I Nguyên tắc truyền thông tin TCP/IP  Port scan attack  Eavesdropping attack  IP spoofing attack  Man-in-the-middle Attack  Replay attack  HIJACKING ATTACK  Denial of Service / Distributed Denial of Service (DoS/DDoS) Attacks I Nguyên tắc truyền thông tin TCP/IP  Password Attacks  Misuse of Privilege Attacks  Attacks Against the Default SecurityConfiguration  Software Exploitation Attacks  Takeover Attacks  Malicious Code Attacks I Nguyên tắc truyền thông tin TCP/IP 1 Cấu tạo gói tin TCP  Trong viết trọng tới thiết lập Flag gói tin TCP nhằm mục đích sử dụng để Scan Port: - Thông số SYN để yêu cầu kết nối hai máy tính - Thơng số ACK để trả lời kết nối hai máy bắt đầu thực - Thông số FIN để kết thúc q trình kết nối hai máy - Thơng số RST từ Server để nói cho Client biết giao tiếp bị cấm (không thể sử dụng) - Thông số PSH sử dụng kết hợp với thông số URG - Thông số URG sử dụng để thiết lập độ ưu tiên cho gói tin Thật tồn thơng số gói tin thể gói tin TCP khơng thiết lập thơng số này, thơng số thực bits phần Flag Khi Client muốn thực kết nối TCP với Server đầu tiên:  + Bước I: Client bắn đến Server gói tin SYN + Bước II: Server trả lời tới Client gói tin SYN/ACK + Bước III: Khi Client nhận gói tin SYN/ACK gửi lại server gói ACK – q trình trao đổi thông tin hai máy bắt đầu Khi Client muốn kết thúc phiên làm việc với Server  + Bước I: Client gửi đến Server gói tin FIN ACK + Bước II: Server gửi lại cho Client gói tin ACK + Bước III: Server lại gửi cho Client gói FIN ACK + Bước IV: Client gửi lại cho Server gói ACK trình ngắt kết nối Server Client thực II Nguyên tắc Port scan hệ thống Port scanning Attack  TCP Scan Trên gói TCP/UDP có 16 bit dành cho Port Number điều có nghĩa có từ – 65535 port Khơng hacker lại scan tồn port hệ thống, chúng scan port hay sử dụng thường sử dụng scan từ port tới port 1024 mà Phần viết tơi trình bày với bạn ngun tắc tạo kết nối ngắt kết nối hai máy tính mạng Dựa vào ngun tắc truyền thơng tin TCP tơi Scan Port mở hệ thống phương thức sau đây:  - SYN Scan: Khi Client bắn gói SYN với thông số Port định tới Server server gửi gói SYN/ACK Client biết Port Server mở Nếu Server gửi cho Client gói RST/SYN tơi biết port Server đóng - FIN Scan: Khi Client chưa có kết nối tới Server tạo gói FIN với số port định gửi tới Server cần Scan Nếu Server gửi gói ACK Client biết Server mở port đó, Server gửi gói RST Client biết Server đóng port - NULL Scan Sure: Client gửi tới Server gói TCP với số port cần Scan mà khơng chứa thơng số Flag nào, Server gửi lại gói RST tơi biết port Server bị đóng - XMAS Scan Sorry: Client gửi gói TCP với số Port định cần Scan chứa nhiều thông số Flag như: FIN, URG, PSH Nếu Server trả gói RST tơi biết port Server bị đóng - TCP Connect: Phương thức thực tế gửi đến Server gói tin yêu cầu kết nối thực tế tới port cụ thể server Nếu server trả gói SYN/ACK Client biết port mở, Server gửi gói RST/ACK Client biết port Server bị đóng - ACK Scan: dạng Scan nhằm mục đích tìm Access Controll List Server Client cố gắng kết nối tới Server gói ICMP nhận gói tin Host Unreachable client hiểu port server bị lọc  Có vài dạng Scan cho dịch vụ điển hình dễ bị cơng như: - RPC Scan: Cố gắng kiểm tra xem hệ thống có mở port cho dịch vụ RPC không - Windows Scan: tương tự ACK Scan, thực số port định - FTP Scan: Có thể sử dụng để xem dịch vụ FTP có sử dụng Server hay không - IDLE: cho phép kiểm tra tình trạng máy chủ gói tin truyền TCP để đảm bảo toàn vẹn gói 2.NếuUDP Scan  tin ln truyền tới đích Gói tin truyền UDP đáp ứng nhu cầu truyền tải liệu nhanh với gói