Các kỹ thuật tấn công mạng và biện pháp phòng chống

1.1 Tổng quan Hiện nay, các lĩnh vực công nghệ thông tin, công nghệ mạng máy tính và mạng internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ mạng đã thâm nhập hầu hết vào các lĩnh vực đời sống xã hội. Các thông tin trên internet cũng đa dạng về nội dung, hình thức và các thông tin đó cần được bảo mật bởi tính kinh tế, tính chính xác và tính tin cậy của nó. Bên cạnh đó, thủ đoạn của các hacker ngày càng tinh vi và nguy hiểm, các hình thức phá hoại mạng cũng trở nên phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết nên vấn đề bảo mật cho dữ liệu đang là vấn đề được quan tâm hàng đầu. Tìm hiểu các thủ đoạn mà hacker sử dụng, chúng ta sẽ có những biện pháp thiết thực để phòng chống các cuộc tấn công. “Hiểu hacker để chống hacker”, từ đó có thể kiểm tra các lỗi bảo mật của hệ thống và đưa ra các giải pháp phòng chống một cách hiệu quả và toàn vẹn. Xuất phát từ những thực tế đó, đề tài này sẽ tìm hiểu về các cách tấn công phổ biến hiện nay và cách phòng chống loại tấn công tương ứng. Thông qua việc nghiên cứu một số phương pháp tấn công và biện pháp phòng chống các loại tấn công đó, chúng em mong muốn góp một phần nhỏ vào việc nghiên cứu và tìm hiểu về các vấn đề an ninh mạng giúp cho việc học tập và nghiên cứu. Mong rằng sau khi đọc đồ án “Các kỹ thuật tấn công mạng và biện pháp phòng chống” sẽ đưa ra cái nhìn tổng quan về hack cũng như giúp những người chưa hiểu biết về hack sẽ có cái nhìn rõ ràng hơn.

Trang 1

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

………

Giáo viên hướng dẫn

Trang 2

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

………

Giáo viên phản biện

Trang 3

LỜI CẢM ƠN

Lời đầu tiên, nhóm em xin gửi lời cảm ơn đến các thầy cô trong Khoa Công Nghệ Thông Tin những người đã dạy dỗ, chỉ bảo tận tâm chúng em trong suốt những học kỳ vừa qua cũng như đã tạo những điều kiện tốt nhất cho chúng em có thể thực hiện đề tài này.

Nhóm em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới Thầy Nguyễn Đăng Quang,

xin cảm ơn thầy đã tận tình chỉ bảo, cung cấp tài liệu tham khảo, hướng dẫn và tạo điều kiện tốt nhất để nhóm em có thể hoàn thành đề tài.

Xin gửi lời cảm ơn tới những người thân, những người bạn đã trao đổi, giúp đỡ và động viên chúng em rất nhiều trong suốt quá trình thực hiện.

Tuy chúng em đã cố gắng rất nhiều nhưng vẫn khó tránh khỏi những thiếu sót Kính mong quý thầy cô và các bạn đóng góp ý kiến để đề tài được hoàn thiện hơn nữa Chúng

em xin chân thành cảm ơn!

