Đang tải... (xem toàn văn)
DANH MỤC HÌNH ẢNH 4 LỜI NÓI ĐẦU 5 CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS 6 1.1. KHÁI NIỆM IDS 6 1.2. CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS 6 1.2.1. Thành phần thu thập thông tin gói tin 6 1.2.2. Thành phần phát hiện gói tin 6 1.2.3. Thành phần xử lý 6 1.3. PHÂN LOẠI IDS 7 1.3.1. Network Based IDS 7 1.3.1.1. Lợi thế của Network Based IDS 7 1.3.1.2. Hạn chế của Network Based IDS 8 1.3.2. Host Based IDS 8 1.3.2.1. Lợi thế của Host Based IDS 8 1.3.2.2. Hạn chế của Host Based IDS
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRÙN THƠNG Báo Cáo Tìm hiểu IDS, Firewall Honeypot MƠN: Tấn Cơng Mạng Lớp: NT205.G21 Giảng viên hướng dẫn: Th.S Nguyễn Duy Sinh viên thực hiện : Hoàng Thị Vấn 12520935 Nguyễn Ngọc Đăng Thy 12520921 Nguyễn Huỳnh Trường Duân 12520566 Nguyễn Thanh Tâm 12520909 Đặng Thái Hòa 12520596 MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH LỜI NÓI ĐẦU CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS 1.1 KHÁI NIỆM IDS 1.2 CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS 1.2.1 Thành phần thu thập thơng tin gói tin 1.2.2 Thành phần phát gói tin 1.2.3 Thành phần xử lý .6 1.3 PHÂN LOẠI IDS 1.3.1 Network Based IDS 1.3.1.1 Lợi Network Based IDS 1.3.1.2 Hạn chế Network Based IDS 1.3.2 Host Based IDS 1.3.2.1 Lợi Host Based IDS 1.3.2.2 Hạn chế Host Based IDS CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL .13 2.1 KHÁI NIỆM VỀ FIREWALL 13 2.1.1 Khái niệm 13 2.1.2 Các lựa chọn Firewall 13 2.1.2.1 Firewall phần cứng .13 2.1.2.2 Firewall phần mềm .14 2.2 CHỨC NĂNG FIREWALL 14 2.3 Các loại Firewall chế hoạt động: .14 2.3.1.1 Ưu điểm 15 2.3.1.2 Hạn chế 15 2.3.2 Application-proxy firewall .15 2.3.2.1 Ưu điểm 16 2.3.2.2 Nhược điểm 16 2.3.3 Circuit Level Gateway .16 2.4 Kiến trúc Firewall: 17 2.4.1 Bastion host: 17 2.4.2 Screened Subnet .17 2.7 NHỮNG HẠN CHẾ CỦA FIREWALL 22 CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT 24 3.1 KHÁI NIỆM HONEYPOT 24 3.1.1 Khái niệm 24 3.1.2 Mục đích 24 3.2 PHÂN LOẠI HONEYPOT 24 3.3 HONEYNET .25 3.3.1 Khái niệm 25 3.3.2 Chức 26 3.3.3 Khả an toàn rủi ro 27 3.3.4 Đánh giá so sánh mức độ an toàn .27 Chương : Cơng cụ dò tìm xâm nhập IDS Honeypot 28 4.1 Snort 28 4.1.1 Khái niệm 28 4.1.2 Kiến trúc Snort 28 4.1.2.1 Module giải mã gói tin 29 4.1.2.2 Module tiền xử lý 29 4.1.2.3 Module phát 30 4.1.2.4 Module log cảnh báo 31 4.1.2.5 Module kết xuất thông tin 31 4.1.3 Quy tắc Snort .31 4.1.3.1 Snort rules: quy tắc hoạt động giao thức IP .31 4.1.3.2 Snort rules : Điều khiển hệ thống địa IP 32 4.1.3.3 Snort rules : Số cổng 32 4.2 Công cụ Honeypot .33 4.2.1 KFSensor 33 4.2.1 Đặc điểm 33 CHƯƠNG 5: CÁC KIỂU TẤN CÔNG ĐỂ NÉ TRÁNH IDS, FIREWALL VÀ HONEYPOTS 33 5.1 Các kiểu công IDS : 33 5.1.1 Tấn công từ chối dịch vụ : 33 5.1.2 Quét thăm dò (Scanning Probe) 35 5.1.3 Tấn công vào mật (Password attack) .35 5.1.4 Chiếm đặc quyền (Privilege-grabbing) 36 5.1.5 Cài đặt mã nguy hiểm (Hostile code insertion): .36 5.1.6 Tấn công hạ tầng bảo