BÀI TẬP NHÓM MÔN HỌC AN TOÀN MẠNG MÁY TÍNH Bài 1: Tổng quan Câu 1: Mô tả các kỹ thuật tấn công. Eavesdropping: Eavesdropping là hình thức tấn công mà trong đó, attacker nghe lén một cách thụ động các giao tiếp trong mạng để lấy các thông tin riêng tư như số hiệu node (node identification numbers), routing updates, hay dữ liệu nhạy cảm trong ứng dụng. Attacker sử dụng các thông tin mật này để xâm nhập các node trong mạng, gián đoạn routing hay làm giảm hiệu năng ứng dụng. Identity Spoofing Identity Sppofing là hành động giả mạo danh tính của một cá thể khác để đoạt một mục đích nhất định. Attacker có thể tạo ra một tin nhắn trông có vẻ được đến từ một nguồn khác hay từ chữ kýcredentials giả mạo hay bị đánh cắp. Ngoài ra, attacker có thể can thiệp một tin nhắn được gửi từ một nguồn chính đáng và làm chúng như là được gửi từ kẻ tấn công mà không cần thay đổi gì trong đó. Snooping Attack Snooping là một kỹ thuật tấn công, trong đó attacker có được truy cập trái phép vào dữ liệu của người khác. Một trong những cách làm đó là giám sát từ xa các hoạt động của máy tínhthiết bị mạng. Các thông tin có thể bị lấy cắp như password, thông tin tài chính, dữ liệu cá nhân, các thông tin về giao thức internet tầng thấp. Interception Các dữ liệu hoặc tin nhắn được gửi bởi người gửi bị chặn bởi một cá nhân không được phép, nơi tin nhắn sẽ bị thay đổi thành hình thức khác hoặc nó sẽ được sử dụng bởi attacker cho mục đích xấu.
BÀI TẬP NHĨM MƠN HỌC AN TỒN MẠNG MÁY TÍNH Bài 1: Tổng quan Câu 1: Mô tả kỹ thuật cơng Eavesdropping: Eavesdropping hình thức cơng mà đó, attacker nghe cách thụ động giao tiếp mạng để lấy thông tin riêng tư số hiệu node (node identification numbers), routing updates, hay liệu nhạy cảm ứng dụng Attacker sử dụng thông tin mật để xâm nhập node mạng, gián đoạn routing hay làm giảm hiệu ứng dụng Identity Spoofing Identity Sppofing hành động giả mạo danh tính cá thể khác để đoạt mục đích định Attacker tạo tin nhắn trơng đến từ nguồn khác hay từ chữ ký/credentials giả mạo hay bị đánh cắp Ngồi ra, attacker can thiệp tin nhắn gửi từ nguồn đáng làm chúng gửi từ kẻ cơng mà khơng cần thay đổi Snooping Attack Snooping kỹ thuật cơng, attacker có truy cập trái phép vào liệu người khác Một cách làm giám sát từ xa hoạt động máy tính/thiết bị mạng Các thơng tin bị lấy cắp password, thơng tin tài chính, liệu cá nhân, thông tin giao thức internet tầng thấp Interception Các liệu tin nhắn gửi người gửi bị chặn cá nhân không phép, nơi tin nhắn bị thay đổi thành hình thức khác sử dụng attacker cho mục đích xấu Replay Attack Một vụ công phát lại - replay attack, hay gọi playback attack, hình thức cơng mạng lưới thực thể độc hại chặn lặp lại việc truyền tải liệu hợp lệ vào mạng lưới Nhờ có tính hợp lệ liệu ban đầu (thường đến từ người dùng cấp quyền), giao thức bảo mật mạng lưới xử lý vụ việc cơng giống hình thức truyền tải liệu thông thường Do tệp tin ban đầu bị ngăn chặn truyền tải lại nguyên văn nên attacker thực vụ công khơng cần giải mã chúng Tấn cơng phát lại sử dụng nhằm chiếm quyền truy cập thông tin lưu trữ mạng lưới bảo vệ khác cách chuyển tiếp thơng tin hợp lệ Data Modification Attacks Data Modification Attacks hành động cố tình xâm nhập data qua kênh khơng thống (Unauthorized channels) sau sửa đổi nội