Nhóm thực hiện đề tài

Trang 4

MỤC LỤC

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 1

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 2

LỜI CẢM ƠN 3

MỤC LỤC 4

DANH MỤC HÌNH ẢNH 8

DANH MỤC CÁC TỪ VIẾT TẮT 13

1 CHƯƠNG 1: ĐẶT VẤN ĐỀ 14

1.1 Tổng quan 14

1.2 Hiện trạng 14

1.2.1 Bản tin về an ninh mạng 14

1.3 Hacker và ảnh hưởng của việc hack 18

1.3.1 Hacker - họ là ai? 18

1.3.2 Các lại hacker 18

1.4 Ảnh hưởng của việc hack 18

1.5 Các loại tấn công mạng 18

1.5.1 Tấn công hệ điều hành 18

1.5.2 Tấn công cấu hình sai 19

1.5.3 Tấn công các cấp độ ứng dụng 19

1.6 Mục tiêu và phạm vi của đề tài 19

1.6.1 Mục tiêu 19

1.6.2 Phạm vi: 19

1.7 Phương pháp thực hiện 20

1.8 Kết quả dự kiến 20

2 CHƯƠNG 2: TẤN CÔNG XÁC ĐỊNH THÔNG TIN BANNER 21

2.1 Giới thiệu: 21

2.2 Thực hiện: 21

2.2.1 Lab 1: Xác định thông tin Banner bằng TELNET: 21

Trang 5

2.2.2 Lab 2: Xác định thông tin Banner bằng NETCAT: 23

2.2.3 Lab 3: Xác định thông tin Banner bằng SCANLINE: 26

2.2.4 Lab 4: Xác định hệ điều hành (OS) bằng XPROBE2: 28

2.2.5 Lab 5: Xác định thông Banner bằng AMAP: 30

2.2.6 Lab 6: Xác định thông tin Banner bằng BANNER: 31

2.2.7 Lab 7: Kỹ thuật lừa đảo: 33

3 CHƯƠNG 3: TẤN CÔNG LIỆT KÊ THÔNG TIN MỤC TIÊU 34

3.1 Giới thiệu: 34

3.2.1 Lab 1: Thiết lập phiên NULL (NULL Session): 35

3.2.2 Lab 2: Liệt kê thông tin địa chỉ MAC: 35

3.2.3 Lab 3: Liệt kê thông SID từ ID người dùng: 36

3.2.4 Lab 4: Liệt kê User ID từ mã SID: 38

3.2.5 Lab 5: Liệt kê thông tin người dùng: 40

3.2.8 Lab 8: Liệt kê các Host-Domain: 47

3.2.9 Lab 9: Mục tiêu kết nối-định hướng: 50

3.2.10 Lab 10: Kết nối mục tiêu- định hướng: 51

3.2.11 Lab 11: Xác định hệ điều hành trên máy mục tiêu: 53

3.2.12 Lab 12: Liệt kê các Địa chỉ IP-Hostname: 56

3.2.13 Lab 13: Liệt kê các Địa chỉ IP-Hostname: 58

3.2.14 Lab 14: Xác định vị trí địa lý – thông tin Registrant của mục tiêu: 58

3.2.15 Lab 15: Xác định thông tin hệ điều hành của mục tiêu: 62

3.2.16 Lab 16: Defaul Share: 63

3.2.17 Lab 17: Liệt kê Host (Host Enumeration): 66

4 CHƯƠNG 4: TẤN CÔNG SCAN MỤC TIÊU -NGHE LÉN CÁC TẬP TIN ĐƯỢC TRUYỀN TẢI 71

4.1 Giới thiệu 71

Trang 6

4.2 Thực hiện 71

4.2.1 Lab 1: Quét mục tiêu-Liệt kê các thông tin chia sẻ từ mục tiêu: 71

4.2.2 Lab 2: Quét mục tiêu-Đánh giá mức độ bảo mật của mục tiêu: 75

4.2.3 Lab 3: Phân tích các gói tin đến ở chế độ thụ động: 80

4.2.4 Lab 4: Quét mục tiêu qua Firewall: 83

4.2.5 Lab 5: Network Discovery: 84

Kiểu tấn công: Nghe lén các tập tin được truyền tải (Sniffing Traffic) 85

4.2.6 Lab 6: Packet Capture — Sniffer: 85

5 CHƯƠNG 5: TẤN CÔNG GIẢ MẠO THÔNG TIN - TẤN CÔNG BRUTE FORCE – WIRELESS 92

5.1.1 Giới thiệu: 92

Tấn công giả mạo thông tin: 92

5.2.1 Lab 1: Giả mạo địa chỉ IP của gói tin: 92

5.2.2 Lab 2: Giả mạo địa chỉ MAC của NIC trong Linux: 98

Tấn công Brute Force 102

5.2.3 Lab 3: Brute-Force FTP Server: 102

5.2.4 Lab 4: Retrieve Password Hashes: 107

5.2.5 Lab 5: Crack Password Hashes: 109

5.2.6 Lab 6: Overwrite Administrator Password: 113

WIRELESS 119

5.2.7 Lab 7: Trojan (Back Orifice) 119

5.2.8 Lab 8: Trojan (NetBus) 129

6 CHƯƠNG 6: KẾT LUẬN 137

6.1 Lý thuyết: 137

6.2 Thực hành: 137

6.2.1 Kết quả đạt được: 137

Trang 7

6.3 Hướng phát triển: 137

7 Phụ lục 138

7.1 Chuẩn bị các máy ảo để thực hiện LAB 138

7.1.1 Chuẩn bị các máy ảo: 138

7.1.2 Yêu cầu đối với các máy ảo: 138

7.2 Hướng dẫn thực hiện 138

7.2.1 Enable File and Printer Sharing 138

7.2.2 Enable NetBIOS (Mở port 139, 445) 139

7.2.3 Disable Restrict Anonymous 142

8 Tài liệu tham khảo: 145

Trang 8

DANH MỤC HÌNH ẢNH

Hình 1.1 Danh sách các website của Việt Nam bị hacker tấn công 16

Hình 2.1 Kết quả sau khi dùng lệnh telnet trên windows 22

Hình 2.2 Kết quả sau khi dùng lệnh telnet trên Linux 23

Hình 2.3 Kết quả sau khi dùng lệnh netcat trên windows 25

Hình 2.4 Kết quả sau khi dùng lệnh netcat trên Linux 25

Hình 2.5 Kết quả sau khi dùng lệnh scanline 27

Hình 2.6 Kết quả sau khi dùng lệnh Xprobe2 29

Hình 2.7 Kết quả sau khi dùng lệnh amap trên windows 31

Hình 2.8 Kết quả sau khi dùng lệnh amap trên Linux 31

Hình 2.9 Kết quả sau khi dùng lệnh banner ở port 21 32

Hình 2.10 Kết quả sau khi dùng lệnh banner ở port 21 33

Hình 3.1 Kết quả dùng lệnh getmac với địa chỉ 192.168.1 36

Hình 3.2 Kết quả khi dùng lệnh user2sid với user Administrator 37

Hình 3.3 Kết quả khi dùng lệnh user2sid với user Guest 37

Hình 3.4 Kết quả sau khi dung lệnh user2sid kèm mã SID và RID 39

Hình 3.5 Cửa sổ LocalmUser and Groups 39

Hình 3.6 Kết quả sau khi dùng lệnh sid2user để kiểm tra lại 39

Hình 3.7 Kết quả khi dùng lệnh userdump tới IP 192.168.1.3 bằng tài khoản Admin 41

Hình 3.8 Kết quả khi dùng lệnh userdump 43

Hình 3.9 Kết quả khi dùng lệnh userinfo 44

Hình 3.10 Cửa sổ Select Computer 45

Hình 3.11 Cửa sổ Dump Users as Table 46

Hình 3.12 Chọn tất cả từ cửa sổ Dump Users as Table 46

Hình 3.13 Cửa sổ Somarsoft DumpSec 46

Hình 3.14 Khởi động dumpsec trên windows 47

Hình 3.15 File users.txt 47

Hình 3.16 Kết quả sau khi dùng lệnh net view 48

Hình 3.17 Kết quả sau khi dùng lệnh net view kèm theo domain 48

Hình 3.18 Kết quả khi dùng lệnh net view với domain là workgroup 49

Hình 3.19 Kết quả khi dùng lệnh net view để xem IP mục tiêu 49

Hình 3.20 Kết quả sau khi dùng lệnh ping google 50

Hình 3.21 Kết quả sau khi dùng lệnh ping đến IP 42.112.9.84 trên Linux 50

Hình 3.22 Kết quả sau khi dùng lệnh pathping web www.zing.vn 52

Hình 3.23 Kết quả sau khi dùng lệnh nmap 54

Trang 9

Hình 3.24 Giao diện của nmapFE 55

Hình 3.25 Kết quả sau khi dùng lệnh nmap để scan mục tiêu 55

Hình 3.26 Cửa sổ Profile Editor 56

Hình 3.27 Kết quả sau khi dùng lệnh nslookup 57

Hình 3.28 Kết quả sau khi dùng lệnh nslookup đến web www.google.com 57

Hình 3.29 Chọn điểm kiểm tra từ test from 59

Hình 3.30 Chọn giao thức truyền tải 59

Hình 3.31 Chọn IP mục tiêu 59

Hình 3.32 Các tùy chọn 59

Hình 3.33 Kết quả sau khi Trace đến địa chỉ www.hcmute.edu.vn 60

Hình 3.34 Bảng Analysis 60

Hình 3.35 Cửa sổ Dải IP cho SPKT HCM 61

Hình 3.36 Phân vùng địa lý của hostname 61

Hình 3.37 Bảng Route Graph dưới dạng đồ thị 61

Hình 3.38 Cửa sổ What’s that site running 62

Hình 3.39 Kết quả sau khi xác định thông tin của mục tiêu có hostname là netcraft.com 62

