Trờng cao đẳng nghề đồng tháp Khoa công nghệ thông tin Bi giảng: AN TON V BảO MậT MạNG Biên soạn: Khoa Công Nghệ Thông Tin Cao Đẳng Nghề Đồng Tháp Đồng Tháp, 9/2008 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Mc lc CHNG TNG QUAN V BO MT V AN TON MNG TNG QUAN V AN TON BO MT MNG: 1.1 Gii thiu v AAA: (Access Control, Authentication v Auditing): 1.2 iu khin truy cp (Access Control): 1.3 Xỏc thc (Authentication): CC DNG TN CễNG: 2.1 Gii thiu: 2.2 Minh ho khỏi quỏt mt qui trỡnh tn cụng: 2.3 Tn cụng ch ng: Tn cụng th ng: 14 2.5 Password Attacks: 20 2.6 Malicous Code Attacks: .23 CC PHNG PHP PHềNG CHNG: .24 3.1 Gii thiu cụng c Essential NetTools: .24 3.2 Gii thiu cụng c Microsoft Baseline Security Analyzer: .24 3.3 S dng cụng c Tenable NeWT Scanner: 25 3.4 Xõy dng Firewall hn ch tn cụng: 25 CHNG 27 BO MT VI LC GểI IP 27 Gúi Tin (Packet): 27 1.1 Packet l gỡ? 27 1.2 Gúi IP: 27 1.3 Gúi UDP: .30 1.4 Gúi TCP: .31 Bo Mt Vi Lc Gúi: 32 2.1 Khỏi Quỏt V Lc Gúi: 32 2.2 Cỏc Bc Xõy Dng Lut Bo Mt Trong IPSEC: 33 2.3 Lc Gúi IP Da Trờn Thit B Phn Cng 42 Chng 45 IPSEC 45 (Internet protocol security) 45 Tng quan 45 Cu trỳc bo mt .45 Hin trng 46 Thit k theo yờu cu 46 Technical details 47 Implementations - thc hin .49 CHNG 53 NAT 53 (Network Address Translation) 53 Nat L Gỡ ? 53 Mụ Hỡnh Mng Ca Dch V Nat 53 Trang AT&BM Mng Khoa CNTT Trng CN ng Thỏp Nguyờn L Hot ng Ca NAT .53 Trin Khai Dch V Nat .55 4.1 Yờu Cu: .55 4.2 Trin khai dch v Nat: .55 CHNG 61 VIRUS 61 V CCH PHềNG CHNG 61 Virus 61 1.1 Virus l gỡ ? 61 1.2 Phõn Loi: 61 1.3 c im Ca B-Virus: .62 1.4 c im Ca F-Virus: 66 Phũng Chng Virus: 69 2.1 Ci t Chng Trỡnh Symantec Antivirus Server (Server Intall): 69 2.2 Ci t Chng Trỡnh Symantec System Center: .73 a Chc nng: 73 b Ci t : 74 2.3 Ci t Symantec Antivirus Client : 75 Trang AT&BM Mng Khoa CNTT Trng CN ng Thỏp CHNG TNG QUAN V BO MT V AN TON MNG TNG QUAN V AN TON BO MT MNG: 1.1 Gii thiu v AAA: (Access Control, Authentication v Auditing): Khi h thng mng c i nhu cu cn trao i ti nguyờn c t v nhng ngi s dng h thng mng ú c trao i ti nguyờn vi Sau mt khong thI gian s dng, h thng mng ú ngy cng c m rng v s lng tham gia vo mng ngy cng tng, ú vic thc hin cỏc chớnh sỏch bo mt, thit lp cỏc chớnh sỏch vic truy xut ti nguyờn mng c t Cụng ngh thụng tin c ỏp dng nhiu lnh vc nh thng mi, hng hi, Trong s phỏt trin ú thụng tin l mt phn quan trng nht MI thit b mỏy tớnh nh (Ram, CPU, Mn hỡnh, a cng ) cng nh h tng mng (router, switch, ) c to h tr vic x lý, lu tr, trỡnh by, chuyn thụng tin Vỡ vy vic bo m tớnh an ton ca d liu c lu tr trờn mỏy tớnh cng nh tớnh mt v ton ca thụng tin c truyn trờn mng cú ý ngha rt ln i vi s tn ti v phỏt trin ca cụng ngh thụng tin h tr cho vic bo mt nhm hn ch truy cp d liu ca ngI khỏc, trỏnh s mt mỏt d liu, thut ng AAA (Access Control, Authentication v Auditing) ó i AAA c vit tc t: Access Control, Authentication v Auditing AAA l khỏi nim c bn ca an ninh mỏy tớnh v an ninh mng Nhng khỏi nim ny c dựng bo m cỏc tớnh nng bo mt thụng tin, ton d liu v tớnh sn sng ca h thng 1.2 iu khin truy cp (Access Control): iu khin truy cp l mt chớnh sỏch, c s h tr ca phn mm hay phn cng c dựng cho phộp hay t chi truy cp n ti nguyờn, qui nh mc truy xut n ti nguyờn Cú ba mụ hỡnh c s dng gii thớch cho mụ hỡnh iu khin truy cp: - MAC (Mandatory Access Control) - DAC (Discretionary Access Control) - RBAC ( Role Based Access Control) 1.2.1 MAC (Mandatory Access Control): Mụ hỡnh MAC l mt mụ hỡnh tnh s dng cỏc quyn hn truy cp n tin c nh ngha trc trờn h thng Ngi qun tr h thng thit lp cỏc tham s ny v kt hp chỳng vi mt ti khon, vi nhiu tin hay ti nguyờn Mụ hỡnh MAC cú th b hn ch nhiu Trong mụ hỡnh MAC ngi qun tr thit lp vic truy cp v ngi qun tr cng l ngi cú th thay i s truy cp ú Ngi dựng khụng th chia s ti nguyờn c tr cú mt mi quan h vi ti nguyờn ó tn ti trc Vớ d: Trang AT&BM Mng Khoa CNTT Trng CN ng Thỏp i vi Unix h thng qui nh mt tin hay th mc s v mt ch s hu (Owner) Khi ú ta khụng th nh ngha mt tin hay th mc thuc quyn s hu ca hai hay nhiu ngi Quyn tin, th mc trờn Windows 2000 (Full control, Write, Read, List folder content ) 1.2.2 DAC (Discretionary Access Control): L cỏc quyn truy cp