Tất cả tài liệu: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing
Mục lục Câu 2: nguy lỗ hỏng giao thức TCP/ UDP Câu 3: biện pháp ngăn ngừa, phịng chống cơng Câu 1: nguy lỗ hỏng giao thức DNS Câu 4: Trình bày mơ hình phịng thủ chủ yếu an tồn mạng máy tính Câu 5: Trình bày nguyên lý công từ chối dịch vụ tầng liên kết .6 Câu 6: Trình bày nguyên lý công từ chối dịch vụ tầng giao vận Câu 7: Trình bày ngun lý cơng từ chối dịch vụ tầng ứng dụng Câu 8: Trình bày kỹ thuật vượt qua tường lửa tránh bị phát Câu 9: Trình bày kỹ thuật thám DNS .11 Câu 10: Trình bày giải pháp phịng ngừa, ngăn chặn cơng chủ yếu 13 Câu 11: Quy trình kỹ thuật quét mạng 15 Câu 12: Quy trình kỹ thuật thám mạng 17 Câu 13: Các yêu cầu đảm bảo an tồn mạng 18 Câu 14: Trình bày hoạt động giao thức ARP 19 Câu 15: Trình bày kỹ thuật cơng làm gián đoạn dịch vụ cách khai thác lỗ hổng giao thức ARP 21 Câu 16: Xây dựng giải pháp phòng chống nguy làm gián đoạn dịch vụ hacker khai thác lỗ hổng giao thức ARP 21 Câu 17: Trình bày kỹ thuật công đánh cắp thông tin cách khai thác lỗ hổng giao thức ARP 22 Câu 18: Xây dựng giải pháp phòng chống nguy đánh cắp thông tin hacker khai thác lỗ hổng giao thức ARP 22 Câu 2: nguy lỗ hỏng giao thức TCP/ UDP Tấn công DoS-SYN Flooding: Kẻ cơng gửi hàng loạt gói tin SYN với địa nguồn địa IP giả; Server gửi lại SYN/ACK chuẩn bị tài nguyên để trao đổi liệu, chờ ACK thời gian time-out Làm cạn kiệt tài nguyên ứng dụng, máy chủ vật lý Tấn công can thiệp vào kết nối TCP: giao thức TCP cho phép bên đóng liên kết cách độc lập Kẻ cơng ngắt kết nối đột ngột người dùng biết thông tin số hiệu cổng, Sequence Number Tấn công dịch vụ DHCP (Dynamic Host Configuration Protocol): sử dụng UDP, cổng 67(server), 68(client) Lỗ hổng: Bất kỳ máy trạm yêu cầu cấp phát địa IP Nguy cơ: Tấn công DoS làm cạn kho địa (DHCP Starvation); Lỗ hổng: Không xác thực cho thông tin cấp phát từ DHCP Server -> DHCP Spoofing Nguy cơ: Thay đổi địa DNS Server tin cậy địa DNS kẻ công; Nguy cơ: Thay địa default router, cho phép kẻ công: chặn bắt, thám thông tin; công phát lại; công MITM; Câu 3: biện pháp ngăn ngừa, phịng chống cơng Giám sát, đánh giá bảo mật & xây dựng chiến lược an ninh tổng thể; Đào tạo nhân viên nguyên tắc an ninh mạng; Cài đặt, sử dụng thường xuyên cập nhật phần mềm chống vi-rút phần mềm gián điệp máy tính sử dụng doanh nghiệp bạn; Sử dụng Root guard, BPDU guard, BPDU filtering (STP); Sử dụng Port Security ( chống chế tự học MAC), sử dụng Dynamic ARP Inspection, DHCP Snooping; DNS Server sử dụng số hiệu cổng ngẫu nhiên gửi thông điệp truy vấn; Sử dụng DNS tin cậy; Mã hóa thơng tin mật; Cập nhật vá thường xuyên; 10 Xác thực với MD5 pre-share-key; 11 Từ chối thơng điệp HTTP request có Host khơng tin cậy; 12 Sử dụng tường lửa cho kết nối Internet bạn; 13 Tải xuống cài đặt cập nhật phần mềm cho hệ điều hành ứng dụng bạn chúng có sẵn; 14 Tạo dự phịng liệu thơng tin quan trọng; 15 Kiểm soát truy cập vật lý vào máy tính thành phần mạng bạn; 16 Hãy bảo mật mạng Wi-Fi bạn Nếu bạn có mạng Wi-Fi cho nơi làm việc, đảm bảo an tồn bí mật; 17 Khơng sử dụng phần mền crack; 18 Yêu cầu tài khoản người dùng cá nhân cho nhân viên; 19 Hạn chế quyền truy cập nhân viên vào liệu thông tin giới hạn quyền hạn để cài đặt phần mềm; 20 Thường xuyên thay đổi mật Câu 1: nguy lỗ hỏng giao thức DNS Giao thức Domain Name System (DNS) có sức lan tỏa Nhìn chung, sử dụng hàng tỷ lần ngày, thường khơng biết tồn tại; Đối với doanh nghiệp, sắc kỹ thuật số thành phần quan trọng kiến trúc bảo mật họ; Tuy nhiên, giống tất cơng nghệ, dễ bị đe dọa Quá thường xuyên, chất luôn xuất hiện, có mặt khắp nơi DNS làm cho bị bị bỏ qua; Dưới nguy lỗ hỏng (đe dọa) phổ biến mà thúc đẩy DNS: Typosquatting Typosquatting: Việc đăng ký tên miền mà dễ nhầm lẫn tương tự với thương hiệu phổ biến có; Thường coi vấn đề luật sư nhãn hiệu, gây rủi ro sâu sắc tính bảo mật vểf bí kinh doanh công ty; Typosquatting không cá nhân người mà đăng ký cách ngẫu nhiên tên miền tương tự gây nhầm lẫn để hy vọng hưởng