Tr­êng cao ®¼ng nghÒ ®ång th¸p Khoa c ng nghÖ th ng tin



tải về 2.92 Mb.
trang4/27
Chuyển đổi dữ liệu06.01.2018
Kích2.92 Mb.
#35777
1   2   3   4   5   6   7   8   9   ...   27

2. 4. Tấn công thụ động:

2.4.1. Dò tìm lổ hỏng:


Đây là bước cơ bản kẻ tấn công sẽ thực hiện để đánh giá và tìm ra các điểm yếu của hệ thống. kỹ thuật dùng các công cụ quét để tìm ra điểm yếu tấn công.

Sử dụng các công cụ quét cổng để thăm dò và phát hiện các thông tin của hệ thống như hệ điều hành, phiên bàn, các ứng dụng triển khai …

Attacker sẽ kiểm tra để ht vọng tìm ra một cửa nào không khoá hoặc dễ dàng phá mà không bị phát hiện.

A/ Giới thiệu công cụ NMAP:

NMAP là viết tắt của Network Mapper. Ban đầu NMAP được thiết kế chủ yếu dành cho System admin nhằm scan những mạng có nhiều máy tính để biết máy nào hoạt động, các service nó đang chạy và hệ điều hành đang sử dụng.

NMAP hỗ trợ kỹ thuật scan bao gồm: UDP, TCP, TCP SYN (half – open), FTP Proxy (bounce attack), ICMP (ping sweep), FIN, ACK sweep, Xmas tree, SYN sweep, IP Protocol … Có thể dùng xác định các thông tin cúa máy ở xa, ví dụ như OS qua TCP/IP Fingerprinting.

Công cụ NMAP có thể dễ dàng tìm trên internet và được cài đặt … Mặc định trong các hệ điều hành Unix. NMAP có những phiên bản chạy trên Windows và hỗ trợ giao diện đồ hoạ (NMAP Win).



Một số chức năng chính của NMAP:

  • Connect Scan (TCP connect): Đây là một dạng cơ bản nhất của việc quét TCP. Kỹ thuật này được dùng để quét tất cả các cổng trên hệ thống máy tính. Nếu cổng đang lắng nghe, kết nối thành công, ngược lại thì cổng sẽ không đạt đến được. Điểm mạnh của kỹ thuật này là chúng ta không cần phải có đặc quyền.

  • Việc quét bằng kỹ thuật này sẽ dễ dàng bị phát hiện bởi máy được quét.

  • TCP SYN (haft – open): Kỹ thuật này thường được hiểu như là kiểu quét (haft – open) bởi vì bạn không mở một kết nối đầy đủ TCP. Bạn gửi một SYN packet, nếu như bạn đang mở một kết nối thực sự và bạn đang chờ hồi đáp. Một SYN /ACK chỉ cho biết cổng đang lắng nghe. Một RST biểu lộ của một Non – listener. Nếu một SYN/ACK được nhận, một RST ngay lập tức gửi liên tục đến kết nối. Thuận lợi chính của kỹ thuật quét này là ít site lưu lại thông tin của nó. Để thực hiện được chúng ta phải có quyền root.

  • FTP Proxy (Bounce attack): Đây là một đặc điểm thú vị của giao thức FTP hỗ trợ cho những kết nối FTP thông qua proxy. Nói một cách khác chúng ta có thể kết nối từ Evil.com đến FTP server của target.com và yêu cầu server gửi một file ANYWHERE trên internet. Bây giờ điều này đã được thực hiện vào năm 1985 khi RFC đã được viết. Nhưng với hệ thống ngày nay, chúng ta không có thể chiếm đoạt FTPserver và gửi yêu cầu đến bất kỳ điểm nào trên internet một cách tùy tiện. Khi các khái niệm cũ về FTP server được viết lại vào năm 1995, sai lầm của giao thức này có thể được sử dụng để đưa news và mail gần như không thể phát hiện được, gây nguy hiểm trên những server tại những site khác nhau, làm đầy đĩa cứng … Chúng ta sẽ lợidụng những đặc điểm này để Scan TCP port từ một proxy FTP server. Vì thế bạn có thể kết nối đến một FTP server được đặt sau một Firewall và sau đó quét những port dường như đã bị blocked. NếuFTP server cho phép đọc và ghi trên một vài thư mục, bạn có thể gửi bất kỳ dữ liệu đến những cổng mà bạn đã tìm thấy (NMAP thì không làm được việc này).