trờn mt I tng m mt ngI dựng hay mt ng dng nh ngha Mụ hỡnh DAC cho phộp ngI dựng chia s tin v s dng tin ngI khỏc chia s Mụ hỡnh DAC thit lp mt danh sỏch iu khin truy cp (Access control list) dựng nhn ngI dựng no c quyn truy cp n ti nguyờn no Ngoi ra, mụ hỡnh ny cho phộp ngI dựng gỏn hay loI b quyn truy cp n mI cỏ nhõn hay nhúm da trờn tng trng hp c th 1.2.3 RBAC (Role Based Access Control): Trong RBAC, vic quyt nh quyn truy cp da trờn vai trũ ca mI cỏ nhõn v trỏch nhim ca h t chc Quyn hn da trờn cụng vic v phõn nhúm ngI dựng Tu thuc vo tng quyn hn ca ngI dựng m chỳng ta s phõn quyn cho phự hp Vớ d: NgI qun tr cú ton quyn qun tr trờn h thng mng, c quyn thờm, xoỏ, sa thụng tin trờn mng Nhng nhõn viờn bỡnh thng mng s ch cú quyn s dng mỏy tớnh m khụng c phộp lm gỡ c 1.3 Xỏc thc (Authentication): Quỏ trỡnh dựng xỏc nhn mt mỏy tớnh hay mt ngI dựng c gng truy cp n ti nguyờn, cng nh cỏch thc ng nhp v s dng h thng Quỏ trỡnh xỏc thc rt a dng, t cỏch xỏc nhn thụng thng nh kim tra tờn ng nhp/mt khu n vic s dng cỏc cụng ngh tiờn tin nh th thụng minh, thit b sinh hc nhn dng ngI dựng 1.3.1 Username/Password: õy l phng thc xỏc nhn c in v c s dng rt ph bin (do tớnh nng n gin v d qun lý) MI ngI dựng s c xỏc nhn bng mt tờn truy cp v mt khu Mt khu thụng thng c lu c s d liu dI dng mó hoỏ hoc khụng mó hoỏ Tuy nhiờn mt khu cú th d dng b oỏn bng cỏc phng phỏp vột cn Chớnh sỏch mt khu: - Mc khụng an ton: ớt hn 06 ký t Mc an ton trung bỡnh: 08 n 13 ký t Mc an ton cao: 14 ký t Trang AT&BM Mng Khoa CNTT Trng CN ng Thỏp Ngoi mt khu cn tuõn theo mt s yờu cu sau: - Kt hp gia cỏc ký t hoa v thng S dng s, ký t c bit, khụng s dng cỏc t cú t in Khụng s dng thụng tin cỏ nhõn t mt khu (ngy sinh, s in thoi, tờn ngI thõn ) 1.3.2 CHAP: Do im yu ca User/Pass l thụng tin dng b mt chuyn trờn mng, ú cn phi cú mt phng phỏp m bo rng d liu c truyn thụng an ton quỏ trỡnh chng thc CHAP l mt giao thc ỏp ng c yờu cu trờn CHAP thng c dựng bo v cỏc thụng tin xỏc nhn v kim tra kt ni n ti nguyờn hp l, s dng mt dóy cỏc thỏch thc v tr li c mó hoỏ õy l nghi thc xỏc nhn truy cp t xa m khụng cn gi mt khu qua mng CHAP c s dng xỏc nh s hp l bng cỏch s dng c ch bt tay Way C ch ny c s dng kt ni c to v c s dng nhiu ln trỡ kt ni - Ni cn xỏc nhn s gi mt thụng ip Challenge - Bờn nhn s s dng mt khu v mt hm bm mt chiu tớnh kt qu v tr li cho bờn cn xỏc nhn - Bờn cn xỏc nhn s tớnh toỏn hm bm tng ng v i chiu vi giỏ tr tr v Nu giỏ tr l ỳng thỡ vic xỏc nhn hp l, ngc li kt ni s kt thỳc - Vo mt thi im ngu nhiờn,bờn cnh xỏc nhn s gi mt Challenge mi kim tra s hp l ca kt ni 1.3.3 Chng ch (Certificates) Trong cuc sng chỳng ta s dng CMND hay h chiu giao tip vi ngi khỏc xó hi nh s dng i du lch, tu xe Trong mỏy tớnh chỳng ta s dng chng ch xỏc nhn vi nhng mỏy khỏc rng ngi dựng v mỏy tớnh hp l v giỳp cho cỏc mỏy tớnh truyn thụng vi c an ton Chng ch in t l mt dng d liu s cha cỏc thụng tin xỏc nh mt thc th (thc th cú th l mt cỏ nhõn, mt server, mt thit b hay phn mm) Chi tit v chng ch chỳng ta s tham kho cỏc phn sau 1.3.4 Mutual Authentication (Xỏc nhnln nhau): a s cỏc c ch chng thc u thc hin mt chiu, ú vic xỏc thc rt d b gi lp v d b Hacker tn cụng bng phng phỏp gi lp cỏch thc kt ni (nh Reply Attack ) Trong thc t cú rt nhiu ng dng ũi hi c ch xỏc nhn qua li vớ d mt ngi dựng cú mt ti khon ti Ngõn hng Khi ngi dựng truy xut kim tra ngy np tin vo Ngõn hng s kim tra tớnh hp l ca Ngõn hng ang thao tỏc Nu thụng tin kim tra l hp l thỡ quỏ trỡnh ng nhp thnh cụng v ngi dựng cú th thay i thụng tin ti khon ca mỡnh Mi thnh phn mt giao tip in t cú th xỏc nhn thnh phn Khi ú, khụng ch xỏc nhn ngi dựng vi h thng m cũn xỏc nhn tớnh hp l ca h thng i vi ngi dựng Trang AT&BM Mng Khoa CNTT Trng CN ng Thỏp 1.3.5 Biometrics: Cỏc thit b sinh hc cú th cung cp mt c ch xỏc nhn an ton rt cao bng cỏch s dng cỏc c tớnh v vt lý cng nh hnh vi ca mi cỏ nhõn chng thc, c s dng cỏc khu vc cn s an ton cao Cỏch thc hot ng ca Biometric: - Ghi nhn c im nhn dng sinh hc Cỏc c im nhn dng ca i tng c quột v kim tra Cỏc thụng tin v sinh hc c phõn tớch v lu li thnh cỏc mu - Kim tra i tng cn c kim tra s c quột Mỏy tớnh s phõn tớch d liu quột vo v i chiu vi d liu mu Nu d liu mu i chiu