Chương 6 - Enumeration. Enumeration (Liệt kê) là bước tiếp theo trong quá trình tìm kiếm thông tin của tổ chức, xảy ra sau khi đã scanning và là quá trình tập hợp và phân tích tên người dùng, tên máy,tài nguyên chia sẽ và các dịch vụ. Nó cũng chủ động truy vấn hoặc kết nối tới mục tiêu để có được những thông tin hợp lý hơn. Mời bạn đọc tham khảo tài liệu để biết thêm nội dung chi tiết.
CHƯƠNG 6: Enumeration Võ Thanh Văn Enumeration (Liệt kê) bước q trình tìm kiếm thơng tin tổ chức, xảy sau đã scanning quá trình tập hợp phân tích tên người dùng, tên máy,tài nguyên chia các dịch vụ Nó cũng chủ động truy vấn hoặc kết nối tới mục tiêu để có được những thông tin hợp lý Enumeration Là Gì? Enumeration (liệt kê) có thể được định nghĩa quá trinh trích x́t những thơng tin có được phần scan thành một hệ thớng có trật tự Những thơng tin được trích x́t bao gồm những thứ có liên quan đến mục tiêu cần tấn công, tên người dùng (user name), tên máy tính (host name), dịch vụ (service), tài nguyên chia (share) Những kỹ thuật liệt kê được điều khiển từ môi trường bên Enumeration bao gồm cả công đoạn kết nối đến hệ thống trực tiếp rút trích thơng tin Mục đích kĩ tḥt liệt kê xác định tài khoản người dùng tài khoản hệ thống có khả sử dụng vào việc hack một mục tiêu Không cần thiết phải tìm mợt tài khoản quản trị vì có thể tăng tài khoản lên đến mức có đặc quyền nhất để cho phép truy cập vào nhiều tài khoản đã cấp trước Các kỹ thuật được sử dụng liệt kê có thể kể như: Kỹ tḥt Win2k Enumeration : dùng để trích x́t thơng tin tài khoản người dùng (user name) Kỹ thuật SNMP (Simple Network Management Protocol) để liệt kê thông tin người dùng Kỹ thuật Active Directory Enumeration dùng liệt kê hệ thống Active Directory Sử dụng Email IDs để tìm kiếm thơng tin Tất cả những kỹ thuật lần lượt vào thảo luận những phần sau Null Session Null Session gì? Khi đăng nhập vào hệ điều hành, trình chứng thực xẩy ra, u cầu người dung cung cấp username password để tiến hành chứng thực Sau q trình chứng thực, mợt danh sách truy cập – ACL – được tải để xác định quyền hạn user đăng nhập Nó mợt cách khác, quá trình đó tạo cho user một phiên làm việc rõ ràng Tuy nhiên, có những dịch hệ điều hành được kích hoạt tự chạy, với mợt user ẩn danh đó, chẳng hạn SYSTEM USER Loại user không cần có password, nó được dùng để khởi chạy dịch vụ Nó không được dùng để đăng nhập, được dùng để sử dụng một số dịch vụ Khi bạn dùng loại user để đăng nhập, bạn bị rơi vào trạng thái Null Session Null Session, hay được gọi IPC$ máy chủ tảng Windows, một dạng kết nối nặc danh tới một mạng chia sẻ cho phép người dùng mạng truy cập tự Tấn công Null Session đã xuất kể từ Windows 2000 được sử dụng rộng rãi Tuy nhiên, hình thức tấn cơng khơng được quản trị viên hệ thống ý áp dụng biện pháp bảo mật mạng Điều có thể dẫn đến kết cục khơn lường tin tặc có thể sử dụng hình thức tấn cơng để lấy thông tin hữu dụng cần thiết để giành quyền truy cập từ xa vào hệ thống Mặc dù không cịn mẻ, tấn cơng Null Session phổ biến nguy hiểm những năm trước Xét mợt khía cạnh đó, mặc dù khả bảo mật hệ thống đại không phải yếu thực cuộc thử nghiệm xâm nhập máy tính Windows kết quả cho thấy Null Session mợt những hình thức cần lưu ý Phương thức hoạt động Null Session Một phiên truy cập từ xa được tạo lập người dùng đăng nhập từ xa vào mợt máy tính sử dụng mợt tên người dùng mật có quyền truy cập vào tài nguyên hệ thống Tiến trình đăng nhập được thực qua giao thức SMB (Server