  • ICMP (Ping Sweep – PingScanning): Thỉnh thoảng chúng ta chỉ muốn biết một host trên mạng có được mở hay không. NMAP có thể làm điều này bằng cách gửi ICMP echo request packet đến mọi địa chỉ IP trên mạng mà bạn chỉ định. Những host mà trả lời là những host đang mở. Một số site thi block echo request packets. Vì thế NMAPcó thể gửi một TCP ACK packet theo cổng 80. Nếu chúng ta nhận được một RST trả về, máy tính đó đang mở. Một kỹ thuật thứ ba liên quan đến việc gửi một SYN packet và chờ RST hay SYN/ACK. Mặc định (cho user root) NMAP sử dụng cả hai kỹ thuật ACK và ICMP. Bạn có thể thay đổi điều này với option – p.

Chú ý rằng thao tác ping được thực hiện bắt cứ lúc nào và chỉ những host hồi đáp được quét. Chỉ sử dụng tùy chọn nếu bạn mong muốn ping sweep mà không cần bất kỳ port scans nào thực sự hoạt động.

  • ACK Sweep (ACK Scan): Đây là một phương pháp thuận lợi thường được sử dụng để vạch ra những bộ luật firewall. Trong trường hợp đặc biệt, nó có thể giúp xác định nơi firewall không có hiệu quả hay chỉ là một bộ lọc packet đơn giản chỉ block những SYN packet.

  • Các Scan này gửi một ACK packet đến một port được chỉ định. Nếu có RST trả về, port được phân loại là “unfiltered”. Nếu không có bất cứ thông tin gì trả về (hay nếu một ICMP unreachable được trả về) port được phân loại là “filtered”. Chú ý rằng NMAP thường không in ra những port được phân loại là “unfiltered”.

  • Xmas tree, FIN, Null Scan: Đó là những lần khi sử dụng quét SYN nhưng không bảo đảm bí mật. một vài firewall và packet filter có thể nhìn thấy tín hiệu SYN và giới hạn port và chương trình giống như SYN logger và courtney thì dễ dàng phát hiện ra việc quét này. Việc sử dụng những cách quét này (Xmas tree, FIN, Null Scan) sẽ có thể vượt qua được mà không bị cản trở.

  • IP Protocol: Phương pháp này được sử dụng để xác định những giao thức IP nào được hỗ trợ trên host. Kỹ thuật này sẽ gửi những IP packet dạng raw mà không chứa bất kỳ protocol header đến từng giao thức được chỉ định tại host đích. Nếu chúng ta nhận một ICMP protocol unreachable message, điều đó có nghĩa rằng giao thức không được sử dụng, ngược lại chúng ta giả sử rằng nó được mở. chú ý rằng một vài host (AIX, HP – UX, Digital UNIX) và một số firewall không thể gửi protocol unreachable messages, đây là nguyên nhân làm cho hiểu lầm rằng tất cả giao thức đều được “open”.

Cú pháp chuẩn như sau:

NMAP [Scan type (s)] [option]

Scan type bao gồm:


  • -sS: TCP SYN

  • -sT: TCP connect ()

  • -sU: UDP scan

  • -sO: IP protocol

  • -sF -sX -sN: Stealth FIN, Xmas tree, Null scan

  • -sP: ping scanning

  • -sV: version detection

Các Option chính như sau:

  • -PA [portlist] sử dụng TCP ACK ping xem danh sách các host đang hoạt động

  • -PS [portlist] tương tự -PA nhưng dùng SYN (connection request)

  • -PU [portlist] dùng UDP

Ví dụ: Để quét tất cả các cổng TCP trên máy đích 172.29.14.141

Nmap –v 172.29.14.141

Tùy chọn –v: Mở chế độ hiển thị chi tiết quá trình quét.

