Đang tải... (xem toàn văn)
• Thu thập các kỹ thuật – phương pháp tấn công, các công cụ mà Hacker sử dụng, đặc biệt là các kỹ thuật tấn công mạng mới , các mẫu virus – mã độc mới. • Giúp chúng ta sớm phát hiện ra các lỗ hổng bảo mật tồn tại trên các sản phẩm công nghệ thông tin đã triển khai – cài đặt trên Hệ thống thật. Từ đó, sớm có biện pháp ứng phó – khắc phục kịp thời. Đồng thời, cũng kiểm tra độ an toàn của hệ thống mạng, các dịch vụ mạng ( như : Web, DNS, Mail,…), và độ an toàn – tin cậy – chất lượng của các sản phẩm thương mại công nghệ thông tin khác ( đặc biệt là các Hệ điều hành như : Unix, Linux, Window,…).
MỤC LỤC DANH MỤC CÁC HÌNH LỜI NÓI ĐẦU Chương I – TỔNG QUAN VỀ HỆ THỐNG HONEYNET .6 HONEYPOT 1.1 Khái niệm Honeypot: 1.2 Phân loại Honeypot: Honeynet 10 2.1 Khái niệm Honeynet : .10 2.2 Các chức Honeynet .12 2.3 Một số mơ hình triển khai Honeynet giới .13 Vai trò ý nghĩa Honeynet 17 CHƯƠNG II- MƠ HÌNH KIẾN TRÚC HONEYNET 18 Mô hình kiến trúc vật lý 18 1.1 Mơ hình kiến trúc Honeynet hệ I 18 1.2 Mơ hình kiến trúc Honeynet II, III 20 1.3 Hệ thống Honeynet ảo .21 Mô hình kiến trúc loggic Honeynet 23 2.1 Module điều khiển liệu (hay kiểm soát liệu) 24 2.1.1 Vai trò - nhiệm vụ Module điều khiển .24 2.1.2 Cơ chế kiểm soát liệu .26 2.1.3 Kiểm soát liệu Honeynet II 28 2.2 Module thu nhận liệu 33 2.2.1 Vai trò - nhiệm vụ Module thu nhận liệu 33 2.2.2 Cơ chế thu nhận liệu .34 2.3 Modul phân tích liệu .40 2.3.1 Vai trò 40 2.3.2 Cơ chế phân tích liệu 40 Chương III – MỘT SỐ KỸ THUẬT TẤN CÔNG DỊCH VỤ WEB .43 1.Các kỹ thuật công 45 1.1.Các nguy an toàn dịch vụ web 45 1.1.1.Chiếm hữu phiên làm việc (Session Mangement) 45 1.1.2.Lợi dụng việc thiếu sót việc kiểm tra liệu nhập hợp lệ (Input validation) 45 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin 1.1.3.Từ Chối Dịch Vụ (Denial of service (DoS) .46 1.2.Tấn công SQL Injection 46 1.2.1.Khái niệm SQL Injection 46 1.2.2.Các dạng công thường gặp 47 1.2.3.Biện pháp phòng chống 57 1.3.Chèn mã lệnh thực thi trình duyệt nạn nhân(Cross-Site Scripting) .60 1.3.1.Giới thiệu XSS 60 1.3.2.Phương pháp công XSS truyền thống 60 1.3.3.Tấn công XSS Flash 62 1.3.4.Cách phòng chống 62 1.4.Tấn công từ chối dịch vụ (Deny of service - DoS) .63 1.4.1.Khái niệm 63 1.4.2.Các nguy công DOS .64 1.4.3.Một số dạn công thường gặp 64 1.4.4.Biện pháp phòng chống 68 2.Các kỹ thuật công 69 2.1.Kiểu công “padding oracle crypto” .69 2.2.Evercookie 70 2.3.Tấn công Autocomplete 70 2.4.Tấn công HTTPS cache injection 70 2.5.Bỏ qua bảo vệ CSRF ClickJacking HTTP Parameter Pollution 70 2.6.Universal XSS IE8 70 2.7.HTTP POST DoS 70 2.8.JavaSnoop 71 2.9.Tấn công qua CSS History Firefox không cần JavaScript cho PortScanning mạng nội .71 2.10.Java Applet DNS Rebinding .71 3.Tổng kết chung q trình cơng Hacker 71 Chương IV -TRIỂN KHAI- CÀI ĐẶT- VẬN HÀNH HỆ THỐNG HONEYNET 74 Mô hình triển khai thực tế .74 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Cài đặt cấu hình hệ thống Honeynet 75 2.1 Cài đặt cấu hình Honeywall 75 2.2 Cài đặt cấu hình Sebek 86 Vận hành hệ thống Honeynet phân tích kỹ thuật cơng Hacker .88 3.1.Kịch công .88 3.2.Phân tích kỹ thuật công hacker .89 3.2.1.Q trình hacker thực cơng Website 89 3.2.2.Sử dụng Honeynet để phân tích kỹ thuật cơng Hacker .97 3.3.Nhận xét kết phân tích biện pháp khắc phục lỗi SQL-injection