Message Block) dịch vụ Windows Server Những kết nới hồn tồn hợp pháp những thơng tin đăng nhập xác được sử dụng Mợt Null Session xảy người dùng thực kết nối tới một hệ thống Windows mà không sử dụng tên người dùng hay mật Hình thức kết nới khơng thể thực bất kỳ hình thức chia sẻ Windows thơng thường nào, nhiên lại có thể thực chia sẻ quản trị IPC (Interprocess Communication) Chia sẻ IPC được tiến trình Windows sử dụng (với tên người dùng SYSTEM) để giao tiếp với tiến trình khác qua mạng Chia sẻ IPC được giao thức SMB sử dụng Chia sẻ không yêu cầu thông tin đăng nhập IPC thường được sử dụng cho những chương trình giao tiếp với một chương trình khác, nhiên không có gì đảm bảo người dùng khơng thể kết nới tới mợt máy tính kết nối IPC Kết nối IPC không cho phép truy cập khơng giới hạn vào máy tính, mà trao quyền truy cập vào tất cả máy tính mạng, những mà tin tặc cần để xâm nhập hệ thống Phương thức công sử dụng Null Session Giờ đã biết cách thức hoạt động Null Session, nhiên ‘liệu tin tặc có thể sử dụng hình thức tấn công dễ dàng hay không?’ Câu trả lời ‘khá dễ dàng’ Kết nới Null Session có thể được thiết lập trực tiếp từ một lệnh Windows mà khơng cần sử dụng cơng cụ bổ sung, đó lệnh NET Lệnh NET có thể thực nhiều chức quản trị, sử dụng lệnh có thể tạo mợt kết nới tới mợt chia sẻ tiêu chuẩn máy chủ đích, nhiên kết nối thất bại những thông tin đăng nhập khơng xác Hình 1: Kết nối thất bại vào mạng chia sẻ sử dụng lệnh NET Khi sử dụng lệnh NET, có thể thay đổi tên chia sẻ kết nối tới chia sẻ quản trị IPC$ Khi đó kết quả khả quan Hình 2: Kết nối Null Session thành cơng với lệnh NET Lúc này, đã thiết lập một kết nới Null Session tới máy tính nạn nhân Tuy nhiên, chưa có quyền truy cập quản trị máy tính đó chưa thể bắt đầu duyệt tìm ổ cứng hay lấy mật Cần nhớ rằng, chia sẻ IPC được sử dụng để giao tiếp giữa tiến trình, đó quyền truy cập bị giới hạn xuống quyền truy cập tên người dùng SYSTEM Chúng ta có thể sử dụng lệnh NET để lấy nhiều thông tin từ máy tính mục tiêu, nhiên có nhiều cơng cụ tự đợng hóa thực cơng việc rắc rới Hacking Tool Null Session có thể dễ dàng tấn cơng với cơng cụ có sẵn windows Net, Netview Tuy nhiên, đã trình bày trên, cần mợt q trình phúc tập để làm được nhiều việc, liệt kê thư mục, user…Công cụ Nbtstat Enum giúp thực hàng loạt công việc phức tạp, để cuối xâp nhập được vào hệ thống Dumpsec Superscan hai công cụ đồ họa hổ trợ thực công việc Chống công Null Session Khi nghĩ đến tin tặc cuộc tấn cơng, có lẽ câu hỏi thường được nghĩ đến đó ‘liệu hệ thống có điểm yếu hay không?’ Câu trả lời phụ thuộc vào hệ điều hành môi trường mạng Nếu sử dụng hệ điều hành Windows XP, Windows Server 2003 hay Windows 2000, mợt mức đợ đó câu trả lời “có” Hình thức tấn công khó có thể thực người dùng sử dụng phiên bản hệ điều hành cao hơn, nhiên Windows XP Windows Server 2003 những hệ điều hành được ưa cḥng nhất Có mợt sớ phương pháp khác mà có thể thực để chặn Null Session Chặn Null Session Registry Khả tương thích những phần mềm hợp pháp với thực tế hầu hết doanh nhiệp phải gắn bó với hệ điều hành cũ để thắt chặt ngân sách hai lý khiến máy trạm máy chủ Windows 2000 tồn Nếu sử dụng Windows 2000, cần thực một thay đổi nhỏ Registry có thể chặn khả lấy thông tin sử dụng Null Session Khi truy cập vào Regedit duyệt tìm tới key HKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous, có thể cấu hình tùy chọn bao gồm: – Cài đặt mặc định Truy cập Null Session không giới hạn – Không