LOGO Ứng Dụng Truyền Thông & An Ninh Thông Tin Phân Tích Đặc Điểm Gói Tin Analyzing Packet Signatures Giảng viên : Th.s Tô Nguyễn Nhật Quang Nhóm 3: Nguyễn Thành 08520347 Nguyễn Hữu Ru 08520582 Trần Minh Kỳ 08520558 Trần Quang Khánh 08520552 1 Đặc điểm các truy cập bất thường Đặc điểm các truy cập thông thường Đặc điểm của các lưu lượng có hại Mô tả lợi ích của các chuẩn CVE Khái niệm Tổng quan 2 Khái Niệm Phân tích đặc điểm gói tin là gì? Mục đích của phân tích các đặc điểm Các file log (nhật ký) của ứng dụng Làm thể nào để bắt các gói tin ? 4 1 2 3 3 Common Vulnerabilities and Exposures – CVE 1 Là danh sách các tên tiêu chuẩn cho các lỗ hổng và các lỗi bảo mật khác. 2 Mục tiêu của CVE là tạo nên sự dễ dàng cho việc chia sẻ dữ liệu thông qua các cơ sơ dữ liệu về lỗ hổng riêng biệt và các công cụ bảo mật. 3 Nội dung của CVE là một kết quả của một nổ lực hợp tác của các thành viên CVE. 4 Phân Loại CVE 321  Tên CVE bao gồm: Tên là một mã của năm và một số n duy nhất cho các ứng cử viên thứ n được đề xuất trong năm đó. Một mô tả ngắn gọn về các lỗ hổng và lỗi bảo mật. Bất kỳ tài liệu tham khảo thích hợp.  Phiên bản CVE hiện nay là 20010507. Trong đó, tất cả các lỗ hỏng đã biết được liệt kê bằng một con số duy nhất và bất kỳ tài liệu tham khảo có liên quan tới lỗ hỏng được áp dụng. 5 Phân Loại CVE (tt) Các minh họa sau đây cho thấy một vài phân loại lỗ hổng. 6 Đặc điểm các cuộc tấn công 1 Exploit 2 Reconnaissance scan 3 Tấn công DoS 7 Khai thác các lỗi thông thường CGI Script C G I B u g P H F C G I S c r i p t CGI Script truyền nhiễm trực tiếp vào lệnh shell thông qua việc sử dụng siêu kí tự shell Các tập lệnh CGI nổi tiếng khác mà những kẻ xâm nhập có thể cố gắng khai thác là TextCounter, GuestBook , EWS, info2www, Count.cgi,v.v… thư viện vận chuyển PHF 8 Khai thác các lỗi thông thường (tt) - Một tên file có thể bao gồm một chuỗi / trong tên đường dẫn đến một nơi nào đó trong file hệ thống, cho phép người dùng lấy file bất kì. - Làm tràn bộ nhớ đệm trong trường request hoặc một trong các trường HTTP khác. Tấn công web server - Các lỗi liên quan đến sự tương tác của web server với hệ thống điều hành cơ bản. - Các server từ lâu đã có vấn đề với các URL. Ví dụ như vấn đề “chết bởi nghìn gạch chéo” 9 Tấn công Web Browser FramesURL Java Active- X HTTP JavaScript 10 Khai thác các lỗi thông thường (tt) [...]... gói tin Ping 20 Các dấu hiệu của lưu lượng bình thường (tt) 3 Các dấu hiệu của gói tin Web 21 Các dấu hiệu của lưu lượng bình thường (tt) 4 Các dấu hiệu của gói tin FTP 22 Các dấu hiệu của lưu lượng bình thường (tt) 5 Các dấu hiệu của gói tin Telnet 23 Đặc điểm các lưu lượng bất thường 1 Ping Sweeps Một tập tin log khi thực hiện ping 24 Đặc điểm các lưu lượng bất thường (tt) 2 Quét Port 25 Tập tin. .. Attacks Tràn SYN (SYN Floods) Land Attack WinNuke Attacks 17 Các dấu hiệu của lưu lượng bình