lợi từ lưu lượng truy cập Web bị sai mà sử dụng để đánh cắp thông tin; Biện pháp khắc phục: Theo dõi tên miền đăng ký cho tên tương tự gây nhầm lẫn với thương hiệu bạn; Thông tin đăng ký tên miền nên có sẵn từ quan đăng ký; Có nhiều cơng ty cung cấp dịch vụ quản lý thương hiệu kỹ thuật số chuyên dụng để đơn giản hóa q trình tìm kiếm Cache poisoning (đầu độc nhớ cache): Bất bạn gửi email truy cập trang web, máy tính bạn sử dụng liệu DNS lưu nhớ cache mạng, chẳng hạn với ISP bạn; Kẻ công khai thác lỗ hổng lựa chọn cấu hình máy chủ DNS để đưa thông tin địa gian lận vào nhớ cache; Biện pháp: Dùng giao thức DNSSEC, triển khai quan đăng ký đăng ký toàn giới nay; Thêm chữ ký số DNSSEC vào tên miền giúp trình duyệt ISP xác thực thông tin DNS mà họ nhận xác thực; DDoS (Distributed Denial of Service attacks): công từ chối dịch vụ phân tán: DDoS mối đe dọa cụ thể DNS Tuy nhiên, DNS đặc biệt dễ bị tổn thương trước cơng đại diện cho điểm nghẹt logic mạng; Loại lỗi thường bị bỏ qua tổ chức lên kế hoạch cho sở hạ tầng họ; Cho dù trang web có mạnh nào, sở hạ tầng DNS xử lý số lượng yêu cầu đến mà nhận được, hiệu suất trang web bị suy giảm bị vơ hiệu hóa; Biện pháp: Hãy xem xét việc tham gia nhà cung cấp DNS quản lý sử dụng mạng máy chủ Anycast phân phối rộng rãi, có tính dự phòng cao để xử lý lưu lượng DNS; Sử dụng Anycast để phản chiếu máy chủ DNS bạn cải thiện hiệu suất cân tải suốt công DdoS; Nếu bạn muốn xây dựng dịch vụ DNS quản lý riêng mình, chắn tận dụng sức mạnh Anycast DNS Amplification Attacks (tấn công khuếch đại DNS) - Là chiến thuật sử dụng công DDoS nhằm thúc đẩy máy chủ DNS triển khai cấu hình đệ quy khơng an tồn; - Đệ quy tính DNS cho phép phân giải tên miền chuyển đến máy chủ tên mạnh hơn; tính cần thiết, hữu ích thường triển khai môi trường doanh nghiệp; - Kẻ công tận dụng máy chủ DNS đệ quy "mở" (một máy chủ tên đệ quy mà quyền truy cập khơng bị kiểm sốt khơng bị hạn chế, bị khai thác) để tăng sức mạnh cho công DDoS chúng; - Bằng cách giả mạo địa nguồn truy vấn DNS để khớp với nạn nhân dự định, chúng gửi gói tin giả từ bot chúng đến máy chủ tên đệ quy để khuếch đại tin giả; Phản hồi gửi cho nạn nhân lớn hàng chục lần so với truy vấn ban đầu Điều dẫn đến botnet sử dụng hỏa lực nhiều lần, gây hiệu suất xuống cấp nghiêm trọng nhiều trang web nạn nhân; - Biện pháp: Hạn chế dùng máy chủ DNS đệ quy mở cho toàn Internet; Thay đổi cấu hình thường xun để máy chủ DNS chống lại loại công Registrar Hijacking (cướp công ty đăng ký): Phần lớn tên miền đăng ký thông qua công ty đăng ký công ty tự đại diện cho điểm thất bại; Nếu kẻ cơng thỏa hiệp tài khoản bạn với nhà đăng ký chọn, chúng giành quyền kiểm soát tên miền bạn, mà cho phép chúng trỏ đến máy chủ mà chúng chọn, bao gồm máy chủ tên, máy chủ Web, máy chủ email,,,,; Tệ nữa, tên miền chuyển giao cho chủ sở hữu đến cơng ty đăng ký “khó tìm”, mà khiến việc khơi phục tên miền trở thành vấn đề phức tạp; Các cơng hướng vào nhà đăng ký theo kiểu phổ biến, nhắm đến tài khoản bạn cách cụ thể, thông qua công vào mật bạn công kỹ thuật mạng xã hội chống lại hoạt động hỗ trợ kỹ thuật nhà đăng ký Biện pháp: Hãy chọn công ty đăng ký cung cấp biện pháp phòng ngừa bảo mật bổ sung, chẳng hạn xác thực đa yếu tố người quản lý tài khoản mà bạn xây dựng mối quan hệ cá nhân; Sử dụng dịch vụ cao cấp cho từ nhà cung cấp để giảm thiểu rủi ro quyền kiểm sốt tài khoản bạn cho tên khơng tặc Những thứ có chi phí, giá nhỏ phải trả để đảm bảo tên miền bạn nằm tầm kiểm soát bạn Câu 4: Trình bày mơ hình phịng thủ chủ yếu an tồn mạng máy tính a Mơ hình phịng thủ Lollipop Hình thức phịng thủ phổ biến nhất, gọi an ninh vành đai, liên quan đến việc xây dựng tường xung quanh đối tượng có giá trị Tường lửa lựa chọn phổ biến để kiểm soát truy cập bên vào mạng nội Nhược điểm: Một kẻ công xâm nhập vào bên khơng có biện pháp phịng thủ khác Không cung cấp mức độ bảo mật khác phù hợp với tài sản, tức bảo vệ thứ Không bảo vệ chống lại công bên Tường lửa phần quan trọng chiến lược an ninh mạng gắn