những loại bỏ Null Session mà chặn hiển thị tên người dùng chia sẻ – Loại bỏ giá trị tới Null Session cách chặn truy cập Như thấy, Null Session không thể bị loại bỏ hoàn toàn, nhiên, khả truy cập bị giới hạn lựa chọn tùy chọn cài đặt Cần thận trọng cấu hình tùy chọn máy chủ Windows 2000 có thể làm hỏng Clustering rên Windows XP Windows Server 2003, có thể thực tác vụ tương tự ba Registry Key: HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymous HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM HKLM\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous Khóa port truy cập Nếu khơng thể thực các thay đổi các Registry Key được nhắc đến trên, có thể chặn truy cập với Windows Firewall hay Network Firewall Tiến trình có thể được thực cách chặn truy cập tới cổng liên quan tới NetBIOS SMB thông qua TCP/IP Những cổng bao gồm: Cổng TCP 135 Cổng UDP 137 Cổng UDP 138 Cổng UDP 139 Cổng TCP UDP 445 Những cổng được sử dụng cho chức kết nối mạng Windows, bao gồm chia sẻ File, in ấn qua mạng, Clustering, quản trị từ xa Lưu ý: Tiến trình chặn truy cập tới cổng cần cân nhắc kỹ trước thực nhiều cổng Xác định Null Session với IDS Nếu những thay đổi Registry hay Firewall loại bỏ chức ứng dụng mạng phải sử dụng mợt phương pháp khác Thay vì chặn thống kê qua Null Session, một những biện pháp hữu hiệu nhất đó phát tấn công Null Session một cách sớm nhất để có thể triển khai những biện pháp khắc phục kịp thời thực một kiện bảo mật mạng thông thường Nếu sử dụng Snort, một IDS/IPS (Hệ thống phát chặn xâm nhập mạng) phổ biến nhất môi trường sản xuất, thì rule sau phát thống kê Null Session: alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:”NETBIOS NT NULL session”; flow:to_server.establshed; content: ‘|00 00 00 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 20 00 4E 00 54 00 20 00 31 00 33 00 38 00 31|’; classtype:attempted-recon;) Rule không ngăn chặn kết nối Null Session, nhiên thơng báo Null Session xảy Nâng cấp hệ điều hành Giải pháp cuối cùng đã đề cập nâng cấp hệ điều hành Null Session dễ dàng thực với hệ điều hành đời cũ trước năm 2000 Còn sau đó Windows XP, Windows 2003 thì việc đã được Microsoft tích hợp sản phẩm Do đó, nâng cấp hệ điều hành làm yên tâm Kĩ thuật liệt kê SNMP (Simple Network Management Protocol) Tìm hiểu SNMP SNMP “giao thức quản lý mạng đơn giản”, dịch từ cụm từ “Simple Network Management Protocol” Thế giao thức quản lý mạng đơn giản ? Giao thức một tập hợp thủ tục mà bên tham gia cần tuân theo để có thể giao tiếp được với Trong lĩnh vực thông tin, một giao thức quy định cấu trúc, định dạng (format) dòng dữ liệu trao đổi với quy định trình tự, thủ tục để trao đổi dịng dữ liệu đó Nếu mợt bên tham gia gửi dữ liệu không định dạng hoặc không theo trình tự bên khác khơng hiểu hoặc từ chối trao đổi thông tin SNMP một giao thức, đó nó có những quy định riêng mà thành phần mạng phải tuân theo Một thiết bị hiểu được hoạt động tuân theo giao thức SNMP được gọi “có hỗ trợ SNMP” (SNMP supported) hoặc “tương thích SNMP” (SNMP compartible) SNMP dùng để quản lý, nghĩa có thể theo dõi, có thể lấy thơng tin, có thể được thơng báo, có thể tác động để hệ thống hoạt động ý muốn VD một số khả phần mềm SNMP: Theo dõi tốc độ đường truyền một router, biết được tổng số byte đã truyền/nhận Lấy thông tin máy chủ có ổ cứng, ổ cứng cịn trớng Tự đợng nhận cảnh báo switch có mợt port bị down Điều khiển tắt (shutdown) port switch Các thành phần SNMP Theo RFC 1157, kiến