Hình 3.40 Cửa sổ Computer Management 63

Hình 3.41 Các thư mục chia sẻ trên cửa sổ Computer Management 64

Hình 3.42 Khởi động regedit 64

Hình 3.43 Cửa sổ Edit DWORD Value 65

Hình 3.44 Tạo khóa DWORD Value mới với tên AutoShareWk 65

Hình 3.45 Kết quả sau khi khởi động lại máy tính 66

Hình 3.46 Giao diện chính của Winfingerprint 67

Hình 3.47 Cửa sổ Input Options 67

Hình 3.48 Cửa sổ Scan Options 67

Hình 3.49 Cửa sổ General Options 68

Hình 3.50 Thực hiện quét mục tiêu 192.168.1.8 68

Hình 3.51 Kết quả sau khi quét mục tiêu 192.168.1.8 69

Hình 3.52 Cửa sổ Share on Tester2 70

Hình 4.1 Giao diện chính của IP Range – Angry IP Scanner 72

Hình 4.2 Nhập IP đích 72

Hình 4.3 Cửa sổ Preferences 73

Hình 4.4 Cửa sổ thông báo Scan Statistics 73

Hình 4.5 Kết quả sau khi scan bằng Angry IP 74

Hình 4.6 Các thư mục máy mục tiêu chia sẻ 74

Hình 4.7 Giao diện GFI LANguard 76

Hình 4.8 Chọn mục tiêu quét 77

Trang 10

Hình 4.9 Chứng thực kết nối từ xa 78

Hình 4.10 Hiện thị thông báo hoàn thành 79

Hình 4.11 Kết quả chi tiết mục tiêu 80

Hình 4.12 Kết quả khi dùng lệnh passifist 81

Hình 4.13 Tập tin kq.txt 82

Hình 4.14 Kết quả sau khi dùng lệnh fscan 83

Hình 4.15 Giao diện LanSpy 84

Hình 4.16 Kết quả sau khi sử dụng ứng dụng LanSpy 84

Hình 4.17 Giao diện WireShark 86

Hình 4.18 Kết quả sau khi quét bằng WireShark 87

Hình 4.19 Kết quả sau khi dùng lệnh ngrep 88

Hình 4.20 File Output.txt 89

Hình 4.21 Kết quả sau khi dùng lệnh tcpdump 90

Hình 4.22 Đọc tập tin tcpdum 91

Hình 5.1 Giao diện chính của chương trình EPB 93

Hình 5.2 Thiết lập địa chỉ mục tiêu 94

Hình 5.3 Thiết lập số gói tin gửi đi 95

Hình 5.4 Gửi các gói tin đến mục tiêu 96

Hình 5.5 Kết quả Ethereal 97

Hình 5.6 Kết quả Ethereal trên Linux 98

Hình 5.7 Ping đến mục tiêu 172.16.1.8 99

Hình 5.8 Kết quả địa chỉ MAC nguồn 99

Hình 5.9 Kết quả sau khi dùng lệnh ifconfig 100

Hình 5.10 Địa chỉ MAC đã được thay đổi 100

Hình 5.11 File hướng dẫn ifcfg-eth0 101

Hình 5.12 File rc.local 101

Hình 5.13 Thêm dòng lệnh để kết nối DHCP 102

Hình 5.14 Ứng dụng Netwag 103

Hình 5.15 Chi tiết hướng dẫn sử dụng Netwag 104

Hình 5.16 Danh sách username và password 104

Hình 5.17 Nhập IP đích 105

Hình 5.18 Kết quả trả về username và password chính xác nhất 106

Hình 5.19 Kết quả fgdump 108

Hình 5.20 Tập tin 127.0.0.1.pwdump 108

Hình 5.21 Giao diện LC6 109

Hình 5.22 Cửa sổ Import 110

Hình 5.23 Chọn nơi chứa tập tin 111

Hình 5.24 Danh sách User 111

Trang 11

Hình 5.25 Danh sách username và password 112

Hình 5.26 Chọn Netword Interface 112

Hình 5.27 Cửa sổ SMB Packet Capture Output 113

Hình 5.28 Màn hình đăng nhập yêu cầu mật khẩu 114

Hình 5.29 Màn hình khởi động 114

Hình 5.30 Boot Menu 115

Hình 5.31 Đĩa CD ứng dụng CHNTPW 115

Hình 5.32 Màn hình thiết lập 115

Hình 5.33 Cấu hình thư mục Registry 116

Hình 5.34 Mặc định Password reset 116

Hình 5.35 Cấu hình Edit user data and passwords 116

Hình 5.36 Danh sách tất cả tài khoản trên máy tính 116

Hình 5.37 Thực hiện thay đổi mật khẩu tài khoản Administrator 117

Hình 5.38 Hiện thị cảnh báo lỗi 117

Hình 5.39 Thoát khỏi chương trình 117

Hình 5.40 Thoát khỏi CHNTPW 118

Hình 5.41Cửa sổ chọn ghi tập tin 118

Hình 5.42 Thiết lập New run 118

Hình 5.43 Màn hình đăng nhập không yêu cầu mật khẩu 119

Hình 5.44 Cửa sổ BO2K Server Configuration 120

Hình 5.45 Chọn bo2k.exe 120

Hình 5.46 Chọn Insert 121

Hình 5.47 Chọn thư mục Plugins 121

Hình 5.48 Chọn tập tin io_tcp.dll trong thư mục io 122

Hình 5.49 Cửa sổ BO2K Server Configuration sau khi thêm các plugins 123

Hình 5.50 Thông báo thiết lập đã được lưu lại thành công 123

Hình 5.51 Thiết lập Default Port 124

Hình 5.52 Giao diện chính của BO2K Client 124

Hình 5.53 Cửa sổ Plugins Configuration 125

Hình 5.54 Các Plugins sau khi được thêm vào 126

Hình 5.55 Cửa sổ Edit Server Settings 126

Hình 5.56 Danh sách các mục tiêu 127

Hình 5.57 Cửa sổ BO Server Connection 127

Hình 5.58 Cửa sổ BO Server Connection sau khi kết nối 128

Hình 5.59 Danh sách các tùy chọn có thể thực hiện 128

Hình 5.60 Cửa sổ BO Server Connection sau khi thực hiện lệnh 129

Hình 5.61 Cửa sổ Select Components 130

Hình 5.62 Giao diện chính NetBus Pro Server 131

Trang 12

Hình 5.63 Cửa sổ Server setup 131

Hình 5.64 Cửa sổ Server setup sau khi thực hiện các thiết lập 132

Hình 5.65 Cửa sổ Select Components 132

Hình 5.66 Giao diện chính NetBus Pro Client 133

Hình 5.67 Tùy chọn Add Host 133

Hình 5.68 Tùy chọn Connect 134

Hình 5.69 Thông báo đã kết nối đến mục tiêu thành công 134

Hình 5.70 Các tùy chọn cho phép kẻ tấn công thực hiện lên mục tiêu 135

Hình 5.71 Của sổ nhập URL của tùy chọn Go to URL 135

Hình 5.72 Màn hình máy mục tiêu 136

Hình 8.1 Cửa sổ Local Area Connection Properties 139

Hình 8.4 Cửa sổ Internet Protocol (TCP/IP) Properties 141

Hình 8.5 Cửa sổ Advanced TCP/IP Settings 142

Hình 8.6 Thay đổi giá trị DWORD của key restrictanonymous 143

Hình 8.7 Thay đổi giá trị DWORD của key restrictanonymoussam 143

Hình 8.8 Thay đổi giá trị DWORD của key everyoneincludesanonymous 143

Trang 13

DANH MỤC CÁC TỪ VIẾT TẮT

Trang 14

1 CHƯƠNG 1: ĐẶT VẤN ĐỀ 1.1 Tổng quan

Hiện nay, các lĩnh vực công nghệ thông tin, công nghệ mạng máy tính và mạnginternet ngày càng phát triển đa dạng và phong phú Các dịch vụ mạng đã thâm nhập hầuhết vào các lĩnh vực đời sống xã hội Các thông tin trên internet cũng đa dạng về nộidung, hình thức và các thông tin đó cần được bảo mật bởi tính kinh tế, tính chính xác vàtính tin cậy của nó

Bên cạnh đó, thủ đoạn của các hacker ngày càng tinh vi và nguy hiểm, các hìnhthức phá hoại mạng cũng trở nên phức tạp hơn Do đó đối với mỗi hệ thống, nhiệm vụ đặt

ra cho người quản trị mạng là hết sức quan trọng và cần thiết nên vấn đề bảo mật cho dữliệu đang là vấn đề được quan tâm hàng đầu Tìm hiểu các thủ đoạn mà hacker sử dụng,chúng ta sẽ có những biện pháp thiết thực để phòng chống các cuộc tấn công “Hiểuhacker để chống hacker”, từ đó có thể kiểm tra các lỗi bảo mật của hệ thống và đưa ra cácgiải pháp phòng chống một cách hiệu quả và toàn vẹn Xuất phát từ những thực tế đó, đềtài này sẽ tìm hiểu về các cách tấn công phổ biến hiện nay và cách phòng chống loại tấncông tương ứng

Thông qua việc nghiên cứu một số phương pháp tấn công và biện pháp phòngchống các loại tấn công đó, chúng em mong muốn góp một phần nhỏ vào việc nghiên cứu

và tìm hiểu về các vấn đề an ninh mạng giúp cho việc học tập và nghiên cứu Mong rằng

sau khi đọc đồ án “Các kỹ thuật tấn công mạng và biện pháp phòng chống” sẽ đưa ra

cái nhìn tổng quan về hack cũng như giúp những người chưa hiểu biết về hack sẽ có cáinhìn rõ ràng hơn