website bị công 108 Ứng dụng Honeynet thực tế 110 110 KẾT LUẬN 111 111 111 DANH MỤC CÁC HÌNH Hình 1.1- Các loại hình Honeypot .9 Hình 1.2 - Mơ hình kiến trúc honeynet 11 Hình 1.3 - Sơ đồ triển khai dự án Artemis đại học Bắc Kinh, Trung Quốc .13 Hình 1.4 - Sơ đồ triển khai Honeynet Greek Honeynet Project 14 Hình 1.5 - Sơ đồ triển khai Honeynet UK Honeynet Project 16 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin LỜI NĨI ĐẦU Ngày nay, Công nghệ thông tin phát triển với tốc độ “vũ bão”, bên cạnh mặt tích cực lợi ích to lớn mà Xã hội thơng tin mang lại cho nhân loại lại tồn mặt tiêu cực : nguy công mạng nhằm phá hoại hệ thống mạng, nguy bị đánh cắp thông tin “nhạy cảm “ cá nhân, tổ chức, doanh nghiệp, quan Nhà nước … Để ngăn chặn lại nguy này, đòi hỏi Cơ quan, tổ chức, doanh nghiệp, phải tổ chức xây dựng Hệ thống an ninh mạng nhằm đảm bảo an toàn cho Hệ thống mạng Cơ quan Và vơ số biện pháp ngăn chặn đó, "Honeypot" (tạm gọi Mắt ong) "Honeynet" (tạm gọi Tổ ong) coi cạm bẫy hiệu quả, thiết kế với mục đích Đối với tin tặc Hệ thống “ Cạm bẫy đáng sợ ”; vậy, giới Hacker thường xuyên thông báo – cập nhật hệ thống Honeynet triển khai giới diễn đàn Hacker, nhằm tránh “sa bẫy” hệ thống Honeynet Khác với hệ thống An ninh mạng khác như: Hệ thống phát xâm nhập chống xâm nhập ( IDS - IPS ), Hệ thống Firewall,…, thiết kế làm việc thụ động việc phát - ngăn chặn công tin tặc ( Hacker ) vào hệ thống mạng; Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Honeynet lại thiết kế nhằm chủ động lôi kéo Hacker cơng vào hệ thống giả bố trí bên cạnh hệ thống thật nhằm mục đích: •Thu thập kỹ thuật – phương pháp công, công cụ mà Hacker sử dụng, đặc biệt kỹ thuật công mạng , mẫu virus- mã độc •Giúp sớm phát lỗ hổng bảo mật tồn sản phẩm công nghệ thông tin triển khai - cài đặt Hệ thống thật Từ đó, sớm có biện pháp ứng phó - khắc phục kịp thời Đồng thời, kiểm tra độ an toàn hệ thống mạng, dịch vụ mạng ( : Web, DNS, Mail,…), độ an toàn - tin cậy chất lượng sản phẩm thương mại công nghệ thông tin khác ( đặc biệt Hệ điều hành : Unix, Linux, Window,…) •Thu thập thơng tin, dấu vết Hacker ( : địa IP máy Hacker sử dụng cơng, vị trí địa lý Hacker, thời gian Hacker cơng,…) Từ đó, giúp chun gia an ninh mạng truy tìm thủ phạm Tuy nhiên, điều kiện thời gian có hạn nên “Đồ án tốt nghiệp” trình bày nội dung “Nghiên cứu Hệ thống Honeypots Honeynet nhằm nghiên cứu số kỹ thuật cơng dịch vụ Web”, nhờ giúp sớm phát kịp thời khắc phục lỗi hổng bảo mật tồn dịch vụ Web Em hi vọng thơng qua nội dung trình bày nghiên cứu em giúp hiểu Hệ thống Honeynet với vai trò - tác dụng to lớn Hệ thống nhiệm vụ đảm bảo An ninh mạng Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Chương I – TỔNG QUAN VỀ HỆ THỐNG HONEYNET Chương trình bày kiến thức tổng quan, Honeynet bao gồm: nguồn gốc, trình phát triển Honeynet; khái niệm Honeypot, Honeynet, phân loại Honeypot; chức năng, vai trò, ý nghĩa Honeynet nhiệm vụ đảm bảo an ninh mạng, với số mơ hình triển khai Honeynet giới HONEYPOT 1.1 Khái niệm Honeypot: Honeypot công nghệ với tiềm khổng lồ cho cộng đồng bảo mật Định nghĩa đưa đầu tiền vài biểu tượng bảo mật máy tính, cụ thể Cliff Stoll sách “The Cuckoo’s Egg” báo Bill Cheswick Từ đó, Honeypot tiếp tục phát triển với công cụ bảo mật mạnh mẽ mà chũng ta biết Thuật ngữ “Honeypot” nhắc đến lần vào ngày tháng