trúc SNMP bao gồm thành phần : trạm quản lý mạng (network management station) thành tố mạng (network element) Network management station thường mợt máy tính chạy phần mềm quản lý SNMP (SNMP management application), dùng để giám sát điều khiển tập trung network element Network element thiết bị, máy tính, hoặc phần mềm tương thích SNMP được quản lý network management station Như vậy element bao gồm device, host application Hình 3: Mơ hình minh họa thành phần SNMP Mợt management station có thể quản lý nhiều element, một element cũng có thể được quản lý nhiều management sation Vậy một element được quản lý station thì điều xảy ? Nếu station lấy thơng tin từ element cả station có thơng tin giớng Nếu station tác đợng đến mợt element element đáp ứng cả tác động theo thứ tự cái đến trước Ngồi cịn có khái niệm SNMP agent SNMP agent mợt tiến trình (process) chạy network element, có nhiệm vụ cung cấp thơng tin element cho station, nhờ đó station có thể quản lý được element Chính xác application chạy station agent chạy element tiến trình SNMP trực tiếp liên hệ với Các ví dụ minh họa sau làm rõ các khái niệm này: Để dùng một máy chủ (station) quản lý máy (element) chạy HĐH Windows thông qua SNMP bạn phải : cài đặt mợt phần mềm quản lý SNMP (application) máy chủ, bật SNMP service (agent) máy Để dùng một máy chủ (station) giám sát lưu lượng một router (element) bạn phải : cài phần mềm quản lý SNMP (application) máy chủ, bật tính SNMP (agent) router Object ID Mợt thiết bị hỗ trợ SNMP có thể cung cấp nhiều thông tin khác nhau, thông tin đó gọi mợt object (Ví dụ: Máy tính cung cấp thơng tin : tổng số ổ cứng, tổng số port nối mạng, tổng số byte truyền/nhận, tên máy tính, tên process chạy, ….) Mỗi object có mợt tên gọi mợt mã số để nhận dạng object đó, mã số gọi Object ID (OID) (Ví dụ: Tên thiết bị gọi sysName, OID 1.3.6.1.2.1.1.5) Object access Mỗi object có quyền truy cập READ_ONLY hoặc READ_WRITE Mọi object có thể đọc được những object có quyền READ_WRITE có thể thay đổi được giá trị VD : Tên một thiết bị (sysName) READ_WRITE, ta có thể thay đổi tên thiết bị thơng qua giao thức SNMP Tổng số port thiết bị (ifNumber) READ_ONLY, dĩ nhiên ta không thể thay đổi số port Management Information Base MIB (cơ sở thơng tin quản lý) một cấu trúc dữ liệu gồm các đối tượng được quản lý (managed object), được dùng cho việc quản lý thiết bị chạy TCP/IP MIB kiến trúc chung mà giao thức quản lý TCP/IP nên tuân theo, đó có SNMP MIB được thể thành file (MIB file), có thể biểu diễn thành (MIB tree) MIB có thể được chuẩn hóa hoặc tự tạo Mợt manager có thể quản lý được mợt device ứng dụng SNMP manager ứng dụng SNMP agent ùng hỗ trợ một MIB Các ứng dụng cũng có thể hỗ trợ lúc nhiều MIB Các phương thức SNMP Giao thức SNMP có phương thức hoạt động, tương ứng với loại bản tin sau: SNMP Enumeration ? Kĩ thuật SNMP Enumeration quá trình sử dụng SNMP để liệt kê các tài khoản người dùng một hệ thống mục tiêu Hầu hết tất cả các thiết bị hạ tầng mạng, router,switch bao gồm cả hệ thống Windows, chứa đựng một SNMP agent để quản lý hệ thống hoặc thiết bị Các trạm quản lý SNMP gửi yêu cầu tới các agent agent trả lời lại.Các yêu cầu các trả lời được gửi đến các biến truy cập cấu hình phần mềm agent Các trạm quản lý có thể gửi các yêu cầu để thiết lập giá trị cho các biến nhất định Các trạm quản lý nhận gói Trap từ agent để biết mợt vài điều quan trọng vừa xẩy phần mềm agent có khởi đợng lại hay mợt lỗi giao diện SNMP có hai