1.2 Hiện trạng

1.2.1 Bản tin về an ninh mạng

1.2.1.1 Bản tin năm 2011

“Chiều 20/06/2011, tại Hà Nội diễn ra hội thảo: “An tòan, an ninh mạng Việt Nam: Nguy

cơ và giản pháp” nhằm thảo luận tìm hiểu rõ nguyên nhân, từ đó đưa ra những biện phápkhắc phục tình trạng nhiều website của các cơ quan, tổ chức trong nước bị hacker tấncông thời gian qua

Cách đây ít hôm, Thủ tướng Chính phủ đã trực tiếp ban hành chỉ thị số TTg chỉ đạo các Bộ, ngành, địa phương tăng cường giải pháp đảm bảo an toàn thông tin

897/CT-số Điều này cho thấy, an ninh mạng ngày càng có nguy cơ bị xâm phạm

Khi ban hành chỉ thị 897, Thủ tướng chính phủ cũng đã nêu rõ, trong thời gian qua,tình hình mất an toàn thông tin số nước ta diễn biến phức tạp, xuất hiện nhiều nguy cơ đedọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ phát triển kinh tế xã hội

và bảo đảm quốc phòng an ninh

Trong đó, bản thân các vụ tấn công trên mạng và các vụ xâm nhập hệ thống côngnghệ thông tin là nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài sản, cạnh tranhkhông lành mạnh và một số vụ mất an toàn thông tin số khác đang gia tăng ở mức báođộng về số lượng, đa dạng về hình thức, tinh vi hơn về công nghệ

Trang 15

Máy chủ Việt Nam là “sân tập” của hacker quốc tế.

Chỉ trong vòng chưa đầy 20 ngày của tháng 6, số lượng tấn công website Việt Namtăng lên khá lớn so với bình thường với hàng trăm các website tiếng Việt có tên miền vn

và com đã bị hacker dồn dập tấn công Điển hình là trong đêm 6/6, hơn 200 website tiếngViệt có tên miền vn và com đã bị một nhóm hacker có tên CmTr đã tấn công và đã càilại một file chứa mã độc vào website

Theo thống kê của trang web Zone-H – chuyên thống kê các website bị tấn côngtrên toàn cầu, chỉ trong 20 ngày đầu tháng 6, có khoảng 446 website “.vn” đã bị hackertấn công, trong đó có 16 trang chứa tên miền “.gov.vn” Chỉ tính riêng tuần đầu tiên củatháng 6 cũng đã có 407 website tên miền vn bị hacker tấn công

Còn theo ông Nguyễn Quang Huy, Trưởng Phòng Kỹ thuật Hệ thống Trung tâmỨng cứu khẩn cấp sự cố máy tính Việt Nam - VNCert, từ cuối tháng 5 đầu tháng 6, chúng

ta tiếp nhận rất nhiều cuộc tấn công và các trang web của doanh nghiệp (DN) và nhiều cơquan tổ chức Chính phủ Có thông tin vài trăm website Có thông tin cho biết số lượngtrang web bị tấn công lên tới 1.500 Hay như vụ Diễn đàn hacker Việt Nam(www.hvaonline.net), ngày 12 và 13 cũng bị tấn công từ chối dịch vụ (D-DOS) với cường

độ rất lớn khiến mọi truy cập đến địa chỉ này đều không thực hiện được

Vấn đề đáng báo động ở đây là ngoài việc tấn công đơn thuần vào các diễn đàn,trang thông tin điện tử có số lượng truy cập lớn như: rongbay.com, enbac.com, kenh14…hacker còn tấn công cả những địa chỉ có tên miền gov.vn của các cơ quan thuộc Chínhphủ như website www.ntc.mofa.gov.vn của Bộ Ngoại giao Việt Nam,Caugiay.hanoi.gov.vn - cổng thông tin điện tử quận Cầu Giấy, Hà Nội, và gần đây nhất,ngày 20/6, nhóm hacker Hmei7 đã “hỏi thăm” website của Sở Thông tin–Truyền thông

Hà Nội (http://www.ict-hanoi.gov.vn)

Trang 16

Hình 1.1 Danh sách các website của Việt Nam bị hacker tấn công

Do mức độ các website bị tấn công dồn dập và với số lượng lớn như trên, nhiềuchuyên gia công nghệ cho rằng, nguyên nhân là do hacker đã chiếm được một máy chủcủa một nhà cung cấp dịch vụ hosting để từ đó tấn công giao diện hàng loạt website trên

đó Theo đánh giá của ông Triệu Trần Đức, Tổng giám đốc CMC Info Sec: Hiện nay, cácwebsite của Việt Nam đều mắc những lỗi giống nhau, chỉ bằng 3 cách đơn giản thì 300trang web đã có thể bị hack, trong đó, phổ biến nhất là search trên Google Thực tế, máychủ của Việt Nam cứ dựng lên là trở thành “sân tập” cho hacker thế giới

Những cuộc tấn công này đều là những hành động đơn lẻ, mang tính chất tự phátcủa những hacker bán chuyên nghiệp Nguyên nhân chủ yếu là do đơn vị quản lý của cácwebsite này chưa thực sự chú trọng đến việc đầu tư cho vấn đề bảo mật, vẫn còn nhiều lỗhổng để các hacker dễ dàng khai thác

Không có những nhận định quá bi quan như CMC, ông Huy cho biết: Thực tếkhông quá nhiều vụ tấn công như một số hãng bảo mật đã đưa ra Có vụ chỉ 1 cuộc tấncông đã nắm được quyền kiểm soát máy chủ cài vài chục trang web khác nhau Nếu thống

kê số vụ tấn công thì ít hơn nhiều so với số lượng trang web

Theo đánh giá của đại diện VnCert, những cuộc tấn công này đều là những hànhđộng đơn lẻ, mang tính tự phát nhiều với mức độ nguy hiểm chưa cao, không thể hiệntrình độ của hacker Có thể hiểu là mức độ sơ khai Qua kiểm tra, có nhiều dấu hiệuhacker tấn công từ nước ngoài qua các địa chỉ IP xuất phát từ nhiều nước như Trung

Trang 17

Quốc, Hồng Kông, Hàn Quốc, Mỹ Có cả IP từ Việt Nam Tuy nhiên, hiện cũng chưa cóthống kê cụ thể số vụ tấn công từ các quốc gia nhất định.”

Trích dẫn từ http://www.humg.edu.vn: “An toàn, an ninh mạng Việt Nam: Nguy cơ

và giải pháp”

1.2.1.2 Bản tin năm 2013

“TP - Năm 2013 tiếp tục ghi nhận nhiều cuộc tấn công từ chối dịch vụ (DDoS) vàowebsite của các tổ chức, doanh nghiệp, cơ quan nhà nước ở Việt Nam Trong đó nhiềuhình thức tấn công mới tinh vi đã bắt đầu xuất hiện

VNCERT không chủ động phát hiện được sớm mà chỉ ngăn chặn khi website đã bịtấn công

Gần một triệu máy tính Việt Nam nhiễm mã độc

Tháng bảy vừa qua, liên tiếp nhiều báo mạng lớn ở Việt Nam như Vietnamnet.vn,Tuoitre.vn, Dantri.com.vn bị tấn công từ chối dịch vụ dẫn đến hoạt động chập chờn, cólúc tê liệt

Theo TS Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu Khẩn cấp Máy tính ViệtNam (VNCERT), cuộc tấn công DDoS vào ba báo điện tử lớn được thực hiện với bốn đợttấn công mà mỗi đợt tấn công, máy chủ điều khiển lại nằm ở một quốc gia như Đức, HàLan, Ucraina