Để quét một đường mạng lớp C mà có chứa địa chỉ IP 172.29.14.141 dùng tín hiệu SYN. Ngoài ra cũng xác định luôn cả hệ điều hành mà đang sử dụng tại mỗi máy là gì ? Có đang hoạt động hay không ? Để sử dụng được đặc điểm này, người sử dụng phải có quyền root.

Nmap –sS – O 172.29.14.141

2.4.2. Nghe lén (Sniffing):


Kẻ nghe lén phải nằm trong cùng đường mạng hoặc được đặt ở các vị trí cổng truy cập để đọc các thông tin được truyền trên mạng.

Sử dụng phần mềm để đón bắt các thông tin quan trọng (ví dụ tên truy cập, mật khẩu, cookie) truyền trên mạng mà không được mã hóa hoặc chỉ sử dụng những cơ chế mã hóa đơn giản.

Các quản trị mạng có thể sử dụng các công cụ sniff để xem xét và đánh giá lưu thông mạng.

A/ Giới thiệu công cụ TCP Dump:

Là công cụ phân tích phổ biến trong môi trường Unix hay Linux. TCP Dump hỗ trợ các giao thức TCP, UDP, IP và ICMP. Ngoài ra còn hỗ trợ các dạng dữ liệu của các ứng dụng phổ biến. Hầu hết chương trình TCP Dump phải chạy với quyền root hay được setuid là root.



Cú pháp TCP Dump như sau:

TCP Dump [ -adefln Nopq RstuvxX]

[ -c count ]

[ -C file _size ]

[ -F file ]

[ -i interface ]

[ -m module ]

[ - r file ]

[ -s snaplen ]

[ -T type ]

[ -U user ]

[ - w file ]

[ -E algo: secret ]

[ expression ]



Các lưu ý:

  • -c sẽ dùng khi bắt đủ số gói tin

  • - C trước khi save raw packet vào file sẽ kiểm tra file hiện tại có kích thước lớn hơn file _size hay không. Nếu có thì mở một file mới với tên chỉ định là –w cộng với kích thước phía sau. Đơn vị của file _size là 1000000 bytes.

Ví dụ: Để in ra tất cả những packet đã được nhận và gửi đi từ máy có tên là sundown:

# tcpdump host sundown

Để in ra sự lưu thông giữa hai hệ thống máy tính có tên là sundown và moondown:

# tcpdump host sundown and moodown

Để in ra tất cả những gói tin IP giữa sundown và bất kỳ những host khác ngoại trừ máy có tên là testking:

# tcpdump ip host sundown and not testking



B/ Giới thiệu công cụ Ethereal:

Là một trong những công cụ “phân tích giao thức” protocol analyzer mới nhất hiện nay, phát triển năm 1998. Ethereal có cả phiên bản cho Unix/Linux và windows. Một khi thực hiện bắt gói tin, packet sẽ được giữ trong buffer và sau đó được hiển thị lên màn hình. Một tính năng của Ethereal là live decodes ngay packet cho đến khi dừng việc bắt gói tin. Chúng ta có thể thấy điều nay qua Network monitor của windows sẽ trình bày sau. Tuy nhiên đây cũng là tính năng không tốt lắm nếu lưu lượng mạng khá nhiều 10000 packet chẳng hạn mà không thực hiện biện pháp lọc gói nào. Khi đó chúng ta không thể nào theo dõi kịp các thông tin trình bày.



C/ Giới thiệu công cụ Network monitor của windows:

Windows 2000, 2003 có hỗ trợ công cụ Network monitoring hỗ trợ các quản trị mạng theo dõi và phân tích các gói tin được gửi ra ngoài cũng như các kết nối truy xuất đến.

