Cài đặt mạng trên máy thực hiện tấn công

Một phần của tài liệu TÌM HIỂU TẤN CÔNG HEARTBLEED (Trang 28)

Máy thực hiện tấn công cài đặt hệ điều hành Window 7, việc thiết lập cấu hình mạng như hình 2.16:

Hình 2.16. Thiết lập cấu hình mạng trên máy thực hiện tấn công

2.3.2. Tấn công khai thác lỗ hổng Heartbleed

Đầu tiên đối phương truy cập vào máy chủ web: https://test.com, vì không có tài khoản nên đối phương sẽ không tiến hành đăng nhập (hình 2.17):

Hình 2.17. Đối phương không thể đăng nhập vào https://test.com

Đối phương dùng công cụ Wireshark nghe lén lưu lượng đi vào máy chủ và đối phương đã bắt được thông tin phiên liên lạc từ mày trạm (192.168.2.30) tới máy chủ web (192.168.2.10). Nhưng đối phương không thể đọc được dữ liệu trên phiên liên lạc vì dữ liệu này đã được mã hóa như hình 2.18:

Hình 2.18. Đối phương không thể nghe lén được dữ liệu đi vào máy chủ web

Đối phương dùng công cụ OpenSSLHeartbleedExploit.exe để tấn công máy chủ web (hình 2.19). Công cụ OpenSSLHeartbleedExploit.exe được biên dịch từ trình biên dịch gcc trên Linux với mã nguồn là tập tin heartbleed.c (xem nội dung tại phụ lục II).

Hình 2.19. Tấn công khai thác lỗ hổng Heartbleed trên máy chủ web.

Trên hình 2.19 cho thấy đối phương tìm ra được tài khoản ‘trung’ và mật khẩu là ‘123456’. Như vậy, đối phương đã khai thác thành công lỗ hổng Heartbleed trên máy chủ web.

Kết quả thực nghiệm tấn công Heartbleed: Tấn công thành công trong 6 lần thực hiện và mất thời gian 30 giây.

KẾT LUẬN

Sau một thời gian tìm hiểu và sưu tầm tài liệu, với sự hướng dẫn của thầy Nguyễn Văn Nghịcùng sự giúp đỡ của các bạn bè, đến nay nhóm em đã hoàn thành đề tài “Tìm Hiểu Tấn Công Heartbleed” . Về cơ bản, đề tài đã nêu ra các vấn đề cần tìm hiểu và thực hiện đó là:

- Nghiên cứu phương pháp tấn công bộ giao thức SSL/TLS. Trong phần này em đã nghiên cứu được những vấn đề cơ bản về những tấn công điển hình lên bộ giao thức SSL/TLS, đồng thời nhóm đã đi sâu vào nghiên cứu tấn công Heartbleed.

- Cài đặt và thực hiện tấn công Heartbleed: Trong phần này nhóm em đã thực hiện thành công việc cài đặt mô hình thực hiện tấn công và thực hiện thành công tấn công Heartbleed lên website www.test.com (đây là website chứa lỗ hỗng Heartbleed)

Kết luận: Trong nội dung đề tài nhóm em đã cố gắng tìm hiểu và nghiên cứu các vấn đề cơ bản nhất của các phương pháp tấn công bộ giao thức SSL/TLS, đã thực hiện thành công việc cài đặt và thực hiện tấn công Heartbleed. Tuy nhiên, do thời gian có hạn nên đề tài không thể tránh được những thiếu sót nhất định. Rất mong sự đóng góp ý kiến của các thầy cô và các bạn để đề tài được hoàn thiện hơn. Một lần nữa nhóm em xin chân thành cảm ơn!

Một phần của tài liệu TÌM HIỂU TẤN CÔNG HEARTBLEED (Trang 28)

Tải bản đầy đủ (DOCX)

(34 trang)
w