phự hp thỡ ngi dựng c xỏc nh hp l v cú quyn truy xut vo h thng Mt s dng: - Cỏc c im vt lý: Du võn tay Hand geometry Quột khuụn mt Quột vừng mc mt Quột trũng en mt - Cỏc c tớnh v hnh vi: Ch ký tay Ging núi Hin c ch xỏc nhn sinh hc c xem l c ch mang tớnh an ton rt cao Tuy nhiờn xõy dng c ch xỏc nhn ny thỡ chi phớ rt cao 1.3.6 Multi Factor: mt h thng s dng hai hay nhiu phng phỏp chng thc khỏc kim tra vic User ng nhp hp l hay khụng thỡ c gi l multi factor Mt h thng va s dng th thụng minh va s dng phng phỏp chng thc bng username va password thỡ c gi l mt h thng chng thc two factor Khi ú ta cú th kt hp hai hay nhiu c ch xỏc nhn to mt c ch xỏc nhn phự hp vi nhu cu Ch danh ca mt cỏ nhõn c xỏc nh s dng ớt nht hai cỏc factors xỏc nhn sau: - Bn bit gỡ (mt mt khu hay s pin) - Bn cú gỡ (smart card hay token) - Bn l (du võn tay, vừng mc ) - Bn lm gỡ (ging núi hay ch ký) 1.3.7 Kerberos: Kerberos l mt dch v xỏc nhn bo m cỏc tớnh nng an ton, xỏc nhn mt ln, xỏc nhn ln v da vo thnh phn tin cy th ba An ton: Trang AT&BM Mng Khoa CNTT Trng CN ng Thỏp S dng ticket, dng thụng ip mó húa cú thi gian, chng minh s hp l ca ngi dựng Vỡ th mt khu ca ngi dựng cú th c bo v tt khụng cn gi qua mng hay lu trờn b nh mỏy tớnh cc b Xỏc nhn truy cp mt ln: Ngi dựng ch cn ng nhp mt ln v cú th truy cp n tt c cỏc ti nguyờn trờn mt h thng hay mỏy ch khỏc h tr nghi thc Kerberos Thnh phn tin cy th ba: Lm vic thụng qua mt mỏy ch xỏc nhn trung tõm m tt c cỏc h thng mng tin cy Xỏc nhn ln nhau: Khụng ch xỏc nhn ngi dựng i vi h thng m cũn xỏc nhn s hp l ca h thng i vi ngi dựng Xỏc nhn Kerberos c tớch hp trc tip cu trỳc qun lý th mc (Active Directory) ca Windows 2000, 2003 server h tr cỏc mỏy trm cú th ng nhp mt ln vo DC v s dng dch v trờn cỏc server khỏc thuc cựng DC m khụng cn phi ng nhp Vic ny hon ton sut vI ngI dựng nờn h khụng nhn c s h tr ca Kerberos CC DNG TN CễNG: 2.1 Gii thiu: xõy dng mt h thng bo mt, trc ht chỳng ta phi hiu rừ cỏch thc cỏc Hacker s dng tn cụng vo h thng Vic tỡm hiu cỏch thc tn cụng gúp phn rt nhiu cho cụng tỏc bo mt mt h thng mng, giỳp vic ngn chn hiu qu hn rt nhiu Mụi trng mng ngy cng phỏt trin, ú nhu cu bo mt, bo m an ninh trờn mng luụn phỏt trin Hin nay, cỏc phng phỏp tn cụng rt a dng v phong phỳ Tuy cú rt nhiu phng thc tn cụng nhng cú th tm xp chỳngvo nhng nhúm nh sau: - Theo mc tiờu tn cụng: ng dng mng hay c hai - Theo cỏch thc tn cụng: Ch ng (Active) hay th ng (Passive) - Theo phng phỏp tn cụng: Cú nhiu loi vớ d nh b khoỏ, khai thỏc li, phn mm hay h thng, mó nguy him Ranh gii ca cỏc nhúm ny dn khú nhn vỡ nhng cỏch tn cụng ngy nay, ngy cng phc tp, tng hp Tuy nhiờn, khụng phi mi hacker u tn cụng nhm mc ớch phỏ hoi h thng Cú mt s i tng tn cụng vo h thng cú mc ớch nhm tỡn l hng ca h thng v bỏo cho ngi qun tr h vỏ l hng ú li Nhng hacker dng ny ngi ta gi l White hat, cũn hacker dng khỏc ngi ngi ta gI l Black hat Mt s ngi li lm tng gia hacker v cracker Cracker l mt ngi chuyờn i tỡm hiu cỏc phn mm v b khoỏ cỏc phn mm ú, cũn hacker l ngi chuyờn i tỡm cỏc l hng ca h thng Trang Khoa CNTT Trng CN ng Thỏp AT&BM Mng 2.2 Minh ho khỏi quỏt mt qui trỡnh tn cụng: Tu thuc vo mc tiờu tn cụng m hacker s cú nhng kch bn tn cụng khỏc õy chỳng ta ch minh ho mt dng kch bn tng quỏt tn cụng vo h thng thm dũ v ỏnh giỏ h thng Thõm nhp Gia tng quyn hn Duy trỡ truy cp Khai thỏc Cỏc bc c bn ca mt cuc tn cụng - Bc 1: Tin hnh thm dũ v ỏnh giỏ h thng Bc 2: Thc hin bc thõm nhp vo h thng Sau ú cú th quay li bc tip tc thm dũ, tỡm thờm cỏc im yu ca h thng Bc 3: Tỡm mi cỏch gia tng quyn hn Sau ú cú th quay li bc tip tc thm dũ, tỡm thờm cỏc im yu ca h thng hoc sang bc hay bc Bc 4: Duy trỡ truy cp, theo dừi hot ng ca h thng Bc 5: Thc hin cỏc cuc tn cụng (vớ d: t chI dch v ) 2.3 Tn cụng ch ng: L nhng dng tn cụng m k tn cụng trc tip gõy nguy hi ti h thng mng v ng dng (khng ch mỏy ch, tt cỏc dch v) ch khụng ch nghe lộn hay thu thp thụng tin Nhng dng tn cụng ph bin nh: Dos, Ddos, Buffer overflow, IP spoofing 2.3.1 DOS: Tn cụng t chi dch v, vit tt l DOS (Denial of service) l thut ng gi chung cho nhng cỏch tn cụng khỏc v c bn lm cho h thng no ú b quỏ ti khụng th cung cp dch v, hoc phi ngng hot ng Kiu tn cụng