DoSDoS//DDoSDDoS) Attacks) Attacks
CácCác loạiloại tấntấn côngcông phầnphần mềmmềm
110110
BàiBài tậptập
11. . CácCác loạiloại hìnhhình tấntấn côngcông vàovào phiênphiênlàmlàm việcviệc, , phânphân biệtbiệt kháckhác biệtbiệt? ? CáchCáchthứcthức phòngphòng chốngchống, , khảkhả năngnăng tấntấncôngcông trongtrong cáccác giaogiao thứcthức mớimới IPSec, IPSec, IPvIPv66, SSL, …?, SSL, …?IPvIPv66, SSL, …?, SSL, …?
22. . SựSự nguynguy hiểmhiểm củacủa cáccác mômô hìnhhình tấntấncôngcông DoSDoS mớimới nhưnhư DDoSDDoS, , DRDoSDRDoS? ? VìVì saosao cáccác hệhệ thốngthống giảmgiảm tấntấn côngcôngphầnphần mềmmềm làlà mộtmột phầnphần hạnhạn chếchế tấntấncôngcông DoSDoS mớimới??
111111
BàiBài tậptập
3. 3. PhânPhân tíchtích sựsự phứcphức tạptạp vàvà nguynguy hiểmhiểmcủacủa tấntấn côngcông phầnphần mềmmềm vớivới nhiềunhiềuloạiloại hìnhhình cùngcùng kếtkết hợphợp? ? NêuNêu víví dụdụ vềvềsựsự kếtkết hợphợp cáccác loạiloại hìnhhình tấntấn côngcôngphầnphần mềmmềm vớivới nhaunhau??phầnphần mềmmềm vớivới nhaunhau??
112112
NộiNội dung dung chuẩnchuẩn bịbị
11. . TìmTìm hiểuhiểu quyquy trìnhtrình đểđể phátphát triểntriển mộtmộtphầnphần mềmmềm? ? PhânPhân bốbố thờithời lượnglượng thựcthựchiệnhiện cáccác phầnphần? ? TìmTìm hiểuhiểu sựsự tuântuân thủthủphânphân bốbố thờithời giangian củacủa phátphát triểntriển cáccácphầnphần mềmmềm cáccác nhómnhóm màmà emem tiếptiếpphầnphần mềmmềm cáccác nhómnhóm màmà emem tiếptiếpcậncận đượcđược??
22. . TìmTìm hiểuhiểu cáccác phươngphương thứcthức tấntấn côngcôngSQLSQLinjection, injection, tìmtìm hiểuhiểu cáccác video video giớigiới thiệuthiệu vềvề tấntấn côngcông nàynày??
113113
NộiNội dung dung chuẩnchuẩn bịbị
3. 3. TìmTìm hiểuhiểu cáccác hìnhhình thứcthức tấntấn côngcôngXSS? XSS? CácCác video video vềvề giớigiới thiệuthiệu tấntấncôngcông XSS?XSS?
4. 4. TìmTìm hiểuhiểu giớigiới thiệuthiệu mộtmột lổlổ hổnghổng do do khaikhai thácthác lỗilỗi tràntràn bộbộ đệmđệm trêntrên cáccáckhaikhai thácthác lỗilỗi tràntràn bộbộ đệmđệm trêntrên cáccáchệhệ thốngthống nhưnhư windows, windows, sqlsql, …?, …?
114114