- Trong Startup.
CHƯƠNG 3: SOCKET
CHƯƠNG 4: XÂY DỰNG CHƯƠNG TRÌNH GIÁM SÁT HỆ THỐNG SỬ DỤNG TROJAN
THỐNG SỬ DỤNG TROJAN
4.1.Phân tích hệ thống
4.1.1.Mô hình chung
Từ mô hình của mạng máy tính (trạm- chủ hay Client – Server)
Hình 4.1: Client –Server Yêu cầu của bài toán giám sát đặt ra đó là:
Người quản lý có thể theo dõi chặt chẽ những dịch vụ nào đang kết nối trên hệ thống thông qua việc thường kỳ các trạm làm việc gửi các thông tin về các dịch vụ chúng đang kết nối về cho người quản lý, các port nào đã được dùng và port nào đang ở tình trạng đang lắng nghe.
Theo dõi chặt chẽ các giao dịch trên hệ thống đồng thời đưa ra các cảnh báo hoặc ngăn chặn về mức độ an toàn của hệ thống.
Theo dõi, quản lý mọi hoạt động đang diễn ra trên các trạm, đồng thời truy cập ngăn chặn các hoạt động trái phép ngay tại các trạm.
bản là phía máy Client và phía máy Server.Mỗi đối tượng sẽ có chức năng riêng thực hiện các vấn đề của bài toán giám sát hệ thống qua mạng LAN.
Với Server(Trojan), nó phải quản lý chung các thao tác mà Client đưa tới. Để làm điều này Trojan phải mở cổng và lắng nghe kết nối trên đó. Khi nhận được thông tin từ phía Client nó sẽ tiến hành kiểm tra các lệnh mà Client gửi đến và ra các quyết định cần thiết. Đồng thời nó cũng luôn theo dõi các tiến trình của máy Client. Khi Client ngắt kết nối thì Trojan vẫn ở trạng thái chờ đợi, lắng nghe kết nối khi Client kết nối lại.
Với Client phải kết nối tới Trojan(Server), nếu thành công thì sẽ bắt đầu trao đổi thông tin với Trojan, đưa ra các lệnh để Trojan thực hiện.
Như vậy, toàn bộ tiến trình của hệ thống sẽ gồm các công đoạn chính như sau:
Trojan mở cổng và lắng nghe trên cổng. Client kết nối tới Trojan trên cổng đã mở.
Kết nối thành công Client bắt đầu quá trình giám sát bằng cách ra lệnh cho Trojan thực hiện các lệnh.
Khi Client ngắt kết nối, Trojan sẽ ở trạng thái chờ đợi. 4.1.2.Sơ đồ thuật toán công việc
Hình 4.2: Sơ đồ thuật toán công việc 4.1.3.Sơ đồ giao dịch
Hình 4.3: Sơ đồ giao dịch với máy Client 4.1.3.Sơ đồ tuần tự
Giám sát cổng đang mở
Netstat là một công cụ hữu ích của Windows cho phép kiểm tra những dịch vụ nào đang kết nối đến hệ thống. Nó rất quan trọng trong việc phân tích cái gì đang xảy ra trên hệ thống góp phần ngăn chặn các cuộc tấn công vào hệ thống.
Hình 4.4: Lệnh Nestat
Với chức năng giám sát cổng tiến trình sẽ diễn ra như sau: • Trojan mở cổng và lắng nghe trên cổng. • Client kết nối tới Trojan trên cổng đang mở.
• Kết nối thành công Client gửi yêu cầu giám sát cổng. • Trojan nhận được yêu cầu thực hiện lệnh Netstat –an
bên máy trạm rồi gửi về cho máy Client. • Client nhận được và hiển thị trên màn hình.
Hình 4.5: Sơ đồ tuần tự chức năng giám sát cổng Điều khiển Victim
Với chức năng điều khiển tiến trình sẽ diễn ra như sau: • Trojan mở một cổng và lắng nghe trên cổng • Client kết nối tới Trojan trên cổng đang mở • Kết nối thành công Client gửi yêu cầu điều khiển
• Trojan nhận được yêu cầu thực hiện lệnh mà Client yêu cầu như tắt tiến trình, hiển thị thông báo…rồi gửi báo cáo về cho Client.
• Client có thể hiển thị kết quả (với những yêu cầu thực hiện cần kết quả hiển thị) hoặc nhận biết lệnh đã hoàn thành khi Trojan gửi thông báo về và sau đó Client gửi lệnh kết thúc.
Hình 4.6: Sơ đồ tuần tự chức năng điều khiển
4.2.Thiết kế giao diện, xây dựng chức năng chương trình
4.2.1.Thiết kế giao diện
Hình 4.7 Giao diện chính của chương trình 4.2.2.Xây dựng chức năng chương trình
Chức năng điều khiển
Chỉ dùng cho người quản trị và những người có quyền truy cập xem các thông tin hoạt động cá nhân.
Hình 4.8: Danh sách địa chỉ Ip
Sau khi kết nối với máy của Victim bằng địa chỉ IP hoặc bằng tên thì có thể giám sát và điều khiển máy Victim.
Hình 4.9: Điều khiển các chức năng trên máy Victim
Giám sát các tiến trình đang chạy trên máy Victim bằng cách liệt kê các tiến trình đang chạy và có thể đóng các tiến trình lại.
Hình 4.10: Giám sát các tiến trình chạy trên máy Victim
Theo dõi chặt chẽ các hoạt động của Victim bằng cách chụp lại những hoạt động tại máy của Victim.
Hình 4.11: Chụp lại hoạt động của Victim Chức năng giám sát hoạt động mạng:
Có thể giám sát các cổng, giám sát các website truy cập…Với cơ sở dữ liệu nghiên cứu có thể giúp người quản trị nhận diện chính xác khoảng 4000 cổng.
Hình 4.13: Giám sát hoạt động giao dịch Chức năng cảnh báo
KẾT LUẬN
Sau thời gian nghiên cứu đề tài “Xây dựng công cụ giám sát hệ thống” em đã thực hiện được kết quả như sau:
• Nghiên cứu tổng quan về Trojan, ứng dụng, tác hại của Trojan. • Nghiên cứu các kỹ thuật tạo Trojan.
• Các kỹ thuật phát hiện Trojan.
• Tiến hành tạo Trojan và các kỹ thuật gắn Trojan vào các máy trạm. • Xây dựng chương trình giám sát hoạt động giao dịch trên mạng LAN
sử dụng Trojan. Cho phép người dùng có thể giám sát được các hoạt động giao dịch tại các máy trạm. Đồng thời có khả năng giám sát toàn bộ hoạt động của máy trạm và đưa ra các cảnh báo về hoạt động giao dịch trên mạng, cảnh báo về khả năng tấn công bằng Trojan. Hướng phát triển của đề tài trong thời gian tiếp theo:
• Tiếp tục nghiên cứu ứng dụng Trojan giám sát hoạt động giao dịch trên mạng LAN, làm tăng khả năng ẩn mình của Trojan.
• Xây dựng các chức năng cho Trojan có thể giám sát hoạt động giao dịch trên mạng diện rộng.