kết, chúng khơng đủ b Mơ hình phịng thủ Onion Mơ hình phịng thủ triển Mơ hình bảo mật khai nhiều trường hợp thiết kế theo nhiều cách: không dựa vào lớp bảo vệ Phân đoạn mạng dựa quyền Khó dự đốn khó thâm nhập truy cập nhu cầu nhiều so với mơ hình lollipop người Mơ hình Onion giải Xác định vùng đáng tin cậy để phân vùng tải sản cố kẻ công vượt qua tường lừa người đáng tin cậy Bảo vệ nhiều cấp độ khác nhau: Mạng tổ chức bỏ qua đặc quyền Phần mềm tường lửa cá nhân họ Kiến trúc bảo mật phân lớp Điều khiển xác thực truy cập hệ cung cấp nhiều mức độ bảo vệ thống chống lại mối đe dọa bên Ứng dụng xác thực đa yếu trong( điều mà tường lửa không làm tố, quản lý phân quyền được) bên Câu 5: Trình bày ngun lý cơng từ chối dịch vụ tầng liên kết Tầng liên kết liệu đảm bảo truyền tin tin cậy hai thiết bị vật lý kết nối trực tiếp với nhau, liệu tầng gọi khung (Frame) Tấn công từ chối dịch vụ thực chất hacker chiếm dụng lượng lớn tài nguyên server (tài ngun băng thơng, nhớ, cpu, đĩa cứng, ) làm cho server đáp ứng yêu cầu từ máy nguời khác (máy người dùng bình thường ) server nhanh chóng bị ngừng hoạt động, crash reboot Các công quan trọng lớp liên kết liệu bao gồm cạn kiệt địa bảng (CAM), giả mạo ARP, công DHCP starvation, giả mạo địa MAC, công VLAN nhiều Các công thường phá vỡ lưu lượng giao thơng bình thường từ người gửi đến người nhận Mac Table Overflow attack: MAC Table Overflow kỹ thuật công sử dụng để khai thác điểm yếu nhớ phần cứng hạn chế bảng CAM Switch Các loại switch khác có khả lưu trữ bảng CAM khác Tuy nhiên bảng CAM bị làm đầy địa MAC giả mạo, Switch không cịn khả xác định cổng đích để truyền gói tin, gửi broadcast tồn cổng Một kẻ cơng khai thác hạn chế giới hạn bảng CAM bắn gói tin ARP request giả mạo MAC lên switch, bảng CAM đầy Một tool Kali Linux Macof (MAC Overflow) tạo khoảng 155 nghìn địa MAC giả mạo/phút Khi nhận gói tin ARP Request switch đẩy gói tin đến tất cổng Các switch khác mạng nội nhận gói tin ARP request lại tiếp tục đẩy tất cổng dẫn đến tồn hệ thống mạng bị tải Lưu lượng gói tin ngập mạng nội tượng tràn bảng CAM xảy Những kẻ cơng chớp hội để chặn bắt gói tin người dùng gian tên miền, vd không gian tên cơng ty, kẻ cơng biết địa host không gian tên miền DNS cache snooping: Khi nhận yêu cầu phân giải địa chỉ, DNS server phải tìm trả IP cho bên yêu cầu Đầu tiên tìm nhớ tạm (cache), khơng tìm thấy server hỏi DNS server khác, sau kết trả lưu vào cache khoảng thời gian định DNS brute force: Cũng cách để lấy thông tin host không gian tên Kẻ công thực cách xây dựng danh sách tên có khơng gian tên.VD: Với edu.vn ta có ptit.edu.vn Với ví dụ abc.com, kẻ cơng thử tên miền có khả cao vơ nghĩa qwe1234.abc.com, server trả abc.com, nghĩa zone có ghi DNS wildcard Sau thử với tên danh sách, địa trả khác kẻ cơng biết tên miền tồn Reverse DNS lookup: Trong tổ chức, địa ip gán nhiều tên miền khác Do sử dụng tool dig –x hay dnsrecon –r ta tìm thấy nhiều tên miền hợp lệ Mục đích kiểu thám DNS cache snooping tìm hiểu thói quen người sử dụng DNS server Đặc biệt DNS server DNS server quan hay tổ chức mục tiêu Khi ta thực hiên non-recursive query (truy vấn mà DNS server không chuyển tiếp tới DNS server khác) với địa mà thông tin khơng có DNS server thành cơng Ta biết thực thám server Sử dụng nslookup –nonrecursive Nếu sử dụng non recursive query, ta đo thời gian gói tin để biết thơng tin có nằm cache hay không Bằng cách sử dụng ping tới server để lấy mẫu thời gian, sau sử dụng dig để truy vấn thời gian dig truy vấn cao đáng kể so với độ trễ ping Ta biết server phải gửi yêu cầu tới server khác Câu 10: Trình bày giải pháp phịng ngừa, ngăn chặn công chủ yếu a Bảo vệ môi trường vật lý Bảo vệ môi trường vật phần kế hoạch bảo mật Bảo vệ vật lý phụ thuộc vào môi trường, máy tính mức độ nghiêm trọng Máy tính cần bảo vệ vật lý tất nhiên máy quan trọng nên bảo vệ cẩn thận Có nhiều cách để bảo vệ vật lý dù khóa, vỏ bọc bảo vệ, đặt password đặt camera theo dõi phòng đặt thiết bị quan trọng Mơi trường vật lý cịn nhiều thiết bị khác