Thông thường nếu được cài đặt NW sẽ được đặt tại. Trong trường hợp không có ta có thể dễ dàng cài đặt thêm bằng cách:

Start  Setting  Control pannel  Add/Remove Program  Add/Romove Windows Components  Management and Monitoring tools.

Chạy chương trình:

Sau khi chọn Network interface nhấn start capture để bắt gói tin. Nhấn biểu tượng Stop and View capture để xem các gói tin bắt được. Ngay sau khi bắt được chúng ta đang ở panel đầu là panel liệt kê tóm tắt.

Bỏ chọn Zoom panel (thanh toolbar hình kính lúp) để xem cả 3 panel của các gói tin đã bị capture như sau:

Panel thứ hai là thông tin chi tiết và panel cuối cùng biểu diễn dưới dạng hex. Dùng Edit/Display Filter (thanh toolbar hình cái phễu) để lọc các gói tin.



D/ Giới thiệu công cụ Cain & Abel:

Đây là công cụ lắng nghe rất mạnh hỗ trợ các tính năng:



  • Giả mạo điạ chỉ ARP để thu thập được thêm nhiều thông tin

  • Khả năng giải mã đối với một số password bắt được dưới dạng mã hóa.

Hướng dẫn sử dụng Cain & Abel để lắng nghe thông tin trên mạng LAN (thiết bị sử dụng trong mạng thuộc tầng 1 và 2)

Cài đặt chương trình Cain & Abel:

  • Download chương trình Cain & Abel từ website: http://www.oxid.it/

  • Cài đặt chương trình (cần cài đặt Winpcap v3.1 beta 4 trước khi sử dụng chương trình Cain & Abel)

  • Sử dụng chương trình Cain & Abel để lắng nghe thông tin trên mạng.

Chạy chương trình Cain & Abel:

Chọn mục trên thanh công cụ để bắt đầu quá trình lắng nghe trên mạng, sau đó chọn tab Sniffer.



Tab Sniffer , chọn mục Add to list Trên thanh công cụ để quét danh sách các máy tính trên hệ thống mạng. Mọi thông tin trao đổi từ danh sách này sẽ được lắng nghe.



Lưu ý: Chúng ta chỉ quét được những máy tính thuộc cùng đường mạng với mình.

Chọn tab password để quan sát các thông tin trả về khi có sự trao đổi thông tin trên mạng.



Nếu password bị mã hóa chúng ta sẽ dùng chính chương trình Cain & Abel để giải mã hoặc dùng chương trình LC5. Có nhiều thuật toán để giúp cho việc giải mã thành công như:



  • Giải mã dùng phương pháp Dictionary Attack

  • Giải mã dùng phương pháp Brute – Force Attack

  • Giải mã dùng phương pháp Cryptanalysis

Каталог: nguoidung -> cntt07 -> thongtin
thongtin -> CÂU 1: Mạng máy tính là gì? A./ Các máy tính trao đổi thông tin với nhau tuân theo tập giao thức. B./ Các máy tính kết nối với nhau bằng đường truyền vật lý. C./ Các máy tính kết nối với nhau chia sẻ nguồn thông tin chung
thongtin -> TRƯỜng tcn thá[ MƯỜi khoa công nghệ thông tin
thongtin -> Tin hoc văn phòng
nguoidung -> Virus máy tính có thể không phá hoại gì mà chỉ nhân bản. Virus
nguoidung -> BÀi thực hành môn lập trình mạng gv trưƠng vĩnh hảo I. Mục đích
nguoidung -> CÁc phưƠng pháp xuất nhập winsock I. Cài đặt Winsock
nguoidung -> 4. Phần mềm Explorer – của HĐh windows xp
nguoidung -> Chương 1 : Tổng quan về hệ phân tán. Định nghĩa
nguoidung -> MÔn học công nghệ MẠng không dâY

tải về 2.92 Mb.

Chia sẻ với bạn bè của bạn:
1   2   3   4   5   6   7   8   9   ...   27




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý

    Quê hương