năm 1999 báo “To Buil a Honeypot” tác giả Lance Spitzner – người đứng thành lập dự án Honeynet ( Honeynet Project ), giới thiệu ý tưởng xây dựng hệ thống Honeynet nhằm mục đích nghiên cứu kỹ thuật cơng Hacker; từ đó, có biện pháp ngăn chặn công kịp thời Và tháng năm 2000, dự án Honeynet thành lập 30 chuyên gia an ninh mạng Công ty bảo mật như: Foundstone, Security Focus, Source Fre, …., tình nguyện tham gia nghiên cứu phi lợi nhuận Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Dự án Honeynet triển khai quốc gia ( Mỹ, Ấn Độ, Hy Lạp,…) với 12 trạm Honeynet, bao gồm 24 hệ thống Unix 19 hệ thống Linux, với số hệ thống khác : Suse 6.3, Suse 7.1,Window,… Bước để hiểu Honeypot trước hết phải hiểu Honeypot gì?Nó khơng giống firewall, hay hệ thống IDS, Honeypot khơng giải cụ thể vấn đề Thay vào đó, cơng cụ linh hoạt có nhiều hình dạng kích cỡ Nó làm tất thứ từ phát cơng mã hóa mạng IPv6 Sự linh hoạt cung cấp sức mạnh thực cho Honeypot Nó hỗn hợp làm cho kẻ cơng khó xác định hiểu Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật Honeypot xem “Mắt ong”; tất nhiên Honeypot có phải có “Mật ngọt” – tức có chứa Hệ thống tài ngun thơng tin có giá trị, nhạy cảm, có tính bí mật : thơng tin chứng khốn, thơng tin tài khoản ngân hàng, thơng tin bí mật an ninh quốc gia…., để làm “mồi” dụ Hacker ý đến công Hệ thống tài ngun thơng tin có nghĩa Honeypot giả dạng loại máy chủ tài nguyên Mail Server, Domain Name Server, Web Server…, cài đặt chạy Hệ điều hành như: Linux ( Red hat, Fedora…), Unix( Solaris), Window ( Window NT, Window 2000, Window XP, Window 2003, Vista,… ), ….Honeypot trực tiếp tương tác với tin tặc tìm cách khai thác thơng tin tin tặc hình thức cơng, cơng cụ cơng hay cách thức tiến hành thay bị cơng - Ưu điểm Honeypot: Honeypot khái niệm đơn giản, cung cấp số đặc điểm mạnh mẽ • Dữ liệu nhỏ đặt giá trị cao: Honeypot thu thập lượng nhỏ thông tin Thay đăng nhập GB liệu ngày, họ phải đăng nhập MB liệu ngày Thay tạo 10.000 cảnh báo ngày, tạo 10 thơng báo ngày Hãy nhớ rằng, Honeypot nắm bắt hành động xấu, tương tác với Honeypot không xác thực hay hành động độc Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin hại Như vậy, Honeypot giảm thiểu “tiếng ồn”, có nghĩ với thu thập liệu nhỏ, thơng tin có giá trị cao, hành động xấu Điều có nghĩa dễ dàng nhiều để phân tích liệu mà Honeypot thu thập lấy giá trị từ • Cơng cụ chiến thuật mới: Honeypots thiết kế để nắm bắt tất tương tác vào nó, bao gồm cơng cụ, chiến thuật khơng thấy trước • Nguồn lực tối thiểu: Honeypots yêu cầu nguồn lực tối thiểu, nắm bắt hoạt động xấu Điều có nghĩa máy tính 128MB nhớ RAM dễ dàng xử lý mạng lớp B toàn ngồi mạng OC-12 • Mã hóa hay IPv6: Không giống hầu hết công nghệ bảo mật( hệ thống IDS) Honeypots làm việc tốt mơi trường mã hóa hay IPv6 Nó khơng phân biệt điều tương tác với Nó nắm bắt hành động xấu • Thơng tin: Honeypots thu thập vài thơng tin chi tiết • Honeypots cơng nghệ đơng giản, có sai lầm cấu hình sai - Nhược điểm Honeypot: Giống nhiều cơng nghệ, Honeypots có yếu điểm Đó chúng khơng thể thay công nghệ tại, làm việc với cơng nghệ có • Hạn chế View: Honeypots theo dõi nắm bắt hoạt động trực tiếp tương tác với họ Honeypots không nắm bắt công chống lại hệ thống khác, trừ kẻ công đe dọa tương tác với honeypots • Rủi ro: Tất cơng nghệ bảo mật có nguy Tường lửa có nguy bị