tin nhỏ Với trình thực truyền tin TCP kẻ công dễ dàng Scan hệ thống mở port dựa thông số Flag gói TCP Cấu tạo gói UDP Source Port Destination Port Length Optionnal Checksum Protecting Against Viruses Giải pháp để bảo vệ virus công : ◦ Cài chương trình diệt virus máy tính ◦ Virus filters for e-mail servers ◦ Tìm diệt virus nhiễm thiết bị mạng Instill good behaviors in users and system administrators ◦ Keep security patches and virus signature databases up to date Backdoor Remote access program surreptitiously installed on user computers that allows attacker to control behavior of victim’s computer Also known as remote access Trojans Examples ◦ Back Orifice 2000 (BO2K) ◦ NetBus Detection and elimination ◦ Up-to-date antivirus software ◦ Intrusion detection systems (IDS) 1 Trojan Horses Class of malware that uses social engineering to spread Types of methods ◦ Sending copies of itself to all recipients in user’s address book ◦ Deleting or modifying files ◦ Installing backdoor/remote control programs Logic Bombs Set of computer instructions that lie dormant until triggered by a specific event Once triggered, the logic bomb performs a malicious task Almost impossible to detect until after triggered Often the work of former employees For example: macro virus ◦ Uses auto-execution feature of specific applications Worms Self-contained program that uses security flaws such as buffer overflows to remotely compromise a victim and replicate itself to that system Do not infect other executable programs Account for 80% of all malicious activity on Internet Examples: Code Red, Code Red II, Nimda Defense Against Worms Latest security updates for all servers Network and host-based IDS Antivirus programs Backdoor Attacks Tấn công backdoor kiểu công phần mềm, nơi mà kẻ cơng tạo chế cho phép truy nhập vào máy tính cách sử dụng phần mềm tạo thêm tài khoản người dùng ► 1 nếu khơng tìm thấy gỡ bỏ, tồn mãi , lắng nghe số cổng (logic) Tạo cho kẻ công đường dễ dàng vào hệ thống thực lệnh Thông thường backdoor dược thực qua việc sử dụng số Trojan horse số mã độc hại khác, công backdoor thường phát chúng khơng để lại dấu vết Ví dụ backdoor Back Orifice(BO) ví dụ backdoor thứ kẻ cơng thêm vào hệ thông Windows sử dụng Trojan horse file thực thi Ở chế độ mặc định Windows 2000 Back Orifice tự cài đặt vào file hệ thống vầ ẩn để lắng nghe lệnh từ phía kẻ cơng cổng 54320 qua giao thức TCP hay cổng 54321 qua giao thức UDP Mục đích Lấy thơng tin tài khoản cá nhân như: Email, Password, Usernames, liệu mật … Lây nhiễm phần mềm ác tính khác virus Đọc thông tin cần thiết gửi báo cáo đến nơi khác (xem thêm phần mềm gián điệp) Cài đặt phần mềm chưa cho phép Cách phòng chống Cách hữu hiệu đừng mở đính kèm gửi đến cách bất ngờ Khi đính kèm khơng mở Trojan horse khơng thể hoạt động Cẩn thận với thư điện tử gửi từ địa quen biết Trong trường hợp biết có đính kèm từ nơi gửi quen biết vẩn cần phải thử lại chương trình chống virus trước mở ... 2.NếuUDP Scan  tin ln truyền tới đích Gói tin truyền UDP đáp ứng nhu cầu truyền tải liệu nhanh với gói tin nhỏ Với q trình thực truyền tin TCP kẻ công dễ dàng Scan hệ thống mở port dựa thông số... traffic mạng Phần II:Eavesdropping attack (Tấn công nghe lén) Nghe trộm hay nghe mạng (sniffer) phần kỹ thuật công MITM ("Man In The Middle": kẻ đứng giữa) đe doạ an ninh liệu Đây kỹ thuật công. .. thực UDP Scan bạn chuẩn bị tinh thần nhận kết khơng có độ tin cao Tóm lại: Port scanning Attack bước để công vào hệ thống, để hiểu phương thức scan dùng nmap để thực Sau cách cấm Scan sử dụng