dung header liên quan mà khơng có nhận biết người gửi hay nhận Dữ liệu bị thay đổi hai hình thức đứng yên vận chuyển Repudiation Attack Repudiation hành động từ chối định danh Nó diễn phần mềm hay hệ thống không theo dõi lưu thông tin hành vi sử dụng người dùng hợp lý, tạo nên lỗ hổng cho phép hành động điều khiển không tốt hay tạo thơng tin giả mạo Ngồi che giấu hành vi attacker cách nhập liệu sai vào log file Nếu có hành động thơng tin log file coi vô dụng sai trái DoS Attack Tấn cơng Dos ( Từ chối dịch vụ) hình thức công thiết kế lũ lưu lượng truy cập vào máy tính mục tiêu , khiến cho máy tính mục tiêu khơng thể xử lý kịp tác vụ dẫn đến tải bị treo Các công Dos thường nhằm vào hệ thống máy chủ (web server) ngân hàng, tài chính, thương mại điện tử, tin tức tổ chức, chí quốc gia Một kiểu Dos rõ ràng phổ biến kẻ công "tuồn" ạt traffic vào máy chủ, hệ thống mạng, làm cạn kiệt tài nguyên nạn nhân, khiến người dùng hợp pháp gặp khó khăn chí khơng thể sử dụng chúng Cụ thể hơn, bạn nhập vào URL website vào trình duyệt, lúc bạn gửi yêu cầu đến máy chủ trang để xem Máy chủ xử lý số yêu cầu định khoảng thời gian, kẻ cơng làm gửi ạt nhiều yêu cầu đến máy chủ làm bị tải yêu cầu bạn không xử lý Đây kiểu “từ chối dịch vụ” làm cho bạn khơng thể truy cập đến trang DDoS Attack DDoS viết tắt Distributed Denial of Service, nghĩa tiếng Việt từ chối dịch vụ phân tán Tấn công DDoS nỗ lực làm sập dịch vụ trực tuyến cách làm tràn ngập với traffic từ nhiều nguồn Trong cơng từ chối dịch vụ phân tán (DDoS), kẻ cơng sử dụng máy tính bạn để cơng vào máy tính khác Bằng cách lợi dụng lỗ hổng bảo mật khơng hiểu biết, kẻ giành quyền điều khiển máy tính bạn Sau chúng sử dụng máy tính bạn để gửi số lượng lớn liệu đến website gửi thư rác đến địa hòm thư Tấn cơng được gọi “phân tán” kẻ cơng sử dụng nhiều máy tính có máy tính bạn để thực công Dos Mặc dù DDoS cung cấp chế độ cơng phức tạp dạng công mạng khác, chúng ngày mạnh mẽ tinh vi Có ba loại công bản: Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng Protocol: Tập trung vào việc khai thác tài nguyên máy chủ Application: Tập trung vào ứng dụng web xem loại công tinh vi nghiêm trọng Password Guessing Attack Đối với công mật khẩu, hacker cố gắng “phá” mật lưu trữ sở liệu tài khoản hệ thống mạng mật bảo vệ tập tin Các cơng mật bao gồm loại chính: công dạng từ điển (dictionary attack), brute-force attack hybrid attack Trong đó: Dictionary Attack: Tìm mật file từ điển tạo sẵn Brute Force Attack: Tìm mật cách tổ hợp ký tự Hybird Attack: Lai hai phương thức Man-in-middle Attack Một hình thức cơng mạng thường thấy sử dụng để chống lại cá nhân tổ chức lớn cơng Manin-the-Middle (MITM) Kiểu cơng attacker kẻ nghe trộm MITM hoạt động cách thiết lập kết nối đến máy tính nạn nhân relay message chúng Trong trường hợp bị công, nạn nhân tin tưởng họ truyền thông cách trực tiếp với nạn nhân kia, thực luồng truyền thông lại bị thông qua host kẻ công Và kết host khơng thơng dịch liệu nhạy cảm mà gửi xen vào thay đổi luồng liệu để kiểm soát sâu nạn nhân Backdoor Attack Backdoor (cửa hậu) phần mềm hay hệ thống máy tính thường cổng không thông báo rộng rãi, cho phép người quản trị xâm nhập hệ thống để tìm nguyên nhân gây lỗi bảo dưỡng Ngồi dùng để cổng bí mật mà hacker gián điệp dùng để truy