xâm nhập, mã hóa có nguy bị phá vỡ, cảm biến IDS có nguy không phát công Honeypots trường hợp khác, honeypots có nguy thực kẻ xấu sử dụng để gây tổn hại cho hệ thống khác Có nhiều nguy khác dẫn đến khác Honeypots Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin 1.2 Phân loại Honeypot: Honeypot chia làm hai loại chính: Tương tác thấp tương tác cao •Tương tác thấp: Honeypot cài đặt chương trình (chẳng hạn như: Honeyd, BackOfficer Friendly, Specter,) mô giả dịch vụ, ứng dụng, hệ điều hành Loại có mức độ rủi ro thấp, dễ triển khai bảo dưỡng lại bị giới hạn dịch vụ •Tương tác cao: Honeypot cài đặt, chạy dịch vụ, ứng dụng hệ điều hành thực ( Chẳng hạn Honeynet ) Loại có mức độ thơng tin thu thập cao mức độ rủi ro cao tốn thời gian để vận hành bảo dưỡng Hình 1.1- Các loại hình Honeypot Một số ví dụ loại honeypot : a) BackOfficer Friendly (BOF): loại hình Honeypot dễ vận hành cấu hình hoạt động phiên Windows Unix nhược điểm tương tác với số dịch vụ đơn giản FTP, Telnet, SMTP… b) Specter: loại hình Honeypot tương tác thấp có khả tương tác tốt so BackOfficer, loại Honeypot giả lập 14 cổng ( Port ); cảnh báo, quản lý từ xa Tuy nhiên, giống BackOfficer Specter có nhược điểm bị giới hạn số dịch vụ không linh hoạt c) Honeyd: Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thơng Tin * Loại Honeypot lắng nghe tất cổng TCP UDP, dịch vụ mơ thiết kế với mục đích ngăn chặn ghi lại công, tương tác với kẻ cơng vai trị hệ thống nạn nhân * Hiện nay, Honeyd có nhiều phiên mơ khoảng 473 hệ điều hành * Honeyd loại hình Honeypot tương tác thấp có nhiều ưu điểm nhiên Honeyd có nhược điểm cung cấp hệ điều hành thật để tương tác với tin tặc khơng có chế cảnh báo phát hệ thống bị xâm nhập gặp phải nguy hiểm Honeynet 2.1 Khái niệm Honeynet : Một cơng cụ mà Nhóm dự án Honeynet sử dụng để thu thập thông tin Honeynet Honeynet khác với hệ thống Firewall, hệ thống phát ngăn chặn xâm nhập, hệ thống mã hóa chỗ : hệ thống có khả bảo vệ hệ thống mạng tài nguyên mạng hệ thống thực nhiệm vụ “Phịng thủ”, mang tính thụ động; ngược lại, Honeynet lại hệ thống chủ động lôi kéo, thu hút ý công Hacker nhằm thu thập thông tin Hacker như: Kỹ thuật công Hacker, công cụ Hacker sử dụng, loại mã độc xuất hiện, Honeynet (tạm gọi “Tổ ong”) hình thức honeypot tương tác cao Khác với honeypot khác, Honeynet hệ thống thật, hoàn toàn giống mạng làm việc bình thường ; Honeynet cung cấp hệ thống, ứng dụng, dịch vụ thật : Web, Mail, File server, Hệ thống Honeynet triển khai xây dưng nhiều quan, tổ chức với nhiều mục đích khác như: Các quan nhà nước, doanh nghiệp sử dụng Honeynet nhằm kiểm tra độ an toàn hệ thống mạng ngăn chặn kẻ cơng cơng vào hệ thống thật; quan, tổ chức, doanh nghiệp hoạt động lĩnh vực an ninh mạng sử dụng Honeynet nhằm thu thập loại mã độc hại như: virus, worm, spyware, trojan,… , để kịp thời viết chương trình cập nhật diệt mã độc cho sản phẩm Anti-virus cơng ty mình… 10 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.24 - Chuỗi gói tin thu nhận Walleye Ta phân tích q trình công hacker nhờ vào hệ thống Honeynet sau: - Phân tích gói tin thứ ta thấy nội dung gói tin chứa đoạn mã (đánh dấu ô vuông), công SQL-injection vào WebServer có địa 192.168.1.111 Hình 4.25 - Nội dung gói tin chứa mã độc SQL tiêm vào Trên ta nhìn thấy Honeywall đọc đoạn mã SQL mà Hacker tiêm vào để khai