mật (Security infrastructure attack) .37 5.1.7 Time to Live Attack 37 5.1.8 Overlapping Fragment Attack 37 5.1.9 Polymorphic Shellcode: (Shellcode đa hình) 38 5.1.10 ASCII shellcode .38 5.2 Tấn công vượt Firewall .38 5.2.1 IP spoofing 38 5.2.2 Tiny Fragment Attack 39 5.2.3 Man in middle DNS 39 5.3 Tấn công vượt qua Honeypots 39 KẾT LUẬN 40 TÀI LIỆU THAM KHẢO .41 DANH MỤC HÌNH ẢNH Hình 1.1 - Network Based IDS Hình 1.2 - Host Based IDS Hình 2.1 - Firewall .15 Hình 2.2 - Packet filtering router .16 Hình 2.3 - Application level gateway 17 Hình 2.4 - Circuit level gateway 18 Hình 2.5 Kiến trúc Bastion Host .18 Hình 3.1 - Honeypots 25 Hình 3.2 - Honeywall 27 Hình 3.2 - Minh họa luồng liệu .27 Hình 4.1- Hình kiến trúc Snort 30 LỜI NÓI ĐẦU Trong bối cảnh cơng hệ thống hacking máy tính phổ biến.Vì thếviệc phát xâm nhập bảo vệ hoạt động tất cảcác chi tiết có liên quan quan trọng.Module thảo luận IDS, tường lửa Honeypots Sau hoàn thành Module này, bạn quen thuộc với: + Hệ thống phát xâm nhập + Hệ thống làm rõ tính tồn vẹn + Việc công phát + Phát dấu hiệu khác thường + Làm để IDS khớp với chữ ký lưu lượng truy cập đến? + Hacking thông qua Firewalls + Cung cấp phần mềm IDS + Hiểu Firewalls + Hiểu Honeypots CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS 1.1 KHÁI NIỆM IDS Một hệ thống phát xâm nhập IDS (Intrusion Detection Systems) thiết bị ứng dụng sử dụng để theo dõi hoạt động hệ thống mạng Có chức tự động theo dõi kiện xảy hệ thống máy tính, phân tích để phát vấn đề liên quan đến an ninh, bảo mật IDS phân biệt công bên từ bên (từ người công ty) hay cơng từ bên ngồi (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline(thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường 1.2 CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS IDS bao gồm thành phần chính: - Thành phần thu thập thơng tin gói tin - Thành phần phát gói tin - Thành phần xử lý (phản hồi) 1.2.1 Thành phần thu thập thơng tin gói tin Thành phần có nhiệm vụ lấy tất gói tin đến mạng Thơng thường gói tin có địa khơng phải card mạng bị card mạng huỷ bỏ card mạng IDS đặt chế độ thu nhận tất Tất gói tin qua chúng lưu, xử lý, phân tích đến trường thơng tin Bộ phận thu thập gói tin sẽđọc thơng tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ Các thơng tin chuyển đến thành phần phát công 1.2.2 Thành phần phát hiện gói tin Ở thành phần này, cảm biến đóng vai trò định Vai trò cảm biến dùng để lọc thông tin loại bỏ thông tin liệu không tương thích đạt từ kiện liên quan tới hệ thống bảo vệ, phát hành động nghi ngờ 1.2.3 Thành phần xử lý Khi có dấu hiệu cơng thâm nhập, thành phần phát công gửi tín hiệu báo hiệu (alert) có cơng thâm nhập đến thành phần phản ứng Lúc thành phần phản ứng kích hoạt tường lửa thực chức nǎng ngǎn chặn công hay cảnh báo tới người quản trị Dưới số kỹ thuật ngǎn chặn Cảnh báo thời gian thực Gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng Ghi lại vào tập tin Các liệu gói tin lưu trữ hệ thống tập tin log Mục đích để người quản trị theo dõi