Đồ Án Tấn Công Và Bảo Mật Trang 1/21 I. TẤN CÔNG VÀ BẢO MẬT BẰNG CHƯƠNG TRÌNH CAIN & ABEL 1.1 Giới thiệu Là chương trình tìm mật khẩu chạy trên hệ điều hành Microsoft. Nó cho phép dễ dàng tìm ra nhiều loại mật khẩu bằng cách dò tìm trên mạng, phá các mật khẩu đã mã hóa bằng các phương pháp Dictionary, Brute-Force and Cryptanalysis, ghi âm các cuộc đàm thoại qua đường VoIP, giải mã các mật khẩu đã được bảo vệ, tìm ra file nơi chứa mật khẩu, phát hiện mật khẩu có trong bộ đệm, và phân tích các giao thức định tuyến. Chương trình này không khai thác những lỗ hổng chưa được vá của bất kỳ phần mềm nào. Nó tập trung vào những khía cạnh/điểm yếu hiện có trong các chuẩn giao thức, các phương pháp đăng nhập và các kỹ thuật đệm. 1.2 Tấn công bằng cain & abel Trước khi bắt đầu, bạn cần lựa chọn một số thông tin bổ sung. Cụ thể như giao diện mạng muốn sử dụng cho tấn công, hai địa chỉ IP của máy tính nạn nhân. Hình 1: Configure của Cain & Abel GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 2/21 Hình 2: Giao diện của Configure Khi lần đầu mở Cain & Abel, bạn sẽ thấy một loạt các tab ở phía trên cửa sổ. Với mục đích của bài, chúng tôi sẽ làm việc trong tab Sniffer. Khi kích vào tab này, bạn sẽ thấy một bảng trống. Để điền vào bảng này bạn cần kích hoạt bộ sniffer đi kèm của chương trình và quét các máy tính trong mạng của bạn. Hình 3: Tab Sniffer của Cain & Abel GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 3/21 Kích vào biểu tượng thứ hai trên thanh công cụ, giống như một card mạng. Thời gian đầu thực hiện, bạn sẽ bị yêu cầu chọn giao diện mà mình muốn sniff (đánh hơi). Giao diện cần phải được kết nối với mạng mà bạn sẽ thực hiện giả mạo ARP cache của mình trên đó. Khi đã chọn xong giao diện, kích OK để kích hoạt bộ sniffer đi kèm của Cain & Abel. Tại đây, biểu tượng thanh công cụ giống như card mạng sẽ bị nhấn xuống. Nếu không, bạn hãy thực hiện điều đó. Để xây dựng một danh sách các máy tính hiện có trong mạng của bạn, hãy kích biểu tượng giống như ký hiệu (+) trên thanh công cụ chính và kích OK. Hình 4: Quét các thiết bị trong mạng Những khung lưới trống rỗng lúc này sẽ được điền đầy bởi một danh sách tất cả các thiết bị trong mạng của bạn, cùng với đó là địa chỉ MAC, IP cũng như các thông tin nhận dạng của chúng. Đây là danh sách bạn sẽ làm việc khi thiết lập giả mạo ARP cache. Ở phía dưới cửa sổ chương trình, bạn sẽ thấy một loạt các tab đưa bạn đến các cửa sổ khác bên dưới tiêu đề Sniffer. Lúc này bạn đã xây dựng được danh sách các thiết bị của mình, nhiệm vụ tiếp theo của bạn là làm việc với tab APR. Chuyển sang cửa sổ APR bằng cách kích tab. GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 4/21 Hình 5: Chọn giao diện APR Khi ở trong cửa sổ APR, bạn sẽ thấy hai bảng trống rỗng: một bên phía trên và một phía dưới. Khi thiết lập chúng, bảng phía trên sẽ hiển thị các thiết bị có liên quan trong giả mạo ARP cache và bảng bên dưới sẽ hiển thị tất cả truyền thông giữa các máy tính bị giả mạo. Tiếp tục thiết lập sự giả mạo ARP bằng cách kích vào biểu tượng giống như dấu (+) trên thanh công cụ chuẩn của chương trình. Cửa sổ xuất hiện có hai cột đặt cạnh nhau. Phía bên trái, bạn sẽ thấy một danh sách tất cả các thiết bị có sẵn trong mạng. Kích địa chỉ IP của một trong những nạn nhân, bạn sẽ thấy các kết quả hiện ra trong cửa sổ bên phải là danh sách tất cả các host trong mạng, bỏ qua địa chỉ IP vừa