thác lỗ hổng SQL-injection mà Website mắc phải Và đoạn mã SQL mà Hacker tiêm vào là: …id=null select from information_schema.tables— 98 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Câu lệnh thực thi đầy đủ là: http://192.168.1.111/genu/articles/read.php?article_id=null select from information_schema.table-Chúng ta thấy phần in nghiêng phần câu lệnh mà tiêm vào Ở hacker dị xem table chứa thơng tin article website có chứa cột cột chèn SQL vào để khai thác thơng tin sở liệu Và kết nhận từ webserver trả tương ứng với câu lệnh là: Hình 4.26 - Nội dung gói tin trả tương ứng với gói tin Lưu ý: Trong bước cơng Hacker sau đoạn SQL in nghiêng câu lệnh SQL kết hợp với đoạn SQL mà Hacker tiêm vào tạo thành câu lệnh SQL thực thi Tức là: Câu lệnh SQL thực thi = select * from member where m_username = ' + với đoạn SQL tiêm Sau này, bước công Hacker, Đồ án khơng trình bày lại điều Tiếp theo, hacker dò với select 1,2,3,4,5 hình kết trả webserver trang index hoàn chỉnh hiển thị thơng tin cột 2,3,5 chèn SQL vào Câu lệnh hacker dùng để khai thác: http://192.168.1.111/genu/articles/read.php?article_id=null union select 1,2,3,4,5 from information_schema.tables-99 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.27 - Nội dung gói tin hacker thực thành cơng bước đầu Hình 4.28 - Nội dung gói tin webserver trả Sau hacker biết vị trí cột tiêm SQL vào, hacker thực truy vấn thêm trường database() vào vị trí cột để lấy thông tin tên sở liệu mà website sử dụng Câu lệnh hacker sử dụng để khai thác: http://192.168.1.111/genu/articles/read.php?article_id=null union select 1,database(),3,4,5 from information_schema.tables 100 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.29 - Nội dung gói tin hacker khai thác thông tin database Và kết webserver trả về: Hình 4.30- Nội dung gói tin chứa thơng tin tên database Phân tích gói tin tiếp theo, ta lại tiếp tục thu được đoạn mã SQL mà hacker tiêm vào : article_id=null union select 1,group_concat(table_name),3,4,5 from information_schema.tables where table_schema=CHAR(103,101,110,117)— 101 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.31 - Nội dung gói tin hacker tiêm vào Mục đích đoạn mã SQL nhằm tìm database genu có table liệt kê tên table Xem tiếp nội dung gói tin ta thấy thông tin trả từ webserver honeywall ghi lại: Hình 4.32 - Nội dung gói tin hiển thị danh sách table genu Tiếp tục phân tích gói tin tiếp theo, hacker sau lấy tên bảng cần thiết genu_users, lại tiếp tục tiêm vào đoạn mã SQL để khai thác thơng tin cột có chứa thơng tin username password admin Đoạn mã tiêm vào: article_id=null union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_name=CHAR(103,101,110,117,95,117,115,101,114,115)— 102 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.33 - Nội dung gói tin hacker tiêm vào khai thác column Mục đích đoạn mã khai thác danh sách colum có table genu_users Và theo dõi tiếp gói tin thấy thông tin trả webserver danh sách column mà hacker cần khai thác Hình 4.34 - Nội dung gói tin chứa thơng tin colomn genu_users Từ thông tin lấy trong genu_users, hacker biết xác column chứa thơng tin tài khoản admin user_id, user_name, user_password Và theo dõi gói tin ta thấy hacker lấy thông tin tài khoản admin cách tiêm vào đoạn mã SQL: article_id=null union select 1,concat(user_id,char(58),user_name,char(58),user_password),3,4,5 