thường  Phần này sẽ mô tả một vài loại dấu hiệu quen thuộc trong những lưu lượng mạng thường ngày Ví dụ như ping, web browsing, FTP và các phiên kết nối telnet 1 Snort Logs 2 Các dấu hiệu của gói tin Ping 3 Các dấu hiệu của gói tin Web 4 Các dấu hiệu của gói tin FTP 5 Các dấu hiệu của gói tin Telnet 18 Các dấu hiệu...Khai thác các lỗi thông thường (tt) lỗ hổng trong các lệnh DEBUG hay tính năng ẩn WIZ Tấn công SMTP cố gắng làm tràn độ đệm các cuộc tấn công do thám 11 Khai thác các lỗi thông thường (tt) • Tấn công IMAP Người dùng lấy lại mail từ các server thông qua giao thức IMAP • Tràn DNS là một cái tên DNS quá dài để gửi đến server • Những server dể bị tấn công sẽ tin những câu trả lời Tràn bộ đệm... chọn để thực hiện các cách quét khác nhau thông qua việc thực hiện đầy đủ quá trình bắt tay ba bước như đã thảo luận trước đó là IDS khác nhau sẽ ghi nhận quá trình kết nối khác nhau 27 Đặc điểm các lưu lượng bất thường (tt) 5 Quét Ack bằng Nmap Tập tin ghi nhận quá trình quét Ack bằng Nmap 28 Đặc điểm các lưu lượng bất thường (tt) 6 Quét Syn với Nmap Tập tin ghi nhận quá trình quét Syn bằng Nmap 29... 29 Đặc điểm các lưu lượng bất thường (tt) 7 Quét Fin với Nmap Tập tin ghi nhận quá trình quét Fin bằng Nmap 30 Đặc điểm các lưu lượng bất thường (tt) 8 Quét XMAS với Nmap Tập tin ghi nhận quá trình quét XMAS bằng Nmap 31 Đặc điểm các lưu lượng bất thường (tt) 9 Quét Null bằng Nmap Tập tin ghi nhận quá trình quét Null bằng Nmap 32 LOGO Thank You! 33 ... các lưu lượng bất thường (tt) 3 Đặc điểm của backdoor và Trojan Horse 26 Đặc điểm các lưu lượng bất thường (tt) 4 Quét với công cụ Nmap Nmap là một trong những công cụ phổ biến nhất để quét mạng Công cụ này có khả năng thực hiện nhiều loại quét kiểm tra khác nhau Là một công cụ có nhiều tùy chọn, Nmap cho phép quét các mạng bằng cách sử dụng gần như tất cả các tùy chọn có thể Một trong những lý do... thức IMAP • Tràn DNS là một cái tên DNS quá dài để gửi đến server • Những server dể bị tấn công sẽ tin những câu trả lời Tràn bộ đệm DNS Cache Poisoning mà bạn gửi cùng với câu hỏi 12 Khai thác các lỗi thông thường (tt) IP Spoofing IP Spoofing 13 Hình thức quét do thám phổ biến Ping Sweeps Ping Sweeps 14 Hình thức quét do thám phổ biến (tt) Quét Port 1 Quét thăm dò TCP mở (lắng nghe) cổng TCP 2 Quét . LOGO Ứng Dụng Truyền Thông & An Ninh Thông Tin Phân Tích Đặc Điểm Gói Tin Analyzing Packet Signatures Giảng viên : Th.s Tô Nguyễn Nhật Quang Nhóm 3: Nguyễn Thành 08520347 Nguyễn. điểm gói tin là gì? Mục đích của phân tích các đặc điểm Các file log (nhật ký) của ứng dụng Làm thể nào để bắt các gói tin ? 4 1 2 3 3 Common Vulnerabilities and Exposures – CVE 1 Là danh sách. khảo có liên quan tới lỗ hỏng được áp dụng. 5 Phân Loại CVE (tt) Các minh họa sau đây cho thấy một vài phân loại lỗ hổng. 6 Đặc điểm các cuộc tấn công 1 Exploit 2 Reconnaissance scan 3 Tấn công