password sử dụng để truy cập cấu hình SNMP agent từ trạm quản lý Cái đầu tiên được gọi “read community string”, password cho phép bạn xem cấu hình của thiết bị hoặc hệ thống Cái thứ hai được gọi “read/write community string”, nó được dùng để thay đổi hay chỉnh sức cấu hình thiết bị Nói chung, mặc định read community string public, còn read/write community string private Một lỗ hổng bảo mật phổ biến xảy các community string không thay đổi so với các thiết lập mặc định Một hacker có thể sử dụng những password mặc định để xem hoặc thay đởi cấu hình thiết bị Nếu bạn có bất kì câu hỏi việc làm cách nào để xác định password mặc định của các thiết bị ,truy cập vào www.defaultpassword.com Hacking tool SNMPUtil Network Browser các công cụ liệt kê SNMP SNMPUtil tập trung thông tin tài khoản người dùng qua SNMP các hệ thống Windows Một vài thông tin các bảng các công việc hàng ngày,các bảng ARP,địa IP,địa MAC, các cổng mở TCP UDP, tài khoản người dùng các phần chia có thể bị đọc từ một hệ thống Windows nơi SNMP cho phép sử dụng công cụ SNMPUtil IPNetworkBrowser từ công cụ SolarWinds cũng sử dụng SNMP để thu thập thêm thông tin một thiết bị có mợt SNMP agent Đối phó với kỹ thuật liệt kê SNMP Cách đơn giản nhất để ngăn chặn kỹ thuật liệt kê SNMP gỡ bỏ hết các SNMP agent hoặc tắt dịch vụ SNMP Nếu không được chọn tắt SNMP, hãy thay đổi tên mặc định read read/write community Thực thi bảo mật “Group Policy” thêm điều kiện ngăn ngừa kết nối người dùng nặc danh Active Directory Enumeration Active Directory (AD) ? Active Directory mợt sở dữ liệu tài ngun mạng (cịn gọi đới tượng) cũng các thông tin liên quan đến các đối tượng đó Tuy vậy, Active Directory không phải một khái niệm Novell đã sử dụng dịch vụ thư mục (directory service) nhiều năm Mặc dù Windows NT 4.0 một hệ điều hành mạng tớt, hệ điều hành lại khơng thích hợp hệ thớng mạng tầm cỡ xí nghiệp Đối với hệ thống mạng nhỏ, công cụ Network Neighborhood tiện dụng, dùng hệ thống mạng lớn, việc duyệt tìm kiếm mạng một ác mộng (và tệ bạn khơng biết xác tên máy in hoặc Server đó gì) Hơn nữa, để có thể quản lý được hệ thống mạng lớn vậy, bạn thường phải phân chia thành nhiều domain thiết lập mối quan hệ uỷ quyền thích hợp Active Directory giải được vấn đề vậy cung cấp một mức đợ ứng dụng cho mơi trường xí nghiệp Lúc này, dịch vụ thư mục domain có thể lưu trữ mười triệu đối tượng, đủ để phục vụ mười triệu người dùng domain Chức Active Directory Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật tương ứng các tài khoản máy tính Cung cấp mợt Server đóng vai trị chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server gọi domain controller (máy điều khiển vùng) Duy trì một bảng hướng dẫn hoặc một bảng mục (index) giúp các máy tính mạng có thể dị tìm nhanh mợt tài ngun đó các máy tính khác vùng Cho phép tạo những tài khoản người dùng với những mức đợ quyền (rights) khác như: tồn quyền hệ thống mạng, có quyền backup dữ liệu hay shutdown Server từ xa… Cho phép chia nhỏ miền mình thành các miền (subdomain) hay các đơn vị tổ chức OU (Organizational Unit) Sau đó có thể ủy quyền cho các quản trị viên bộ phận quản lý bộ phận nhỏ Active Directory Enumeration Liệt kê AD có nghĩa truy vấn tìm kiếm những thơng tin có liên quan đến AD server Windows ứng dụng qua AD Những kỹ thuật tìm hiểu kỹ thuật liệt kê NTP, WEB, DNS, LDAP… User Account Enumeration Có nghĩa liệt kê những thông tin có liên quan đến user, username, phone, mail, first name, address…Những