Máy chủ thay đổi liên tục, các công cụ tấn công botnet trong đợt tấn công này cũngthay đổi liên tục cho thấy sự tinh vi và nguy hiểm trong các đợt tấn công thời gian gầnđây

Ông Khánh cho hay, sự tấn công của các mạng botnet vẫn là một trong những mốinguy hiểm chính với hệ thống website ở Việt Nam VNCERT liên tục ghi nhận tình trạngnhiều mạng lưới botnet quốc tế có sự “góp mặt” của các máy tính, địa chỉ IP tại ViệtNam, chẳng hạn mạng lưới Zeus Botnet có 14.075 địa chỉ IP thuộc không gian mạng ViệtNam Các mạng Sality, Downadup, Trafficconverter có 113.273 địa chỉ IP Việt Nam.Ước tính có khoảng 500.000- 1.000.000 máy tính ở Việt Nam đang nằm trong các mạngbotnet của thế giới Điều đáng lo ngại, theo ông Khánh là sự xuất hiện của các hình thứctấn công botnet mới và các mạng này đã bắt đầu tấn công vào Việt Nam như mạng Robotđược điều hành bởi một nhóm tin tặc ở IRAN đã tấn công các trang web trên toàn thếgiới

Tại Việt Nam đã có 2.309 website bị tấn công với mã độc cài trên 6.978 trang web.Mạng botnet này đang cho thuê công khai trên không gian mạng “Hiện chúng tôi rất lolắng và đang tìm cách phối hợp để ngăn chặn”, ông Khánh nói

Một loại hình mới là mạng botnet Razer cũng mới xuất hiện và bắt đầu tham giatấn công một số doanh nghiệp hosting ở Việt Nam Sự xuất hiện của nhiều hình thức tấncông botnet mới đang đặt ra cho cơ quan chức năng nhiều khó khăn trong việc ngăn chặn

và chống đỡ “việc bóc gỡ các mã độc của các hình thức tấn công botnet mới như thế nàocần phải tiếp tục nghiên cứu”, theo ông Khánh

Trang 18

Chưa có kịch bản ứng phó

Mặc dù việc tấn công botnet vào hệ thống máy tính, website ở Việt Nam ngày càngnguy hiểm song khả năng chống đỡ của các tổ chức, cơ quan ở Việt Nam vẫn hạn chế.”Trích dẫn từ http://www.tienphong.vn: “ Tấn công mạng ở Việt Nam ngày càng nguy hiểm ”

1.3 Hacker và ảnh hưởng của việc hack

1.3.1 Hacker - họ là ai?

Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năng tạo ra haykhám phá ra các phần mềm hay phần cứng của máy tính Đối với một số hacker, hack làmột sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính mạng

Mục đích của họ có thể là tím hiểu kiến thức hoặc phá hoại bất hợp pháp Một sốmục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, số bảohiểm xã hội, mật khẩu, email…

1.3.2 Các lại hacker

Black Hats: là người có kỹ năng tính toán xuất sắc, sử dụng thành thạo các

công cụ và máy tính, có các hoạt động phá hoại, ví dụ như crackers

White Hats: người biết nhiều kỹ năng của hacker, và sử dụng chúng cho mục

đích phòng thủ, ví dụ như chuyên gia phân tích an ninh mạng

Gray Hats: là người làm cả 2 việc, tấn công và phòng thủ ở những thời điểm

khác nhau

Suicide Hacker: người tấn công các cơ sở hạ tầng quan trọng mà không cần

quan tâm đến phải chịu 30 năm tù vì các hành vi của mình

1.4 Ảnh hưởng của việc hack

Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của hackergây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm Hành vi trộm cắpthông tin cá nhân khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới các vụkiện Hack có thể làm 1 công ty bị phá sản Botnet có thể được sử dụng để khởi động cácloại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm doanhthu Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng vàbán chúng cho các đối thủ cạnh tranh

- Lỗi trong hệ điều hành

- Hệ thống chưa được vá hệ điều hành

Trang 19

1.5.2 Tấn công cấu hình sai

Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trịhoặc nhiễm virus, giúp hacker tận dụng những lỗ hổng này để khai thác và xâm nhập vào

hệ thống như chỉnh sửa sai DNS, thông tin cấu hình IP…

Ngày nay, thủ đoạn của các hacker ngày càng tinh vi và nguy hiểm hơn, vì vậy vấn

đề bảo mật cho dữ liệu đang là vấn đề được quan tâm hàng đầu Qua việc tìm hiểu đượccác thủ đoạn mà hacker sử dụng, chúng ta sẽ có những biện pháp thiết thực để phòngchống các cuộc tấn công vào dữ liệu Chính vì lý do trên nhóm chúng em quyết định thực

hiện đề tài “Các kỹ thuật tấn công mạng và biện pháp phòng chống”, với phương châm:

“hiểu hacker để chống hacker”, lúc đó có thể kiểm tra các lỗi bảo mật của hệ thống và đưa

ra các giải pháp phòng chống một cách hiệu quả và toàn vẹn

1.6.2 Phạm vi:

- Tìm hiểu một số phương thức tấn công:

o Xác định thông tin Banner

o Liệt kê thông tin mục tiêu

Trang 20

o Thay đổi Banner.

o Sử dụng hệ thống phát hiện xâm nhập (IDS)

o Sử dụng các thông tin registrants chung

o Hạn chế vô danh (Restrict Anonymous)

o Tùy chỉnh Registry (Registry Edit)

o Sử dụng registrants để ẩn các thông tin cá nhân

- Nghiên cứu tài liệu

- Làm thực nghiệm trên máy ảo

Trang 21

2 CHƯƠNG 2: TẤN CÔNG XÁC ĐỊNH THÔNG TIN BANNER

2.1 Giới thiệu:

- Xác định thông tin banner là kiểu tấn công được kẻ tấn công sử dụng để thu thậpmột số thông tin banner từ các dịch vụ đang chạy trên máy mục tiêu bằng cách kếtnối đến các cổng khác nhau trên máy của mục tiêu, kết hợp sử dụng một số ứngdụng hỗ trợ như: telnet, netcat, scanline, xprobe2, amap để tấn công Kẻ tấn côngcũng có thể thực hiện khai thác thông tin thông qua email, điện thoại, tiếp xúc trựctiếp, thông qua người quen, các mối quan hệ cá nhân…nhằm khai thác các thôngtin vô tình bị tiết lộ từ phía người dùng Từ đó kẻ tấn công dựa vào những thôngtin thu thập được sẽ lựa chọn cách thức tấn công phù hợp

- Các thông tin thường bị thu thập có thể là: tên hệ điều hành, tên server, phiên bản,thời gian, các cổng đang mở, service mục tiêu đang sử dụng…

- Các biện pháp phòng chống thường được sử dụng cho kiểu tấn công này là:

Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết

Thay đổi Banner

Dùng IDS (Intrusion Detection System) để phát hiện các tập tin UDP đến port

32132 (IDS to detect UDP to port 32132)

Từ chối yêu cầu/trả lời từ ICMP (Internetwork Control Message Protocol).Thực thi các chính sách bảo mật

Hủy các tài liệu, văn bản trước khi cho vào sọt rác

2.2 Thực hiện:

- Chuẩn bị: xem phần phụ lục

- Các lab thực hiện trong chương này:

Lab 1: xác định thông tin banner bằng TELNET

Lab 2: Xác định thông tin Banner bằng NETCAT

Lab 3: Xác định thông tin Banner bằng SCANLINE

Lab 4: Xác định hệ điều hành (OS) bằng XPROBE2

Lab 5: Xác định thông tin Banner bằng AMAP

Lab 6: Xác định thông tin Banner bằng BANNER

Lab 7: Kỹ thuật lừa đảo

2.2.1 Lab 1: Xác định thông tin Banner bằng TELNET:

 Công cụ: Telnet

 Điều kiện thực hiện: Không

Trang 22

 Mô tả: Ứng dụng Telnet thường sử dụng cổng 23 để thu thập một số thông tin

banner từ các dịch vụ đang chạy trên máy của mục tiêu bằng cách kết nối vàonhững cổng khác nhau trên máy của mục tiêu

 Cách thực hiện:

 Windows:

- Từ cửa sổ DOS prompt, gõ lệnh theo cú pháp:

- Ví dụ, dùng telnet để kết nối đến cổng 80 của địa chỉ www.hcmute.edu.vn Gõ lệnhsau:

- Enter -> gõ lệnh get ->Enter

- Kết quả thu được:

Hình 2.2 Kết quả sau khi dùng lệnh telnet trên windows

- Các thông tin banner được xác định bởi telnet khi kết nối đến cổng 80 bao gồm:

Phiên bản của http service: HTTP/1.1

Phân loại nội dung: text/html

- Kết quả thu được:

telnet (Địa chỉ IP hoặc Hostname) (Cổng) lnet

Trang 23

Hình 2.3 Kết quả sau khi dùng lệnh telnet trên Linux

- Ngoài ra telnet còn có thể kết nối đến các cổng khác nhau để thu thập được những

banner khác nhau Ví dụ:

Port 21: FTP – File Transfer Protocol

Port 25: SMTP - Simple Mail Transfer Protocol

Port 110: POP3 - Post Office Protocol Version 3

…

 Biện pháp phòng chống:

o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết

o Sử dụng SSH, VPN, IPsec

o Thay đổi Banner

2.2.2 Lab 2: Xác định thông tin Banner bằng NETCAT:

 Công cụ: Netcat

 Điều kiện thực hiện: Không.

 Mô tả: Ứng dụng Netcat sử dụng để thu thập một số thông tin banner cụ thể từ các

dịch vụ đang chạy trên máy của mục tiêu bằng cách kết nối vào những port khácnhau trên máy của mục tiêu

 Windows:

- Từ cửa sổ DOS prompt, thực hiện câu lệnh theo cú pháp:

- Các tùy chọn của netcat bao gồm:

-d: tách Netcat khỏi cửa sổ lệnh hay là console, Netcat sẽ chạy ở chế độ ẩn

(không hiển thị trên thanh Taskbar)

-e: thi hành chương trình program exe, thường dùng trong chế độ lắng nghe.

nc <tuỳ chọn> (Địa chỉ IP) (Cổng)

Trang 24

-h: gọi hướng dẫn.

-i: trì hoãn thời gian (mili giây) trước khi gửi một dòng dữ liệu đi.

-l: đặt Netcat vào chế độ lắng nghe để chờ các kết nối đến.

-L: buộc Netcat "cố" lắng nghe Nó sẽ lắng nghe trở lại sau mỗi khi ngắt một

kết nối

-n: chỉ dùng địa chỉ IP ở dạng số, chẳng hạn như 192.168.16.7, Netcat sẽ

không kiểm tra DNS

-o: ghi log vào file.

-p: chỉ định cổng port.

-r: yêu cầu Netcat chọn cổng ngẫu nhiên (random).

-s: giả mạo địa chỉ IP nguồn.

-t: không gửi các thông tin phụ đi trong một phiên telnet.

-u: dùng UDP (mặc định netcat dùng TCP).

-v: hiển thị chi tiết các thông tin về kết nối hiện tại (-vv sẽ hiển thị thông tin chi

tiết hơn nữa)

-w: đặt thời gian timeout cho mỗi kết nối là mili giây.

-z: chế độ zero I/O, thường được sử dụng khi scan port.

- Ví dụ, sử dụng Netcat để lấy thông tin banner từ cổng 80 của mục tiêu có địa chỉ

IP 203.113.147.177 (cổng mặc định của dịch vụ HTTP) Từ thư mục chứa ứngdụng Netcat, gõ lệnh sau:

- Trong đó:

-v: Tùy chọn hiển thị chi tiết các thông tin về kết nối.

-n: Chỉ dùng địa chỉ IP (không sử dụng hostname).

203.113.147.177: địa chỉ IP của www.hcmute.edu.vn.

Trang 25

Hình 2.4 Kết quả sau khi dùng lệnh netcat trên windows

 Linux:

- Kết quả thu được:

Hình 2.5 Kết quả sau khi dùng lệnh netcat trên Linux

- Cũng giống telnet, netcat có thể kết nối đến nhiều cổng khác nhau trên máy củamục tiêu để thu thập những thông tin banner khác nhau từ các dịch vụ đang chạytrên máy mục tiêu (cổng 21, 25, 80…)

Trang 26

2.2.3 Lab 3: Xác định thông tin Banner bằng SCANLINE:

 Công cụ: Scanline

 Mô tả: Ứng dụng Scanline được sử dụng để thu thập một số thông tin banner từ

các dịch vụ đang chạy bằng cách kết nối đến các cổng khác nhau trên máy của mụctiêu, từ đó các kẻ tấn công dựa vào những thông tin thu thập được sẽ lựa chọn cáchthức tấn công phù hợp

- Tải hoặc cài đặt scanline từ đĩa CD.

- Từ cửa sổ DOS prompt, di chuyển đến thư mục scanline đã cài đặt, thực hiện câu

lệnh theo cú pháp:

- Các tùy chọn bao gồm:

-?: Xem giúp đỡ.

-b: Lấy thông tin banner từ port.

-c: Tùy chỉnh Timeout cho TCP và UDP (ms) Mặc định là 4000.

-d: Thời gian chờ giữa các lần scan (ms) Mặc định là 0.

-f: Đọc IPs từ file Sử dụng "stdin" cho stdin.

-g: Bind to given local port.

-h: Ẩn kết quả cho những hệ thống không có cổng nào được mở.

-i: For pinging use ICMP Timestamp Requests in addition to Echo Requests -j: Xuất ra kết quả có phân cách " - " giữa các IPs.

-l: Đọc cổng TCP từ file.

-L: Đọc cổng UDP từ file.

-m: Bind to given local interface IP

-n: Không scan port- chỉ ping (trừ khi bạn sử dụng -p).

-o: Xuất file (chế độ overwrite).

-O: Xuất file (chế độ append)

-p: Không ping host trước khi quét.

-q: Timeout cho pings (ms) Mặc định là 2000.

-r: Phân giải địa chỉ IP thành tên máy (Hostnames)

-s: Xuất file định dạng dấu phẩy (csv).

-t: TCP port(s) to scan (một danh sách ports/ranges được phân cách bằng dấu

phẩy)

-T: Sử dụng danh sách nội tại các cổng TCP.

-u: UDP port(s) to scan (một danh sách ports/ranges được phân cách bằng dấu

phẩy)

-U: Sử dụng danh sách nội tại các cổng UDP.

sl <tuỳ chọn> (Địa chỉ IP)

Trang 27

-v: Verbose mode (hiển thị toàn bộ quá trình load dưới dạng text mode).

-z: Quét ngẫu nhiên một địa chỉ IP và cổng.

- Ví dụ, sử dụng scanline để quét địa chỉ 203.113.147.177, tùy chọn –v và –b Từ

cửa sổ DOS prompt, gõ lệnh như sau:

- Scanline sẽ quét các cổng đang mở trên máy mục tiêu và lấy các thông tin banner

của các dịch vụ đang chạy trên máy

Trang 28

o Thay đổi Banner.