cập bất hợp pháp Thơng thường có chủ hệ thống hay chủ phần mềm biết tồn backdoor Những backdoor quản trị tạo lỗ hổng để kẻ lạ khai thác, chiếm quyền truy cập vào hệ thống/dữ liệu Một kiểu backdoor khác kẻ cơng cài lên hệ thống nạn nhân Nhờ họ đến tùy ý, cho phép truy cập hệ thống từ xa Một hình thức backdoor mà tin tặc hay sử dụng webshell Webshell giao diện web đơn giản dùng để quản lí file, thực thi lệnh, quản lí sở liệu, đọc mail, quản lí tài khoản: thêm, sửa, xoá tài khoản,… Ban đầu webshell sinh để giúp quản trị viên tương tác với máy chủ dễ dàng Nhưng sau đó, tin tặc lợi dụng webshell để phục vụ cho mục đích xấu Spoofing Attack Spoofing hành động giả mạo kết nối từ nguồn khơng rõ thành nguồn đáng Spoofing thực nhiều hình thức, kể đến IP, ARP, DNS Nó sử dụng để lấy thông tin nạn nhân, chia sẻ malware qua link bị nhiễm mã độc hay hướng luồng liệu tới nơi khác phục vụ cho công từ chối dịch vụ Nhiều giao thức TCP/IP không cung cấp chế xác thực nguồn đích liệu dễ bị giả mạo cơng biện pháp phòng ngừa thêm không thực ứng dụng để xác minh danh tính gửi nhận máy chủ Compromised Key Attacks Đây hành động sử dụng key mà attacker đánh cắp để lấy quyền truy cập tới luồng trao đổi liệu bảo vệ Key cho phép kẻ cơng giải mã liệu gửi Người gửi người nhận thường không nhận thức công việc mã hóa liệu song song dễ gặp kiểu công Application Layer Attack Application Layer Attack (thường DDoS) hình thức cơng DDoS nơi mục tiêu trình lớp ứng dụng Kiểu công làm tải số chức cụ thể website hay webapp với mục đích vơ hiệu hóa chúng, cản trở truy cập liệu Kiểu công tầng ứng dụng cần tài nguyên để thực so với công tầng mạng Với phát triển ứng dụng tiếp tục chuyển sang dịch vụ đám mây, cơng khó khăn để bảo vệ Bài 2: Các phần mềm gây hại Câu 1: Nêu chức cách sử dụng công cụ Netstat • Fport • TCPView • CurrPorts Tool • Process Viewer • What’s running • One file exe maker Netstat Lệnh netstat linux lệnh nằm số tập lệnh để giám sát hệ thống linux netstat giám sát chiều in chiều out kết nối vào server, tuyến đường route, trạng thái card mạng lệnh netstat hữu dụng việc giải vấn đề cố liên quan đến network lượng connect kết nối, traffic, tốc độ, trạng thái port, Ip … Cách sử dụng netstat (linux) – Một số lệnh thường dùng - Netstat –a Liệt kê tất kết nối từ giao thức khác tcp, udp unix sockets - Netstat –at Chỉ liệt kê kết nối tcp - Netstat –au Chỉ liệt kê kết nối udp - Netstat –l Liệt kê port listening - Netstat –lt Liệt kê port listening tcp - Netstat –lu Liệt kê port listening udp - Netstat –lx Liệt kê port listening unix - Netstat –s Hiển thị thống kê giao thức chạy - Netstat –st Hiển thị thống kê giao thức chạy tcp - Netstat –su Hiển thị thống kê giao thức chạy udp - Netstat –tp Hiển thị dịch vụ chạy kèm PID - Netstat –r Hiển thị bảng định tuyến IP - Netstat –i Hiển thị card mạng kết nối - Netstat –ie Hiển thị chi tiết thông tin card mạng kết nối - Netstat –g Hiển thị thông tin Ipv4 Ipv6 - Netstat –ap | grep http Hiển thị kết nối kèm với tên chương trình - Netstat –ap | grep ESTA Hiển thị kết nối trạng thái Establish Fport Fport báo cáo tất cổng TCP / IP UDP mở ánh xạ chúng tới ứng dụng sở hữu Giống lệnh 'netstat -an', ánh xạ cổng để chạy tiến trình với PID, tên quy trình đường dẫn Fport sử dụng để nhanh chóng xác định