thơng tin có liên quan bạn thực mợt hình thức tấn cơng khác Ví dụ bạn ḿn dị tìm mật user nhớ một quy tắc, user thường đặt mật những có liên quan đến mình ngày sinh, số điện thoại, số nhà, số xe… Hacking Tool Sid2user User2sid hai cơng cụ dạng dịng lệnh giúp bạn liệt kê các thông tin có liên đến user GetAcct chương trình dạng đồ họa, cho phép bạn tìm kiếm thơng tin user hệ điều hành Win NT 2000 LDAP Enumeration LDAP (Lightweight Directory Access Protocol) giao thức truy cập danh sách thư mục AD hoặc những dịch vụ directory khác Thư mục có cấu trúc, cấp độ, định dạng cụ thể Dưới vài công cụ dùng để liệt kê dựa vào giao thức LDAP Hacking Tool Jxplorer: Ngoài chức liệt kê thư mục, cơng cụ cịn hổ trợ chứng thực qua SSL, thậm chí việc thêm, xóa, sửa thông tin thư mục Softerra LDAPP Browser, LDAPMiner hai cơng cụ khác có chức tương tự NTP Enumeration NTP (Network Time Protocol) giao thức được thiết kế để đồng bợ hóa thời gian giữa server Giao thức hoạt động port 123, UDP để truyền tải dữ liệu Để liệt kệ thông tin có liên quan đến NTP Server, bạn có thể dùng lệnh ntpdata, ntptracer, ntpdc, ntpq… SMTP Enumeration SMTP (Simple Mail Transport Protocol) giao thức hoạt động port 25TCP để gửi mail lên POP3 hoặc IMAP server – những server nhận mail Để liệt kê thông tin SMTP server bạn có thể dùng lệnh telnet đến server Hacking Tool SMTPscan cơng cụ cho phép tìm kiếm những thông tin có liên quan đến SMTP Server Chương trình hoạt đợng cách gửi mợt gói tin giả đến server đọc tin nhắn trả để biết những thông tin server WEB Enumeration HTTP giao thức web mà cũng biết Nó hoạt đợng port 80, port 443 cho HTTPS Người dùng gửi u cầu nợi dung lên web server Tại trình duyệt, gõ đỉa chỉ, tất nhiên phải có DNS server thực trình truy vấn để tìm ip Để tìm kiếm tin có liên quan đến web server, bạn có thể bắt gói tin trả xem thông tin server phần header dữ liệu Hacking Tool Asnumber mợt tiện ích nhỏ cài vào trình duyệt, để hiển thị thơng tin server System Using Default Password Sử dụng mật mật định những thông tin default khác phần cứng quả thật không nên Tuy nhiên, bạn muốn tấn cơng hệ thớng, thử tìm kiếm coi có thiết bị xài password mật định hay không Truy cập www.phenoelit.de/dpl/dpl.html để biết password mặc định thiết bị Tổng kết Sau kết thúc chương bạn cần nắm rõ vấn đề sau: Hiểu rỏ liệt kê thông tin user account: Bằng cách tạo kết nới đến hệ thớng đích những giao thức SMB/ CIFS hoặc NetBIOS để truy vấn thông tin hệ thống Trình bày được những thông có thể liệt kê từ hệ thớng Những thơng đó bao gồm tài nguyên mạng chia sẽ, user, group những ứng dụng Lý giải Null Session gì? Và những kỹ tấn cơng dựa null session Kết nối đến hệ thống password trắng Null Session Hacker kết nới đến hệ thớng đích để thực thi những ứng dụng Các công cụ hack dùng để liệt kê Có thể chia hai loại Loại dùng NetBios, loại dùng SNMP SNMP Until, Enum… ... Session: alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:”NETBIOS NT NULL session”; flow:to_server.establshed; content: ‘|00 00 00 00 57 00 69 00 6E 00 64 00 6F 00 77 00 73 00 20 00 4E 00 54 00... định cấu trúc, định dạng (format) dòng dữ liệu trao đổi với quy định trình tự, thủ tục để trao đổi dịng dữ liệu đó Nếu một bên tham gia gửi dữ liệu khơng định dạng hoặc khơng theo trình... nhanh mợt tài ngun đó các máy tính khác vùng Cho phép tạo những tài khoản người dùng với những mức độ quyền (rights) khác như: tồn quyền hệ thớng mạng, có quyền backup dữ liệu hay