4.3.1. Kịch bản tấn công
Hình 4. 13 - Kịch bản tấn công hệ thống Honeynet
Đề tài sẽ trình bày một kịch bản tấn công đơn giản dựa trên mô hình triển khai hệ thống Honeynet diễn ra nhƣ sau:
- Hacker tìm ra đƣợc địa chỉ máy chủ 10.0.0.10, thực hiện dùng chƣơng trình nmap để thực hiện dò quét xem server có mở những cổng nào để thực hiện ý đồ tấn công sau đó của mình.
Toàn bộ thông tin quá trình tấn công của hacker vào hệ thống Honeypot sẽ đƣợc ghi lại đầy đủ, chi tiết.
- Quá trình tấn công diễn ra nhƣ thế nào
- Công cụ hacker sử dụng (công cụ khai thác nmap) - Kỹ thuật hacker sử dụng
4.3.2. Phân tích kỹ thuật tấn công của hacker
Quá trình hacker thực hiện dò quét cổng
Hacker sử dụng công cụ nmap quét các cổng mở của ip 10.0.0.10 của server thấy đƣợc server 10.0.0.10 mở 8 cổng là 80,135,53,445,139,1027,1029,1028.
Hình 4. 14 –Kết quả việc quét cổng dịch vụ mở của server
Sau khi biết các cổng mở của server, hacker sẽ thực hiện các hình thức xấu của mình lên server. Do thời gian làm đề tài có hạn nên chúng em xin phép không trình bày sâu về cách thức tấn công tiếp theo của hacker.
4.3.3. Sử dụng Honeynet để phân tích kỹ thuật tấn công của Hacker
Với sự hỗ trợ của công cụ Walleye chúng ta thu đƣợc mối quan hệ giữa các dữ liệu tấn công hệ thống. Hình dƣới mô tả tổng quan các luồng dữ liệu mạng vào/ra hệ thống Honeynet.
57 Hình 4. 15 -Tổng quan luồng dữ liệu vào/ra hệ thổng Honeynet
Hình dƣới đây chỉ ra các gói tin đƣợc thu nhận bởi Honeywall và hiển thị trên Walleye theo một chuỗi trình tự các bƣớc tấn công.
Hình 4. 16 - Chuỗi các gói tin thu nhận trên Walleye
Hệ thống đã thu nhận đƣợc toàn bộ quá trình quét của hacker với hệ thống server, các gói tin, địa chỉ ip nguồn – đích, thậm chí còn hiển thị rõ hệ điều hành mà hacker đang sử dụng.
4.4.Nhận xét về hệ thống honeynet.
Hệ thống Honeynet đã thu đƣợc một số kết quả sau:
- Giúp chúng ta thấy rõ quá trình tấn công của hacker diễn ra cụ thể nhƣ thế nào: các tấn công cụ thể diễn ra từng bƣớc ra sao.
- Thu đƣợc kỹ thuật tấn công của hacker
- Ngoài ra Honeynet còn có thể giúp chúng ta biết đƣợc công cụ giúp hacker phát hiện cổng dịch vụ đang mở của server.
Với mục đích nghiên cứu Honeynet để thu thập các kỹ thuật tấn công dịch vụ web. Từ đó, giúp chúng ta sớm phát hiện các lỗ hổng bảo mật, điểm yếu của server để chúng ta sớm có các biện pháp khắc phục, sử lý kịp thời, đảm bảo an toàn.
59
KẾT LUẬN
Qua quá trình tìm hiểu đề tài “ Tìm hiểu về Honeypot và Honeynet ” chúng em đã hiểu đƣợc những thành phần cơ bản của hệ thống Honeypot và Honeynet. Bƣớc đầu xây dựng đƣợc hệ thống đơn giản và khai thác hệ thống đó bằng các công cụ. Trong thời gian tới, nhóm sẽ tập trung tìm hiểu sâu hơn về các công nghệ của Honeypot và Honeynet, và các mô hình triển khai thực tế ở Việt Nam. Tuy nhiên, do kiến thức còn hạn chế, đề tài không tránh khỏi những thiếu sót, sai lầm, rất mong đƣợc thầy cô và các bạn góp ý. Chúng em xin chân thành cám ơn!
TÀI LIỆU THAM KHẢO [`1] http://www.tracking-hackers.com/papers/honeypots.html [`2] www.honeynet.org [`3] http://www.icst.pku.edu.cn/honeynetweb/honeyneten/HoneynetTopology.htm [`4] http://www.honeynet.org.gr/reports/apr2005-sept2005.html [`5] http://www.honeynet.org/papers/phishing/details/index.html [`6] http://www.exploit-db.com/webapps/