2.2.4 Lab 4: Xác định hệ điều hành (OS) bằng XPROBE2:

 Xác định hệ điều hành của mục tiêu: Xprobe2

 Điều kiện thực hiện: không.

 Mô tả: Ứng dụng Xprobe2 giúp xác định hệ điều hành (OS) đang được sử dụng

trên máy của mục tiêu

- Cài đặt Xprobe2 trên Linux.

- Để sử dụng Xprobe2, từ Linux terminal, gõ lệnh theo cú pháp:

- Ví dụ, sử dụng Xprobe2 quét mục tiêu có địa chỉ IP 192.168.1.11 để xem hệ điều

hành mục tiêu đang sử dụng Từ Linux terminal gõ lệnh như sau:

- Xprobe cho kết quả:

xprobe2 <Tùy chọn> (Địa chỉ IP của mục tiêu)

Trang 29

Hình 2.7 Kết quả sau khi dùng lệnh Xprobe2

Trang 30

Dự đoán chính: mục tiêu đang chạy Microsoft Windows XP SP2

Những dự đoán phụ khác gồm:

Microsoft Windows 2003 Server Enterprise Edition

Microsoft Windows 2003 Server Standard Edition

Microsoft Windows 2000 Workstation

Microsoft Windows 2000 Workstation SP1

Microsoft Windows 2000 Server

Microsoft Windows 2000 Server Service Pack1

 Chú ý:

- Cũng có khi dự đoán chính (primary guess) của Xprobe2 không chính xác, ví dụ

Windows XP có thể bị dự đoán nhầm thành Windows 2000 Tuy nhiên, nó vẫn xácđịnh chính xác đây là hệ điều hành Microsoft Windows

o Dùng IDS (Intrusion Detection System) để phát hiện các tập tin UDP đến port

32132 (IDS to detect UDP to port 32132)

o Từ chối yêu cầu/trả lời từ ICMP (Internetwork Control Message Protocol).

2.2.5 Lab 5: Xác định thông Banner bằng AMAP:

 Công cụ: Amap

 Mô tả: Ứng dụng Amap dùng để thu thập những thông tin banner từ các dịch vụ

đang chạy trên máy của mục tiêu bằng cách kết nối vào các cổng khác nhau trênmáy của mục tiêu

- Tải và cài đặt ứng dụng amap trên windows và linux.

- Trên của sổ DOS prompt của windows hay Linux terminal, gõ dòng lệnh theo cú

pháp:

- Các mode gồm:

–A: Gửi kích hoạt và phân tích phản ứng (mặc định).

–B: Chỉ cần lấy banner, không cần gửi kích hoạt.

–P: Cho ứng dụng amap làm Port Scanner.

–W: Web Update.

 Windows:

amap <mode> (Địa chỉ IP của mục tiêu)

Trang 31

- Ví dụ, để quét mục tiêu với địa chỉ IP là 192.168.1.11 và lấy thông tin banner từ cổng 21 của mục tiêu Từ của sổ DOS prompt chỉ đến thư mục chứa file thực thi

của amap, thực hiện lệnh như sau:

Mục tiêu đang sử dụng Microsoft FTP Service.

Hình 2.8 Kết quả sau khi dùng lệnh amap trên windows

 Linux:

- Tương tự như Windows, trên Linux terminal, gõ lệnh:

amap –B 192.168.1.11 21

- Kết quả tương tự trên Windows:

Hình 2.9 Kết quả sau khi dùng lệnh amap trên Linux

o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết.

o Thay đổi Banner.

2.2.6 Lab 6: Xác định thông tin Banner bằng BANNER:

 Công cụ: Banner.c

 Mô tả: Mã Banner.c được biên dịch và sử dụng để thu thập thông tin banner từ

mục tiêu bằng cách kết nối đến các cổng khác nhau trên máy của mục tiêu

- Phải có một tập tin Banner.c chứa các mã dùng để bắt thông tin banner

- Từ thư mục chứa tập tin Banner.c, để biên dịch các mã của tập tin, gõ lệnh:

- Sau khi biên dịch tập tin Banner.c, từ Linux terminal gõ lệnh theo cú pháp:

gcc banner.c -o banner

Trang 32

- Ví dụ, lấy thông tin banner từ cổng 21 của địa chỉ 192.168.1.11 Từ Linux

command, gõ lệnh:

- Kết quả:

Cổng 21 đang mở

Mục tiêu đang sử dụng dịch vụ Microsoft FTP service.

Hình 2.10 Kết quả sau khi dùng lệnh banner ở port 21

- Tiếp tục với mục tiêu có địa chỉ IP là 192.168.1.11, với port 25 (Simple Mail

Transfer Protocol -SMTP) Kết quả thu được:

Trang 33

o Gỡ bỏ, vô hiệu hóa các dịch vụ không cần thiết

o Sử dụng SSH, VPN, IPsec

o Thay đổi Banner

2.2.7 Lab 7: Kỹ thuật lừa đảo:

 Kỹ thuật: Dumpster Diving/Personnel

 Điều kiện thực hiện: không.

 Mô tả: Kỹ thuật Social Engineering rất đa dạng, phong phú và cũng hết sức nguy

hiểm do tính hiệu quả và sự phổ biến Kỹ thuật này không đòi hỏi phải sử dụng quánhiều yếu tố kỹ thuật, thậm chí không có liên quan đến kỹ thuật thuần túy (non-technical) Hacker có thể thực hiện phương cách này thông qua thư tín, e-mail,điện thoại, tiếp xúc trực tiếp, thông qua người quen, các mối quan hệ cá nhân nhằm dẫn dụ, khai thác các thông tin do vô tình bị tiết lộ từ phía người dùng

Trang 34

3 CHƯƠNG 3: TẤN CÔNG LIỆT KÊ THÔNG TIN MỤC TIÊU

- Null Session được gọi là IPC$ (Inter-Communication Process – IPC$) trên máy

chủ nền tảng Windows, là một dạng kết nối nặc danh tới một mạng chia sẻ chophép người dùng trong mạng truy cập tự do Kẻ tấn công sử dụng phiên Null nhưmột lợi thế để liệt kê thông tin từ mục tiêu

- Các ứng dụng thường được dùng trong kiểu tấn công này là: Getmac, User2sid,

Sid2user, Userdump, Userinfo, Dumpsec, Net Commands, PingG, Pathping,Nmap/nmapFE (Linux), nslookup, Nmblookup, Rpcinfo, Visual Route 2010,Netcraft, WinFingerprint

- Các biện pháp thường được dùng để đối phó với kiểu tấn công này:

Điều khiển danh sách truy cập an toàn (ACLs)

Restrict Anonymos

Hạn chế vô danh

Host-based firewalls

- Host-based firewall -còn được gọi là các firewall cá nhân, là các chương trình hoặc

các thiết bị chi phí thấp, được dùng để bảo vệ một máy đơn lẻ Ví dụ: ZoneAlarm,Norton Personal Firewall, và Internet Connection Firewall (ICF) được xây dựngcho Windows XP

3.2 Thực hiện:

- Chuẩn bị: xem phần phụ lục

- Các lab thực hiện trong chương này:

Lab 1: Thiết lập Null Session

Lab 2: Liệt kê thông tin địa chỉ MAC

Lab 3: Liệt kê thông SID từ ID người dùng

Lab 4: Liệt kê User ID từ mã SID

Lab 5: Liệt kê thông tin người dùng (dùng công cụ Userdump)