dây cáp, switch, router, mạng, nguồn điện,… tất chúng nên bảo vệ cẩn thận b Cập nhật vá thường xuyên Bản vá phần mềm dùng để sửa lỗ hổng chương trình phần mềm Các vá cập nhật để sửa vấn đề lỗ hổng bên chương trình Đơi thay phát hành và, hãng phần mềm cung cấp phiên nâng cấp, chúng có tác dụng vá Một hệ thống chưa vá hệ thống dễ bị hacker xâm nhập Trong hầu hết trường hợp, lỗ hổng sử dụng biết đến rộng rãi nhà cung cấp bị ảnh hưởng phát hành vá cho quản trị viên hệ thống để áp dụng Một tỷ lệ lớn giới không thường xuyên áp dụng vá lỗi, công chống lại hệ thống chưa vá thành công rộng rãi Quản trị viên mạng tốt nên lập kế hoạch quản lý vá sử dụng cơng cụ để tự động hóa quy trình Dưới bước cho kế hoạch quản lý vá: Làm phần mềm kiểm kê để bạn biết bạn phải bảo vệ; Triển khai quy trình dịch vụ thông báo cho bạn biết cập nhật phát hành Khách hàng Windows nên đăng ký dịch vụ thông báo tin bảo mật Microsoft NTBugtraq; Người dùng Linux Unix đăng ký vào http://freshmeat.net comp.os.linux.announce nhóm tin cho thơng báo họ cập nhật; Kiểm tra vá trước áp dụng chúng môi trường sản xuất; Sử dụng công cụ quản lý vá tập trung để tự động cập nhật, có thể; Nếu cơng cụ quản lý vá tập trung khơng khả thi, định cấu hình ứng dụng phần mềm thành kiểm tra tải xuống cập nhật riêng nó; Trường hợp khơng thể tự động hóa, sử dụng nhân viên CNTT người dùng cuối để cập nhật vá; Tạo sách quản lý vá xác định tần suất vá phải kiểm tra áp dụng chế để làm cho phần mềm dễ bị tổn thương; Định kỳ kiểm tra máy tính để đảm bảo chế vá lỗi hoạt động c Ngay hệ thống bạn vá hoàn toàn, trình bẻ khóa đánh lừa người dùng cuối thực thi mã độc hại trị chơi kết thúc Trình quét chống vi-rút giúp phát mã độc hại Đảm bảo an toàn cho tài khoản người dùng: Tin tặc thường tìm kiếm tài khoản người dùng khơng sử dụng, không hoạt động không bảo vệ mật cách để truy cập vào hệ thống Một số biện pháp phòng ngừa đơn giản làm giảm đáng kể nguy này: Đổi tên tài khoản Superuser: Đổi tên tài khoản có đặc quyền cao admin root đặt cho chúng tên khó đốn Sau thay tên gốc tài khoản đặc quyền thấp Làm cho mật khó đốn vơ hiệu hóa chúng Mặc dù kẻ cơng biết tài khoản người dùng cụ thể có đặc quyền cao hay khơng cách khác, đánh lừa nhiều công cụ khai thác tự động tin tặc Kiểm tra nỗ lực đăng nhập cách sử dụng tài khoản khơng có thật Bất kỳ nỗ lực đăng nhập cách sử dụng tài khoản giả mạo gần chắn có ý định xấu Hạn chế sử dụng tài khoản đặc quyền cao: Mỗi superuser nên có tài khoản người dùng thông thường họ (mà họ sử dụng cho chức người dùng thông thường họ) tài khoản superuser (cho quản trị mạng) Quản trị viên mạng khơng nên chia sẻ chung tài khoản superuser điều giúp loại bỏ trách nhiệm kiểm tốn Hầu hết quản trị viên sử dụng tài khoản bình thường hầu hết thời gian sử dụng lệnh Windows Run As Unix su để chạy quyền quản trị cách sử dụng thông tin tài khoản superuser Tài khoản có đặc quyền cao nên có mật mạnh với bắt buộc thay đổi mật thường xun Vơ hiệu hóa xóa tài khoản khơng sử dụng: Mạng cơng ty ln có tài khoản người dùng khơng hoạt động Kẻ cơng cố ý tìm kiếm chúng sử dụng tài khoản làm cửa hậu tạo tài khoản quản trị viên sử dụng tên tài khoản không hoạt động để loại bỏ nghi ngờ Quản trị mạng nên định kỳ kiểm tra lần tháng để tìm kiếm tài khoản không hoạt động Đặt mật mạnh: Tất chế bảo mật mạnh mẽ giới ngăn chặn cracker hack mật yếu Sử dụng mật dài sáu ký tự có số ký tự khơng phải chữ Mật phức tạp có nhiều khả chống lại công vét cạn Trong môi trường đa máy chủ, xem xét sử dụng mật khác cho tài khoản superuser cho máy chủ khác Bảo vệ hệ thống file Một máy tính an tồn phải có quyền thích hợp gán cho hệ thống tập tin nó: Bằng cách hạn chế truy cập tài khoản, làm giảm đáng kể nguy bị xâm hại hệ thống tập tin bạn Gán quyền thấp cho người dùng: Cung cấp nhiều quyền cho người dùng hội cho phần mềm độc hại xâm nhập tán phá hệ thống Vì cần thắt chặt quyền bảo mật Sử dụng khái niệm đặc quyền thấp cân quyền bảo mật Thiết lập quyền theo nhóm giúp quản trị dễ dàng; Sử dụng NTFS với Windows: Hệ thống tệp NTFS phải cài đặt làm hệ thống tệp phép tệp thư mục cục cài đặt Windows Các lựa chọn hệ thống tệp FAT16 FAT32 hỗ trợ bảo mật cấp tệp; Bảo vệ khu vực khởi động: Hầu hết dịch vụ hệ điều hành tự động khởi động hệ điều hành khởi động Nếu mã độc cài vào máy tính chúng cài vào vùng nên nơi cần bảo mật chặt chẽ Với Windows có nhiều dịch vụ khởi chạy; Xóa vơ hiệu tệp, ứng dụng không cần thiết: Mỗi tệp ứng dụng cài đặt hội cho tin tặc can thiệp vào hệ thống bạn Nếu tệp phầm mềm không cần thiết nên vô hiệu háo loại bỏ; Sử dụng mã hóa; Quyền chia sẻ mạng bảo mật: Một cách phá vỡ vào hệ thống thơng qua mạng chia sẻ khơng có mật mật yếu Các thư mục tập tin cần có DACLs theo nguyên tắc đặc quyền thấp có mật khẩu; An tồn ứng dụng: Quản lý ứng dụng, ứng dụng quản lý bắng cách cấu hình bảo mật ứng dụng, đặt ứng dụng vào thư mục cổng khơng chuẩn, kiểm sốt ứng dụng chạy, đảm bảo ứng dụng an toàn lưu hệ thống tốt d Xây dựng kế hoạch phòng ngừa: Bây bạn cần phải thực bạn nêu áp dụng kế hoạch bảo vệ máy tính tồn diện Đây bước để tạo kế hoạch: Kiểm kê tài sản bạn phải bảo vệ; Quyết định giá trị tài sản nguy khai thác để tìm nguy định lượng được; Áp dụng biện pháp nêu trên, xây dựng kế hoạch thắt chặt bảo mật tài sản bảo vệ bạn Tài sản có rủi ro phơi nhiễm cao nên cung cấp bảo vệ nhiều nhất, chắn tất tài sản có mức bảo mật bản; Phát triển ghi lại công cụ phương thức sở bảo mật; Sử dụng công cụ kiểm tra lỗ hổng để xác nhận tài sản cấu hình thích hợp; Thực kiểm tra định kỳ để đảm bảo cài đặt bảo mật thực thi; Thay đổi cập nhật kế hoạch theo kiện rủi ro bảo mật Câu 11: Quy trình kỹ thuật quét mạng Kỹ thuật rà quét hay gọi scaning bước thiếu q trình cơng vào hệ thống mạng hacker Nếu làm bước tốt Hacker mau chóng phát lỗi hệ thống ví dụ lỗi RPC Window hay lỗi phầm mềm dịch vụ web Apache v.v Và từ lỗi này, hacker sử dụng đoạn mã độc hại(từ trang web) để công vào hệ thống, tồi tệ lấy shell Phần mềm scanning có nhiều loại, gồm phầm mềm thương mại Retina, GFI, phần mềm miễn phí Nmap,Nessus Thơng thường ấn thương mại update bug lỗi từ internet dị tìm lỗi Các phần mềm scanning giúp người quản trị tìm lỗi hệ thống, đồng thời đưa giải pháp để sửa lỗi update Service patch hay sử dụng policy hợp lý Các quy trình quét mạng, quét cổng quét ping, trả chi tiết địa IP ánh xạ tới máy chủ hoạt động loại dịch vụ mà chúng cung cấp Một phương pháp quét mạng khác gọi ánh xạ ngược tập hợp chi tiết địa IP không ánh xạ tới máy chủ trực tiếp, giúp kẻ công tập trung vào địa khả thi Quét mạng gồm bước sau: Xác định hệ thống lọc hai máy chủ hoạt động mạng Chạy dịch vụ mạng UDP TCP Phát số thứ tự TCP hai máy chủ Quét cổng kỹ thuật phổ biến mà kẻ công sử dụng để khám phá dịch vụ, khai thác hệ thống Tất hệ thống kết nối với mạng LAN truy cập mạng thông qua modem chạy dịch vụ nghe cổng tiếng Có nhiều kỹ thuật quét cổng khác có sẵn Các cơng cụ tiếng Nmap Nessus khiến trình quét cổng tự động Kỹ thuật quét bao gồm: Quét kết nối TCP Vanilla: Đây kỹ thuật quét sử dụng lệnh gọi hệ thống kết nối hệ điều hành để mở kết nối tới cổng có sẵn; Quét giao thức phân giải địa (ARP): Trong kỹ thuật này, loạt phát sóng ARP gửi giá trị cho trường địa IP mục tiêu tăng lên gói phát sóng để khám phá thiết bị hoạt động phân đoạn mạng cục Quét giúp vạch toàn mạng; Quét TCP TCP (Nửa mở): Quét SYN kỹ thuật mà tin tặc độc hại sử dụng để xác định trạng thái cổng giao tiếp mà không thiết lập kết nối đầy đủ Những lần quét gọi mở nửa hệ thống cơng khơng đóng kết nối mở; Qt TCP FIN: Q trình qt không bị phát thông qua hầu hết tường lửa, lọc gói chương trình phát quét khác Nó gửi gói FIN đến hệ thống nhắm mục tiêu chuẩn bị báo cáo cho phản hồi mà nhận được; Quét nhận dạng ngược TCP: Quá trình quét phát tên người dùng chủ sở hữu quy trình kết nối TCP hệ thống nhắm mục tiêu Nó giúp kẻ cơng sử dụng giao thức nhận dạng để khám phá người sở hữu quy trình cách cho phép kết nối với cổng mở; Quét TCP XMAS: Nó sử dụng để xác định cổng nghe hệ thống nhắm mục tiêu Quá trình quét thao tác cờ URG, PSH FIN tiêu đề TCP; Quét ACK TCP: Nó sử dụng để xác định trang web hoạt động khơng đáp ứng với lệnh ICMP tiêu chuẩn Kẻ công sử dụng phương pháp để xác định trạng thái cổng cách xác nhận nhận; Quét cổng UDP ICMP: Quét sử dụng để tìm cổng số lượng cao, đặc biệt hệ thống Solaris Q trình qt chậm khơng đáng tin cậy Câu 12: Quy trình kỹ thuật thám mạng Do thám kỹ thuật giúp hacker tìm kiếm thơng tin doanh nghiệp, cá nhân hay tổ chức Hacker điều tra nhiều thông tin mục tiêu nhờ vào kỹ thuật Trong kỹ thuật này, hacker cố gắng tìm nhiều thông tin doanh nghiệp(thông qua kênh internet phone) cá nhân(thông qua email hoạt động cá nhân Internet), thực tốt bước Hacker xác định nên công vào điểm yếu Hacker thường sử dụng kỹ thuật để khám phá thông tin liên quan đến môi trường sau: Internet, intranet, remoteaccess extranet Với thông tin thu thập hacker đốn chủ sở hữu tên miền trang web bị công, địa IP mục tiêu, máy chủ phân giải tên miền DNS Các công cụ hỗ trợ thám: Để công thám, hacker thường dùng công cụ: Truy vấn thông tin Internet (những ứng dụng trực tuyến Whois, Domain Check hay cơng cụ cài đặt máy tính DNS Walk, DNS Enum); Ping sweep (là kỹ thuật quét dải địa IP để phát xem có thiết bị sở hữu địa IP dải Cơng cụ ping sweep gửi gói tin ICMP echo request tới tất địa IP dải chờ đợi gói tin ICMP echo reply phản hồi từ thiết bị); Port Scan (là công cụ quét cổng Mỗi dịch vụ chạy máy gắn với cổng (well-known port) Công cụ quét cổng quét dải cổng để phát xem cổng lắng nghe yêu cầu Nguyên lý gửi tin đến cổng chờ đợi phản hồi Nếu có phản hồi từ cổng tức cổng sử dụng); Packet sniffer (Là cơng cụ cho phép cấu hình card mạng chế độ hỗn độn, chế độ chặn bắt gói tin chạy mạng LAN Với cơng cụ này, kẻ cơng bắt gói tin gửi qua lại mạng LAN phân tích Nếu gói tin khơng mã hóa kẻ cơng dễ dàng đọc nội dung); Neo Trace; VisualRouter Trace; Visual Lookout; eMailTrackerPro; Các bước tiến hành thám: Cách thức mà kẻ công tiến hành sau: dùng kỹ thuật ping sweep để kiểm tra xem hệ thống nạn nhân có địa IP hoạt động Sau kẻ cơng kiểm tra dịch vụ chạy, cổng mở địa IP tìm thấy Cơng cụ mà kẻ công thường sử dụng bước Nmap; Sau xác định cổng mở, kẻ công gửi truy vấn tới cổng để biết thông tin phần mềm, hệ điều hành chạy Sau có tay thơng tin này, kẻ cơng tìm cách khai thác lỗ hổng tồn hệ thống Kẻ cơng có kinh nghiệm lựa chọn thời điểm phù hợp để thực việc khai thác lỗ hổng để tránh bị phát Câu 13: Các yêu cầu đảm bảo an toàn mạng An tồn thơng tin nói chung hay an tồn mạng nói riêng phải tn theo số yêu cầu quan trọng sau: Tính bí mật, tính tồn vẹn tính sẵn sàng Tính bí mật: Blà thuật ngữ sử dụng để tránh lộ thông tin đến đối tượng không xác thực để lọt vào hệ thống khác Đối với an ninh mạng tính bí mật điều nói đến thường xun bị cơng Vì thế, tính bí mật cần thiết (nhưng chưa đủ) để trì riêng tư người có thơng tin, liệu hệ thống lưu giữ Tính tồn vẹn: phát ngăn ngừa việc sửa đổi trái phép liệu, thông tin hệ thống, đảm bảo xác thơng tin, liệu hệ thống Mục đích việc đảm bảo tính tồn vẹn là: Ngăn cản làm biến dạng nội dung thông tin, liệu người sử dụng không phép; Ngăn cản làm biến dạng nội dung thông tin không phép không chủ tâm người sử dụng phép; Duy trì tồn vẹn liệu nội bên ngồi Tính sẵn sàng: liệu truy nhập người dùng hợp pháp họ có yêu cầu Tính sẵn sàng thơng tin số đặc tính sau: Bảo đảm người sử dụng hợp pháp hệ thống có khả truy cập lúc không bị ngắt quãng tới thông tin hệ thống tới mạng Bảm bảo độ ổn định đáng tin cậy thông tin, đảm nhiệm chức thước đo, xác định phạm vi tới hạn an tồn hệ thống thơng tin Hệ thống có tính sẵn sàng cao hướng đến sẵn sàng thời điểm, tránh rủi ro phần cứng, phần mềm như: Sự cố điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… Đảm bảo tính sẵn sàng có nghĩa tránh công từ chối dịch vụ Câu 14: Trình bày hoạt động giao thức ARP 1.1 Giao thức ARP gì? ARP (Address Resolution Protocol) giao thức truyền thông (thuộc) sử dụng để phân giải địa từ lớp network (lớp mạng) sang địa lớp datalink (lớp liên kết liệu) theo