ny ch lm giỏn on hot ng ch rt ớt kh nng ỏnh cp thụng tin hay d liu Thụng thng mc tiờu ca tn cụng t chi dch v l mỏy ch (FTP, Web, Mail) nhiờn cng cú th l cỏc thit b mng nh: Router, Switch, Firewall Tn cụng t chi dch v khụng ch l tn cụng qua mng m cũn cú th tn cụng mỏy cc b hay mng cc b cũn gi l Logcal Dos Against Hosts Ban u tn cụng t chI dch v xut hin khai thỏc s yu kộm ca giao thc TCP l Dos, sau ú phỏt trin thnh tn cụng t chi dch v phõn tỏn Ddos (Distributed Dos) Trang Khoa CNTT Trng CN ng Thỏp AT&BM Mng Chỳng ta cú th phõn nh tn cụng t chi dch v thnh cỏc dng Broadcast stom, SYN, Finger, Ping, Flooding Hai ca tn cụng t chi dch v l: - Vic s dng ti nguyờn (Resource consumption attacks) ca s lng ln yờu cu lm h thng quỏ ti Cỏc ti nguyờn l mc tiờu ca tn cụng t chi dch v bao gm: Bandwidth (thng b tn cụng nht), Hard disk (mc tiờu ca bom mail), Ram, CPU - Cú li vic x lý cỏc String, Input, Packet c bit c attacker xõy dng (malfomed packet attack) Thụng thng dng tn cụng ny s c ỏp dng vi router hay switch Khi nhn nhng packet hay string dng ny, phn mm hay h thng b li dn n router hay switch b crash Tn cụng t chi dch v khụng em li cho attacker quyn kim soỏt h thng nhng nú l mt dng tn cụng vụ cựng nguy him, c bit l vi nhng giao dch in t hay thng mi in t Nhng thit hi v tin v danh d, uy tớnh l khú cú th tớnh c Nguy him tip theo l rt khú phũng dng tn cụng ny thụng thng chỳng ta bit ó b tn cụng i vi nhng h thng bo mt tt tn cụng t chi dch v c coi l phng phỏp cuI cựng c attacker ỏp dng trit h h thng 2.3.2 DDOS: Tn cụng t chi dch v phõn tỏn thc hin vi s tham gia ca nhiu mỏy tớnh So vi Dos mc nguy him ca DDos cao hn rt nhiu Tn cụng DDos bao gm hai thnh phn: - Thnh phn th nht: L cỏc mỏy tớnh gi l zombie (thụng thng trờn internet) ó b hacker ci vo ú mt phn mm dựng thc hin tn cụng di nhiu dng nh UDP flood hay SYN flood Attacker cú th s dng kt hp vi spoofing tng mc nguy him Phn mm tn cụng thng di dng cỏc daemon - Thnh phn th hai: L cỏc mỏy tỡnh khỏc c ci chng trỡnh client Cỏc mỏy tỡnh ny cng nh cỏc zombie nhiờn cỏc attacker nm quyn kim soỏt cao hn.Chng trỡnh client cho phộp attacker gi cỏc ch th n Daemon trờn cỏc zombie Khi tn cụng attacker s dựng chng trỡnh client trờn master gi tớn hiu tn cụng ng lot ti cỏc zombie Daemon process trờn zombie s thc hin tn cụng ti mc tiờu xỏc nh Cú th attacker khụng trc tip thc hin hnh ng trờn master m t mt mỏy khỏc sau phỏt ng tn cụng s ct kt ni vi cỏc master phũng b phỏt hin Trang Khoa CNTT Trng CN ng Thỏp AT&BM Mng b Mt s k thut c bn ca B-virus Dự l SB-virus hay DB-virus, nhng tn ti v lõy lan, chỳng u cú mt s cỏc k thut c bn nh sau: - K thut kim tra tớnh nht Virus phi tn ti b nh cng nh trờn a, song s tn ti quỏ nhiu bn ca chớnh nú trờn a v b nh s ch lm chm quỏ trỡnh Boot mỏy, cng nh chim quỏ nhiu vựng nh nh hng ti vic ti v thi hnh cỏc chng trỡnh khỏc ng thi cng lm gim tc truy xut a Chớnh vỡ th, k thut ny l mt yờu cu nghiờm ngt vi B-virus Vic kim tra trờn a cú hai yu t nh hng: Th nht l thi gian kim tra: Nu mi tỏc v c/ghi a u phi kim tra a thỡ thi gian truy xut s b tng gp ụi, lm gim tc truy xut cng nh gia tng mi nghi ng éi vi yờu cu ny, cỏc virus ỏp dng mt s k thut sau: Gim s ln kim tra bụng cỏch ch kim tra trng hp thay i truy xut t a ny sang a khỏc, ch kim tra trng hp bng FAT trờn a c c vo Th hai l k thut kim tra: Hu ht cỏc virus u kim tra bụng giỏ tr t khoỏ Mi virus s to cho mỡnh mt giỏ tr c bit ti mt v trớ xỏc nh trờn a, vic kim tra c tin hnh bụng cỏch c Boot record v kim tra giỏ tr ca t khoỏ ny K thut ny gp tr ngi vỡ s lng B-virus ngy mt ụng o, m v trớ trờn Boot Record thỡ cú hn Cỏch khc phc hin ca cỏc virus l tng s lng mó lnh cn so sỏnh lm gim kh nng trựng hp ngu nhiờn é kim tra s tn ti ca mỡnh b nh, cỏc virus ó ỏp dng cỏc k thut sau: én gin nht l kim tra giỏ tr Key value ti mt v trớ xỏc nh trờn vựng nh cao, ngoi mt k thut khỏc c ỏp dng i vi cỏc virus chim ngt Int 21 ca DOS l yờu cu thc hin mt chc nng c bit khụng cú ngt ny Nu c bỏo li c bt lờn thỡ b nh cha cú virus, ngc li nu virus ó lu trỳ vựng nh thỡ giỏ tr tr li (trong ghi AX chng hn) l mt giỏ tr xỏc nh no ú - K thut lu trỳ Sau thc hin xong chng trỡnh POST, giỏ tr tng s vựng nh