Lab 6: Liệt kê thông tin người dùng (Userinfo)

Lab 7: Liệt kê thông tin người dùng (Dumpsec)

Lab 8: Liệt kê các Host-Domain

Lab 9: Mục tiêu kết nối-định hướng (PingG)

Lab 10: Kết nối mục tiêu- định hướng

Lab 11: Xác định hệ điều hành trên máy mục tiêu

Lab 12: Liệt kê các Địa chỉ IP-Hostname (Nslookup)

Trang 35

net use \\Địa chỉ IP mục tiêu\IPC$ "" /u:""

Lab 13: Liệt kê các Địa chỉ IP-Hostname (Nmblookup)

Lab 14: Xác định vị trí địa lý – thông tin Registrant của mục tiêu

Lab 15: Xác định thông tin hệ điều hành của mục tiêu

Lab 16: Defaul Share

Lab 17: Liệt kê Host (Host Enumeration)

3.2.1 Lab 1: Thiết lập phiên NULL (NULL Session):

 Thiết lập phiên Null: Null session

 Điều kiện thực hiện: Transfer Control Protocol (TCP) 139, IPX hoặc NetBEUI.

 Mô tả: Null Session, được gọi là IPC$ (Inter-Communication Process – IPC$) là

một dạng kết nối nặc danh tới một mạng chia sẻ cho phép người dùng trong mạngtruy cập tự do Kẻ tấn công sử dụng phiên Null như một lợi thế để liệt kê thông tin

từ mục tiêu

- Trong của sổ DOS prompt, thực hiện lệnh theo cú pháp sau:

- Khi thành công, màn hình sẽ hiển thị kết quả “The command completed

successfully”.

 Chú ý:

- Các máy mục tiêu phải không hạn chế phiên Null và firewall không chặn các kết

nối đến cổng 139 và 445 thì kẻ tấn công mới có thể thiết lập một phiên Null, và kếtnối này không đăng nhập vào Hệ thống Event Log

 Điều kiện thực hiện: Phiên Null.

 Mô tả: Ứng dụng Getmac được sử dụng để xác định địa chỉ MAC được gán chomỗi card mạng (NIC-Network Interface Card) của mục tiêu Một tính năng kháccủa ứng dụng Getmac là xác định tổng số lượng NIC trong mục tiêu

Trang 36

getmac \\Địa chỉ IP

getmac /s[tên máy hoặc địa chỉ IP] /u[Domain/user] /p[Mật khẩu]

- Thiết lập một phiên Null, từ của sổ DOS prompt, gõ lệnh theo cú pháp:

Đối với Windows XP Trong trường hợp này user Administrator không đặt mật

khẩu, nên không cần tùy chọn /p (hoặc có thì để trống)

- Trong ví dụ này, với địa chỉ 192.168.1.3, kết quả thu được không có NIC nào được

tìm thấy (vì đây là máy ảo)

Hình 3.12 Kết quả dùng lệnh getmac với địa chỉ 192.168.1

- Trong trường hợp này, địa chỉ MAC được xác định NIC của mục tiêu là:

 Mô tả: Mỗi tài khoản trên máy tính Windows đều có một mã Security Identifier(SID-Mã bảo vệ) Mỗi tài khoản người dùng trên máy tính đều có một mã SID mặc

Trang 37

user2sid <\\Địa chỉ IP > <Tên tài khoản>

định và không thay đổi được Ứng dụng USER2SID được sử dụng để liệt kê mãSID từ tên tài khoản của người dùng

- Thiết lâp một phiên Null đến mục tiêu, từ cửa sổ DOS prompt, chỉ đến thư mục

chứa tập tin thực thi user2sid.exe, gõ lệnh theo cú pháp:

 Chú ý: Có thể thay thế địa chỉ IP bằng tên máy (ví dụ: user2sid \\TESTER3)

- Ví dụ: địa chỉ IP của mục tiêu là 192.168.1.3 và tên tài khoản là Administrator.

Hình 3.13 Kết quả khi dùng lệnh user2sid với user Administrator

- Kết quả thu được khi sử dụng user2sid với tài khoản Administrator:

Mã SID: 5-21-507921405-706699826-839522115 (S-1 và -500, không phải là

Trang 38

3.2.4 Lab 4: Liệt kê User ID từ mã SID:

 Công cụ: Sid2user

 Mô tả: Mỗi tài khoản của người dùng trên máy tính Windows đều có một mã RID

mặc định Ứng dụng SID2USER được sử dụng để liệt kê tên người dùng (username) từ một mã SID cho trước, dù tài khoản có được đổi tên hay không.

 Mã RID là mặc định cho từng loại tài khoản, nó không thay đổi cho dù tài khoản

đó được đổi tên

Bảng 3.1 Mã RID tương ứng với mỗi loại User

- Ở lab 3, sử dụng User2sid tìm mã SID của tài khoản Administrator, kết quả thu

được:

S-1-5-21-507921405-706699826-839522115-500

- Số 500 cuối cùng chính là mã RID RID = 500, => tài khoản của Administrator

thật sự (không phải tài khoản user đổi tên)

- Thiết lập một phiên Null đến máy mục tiêu.

- Từ DOS prompt, chỉ đến thư mục chứa tập tin thực thi sid2user.exe, gõ lệnh theo

cú pháp:

- Ví dụ này lấy kết quả từ lab 10, với SID là 5 21 507921405 706699826 839522115

và RID là 500.

 Chú ý:

- Sau khi sử dụng user2sid, thu được dãy số bao gồm “S-1-SID-RID” Bỏ S-1, chỉ

lấy mã SID và RID.

- Các dấu “-” được thay bằng khoảng trắng.

Hình 3.15 Kết quả sau khi dung lệnh user2sid kèm mã SID và RID

sid2user <\\Target IP Address> <SID> <RID>

Trang 39

- Từ ví dụ, kết quả thu được khi sử dụng sid2user:

Tên người dùng là tài khoản Administrator (RID = 500).

Nằm trong Domain TESTER3.

Bây giờ, trên máy mục tiêu, đổi tên tài khoản Administrator thành Test và thực

hiện lại lab trên

Hình 3.16 Cửa sổ LocalmUser and Groups

- Chạy lại ứng dụng sid2user 1 lần nữa

Hình 3.17 Kết quả sau khi dùng lệnh sid2user để kiểm tra lại

- Kết quả:

Với mã RID = 500, sid2user đã xác định được tài khoản Adminitrator đã

được đổi tên thành Test Lưu ý, mã RID cho tài khoản Administrator mặc định

là 500, cho dù tài khoản Admin có được đổi thành tên gì đi nữa.

Nằm trong Domain TESTER3.

 Mô tả: Ứng dụng USERDUMP được thiết kế để thu thập thông tin tài khoản

người dùng từ mục tiêu Một số thông tin thu thập được bao gồm: User RID, đặc

Trang 40

quyền, thời gian đăng nhập, ngày đăng nhập, ngày hết hạn tài khoản, giới hạn lưutrữ mạng, giờ đăng nhập

- Download hoặc dùng đĩa CD cài đặt ứng dụng USERDUMP.

- Thiết lập một phiên Null đến mục tiêu Từ DOS prompt, chỉ đến thư mục chứa ứng dụng USERDUMP, gõ lệnh theo cú pháp:

- Ví dụ sử dụng USERDUMP để lấy thông tin người dùng từ mục tiêu có địa chỉ IP

là “192.168.1.3” và có username là “Administrator”.

userdump <\\Địa chỉ IP của mục tiêu> <Username>

Định dạng
Số trang	145
Dung lượng	5,05 MB