chọn. Trong cửa sổ bên phải, kích vào địa chỉ IP của nạn nhân khác và kích OK. GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 5/21 Hình 6: Chọn thiết bị nạn nhân của việc giả mạo Các địa chỉ IP của cả hai thiết bị lúc này sẽ được liệt kê trong bảng phía trên của cửa sổ ứng dụng chính. Để hoàn tất quá trình, kích vào ký hiệu bức xạ (vàng đen) trên thanh công cụ chuẩn. Điều đó sẽ kích hoạt các tính năng giả mạo ARP cache của Cain & Abel và cho phép hệ thống phân tích của bạn trở thành người nghe lén tất cả các cuột truyền thông giữa hai nạn nhân. Nếu bạn muốn thấy những gì đang diễn ra sau phông này, hãy cài đặt Wireshark và lắng nghe từ giao diện khi bạn kích hoạt giả mạo. Bạn sẽ thấy lưu lượng ARP đến hai thiết bị và ngay lập tức thấy sự truyền thông giữa chúng. Hình 7: Chèn lưu lượng ARP GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 6/21 Khi kết thúc, hãy kích vào ký hiệu bức xạ (vàng đen) lần nữa để ngừng hành động giả mạo ARP cache. 1.3 Biện pháp phòng chống Nghiên cứu quá trình giả mạo ARP cache từ quan điểm của người phòng chống, chúng ta có một chút bất lợi. Quá trình ARP xảy ra trong chế độ background nên có rất ít khả năng có thể điều khiển trực tiếp được chúng. Không có một giải pháp cụ thể nào, tuy nhiên chúng ta vẫn cần những lập trường đi tiên phong và phản ứng trở lại nếu bạn lo lắng đến vấn đề giả mạo ARP cache trong mạng của mình. 1.4 Bảo mật LAN Giả mạo ARP Cache chỉ là một kỹ thuật tấn công mà nó chỉ sống sót khi cố gắng chặn lưu lượng giữa hai thiết bị trên cùng một LAN. Chỉ có một lý do khiến cho bạn lo sợ về vấn đề này là liệu thiết bị nội bộ trên mạng của bạn có bị thỏa hiệp, người dùng tin cậy có ý định hiểm độc hay không hoặc liệu có ai đó có thể cắm một thiết bị không tin cậy vào mạng. Mặc dù chúng ta thường tập trung toàn bộ những cố gắng bảo mật của mình lên phạm vi mạng nhưng việc phòng chống lại những mối đe dọa ngay từ bên trong và việc có một thái độ bảo mật bên trong tốt có thể giúp bạn loại trừ được sự sợ hãi trong tấn công được đề cập ở đây. 1.5 Mã hóa ARP Cache Một cách có thể bảo vệ chống lại vấn đề không an toàn vốn có trong các ARP request và ARP reply là thực hiện một quá trình kém động hơn. Đây là một tùy chọn vì các máy tính Windows cho phép bạn có thể bổ sung các entry tĩnh vào ARP cache. Bạn có thể xem ARP cache của máy tính Windows bằng cách mở nhắc lệnh và đánh vào đó lệnh arp –a. Hình 8: Xem ARP Cache GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 7/21 Có thể thêm các entry vào danh sách này bằng cách sử dụng lệnh arp –s <IP ADDRESS> <MAC ADDRESS>. Trong các trường hợp, nơi cấu hình mạng của bạn không mấy khi thay đổi, bạn hoàn toàn có thể tạo một danh sách các entry ARP tĩnh và sử dụng chúng cho các client thông qua một kịch bản tự động. Điều này sẽ bảo đảm được các thiết bị sẽ luôn dựa vào ARP cache nội bộ của chúng thay vì các ARP request và ARP reply. Kiểm tra lưu lượng ARP với chương trình của hãng thứ ba Tùy chọn cuối cùng cho việc phòng chống lại hiện tượng giả mạo ARP cache là phương pháp phản ứng có liên quan đến việc kiểm tra lưu lượng mạng của các thiết bị. Bạn có thể thực hiện điều này với một vài hệ thống phát hiện xâm phạm (chẳng hạn như Snort) hoặc thông qua các tiện ích được thiết kế đặc biệt cho mục đích này (như xARP). Điều này có thể khả thi khi bạn chỉ quan tâm đến một thiết bị nào đó, tuy nhiên nó vẫn khá cồng kềnh và vướng mắc trong việc giải quyết với toàn bộ đoạn mạng. 1.6 Kết luận Giả mạo ARP Cache là một chiêu khá hiệu quả trong thế giới những kẻ tấn công thụ động “man-in-the-middle” vì nó rất đơn giản nhưng lại hiệu quả. Hiện việc giả mạo ARP Cache vẫn là một mối đe dọa rất thực trên các mạng hiện đại, vừa khó bị phát hiện và khó đánh trả. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tập trung vào vấn đề phân giải tên và khái niệm giả mạo DNS. II. TẤN CÔNG WEB BẰNG CHƯƠNG TRÌNH DOSHTTP 2.1 Giới thiệu Với loại tấn công này, bạn chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương. Nói một cách đơn giản thì DoSHTTP là một máy là tìm cách tấn công, làm cho máy khác bị chiếm hết tài nguyên ( tài nguyên đó có thể là Bandwidth( băng thông ), bộ nhớ, cpu, đĩa cứng, ), để nó không thể thực hiện được chức năng của mình ( Thường là Web Server ). 2.2 Tấn công DoSHTTP Tấn công DoSHTTP đầu tiên ta chọn trang web cần tấn công GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 8/21 Hình 9: Web cần tấn công Bất đầu tấn công web.Ta chọn Sockets bằng 80 rồi ta bấm Verify URL Hình 10: Chỉnh Sockets Ta chọn Sockets bằng 80 rồi ta bấm Verify URL GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 9/21 Hình 11: thông báo khi bấm Verify URL Ta bấm vào Start Flood để bắt đầu tấn công Hình 12: Tấn công Sau khi ta tấn công ta bấm vao web nạn nhân để kiểm tra tấn công.Sau khi thành công ta bấm Start Flood để đùng lại quá trình tấn công.Và xem kết quả tân công. GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 10/21 Hình 13: kiểm tra web bi tấn công Hình 14: Thông báo kết quả tân công 2.3 Kết luận DoSHTTP là kiểu tấn công rất lợi hại , với loại tấn công này , bạn chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương . thực chất của DoSHTTP là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác và server có thể nhanh chóng bị ngừng hoạt động. III. TẤN CÔNG BẰNG CHƯƠNG TRÌNH Orbit Ion Cannon (LOIC) 3.1 Giới thiệu GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 [...]... cuộc tấn công từ 400-600 đến 512 KPS là lý tưởng 4.2 Tấn công GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh Lê Thanh Hải MSSV 10071113 MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 14/21 Hình 19: Trang cần tấn công Hình 20: Công cụ tấn công Ở tại hedef ta ghi địa chỉ trang web cần tân công Robot và Z.Asimi ta chọn tối đa Ta bấm vào Durdur để bắt đầu tấn công Để kết thúc ta bấm Cikis để đừng lại GVHD:Nguyễn... nhà hoạt động bảo mật và an ninh mạng sẽ cần phải hết sức dè chừng nếu không muốn hệ thống của họ trở thành nạn nhân của #RefRef và Anonymous 3.2 Tấn công bằng LOIC Hình 15: Giao diện LOIC Chọn mục tiêu bị tấn công là một trang web GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh Lê Thanh Hải MSSV 10071113 MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 12/21 Hình 16: Mục tiêu tấn công Ta vào LOIC ơ khung... cần tấn công rồi ta bám Lock on Tại thanh Attack options o khung Method ta chọn TCP Tại threads tao chọn số chủ đề tùy mọi người Rồi ta bấm IMMA CHARGIN MAH LAZER để bắt đầu tấn công Hình 17: Chuẩn bị tân công GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh Lê Thanh Hải MSSV 10071113 MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 13/21 Hình 18: Kết quả tấn công 3.3 Kết luận LOIC tỏ ra rất hiệu quả, song công. .. trình em tấn công em đã chua tấn công thành công Em chua làm cho trang web đó