mơ hình OSI Tức là, ARP dùng để chuyển địa logic IP, IPX,… sang địa vật lý MAC ARP giao thức lớp - Data link layer mơ hình OSI giao thức lớp Link layer mô hình TCP/IP Ban đầu giao thức ARP sử dụng mạng Ethernet để phân giải địa IP địa MAC Nhưng ngày ARP ứng dụng rộng rãi dùng công nghệ khác dựa lớp 1.2 Hoạt động giao thức ARP a Hoạt động ARP mạng LAN: Quá trình truyền liệu gồm bước: Bước 1: Thiết có địa MAC IP B chuyển sang bước bị A kiểm tra cache (giống sổ danh bạ nơi lưu trữ tham chiếu địa IP địa MAC) Bước 2: Bắt đầu khởi tạo gói tin ARP Request Nó gửi gói tin broadcast đến toàn máy khác mạng với địa MAC IP nguồn địa nó, địa IP đích máy B, địa MAC đích ff:ff:ff:ff:ff:ff (broadcast) Bước 3: Thiết bị A phân phát gói tin ARP Request tồn mạng Khi switch nhận gói tin broadcast chuyển gói tin tới tất máy mạng LAN Bước 4: Các thiết bị mạng nhận gói tin ARP Request Máy tính kiểm tra trường địa Target Protocol Address Nếu trùng với địa tiếp tục xử lý, khơng hủy gói tin Bước 5: Thiết bị B có IP trùng với IP trường Target Protocol Address bắt đầu trình khởi tạo gói tin ARP Reply cách: lấy trường Sender Hardware Address Sender Protocol Address gói tin ARP nhận đưa vào làm Target gói tin gửi Đồng thời thiết bị lấy địa MAC để đưa vào trường Sender Hardware Address Bước 6: Thiết bị B đồng thời cập nhật bảng ánh xạ địa IP MAC thiết bị nguồn vào bảng ARP cache để giảm bớt thời gian xử lý cho lần sau (hoạt động update danh bạ) Bước 7: Thiết bị B bắt đầu gửi gói tin Reply khởi tạo đến thiết bị A Bước 8: Thiết bị A nhận gói tin reply xử lý cách lưu trường Sender Hardware Address gói reply vào địa MAC thiết bị B Bước 9: Thiết bị A update vào ARP cache giá trị tương ứng địa IP địa MAC thiết bị B Lần sau khơng cịn cần tới request Như máy A biết địa MAC máy B, tương tự việc biết địa cụ thể Và A cần gửi gói tin cho B điền địa vào trường Target Hardware Address Gói tin gửi thằng đến B mà không cần gửi đến máy khác mạng LAN b Hoạt động ARP hệ thống liên mạng Trong hoạt động ARP một trường phức tạp hệ thống mạng LAN gắn với thông qua router C.Trường hợp: Máy A thuộc mạng muốn gửi gói tin đến máy B thuộc mạng Quá trính truyền liệu theo bước sau: Bước 1: Máy A gửi ARP request ( broadcast) để tìm địa MAC port X router Bước 2: Router C trả lời, cung cấp cho máy A địa MAC port X Bước 3: Máy A truyền gói tin đến port X Router có địa IP máy B Bước 4: Router nhận gói tin từ máy A, chuyển gói tin ( chứa IP B) port Y Router Router gửi ARP request để tìm địa MAC máy B Bước 5: Máy B trả lời cho Router biết địa MAC Sauk hi nhận địa MAC máy B, Router C gửi gói tin A đến B 1.2 Hoạt động giao thức ARP (cách khác) Khi host định tuyến cần gửi gói tin đến host khác, cần biết địa logic (IP) bên nhận Tuy nhiên, gói tin IP lại đóng khung (frame) để qua mạng vật lý Bên gửi cần địa vật lý bên nhận hay cần phải có ánh xạ địa logic địa vật lý ARP (Address Resolution Protocol): giao thức hoạt động tầng mạng, đảm bảo nhiệm vụ ánh xạ IP vật lý ARP có hai loại gói tin: request, response Q trình hoạt động ARP để host A lấy địa MAC host B A gửi broadcast gói tin ARP request với IP nguồn, MAC nguồn A, đích IP B, MAC đích tồn Gói tin broadcast Thông điệp ARP request gửi tới tất phần tử mạng Các phần tử kiểm tra xem IP đích có phải khơng, khơng bỏ qua gói tin B nhận ARP request, nhận thấy IP đích gói tin B gửi lại cho A gói ARP reply IP MAC đích A IP nguồn MAC nguồn B Gói tin gửi unicast A B lưu địa MAC đối phương vào ARP cache Câu 15: Trình bày kỹ thuật cơng làm gián đoạn dịch vụ cách khai thác lỗ hổng giao thức ARP Lỗ hổng giao thức ARP: Khi host nhận gói tin ARP Reply, hồn tồn tin tưởng sử dụng thơng tin để sử dụng sau mà khơng cần biết thơng tin có phải trả lời từ host mà mong muốn hay khơng Lợi dụng điều này, hacker triển khai phương thức công như: Man In The Middle, Denial of Service, MAC Flooding Kỹ thuật công làm gián đoạn dịch vụ a MAC Flooding Kẻ công phải nằm mạng LAN Cách cơng dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến Switch Hacker