cổng mở không xác định ứng dụng liên quan chúng Ứng dụng việc detect spyware, malware & trojans Fport khởi chạy từ command line batch script Các tính năng: - Cơng cụ TCPView hiển thị tất thông tin đầy đủ netstat Ở cột Process, hiển thị biểu tượng, tên PID tiến trình mà sở hữu tiến trình - Đối với trường hợp có tiến trình mơ hồ khó xác định, cơng cụ TCPView cung cấp thêm thơng tin tiến trình Để xem thêm thơng tin này, kích đúp chuột vào tiến trình mà thuộc sở hữu, chọn Process Properties từ thực đơn Process để truy cập vào hộp thoại Properties tiến trình Hộp thoại hiển thị đường dẫn đầy đủ đến file thực thi tiến trình, lệnh sử dụng để khởi động tiến trình này, số thơng tin khác mà thơng tin phiên tiến trình (nếu có): mơ tả file thực thi, tên nhà cung cấp, số phiên - Để dịch từ tên miền sang địa IP số cổng nó, người quản trị cần nhấn Ctrl + R, bấm vào biểu tượng chữ A công cụ - Ở chế độ mặc định, tiến trình mở đánh dấu màu xanh, tiến trình đóng lại tô màu đỏ, thay đổi trạng thái đánh dấu màu vàng CurrPorts Tool - Liệt kê tất cổng TCP/IP UDP mở máy tính - Thu thập đầy đủ thơng tin cổng giao thức - Đóng TCP không mong muốn - Dừng tiến trình mở cổng - Đánh dấu màu hồng với cổng xảy cố TCPView TCPView hỗ trợ theo dõi mạng kết nối Internet thiết lập tới PC sử dụng, đồng thời giải vấn đề lỗi kết nối Internet Bên cạnh TCPView giúp bạn xem danh sách chi tiết tất thiết bị đầu cuối TCP UDP hệ thống bạn, bao gồm địa địa phương từ xa trạng thái kết nối TCP CurrPorts Tool CurrPorts liệt kê tất cổng TCP/IP UDP mở máy tính bạn Với cổng danh sách, bạn thấy thông tin tiến trình sử dụng nó, bao gồm tên tiến trình, đường dẫn đầy đủ, thơng tin phiên (nhà sản xuất, mô tả file, …), thời gian tiến trình tạo user tạo Thêm nữa, CurrPorts cho phép bạn đóng cổng TCP khơng mong muốn, dừng tiến trình mở cổng, lưu giữ thông tin cổng TCP/UDP dạng file HTML, XML hay file text Process Viewer Các tính năng: - Xem danh sách trình hoạt động, với ID, mức độ ưu tiên, CPU, mức sử dụng nhớ, tên người dùng đường dẫn đầy đủ - Xem phiên bản, thông tin khởi động (thư mục khởi động, dòng lệnh, mơi trường), thuộc tính tệp, threads (ID số ưu tiên) mơ-đun (tên, sở, kích thước, ngày tháng) sáng tạo, đường dẫn đầy đủ) - Xem heap (heap ID, kích thước, sử dụng, miễn phí, cờ), nhớ thời gian CPU (ví dụ: biểu đồ lịch sử hiệu suất), bạn chép đường dẫn, tìm kiếm q trình qua Google, chuyển sang đưa lên phía trước, giết chết trình, đặt ưu tiên mối quan hệ Cách sử dụng: - Hầu hết tính thực việc nháy chuột phải vào tiến trình Kết Bài 7: Bảo mật mạng khơng dây I)HỆ THỐNG PHÒNG CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG SNORT Cài đặt 1.1 Cài đặt sever Đặt IP,SM,DG cho sever Snort sever 1.2 IP Subnet mark Default gateway 10.90.135.52 255.255.0.0 10.90.0.1 IP Subnet mark Default gateway 10.90.135.106 255.255.0.0 10.90.0.1 Cài đặt client Đặt IP,SM,DG cho client Client 1.3 Cài đặt snort 1.3.1 Chuẩn bị ubuntu cài đặt Snort VM 1.3.1.1 Cài đặt điều khoảng cho việc cài đặt compile snort Mở terminal lên Sau mở terminal, gõ lệnh: “sudo aptget install flex bison buildessential checkinstall libpcapdev libnet1dev libpcre3dev libmysqlclient15dev libnetfilterqueuedev iptablesdev” 1.3.1.2 Xây dựng cài đặt libdnet theo source code