from genu_users— 103 Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thơng Tin Hình 4.35 - Nội dung gói tin chứa đoạn mã hacker tiêm vào để lấy thông tin admin Theo dõi tiếp tục gói tin ta thấy nội dung thông tin tài khoản admin webserver trả 1:admin:ca5b27f0ec89a3dcbcf7f07e47d446ff9c848c98 có gói tin Hình 4.36 - Nội dung gói tin chứa thơng tin tài khoản admin Đến hacker dễ dàng lấy password để chiếm quyền điều khiển website Và sau sở hữu tài khoản admin, ta tiếp tục theo dõi xem máy hacker đăng nhập vào website với tài khoản admin honeywall có nhận biết khơng? 104 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.37 - Nội dung gói tin thơng báo website bị cơng Và tiếp tục gói tin thể chi tiết sau hacker đột nhập vào bên website Hình 4.38 - Nội dung gói tin thơng báo website bị deface Ở nhận thấy sau hacker lấy tài khoản admin đột nhập vào website, website bị hacker deface cách thay đổi thông tin trang web, cụ thể để lại nội dung “ hacked!!! ” Và kiệt tác mà hacker để lại 105 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.39 - Website ban đầu Hình 4.40 - Website bị deface Honeywall khơng giúp ghi lại tồn q trình cơng website Hacker mà cịn giúp nhận biết công cụ Hacker sử dụng công Trong kịch công này, hacker phát lỗi SQL Injection cách thêm ký tự đặc biệt cụ thể dấu nháy đơn vào sau đường dẫn viết http://192.168.1.111/genu/articles/read.php?article_id=1’ 106 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.41 - Gói tin hacker sử dụng để kiểm tra lỗi SQL Injection Hình 4.42 - Gói tin biểu lỗi SQL Injection Như vậy, nhờ vào Honeywall mà tồn q trình thực công website http://192.168.1.111/genu/ Hacker Honeywall ghi lại tóm tắt sau : - Đầu tiên, Hacker phát lỗi SQL-injection cách thêm dấu nháy đơn ’ vào sau đường dẫn, phát website mắc lỗi SQL-injection - Tiếp theo, Hacker sử dụng kỹ thuật công SQL-injection để công website xâm nhập thành cơng, chiếm quyền kiểm sốt Website - Cuối cùng, Hacker thay đổi Website cách upload file ảnh xedap.jpg, thay đổi nội dung viết cách để lại chữ “ hacked!!! ” 107 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Ngồi điều hacker cịn cài đặt virus lên website, biến website thành công cụ phán tán virus mạng 3.3 Nhận xét kết phân tích biện pháp khắc phục lỗi SQL-injection website bị công Hệ thống Honeynet thu số kết sau: - Giúp thấy rõ q trình cơng hacker diễn cụ thể nào: công cụ thể diễn bước Sau chiếm quyền điều khiển honeypot, hacker làm v.v - Thu kỹ thuật cơng hacker: Kỹ thuật công SQL-injection, thực thi web shell từ xa (Remote Procedure Call – RPC ), phát tán virus - Ngồi Honeynet cịn giúp biết công cụ giúp hacker phát website bị lỗi SQL Injection mà phát tay Với mục đích nghiên cứu Honeynet để thu thập kỹ thuật cơng dịch vụ web Từ đó, giúp sớm phát lỗ hổng bảo mật, điểm yếu Web để sớm có biện pháp khắc phục, sử lý kịp thời, đảm bảo an toàn cho Website lẫn người sử dụng web Do vậy, thật thiếu sót Đồ án khơng trình bày biện pháp khắc phục lỗi SQL-injection Website bị công Dưới biện khắc phục : Căn vào thông tin thu thập Honeynet, ta xác định lỗi SQL-injection Website bị công bị mắc file read.php thư mục /articles Vì thêm dấu nháy đơn ’ vào sau đường dẫn: http://192.168.1.111/genu/articles/read.php?article_id=1 trình duyệt thông báo lỗi: Error in query "SELECT