va c Test s c lu vo vựng BIOS Data a ch 03h Khi h iu hnh nhn quyn iu khin, nú s coi vựng nh m nú kim soỏt l giỏ tr a ch ny Vỡ vy lu trỳ, mi BTrang 64 Khoa CNTT Trng CN ng Thỏp AT&BM Mng virus u ỏp dng k thut sau õy: Sau ti phn lu trỳ ca mỡnh lờn vựng nh cao, nú s gim giỏ tr vựng nh DOS qun lý ti 03h i mt lng ỳng bụng kớch thc ca virus Tuy nhiờn nu khụng kim tra tt s cú mt vựng nh, b Boot mm liờn tc, giỏ tr tng s vựng nh ny s b gim nhiu ln, nh hng ti vic thc hin ca cỏc chng trỡnh sau ny Chớnh vỡ th, cỏc virus c thit k tt phi kim tra s tn ti ca mỡnh b nh, nu ó cú mt b nh thỡ khụng gim dung lng vựng nh na - K thut lõy lan éon mó thc hin nhim v lõy lan l on mó quan trng chng trỡnh virus é m bo vic lõy lan, virus khng ch ngt quan trng nht vic c/ghi vựng h thng: ú l ngt 13h, nhiờn m bo tc truy xut a, ch cỏc chc nng v (c/ghi) l dn ti vic lõy lan Vic lõy lan bụng cỏch c Boot Sector (Master Boot) lờn v kim tra xem ó b lõy cha (k thut kim tra ó núi trờn) Nu sector ng ú cha b nhim thỡ virus s to mt sector ng mi vi cỏc tham s tng ng ca on mó virus ri ghi tr li vo v trớ ca nú trờn a Cũn sector ng va c lờn cựng vi thõn ca virus (loi DB-virus) s c ghi vo vựng xỏc nh trờn a Ngoi mt s virus cũn chim ngt 21 ca DOS lõy nhim v phỏ hoi trờn cỏc file m ngt 21 lm vic Vic xõy dng sector ng cú on mó ca virus phi m bo cỏc k thut sau õy: - Sector ng b nhim phi cũn cha cỏc tham s a phc v cho quỏ trỡnh truy xut a, ú l bng tham s BPB ca Boot record hay bng phõn chng trng hp Master boot Vic khụng bo ton s dn n vic virus mt quyn iu khin hoc khụng th kim soỏt c a nu virus khụng cú mt mụi trng - S an ton ca sector ng nguyờn th v on thõn ca virus cng phi c t lờn hng u Cỏc k thut v v trớ ct giu chỳng ta cng ó phõn tớch cỏc phn trờn - K thut ngy trang v gõy nhiu K thut ny i khỏ mun v sau ny, khuynh hng chng li s phỏt hin ca ngi s dng v nhng lp trỡnh viờn i vi virus Vỡ kớch thc ca virus khỏ nh cho nờn cỏc lp trỡnh viờn hon ton cú th dũ tng bc xem c ch ca virus hot ng nh th no, cho nờn cỏc virus tỡm mi cỏch lt lộo chng li s theo dừi ca cỏc lp trỡnh viờn Cỏc virus thng ỏp dng mt s k thut sau õy: - C tỡnh vit cỏc lnh mt cỏch rc ri nh t Stack vo cỏc vựng nh nguy him, chim v xoỏ cỏc ngt, thay i mt cỏch lt lộo cỏc ghi phõn on ngi dũ khụng bit d liu ly t õu, thay i cỏc giỏ tr ca cỏc lnh phớa sau ngi s dng khú theo dừi Trang 65 Khoa CNTT Trng CN ng Thỏp AT&BM Mng - Mó hoỏ chớnh chng trỡnh ca mỡnh ngi s dng khụng phỏt hin quy lut, cng nh khụng thy mt cỏch rừ rng s hot ng ca virus - Ngy trang: Cỏch th nht l on mó ci vo sector ng cng ngn cng tt v cng ging sector ng cng tt Tuy vy cỏch th hai c nhiu virus ỏp dng: Khi mỏy ang nụm quyn chi phi ca virus, mi yờu cu c/ghi Boot sector (Master boot) u c virus tr v mt bn chun: bn trc b virus lõy éiu ny ỏnh la ngi s dng v cỏc chng trỡnh chng virus khụng c thit k tt nu mỏy hin ang chu s chi phi ca virus - K thut phỏ hoi éó l virus thỡ bao gi cng cú tớnh phỏ hoi Cú th phỏ hoi mc ựa cho vui, cng cú th l phỏ hoi mc nghiờm trng, gõy mt mỏt v ỡnh tr i vi thụng tin trờn a Cn c vo thi im phỏ hoi, cú th chia thnh hai loi: - Loi nh thi: Loi ny lu gi mt giỏ tr, giỏ tr ny cú th l ngy gi, s ln lõy nhim, s gi mỏy ó chy, Nu giỏ tr ny vt quỏ mt s cho phộp, nú s tin hnh phỏ hoi Loi ny thng nguy him vỡ chỳng ch phỏ hoi mt ln - Loi liờn tc: Sau b lõy nhim v liờn tc, virus tin hnh phỏ hoi, song tớnh liờn tc ny, cỏc hot ng phỏ hoi ca nú khụng mang tớnh nghiờm trng, ch yu l ựa cho vui 1.4 c im Ca F-Virus: So vi B-virus thỡ s lng F-virus ụng o hn nhiu, cú l cỏc tỏc v a vi s h tr ca Int 21 ó tr nờn cc k d dng v thoi mỏi, ú l iu kin phỏt trin cho cỏc Fvirus Thng thỡ cỏc F-virus ch lõy lan trờn cỏc file kh thi (cú uụi COM hoc EXE), nhiờn mt nguyờn tc m virus phi tuõn th l: Khi thi hnh mt file kh thi b lõy nhim, quyn iu khin phi nụm tay virus trc virus tr nú li cho file b nhim, v file nhn li quyn iu khin, tt c mi d liu ca file phi c bo ton éi vi F-virus, cú mt s k thut c nờu õy: a K thut lõy lan: Cỏc F-virus ch yu s dng hai k thut: Thờm vo u v thờm vo cui - Thờm vo u file Trang 66 Khoa CNTT Trng CN ng Thỏp AT&BM Mng Thụng thng, phng phỏp ny ch ỏp dng cho cỏc file COM, tc l u vo