bị rớt thật sự mà chỉ làm chậm trang web đó IV TẤN CÔNG BẰNG CHƯƠNG TRÌNH Yamultucu 4.1 Giới thiệu Odessa Yamultur mô hình Antirus Yamultucu Công nghệ Xây dựng đập đến, qua các công cụ DDoS hiệu quả nhất Được trang bị với các thiết bị đặc biệt handler: Bảo vệ lũ lụt vượt qua những lợi ích Tấn công Analyzer: Cho phép bạn đồ họa... lại GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh Lê Thanh Hải MSSV 10071113 MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 15/21 Hình 21: Tấn công bị thất bại 4.3 Kết luận Ở chương trình Odessa Yamultur này em đã sử đụng mọi phương cách để tấn công nhưng lại không thành Ở chương trình Odessa Yamultur này em đã tấn công thất bại V PHÒNG CHỐNG BẰNG KASPERSKY 5.1 Giới thiệu Kaspersky Được thành lập từ năm... trọng của cuộc tấn công trong khi cuộc tấn công Hệ thống Analyzer: Phát triển một module có chứa thêm một công cụ tấn công Xem Thời gian kapatılır.Sıklıkla sử dụng: Việc ngày càng tăng của trái đất sẽ tấn công các mục tiêu bằng cách rất đơn giản để sử dụng, nhập địa chỉ Robot dựa vào tốc độ kết nối có thể được kết nối tại cùng một thời gian để thiết lập số bộ dụng cụ cho các cuộc tấn công từ 400-600... 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 16/21 Hình 22: Giao diện chính Kaspersky PURE - 1 giải pháp bảo mật mới của Kaspersky LAB Bên cạnh với những sản phẩm đã "nổi đình nổi đám" trong suốt nhiều năm qua như Kaspersky Anti-Virus (KAV), Kaspersky Internet Security (KIS) thì trong thời gian gần đây Kaspersky LAB đã bất ngờ tung ra phiên bản mới - Kaspersky PURE, 1 giải pháp bảo mật máy tính 360 độ Theo đánh... quan trọng và tuyệt vời My Password Manager sẽ tự GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh Lê Thanh Hải MSSV 10071113 MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 19/21 động sao lưu thông tin tài khoản, các bạn có thể thêm vào hoặc xóa đi 1 cách tùy thích Theo đánh giá của phj4nh_pr0_9x, sau 1 thời gian sử dụng chức năng này không những giúp chúng ta bảo vệ được tài khoản mà còn giúp ta tránh được.. .Đồ Án Tấn Công Và Bảo Mật Trang 11/21 Công cụ mới được gọi là #RefRef, có rất nhiều đặc điểm ưu việt so với Low Orbit Ion Cannon (LOIC) mà Anonymous sử dụng trong các cuộc tấn công DDoS của họ Trước đây, LOIC tỏ ra rất hiệu quả, song công cụ này đã bắt đầu bộc lộ những điểm yếu trước sự phát triển của giới an ninh mạng... virus mới nhất trên toàn thế giới và tiến hành cập nhật vào phần mềm Hơn nữa, GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh Lê Thanh Hải MSSV 10071113 MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 18/21 với những chuyên gia đã có nhiều năm kinh nghiệm, việc Kaspersky PURE tự động cập nhật các mẫu virus từ việc phân tích của các chuyên gia trong Kaspersky LAB rất đa dạng và linh hoạt, khiến cho những ai . Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 9/21 Hình 11: thông báo khi bấm Verify URL Ta bấm vào Start Flood để bắt đầu tấn công Hình 12: Tấn công Sau khi ta tấn công ta bấm vao web. 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 10/21 Hình 13: kiểm tra web bi tấn công Hình 14: Thông báo kết quả tân công 2.3 Kết luận DoSHTTP là kiểu tấn công rất lợi hại , với loại tấn công này. tưởng. 4.2 Tấn công GVHD:Nguyễn Quang Tiệp SVTT: Nguyễn Văn Vinh MSSV 10071113 Lê Thanh Hải MSSV 10071105 Đồ Án Tấn Công Và Bảo Mật Trang 14/21 Hình 19: Trang cần tấn công Hình 20: Công cụ tấn công Ở