Type“wgethttps://libdnet.googlecode.com/files/libdnet1.12.tgz”.Hitentr Giải nén libdnet112.tgz file and creates a libdnet112 directory Change into the libdnet112directory Type: /configure "CFLAGS=fPIC" Hit enter The "fPIC" C flag cấn thiết để compile 64bitplatform Hiển thị vài lệnh hình Kết tương tự Type “sudo checkinstall” xây dựng package Cài đặt deb package, tạo liên kết snort tìm libdnet Sau nhập lệnh sau: “sudo dpkg i libdnet_1.121_amd64.deb” and “sudo ln s/usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet.1 1.3.1.3 Download, build and Install DAQ Download DAQ từ link https://snort.org/downloads Thực lại bước libdnet install configure, make, and theninstall unpack the files, Lệnh “sudo checkinstall” thực bước cài đặt libdnet Gõ lệnh để cài đặt gói : “sudo dpkg idaq_2.0.61_amd64.deb” 1.3.1.4 Download, build and InstallSnort Link download DAQ SNORT http://www.snort.org/downloads Cài đặt package lệnh: “sudo dpkg isnort_2.9.12.11_amd64.deb Tạo liên kết snort lệnh: “sudo lns/usr/local/bin/snort/usr/sbin/snort” Xem version snort lệnh “snortV” Cấu hình Tạo người dùng Linux riêng biệt mà snort chạy “sudo groupadd snort” and“sudo useradd snort d /var/log/snort s /sbin/nologin c SNORT_IDS gsnort” Tạo thư mục nhật ký cho snort cung cấp cho quyền sở hữu snort Sử dụng thiết lập rules alert tcp any any >any any (content:"www.facebook.com"; msg:"Someone is accessing Facebook!!";sid:1000001;) Điều hướng đến thư mục chứa rule snort : Tạo file name với tên cách sử dụng trình chỉnh sửa youchoice Nhập rule save lại Nếu truy cập vào trang web www.facebook.com, thơng báo hiển thị người truy cập vào trang web đó, qui tắc thứ người dùng ping (ICMP) tới địa IP 10.90.135.135, thông báo bật lên Hình xác nhận thơng báo xử lý Chỉnh sửa snort.conf để đảm bảo quy tắt tạo (custom.rules) Tạo Custom Log Rule cho snort Tạo file name với tên cách sử dụng trình chỉnh sửa youchoice Nhập rule lưu lại If the machine with IP address of 10.90.135.106 đến FTP Xác minh rules tạo, chỉnh sửa snort.conf 1.1.RunningSNORT In Sniffer Mode ouput log hình Ở mode Packet Logger, output ghi vào file log /var/log/snort Snort chạy với lệnh cấu hình Kết Results A Packet Logger Mode results logged in specific directory Ở mode Packet Logger, output ghi vào file log locatedin/var/log/snort In Sniffer Mode output is directly displayed on screen Kết thu Snort với custom rule Trong file log tạo rule custom log FTP Sử dụng trang web virustotal.com phân tích tệp URL đáng ngờ để phát loại phần mềm độc hại URL choose file lab2 chứa Trojan Phát 41 mối nguy hại 57 tổng số https://www.virustotal.com/gui/file/bba283811a6dec1741f6df9a6d15b065c64b5 2acd58d96df1f404a09448379a9/detection ... (DDoS), kẻ cơng sử dụng máy tính bạn để cơng vào máy tính khác Bằng cách lợi dụng lỗ hổng bảo mật không hiểu biết, kẻ giành quyền điều khiển máy tính bạn Sau chúng sử dụng máy tính bạn để gửi số lượng... thiết kế lũ lưu lượng truy cập vào máy tính mục tiêu , khiến cho máy tính mục tiêu xử lý kịp tác vụ dẫn đến tải bị treo Các công Dos thường nhằm vào hệ thống máy chủ (web server) ngân hàng, tài... website vào trình duyệt, lúc bạn gửi u cầu đến máy chủ trang để xem Máy chủ xử lý số yêu cầu định khoảng thời gian, kẻ công làm gửi ạt nhiều yêu cầu đến máy chủ làm bị tải yêu cầu bạn không xử lý