ca chng trỡnh luụn luụn ti PSP0h Li dng u vo c nh, virus chốn on mó ca chng trỡnh virus vo u chng trỡnh i tng, y ton b chng trỡnh i tng xung phớa di Cỏch ny cú mt nhc im l u vo c nh ca chng trỡnh COM l PSP0, cho nờn trc tr li quyn iu khin cho chng trỡnh, phi y li ton b chng trỡnh lờn bt u t offset 100h Cỏch lõy ny gõy khú khn cho nhng ngi khụi phc vỡ phi c ton b file vo vựng nh ri mi tin hnh ghi li - Thờm vo cui file Khỏc vi cỏch lõy lan trờn, phng phỏp ny, on mó ca virus s c gn vo sau ca chng trỡnh i tng Phng phỏp ny c thy trờn hu ht cỏc loi virus vỡ phm vi lõy lan ca nú rng rói hn phng phỏp trờn Do thõn ca virus khụng nụm ỳng u vo ca chng trỡnh, cho nờn chim quyn iu khin, phi thc hin k thut sau õy: - éi vi file COM: Thay cỏc byte u tiờn ca chng trỡnh (u vo) bụng mt lnh nhy JMP, chuyn iu khin n on mó ca virus E9 xx xx JMP Entry virus - éi vi file EXE: Ch cn nh v li h thng cỏc ghi SS, SP, CS, IP Exe Header trao quyn iu khin cho phn mó virus Ngoi hai k thut lõy lan ch yu trờn, cú mt s ớt cỏc virus s dng mt s cỏc k thut c bit khỏc nh mó hoỏ phn mó ca chng trỡnh virus trc ghộp chỳng vo file ngy trang, hoc thm thay th mt s on mó ngn file i tng bụng cỏc on mó ca virus, gõy khú khn cho quỏ trỡnh khụi phc Khi tin hnh lõy lan trờn file, i vi cỏc file c t cỏc thuc tớnh Sys (h thng), Read Only (ch c), Hidden (n), phi tin hnh i li cỏc thuc tớnh ú cú th truy nhp, ngoi vic truy nhp cng thay i li ngy gi cp nht ca file, vỡ th hu ht cỏc virus u lu li thuc tớnh, ngy gi cp nht ca file sau lõy nhim s tr li y nguyờn thuc tớnh v ngy gi cp nht ban u ca nú Ngoi ra, vic c gng ghi lờn a mm cú dỏn nhón bo v cng to dũng thụng bỏo li ca DOS: Retry - Aboart - Ignoreụ, nu khụng x lý tt thỡ d b ngi s dng phỏt hin s cú mt ca virus Li kiu ny c DOS kim soỏt bụng ngt 24h, cho nờn cỏc virus mun trỏnh cỏc thụng bỏo kiu ny ca DOS tin hnh lõy lan phi thay ngt 24h ca DOS trc tin hnh lõy lan ri sau ú hon tr b K thut m bo tớnh tn ti nht Cng ging nh B-virus, mt yờu cu nghiờm ngt t i vi F-virus l tớnh tn ti Trang 67 AT&BM Mng Khoa CNTT Trng CN ng Thỏp nht ca mỡnh b nh cng nh trờn file Trong vựng nh, thụng thng cỏc F-virus s dng hai k thut chớnh: Th nht l to thờm chc nng cho DOS, bụng cỏch s dng mt chc nng no ú ú t chc nng ln hn chc nng cao nht m DOS cú é kim tra ch cn gi chc nng ny, giỏ tr tr li ghi quyt nh s tn ti ca virus b nh hay cha Cỏch th hai l so sỏnh mt on mó vựng nh n nh vi on mó ca virus, nu cú s chờnh lch thỡ cú ngha l virus cha cú mt vựng nh v s tin hnh lõy lan Trờn file, cú th cú cỏc cỏch kim tra nh kim tra bụng test logic no ú vi cỏc thụng tin ca Entry th mc ca file ny Cỏch ny khụng m bo tớnh chớnh xỏc tuyt i song nu thit k tt thỡ kh nng trựng lp cng hn ch, hu nh khụng cú, ngoi mt u im l tc thc hin kim tra rt nhanh Ngoi cú th kim tra bụng cỏch dũ mt on mó c trng (key value) ca virus ti v trớ n nh no ú trờn file, vớ d trờn cỏc byte cui cựng ca file c K thut thng trỳ éõy l mt k thut khú khn, lý l DOS ch cung cp chc nng thng trỳ cho chng trỡnh, ngha l ch cho phộp c chng trỡnh thng trỳ Vỡ vy nu s dng chc nng ca DOS, chng trỡnh virus mun thng trỳ thỡ c file i tng cng phi thng trỳ, m iu ny thỡ khụng th c nu kớch thc ca file i tng quỏ ln Chớnh vỡ lý trờn, hu ht cỏc chng trỡnh virus mun thng trỳ u phi thao tỏc qua mt DOS trờn chui MCB bụng phng phỏp "th cụng" Cn c vo vic thng trỳ c thc hin trc hay sau chng trỡnh i tng thi hnh, cú th chia k thut thng trỳ thnh hai nhúm: - Thng trỳ trc tr quyn iu khin Nh ó núi trờn, DOS khụng cung cp mt chc nng no cho kiu thng trỳ ny, cho nờn chng trỡnh virus phi t thu xp Cỏc cỏch sau õy ó c virus dựng n: - Thao tỏc trờn MCB tỏch mt vựng nh quyn iu khin ca DOS, ri dựng vựng ny cha chng trỡnh virus - T nh v v trớ b nh ti phn thng trỳ ca virus vo, thng thỡ cỏc virus chn vựng nh cao, phớa di phn tm trỳ ca file command.com trỏnh b ghi ố h thng ti li command.com Vỡ khụng cp phỏt b nh cho phn chng trỡnh virus ang thng trỳ, cho nờn command.com hon ton cú quyn cp phỏt vựng nh ú cho cỏc chng trỡnh khỏc, ngha l chng trỡnh thng trỳ ca virus phi chp nhn s mt mỏt may ri - Thng trỳ bụng chc nng thng trỳ 31h: éõy l mt k thut phc tp, tin trỡnh cn thc hin c mụ t nh