gửi gói ARP Reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp trở nên tải Khi đó, Switch khơng đủ sức thể chất Layer2 mà broadcast gói tin tồn port Thoạt nhìn mục đích phá hoại đối tượng cơng xa tận dụng để nghe packet người khác Hacker dễ dàng bắt tồn thơng tin mạng bạn Các công cụ phổ biến để thực công: ettercap, arpspoof, nemesis… b Denial of service: hay gọi công từ chối dịch vụ Cũng vận dụng kỹ thuật trên, hacker tiến hành công cách gởi gói ARP Reply đến tồn host mạng với nội dung mang theo địa IP Gateway địa MAC không tồn Như host mạng tin tưởng biết MAC Gateway gửi thông tin đến Gateway, kết gửi đến nơi hoàn tồn khơng tồn Đó điều hacker mong muốn, tồn host mạng khơng thể Internet Câu 16: Xây dựng giải pháp phòng chống nguy làm gián đoạn dịch vụ hacker khai thác lỗ hổng giao thức ARP Đối với mạng nhỏ: Ta sử dụng địa IP tĩnh ARP table để liệt kê tay IP với MAC Trong Windows sử dụng câu lệnh ipconfig /all để xem IP MAC, dùng câu lệnh arp -s để thêm vào ARP table Khi ép tĩnh ngăn chặn hacker gửi gói ARP Reply giả tạo đến máy sử dụng ARP table tĩnh ln ln khơng thay đổi Chú ý cách thức áp dụng môi trường mạng với quy mô nhỏ, mạng lớn phải thêm vào ARP table tay với số lượng nhiều Đối với mạng lớn: ta sử dụng chức Port security cho port Switch, quy định port chấp nhận địa MAC Như ngăn chặn việc thay đổi địa MAC máy hacker Ngoài sử dụng cơng cụ, ví dụ ArpWatch Nó phát báo cáo cho bạn thông tin liên quan đến ARP diễn mạng Nhờ đó, có tượng cơng ARP Poisoning bạn giải kịp thời Dùng phần mềm : Chúng ta cài đặt phần mềm Anti ARP để tránh việc nhận ARP Reply giả mạo Dùng thiết bị: Dynamic ARP Inspection : Switch dựa vào bảng DHCP Snooping Binding để kiểm tra gói tin ARP Reply gửi xem có hợp lệ hay khơng, khơng hợp lệ DROP Câu 17: Trình bày kỹ thuật công đánh cắp thông tin cách khai thác lỗ hổng giao thức ARP Lỗ hổng giao thức ARP: Khi host nhận gói tin ARP Reply, hồn tồn tin tưởng sử dụng thơng tin để sử dụng sau mà khơng cần biết thơng tin có phải trả lời từ host mà mong muốn hay không Tấn công Man In The Middle: Đây dạng công nguy hiểm Trong trường hợp giống bị đặt máy nghe lén, phiên làm việc máy gởi máy nhận diễn bình thường nên người sử dụng khơng hay biết bị cơng Sơ Lược Q trình công Trên mạng, Host A Host B muốn truyền tin cho nhau, Packet đưa xuống tầng Datalink để đóng gói, Host phải đóng gói MAC nguồn, MAC đích vào Frame Như trước trình truyền Dữ liệu, Host phải hỏi địa MAC Nếu Host A khởi động q trình hỏi MAC trước, gởi broadcast gói tin ARP request cho tất Host để hỏi MAC Host B, lúc Host B có MAC Host A, sau Host B trả lời cho Host A MAC Host B(ARP reply ) Có Host C liên tục gởi ARP reply cho Host A Host B địa MAC Host C, lại đăt địa IP Host A Host B Lúc Host A nghĩ máy B có MAC C Như gói tin mà Host A gởi cho Host B bị đưa đến Host C, gói tin Host B trả lời cho Host A đưa đến Host C Nếu Host C bật chức forwarding coi Host A Host B không hay biết bị cơng ARP Cơng cụ phổ biến để thực công Cain & Abel, ettercap … Câu 18: Xây dựng giải pháp phịng chống nguy đánh cắp thơng tin hacker khai thác lỗ hổng giao thức ARP Sử dụng Firewall lọc gói tin chứa địa giả mạo Ta dùng arpwatch giám sát thông tin arp hệ thống để phát bị công phương pháp spoofing arp hay sniffer Hoặc bạn tiến hành cài đặt hệ thống IDS Snort, GFI để phát hành động bất thường mạng Ta dùng etteracp để dị tìm chương trình sniffer khác mạng Ví dụ: nghi ngờ có “nghe lén” mạng, bạn khởi động ettercap nhấn phím P sau chọn plug-in có chức tìm kiếm máy tính chạy chương trình ettercap tìm máy chạy ettercap Còn đối phương sử dụng chương trình khác dsniff, ta dị tìm thơng qua plug-in thứ 15 arpcop, lúc cửa sổ hiển thị máy tính chạy chương trình spoofing arp mạng Sử dụng phần mềm phát lừa đảo ARP: hoạt động kiểm tra xác nhận liệu trước truyền chặn liệu mà nghi ngờ khơng xác Mã hóa liệu trước gửi Sử dụng giao thức an toàn đường truyền: SSL/TLS Đối với mạng nhỏ: Sử dụng IP tĩnh + ARP cache tĩnh -> tạo thành cặp địa IP-MAC -> phòng ngừa giả mạo