genu_articles.article_date, genu_articles.article_subject, genu_articles.article_text, genu_users.user_id, genu_users.user_name FROM genu_articles, genu_users WHERE genu_articles.user_id = genu_users.user_id AND genu_articles.article_id = 1\'" Điều chứng tỏ trình duyệt loại bỏ ký tự đặc biệt khỏi URL nên câu truy vấn sai Vậy nhà quản trị website cần phải biến giá trị $id phải số ngun, hacker khơng thể tiêm mã độc hại SQL Mở file read.php thư mục / articles ta thấy: 108 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Hình 4.43 - Nội dung file read.php ban đầu Để khắc phục lỗi này, ta việc thêm hàm intval(), intval int có nghĩa integrals (số ngun), cịn val có nghĩa value ( giá trị ) để biến giá trị $id luôn số nguyên Hình 4.44 - Nội dung file read.php sau sửa 109 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Và kết hacker cố gắng phát lỗi SQL Injection cách thêm dấu nháy đơn Hình 4.45 - Kết sau fix lỗi SQL Injection Ứng dụng Honeynet thực tế Hiện giới có nhiều tổ chức , quan , đặc biệt Công ty – tố chức An ninh mạng tiến hành triển khai Hệ thống Honeynet : Symantec, Trend Micro ,Snort… ; Việt Nam ta Trung tâm an ninh mang Bkis triển khai Hệ thống Hiện hoạt động tốt, có tác dụng hữu hiệu việc giúp chuyên gia an ninh mạng nghiên cứu sớm phát lỗ hổng bảo mật tồn sản phẩm công nghệ thông tin ; Các kỹ thuật công mạng , mẫu virus- mã độc ; giúp truy tìm dấu vết - tung tích tin tặc ; kiểm tra độ an tồn hệ thống mạng qua góp phần bảo Hệ thống mạng ngăn chặn xâm nhập trái phép tin tặc 110 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin KẾT LUẬN Trong trình nghiên cứu thực Đồ án tốt nghiệp “Nghiên cứu Hệ thống Honeypot Honeyner nhằm nghiên cứu số kỹ thuật tuấn công dịch vụ Web”, hướng dẫn tận tình thầy Hồng Sỹ Tương, em nghiên cứu nắm vững hoạt động, mục đích Hệ thống Honeynet Có khả triển khai áp dụng phát triển Honeynet vào thực tế Do điều kiện thời gian thiết bị triển khai thiếu nên việc nghiên cứu triển khai xây dựng Hệ thống Honeynet ứng dụng thực tế Honeynet em giới hạn phạm vi thí nghiệm Mặc dù cố gắng Đồ án khơng tránh khỏi có sai xót Em mong góp ý, giúp đỡ nhiệt tình thầy cô bạn để đề tài em hoàn thiện.Em xin chân thành cảm ơn 111 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin Dưới số link tham khảo : http://www.tracking-hackers.com/papers/honeypots.html www.honeynet.org http://www.icst.pku.edu.cn/honeynetweb/honeyneten/HoneynetTopology.htm http://www.honeynet.org.gr/reports/apr2005-sept2005.html http://www.honeynet.org/papers/phishing/details/index.html http://www.exploit-db.com/webapps/ http://vietcloud.net/thong-tin/91/0/top-10-ky-thuat-tan-cong-tren-web.aspx 112 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin ... ? ?Đồ án tốt nghiệp” trình bày nội dung ? ?Nghiên cứu Hệ thống Honeypots Honeynet nhằm nghiên cứu số kỹ thuật cơng dịch vụ Web? ??, nhờ giúp sớm phát kịp thời khắc phục lỗi hổng bảo mật tồn dịch vụ Web. .. chương trình bày số kỹ thuật cơng dịch vụ web phổ biến để dễ dàng hiểu, nhận 44 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin kỹ thuật, thủ thuật công web Hacker công vào Hệ thống Honeynet Qua... cơng từ chối dịch vụ nhiều công khác Hình 17 – Cách phương thức cơng năm 2011 Trong phạm vi Đồ án ? ?Nghiên cứu Hệ thống Honeypot, Honeynet nhằm mục đích thu thập kỹ thuật công dịch vụ Web? ??, chương