sau: Trang 68 Khoa CNTT Trng CN ng Thỏp AT&BM Mng Khi chng trỡnh virus c trao quyn, nú s to mt MCB c khai bỏo l phn t trung gian chui MCB cha chng trỡnh virus, sau ú li to tip mt MCB mi cho chng trỡnh b nhim bụng cỏch di chng trỡnh xung vựng mi ny é thay i PSP m DOS ang lu gi thnh PSP m chng trỡnh virus to cho chng trỡnh i tng, phi s dng chc nng 50h ca ngt 21h - Thng trỳ sau ot li quyn iu khin Chng trỡnh virus ly tờn chng trỡnh ang thi hnh mụi trng ca DOS, ri nú thi hnh chớnh bn thõn mỡnh Sau thi hnh xong, quyn iu khin li c tr v cho virus, v ú nú mi tin hnh thng trỳ mt cỏch bỡnh thng bụng chc nng 31h ca ngt 21h c K thut ngy trang v gõy nhiu Mt nhc im khụng trỏnh l file i tng b lõy nhim virus s b tng kớch thc Mt s virus ngy trang bụng cỏch s dng chc nng DIR ca DOS, virus chi phi chc nng tỡm kim file (chc nng 11h v 12h ca ngt 21h) gim kớch thc ca file b lõy nhim xung, vỡ th virus ang chi phi mỏy tớnh, nu s dng lnh DIR ca DOS, hoc cỏc lnh s dng chc nng tỡm kim file trờn cú thụng tin v entry bng th mc, thỡ thy kớch thc file b lõy nhim bụng kớch thc ca file ban u, iu ny ỏnh la ngi s dng v s sch ca file ny Mt s virus cũn gõy nhiu bụng cỏch mó hoỏ phn ln chng trỡnh virus, ch no vo vựng nh, chng trỡnh mi c gii mó ngc li Mt s virus anti-debug bụng cỏch chim ngt v ngt Bi vỡ cỏc chng trỡnh debug thc cht phi dựng ngt v ngt thi hnh tng bc mt, cho nờn virus chim cỏc ngt ny ri m ngi lp trỡnh dựng debug theo dừi virus thỡ kt qu khụng lng trc c d K thut phỏ hoi Thụng thng, cỏc F-virus cng s dng cỏch thc v k thut phỏ hoi ging nh Bvirus Cú th phỏ hoi mt cỏch nh thi, liờn tc hoc ngu nhiờn éi tng phỏ hoi cú th l mn hỡnh, loa, a, Phũng Chng Virus: phũng chng virus cú nhiu cỏch khỏc nhau, cỏch ph bin nht ngy l s dng cỏc phn mm dit virus Symantec antivirus l mt nhng phn mm dit virus ph bin nht hin 2.1 Ci t Chng Trỡnh Symantec Antivirus Server (Server Intall): Chy file ci t setup.exe Mng hỡnh welcome xut hin Trang 69 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Chn Next ặ mng hỡnh xỏc nhn bn quyn xut hin ặ chn I accept tip tc quỏ trỡnh ci t Chn Next ặ mng hỡnh chn la phng thc ci t xut hin: client server option ặ chn server intall Trang 70 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Chn next ặ hp thoi setup type xut hin ặ chn complete ci t y cỏc tớnh nng ca chng trỡnh Chn Next ặ hp thoi select server group xut hin ặ hp thoi ny, khai bỏo cỏc thụng tin sau: - server group: cho phộp khai bỏo nhúm server - username: khai bỏo user cho phộp ng nhp server sau ci t - Password: cho phộp khai bỏo password ca user ng nhp Trang 71 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Chn next ặ hp thoi xỏc nhn password xut hin: g li password li mt ln na Chn ok ặ hp thoi intall option xut hin Trang 72 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Chn next ặ hp thoi ready to xut hin xỏc lp li quỏ trỡnh ci t Chn install bt u quỏ trỡnh ci t 2.2 Ci t Chng Trỡnh Symantec System Center: a Chc nng: õy l chng trỡnh cho phộp qun lý cỏc symantec antivirus server v symantec antivirus client Thụng qua chng trỡnh ny chỳng ta cú th thc hin cỏc chc nng qun lý nh: - Ci t antivirus v bo v cỏc l hng bo mt trờn mỏy Trang 73 Khoa CNTT Trng CN ng Thỏp AT&BM Mng - Cho phộp cp nht symantec antivirus client defination Ci t cỏc chng trỡnh bo v trờn mỏy trm b Ci t : Cỏc bc ci t cng ging nh ci t synmantec server Ti hp thoi select Chn next ặ install bt u quỏ trỡnh ci t Sau quỏ trỡnh ci t hon tt chng trỡnh s yờu cu chỳng ta ng li mỏy : Trang 74 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Chn ok ng li mỏy 2.3 Ci t Symantec Antivirus Client : Cỏc bc ci t symantec client ging nh ci t symantec server ch khỏc ti hp thoi client server option : chn mc client intall Chn next ặ hp thoi network setup type ặ chn managed ặ next Trang 75 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Hp thoi select server : Chn browse tỡm kim symantec server m client cn kt ni n : Trang 76 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Chn server cn kt ni n ặ ok ặ chn next bt u quỏ trỡnh ci t Trang 77 AT&BM Mng Khoa CNTT Trng CN ng Thỏp Ti Liu Tham Kho Trin Khai H Thng Mng (1,2) Trn Quang Thnh, H Vit Quang Thch Cỏc ti liu su trờn mng internet Trang 78 [...]... Management and Monitoring tools Chạy chương trình: Sau khi chọn Network interface nhấn start capture để bắt gói tin Nhấn biểu tượng Stop and View capture để xem các gói tin bắt được Ngay sau khi bắt được chúng ta đang ở panel đầu là panel liệt kê tóm tắt Bỏ chọn Zoom panel (thanh toolbar hình kính lúp) để xem cả 3 panel của các gói tin đã bị capture như sau: Panel thứ hai là thông tin chi tiết và panel... nghe thông tin trên mạng Chạy chương trình Cain & Abel: Trang 18 AT&BM Mạng Khoa CNTT – Trường CĐN Đồng Tháp Chọn mục trên thanh công cụ để bắt đầu quá trình lắng nghe trên mạng, sau đó chọn tab Sniffer Tab Sniffer , chọn mục Add to list Trên thanh công cụ để quét danh sách các máy tính trên hệ thống mạng Mọi thông tin trao đổi từ danh sách này sẽ được lắng nghe Trang 19 AT&BM Mạng Khoa CNTT – Trường... password từ những thông tin liên quan đến user sử dụng nó: Ngày sinh, tên … Có hai cách tấn công chình là Brute – Force Attack (vét cạn) và Dictionary – based Attack (dựa trên danh sách mật khẩu đã xây dựng trước) 2.5.1 Brute Force Attacks: - Sử dụng các công cụ đoán mật khẩu bằng các quét cạn - Khả năng để tìm ra mật khẩu sẽ rất cao nếu mật khẩu đơn giản Trang 20 AT&BM Mạng Khoa CNTT – Trường CĐN Đồng... 3.2 Giới thiệu công cụ Microsoft Baseline Security Analyzer: Mục tiêu: Tìm hiểu cách thực phát hiện lỗ hỏng bảo mật trên máy cục bộ và mạng, diễn giải được các bản báo cáo trả về Cách thực hiện: - Sử dụng công cụ Microsoft Baseline Security Analyzer (MBSA) để kiểm tra lỗ hỏng trên hệ điều hành windows - Nghiên cứu các lỗ hỏng bảo mật được tìm thấy và cung cấp cách vá những lỗ hỏng đó - Sử dụng MBSA... Trang 22 AT&BM Mạng Khoa CNTT – Trường CĐN Đồng Tháp 2.6 Malicous Code Attacks: 2.6.1 Viruses: Virus, wrom và trojan horse được gọi chun g là những đoạn mã nguy hiểm chúng có thể chiếm dụng tài nguyên làm chậm hệ thống, hoặc làm hư hệ thống Virus là những chương trình được thiết kế để phá hoại hệ thống ở cả mức hệ điều hành và ứng dụng 2.6.2 Trojan horse: Trojan horse là một loại chương trình có vẻ an. .. trình MBSA Chọn Scan a computer Chọn Start Scan để bắt đầu dò lỗ hỏng, bản báo cáo sẽ được trả lời như sau: Trang 24 Khoa CNTT – Trường CĐN Đồng Tháp AT&BM Mạng Với những Score có biểu tượng X là những lỗ hỏng nghiêm trọng nhất Chọn mục Result details để xem chi tiết về lỗ hỏng bảo mật chọn mục how to correct this để tìm ra phương thức khắc phục vấn đề Chú ý: khi muốn quét lỗi bảo mật từ các hệ thống... chú ý rằng một vài host (AIX, HP – UX, Digital UNIX) và một số firewall không thể gửi protocol unreachable messages, đây là nguyên nhân làm cho hiểu lầm rằng tất cả giao thức đều được “open” Cú pháp chuẩn như sau: Trang 15 AT&BM Mạng Khoa CNTT – Trường CĐN Đồng Tháp NMAP [Scan type (s)] [option] Scan type bao gồm: - -sS: TCP SYN - -sT: TCP connect () - -sU: UDP scan - -sO: IP... đặt ở các vị trí cổng truy cập để đọc các thông tin được truyền trên mạng Sử dụng phần mềm để đón bắt các thông tin quan trọng (ví dụ tên truy cập, mật khẩu, cookie) truyền trên mạng mà không được mã hóa hoặc chỉ sử dụng những cơ chế mã hóa đơn giản Các quản trị mạng có thể sử dụng các công cụ sniff để xem xét và đánh giá lưu thông mạng A/ Giới thiệu công cụ TCP Dump: Là công cụ phân tích phổ biến trong... nhận để chuyển kết nối đang thực hiện sang dạng kết nối thành công 2.3.6 Man in the Middle Attacks: Kẻ tấn công sẽ đứng giữa kênh truyền thông của hai máy tính để xem trộm thông tin và thậm chí có thể thay đổI nộI dung trao đổI giữa hai máy tính Trong khi đó cả hai máy tính đều nghĩ rằng mình đang kết nối trực tiếp với máy tính kia Cách tấn công Man in the Middle: - Tấn công trong mạng nội bộ: • • • •... server của target.com và yêu cầu server gửi một file ANYWHERE trên internet Bây giờ điều này đã được thực hiện vào năm 1985 khi RFC đã được viết Nhưng với hệ thống ngày nay, chúng ta không có thể chiếm đoạt FTPserver và gửi yêu cầu đến bất kỳ điểm nào trên internet một cách tùy tiện Trang 14 AT&BM Mạng Khoa CNTT – Trường CĐN Đồng Tháp Khi các khái niệm cũ về FTP server được viết lại vào năm 1995, sai lầm