luồng thông tin nguồn thông tin giúp cho module phát công hoạt động Ngăn chặn, thay đổi gói tinKhi gói tin khớp với dấu hiệu cơng IDS phản hồi cách xóa bỏ, từ chối hay thay đổi nội dung gói tin, làm cho góitin trở nên khơng bình thường 1.3 Phân loại IDS Có loại IDS Network Based IDS(NIDS) Host Based IDS (HIDS) 1.3.1 Network Based IDS Hệ thống IDS dựa mạng sử dụng dò bộ cảm biến cài đặt tồn mạng Những dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Những bộ cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa NIDS tập nhiều sensor đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát cơng hay khơng Hình 1.1 - Network Based IDS 1.3.1.1 Lợi Network Based IDS - Quản lý network segment (gồm nhiều host) - Cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới host - Có khả xác định lỗi tầng Network (trong mơ hình OSI) - Độc lập với hệ điều hành 1.3.1.2 Hạn chế Network Based IDS - Có thể xảy trường hợp báo động giả (false positive), tức khơng có intrusion mà NIDS báo có intrusion -NIDS đòi hỏi phải cập nhật signature để thực sựan toàn - Có độ trễ thời điểm bị attack với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại - Hạn chế giới hạn băng thơng Hacker công cách chia nhỏ liệu để xâm nhập vào hệ thống - Không cho biết việc attack có thành cơng hay khơng 1.3.2 Host Based IDS HIDS hệ thống phát xâm phạm máy chủ cài đặt cục máy tính định làm cho trở nên linh hoạt nhiều so với NIDS.Kiểm soát lưu lượng vào máy tính, triển khai nhiều máy tính hệ thống mạng HIDS cài đặt nhiều dạng máy tính khác cụ thể máy chủ, máy trạm, máy tính xách tay Hình 1.2 - Host Based IDS 1.3.2.1 Lợi Host Based IDS - Có khả xác đinh user liên quan tới kiện (event) - HIDS có khả phát công diễn máy, NIDS khơng có khả - Có thể phân tích liệu mã hố - Cung cấp thông tin host lúc công diễn host 1.3.2.2 Hạn chế Host Based IDS - Thông tin từ HIDS không đáng tin cậy công vào host thành công - Khi hệ điều hành bị "hạ" công, đồng thời HIDS bị "hạ" - HIDS phải thiết lập host cần giám sát - HIDS khơng có khả phát dò quét mạng (Nmap, Netcat…) - HIDS cần tài nguyên host để hoạt động 1.4 Cách thức hoạt động IDS: -Mục đích IDS khơng ngăn ngừa xâm nhập mà cảnh báo đến người quản trị có cơng xảy Người quản trị xác minh phương pháp kĩ thuật sử dụng kẻ công, kể nguồn công -IDS hoạt động theo bước sau : +IDS có cảm biến để phát signature số IDS tiên tiến xác định hành vi nghi ngờ nguy hiểm Ngay signature không trùng khớp, hệ thống phát hoạt động cảnh báo cho người quản trị cơng xảy + Nếu signature trùng khớp, di chuyển đến bước kết nối bị cắt từ nguồn IP đó, gói tin bị loại bỏ thông báo báo động đến quản trị viên gói tin bị loại bỏ + Một signature trùng khớp, cảm biến truyền phát bất thường, cho dù gói tin nhận yêu cầu có phù hợp hay khơng + Nếu gói liệu thơng qua giai đoạn bất thường việc phân tích giao thức trạng thái hồn thành Sau thơng qua chuyển đổi gói tin truyền mạng Nếu sai lệch điều lần nữa, kết nối bị cắt từ nguồn IP, gói tin bị loại bỏ, báo động thơng báo cho admin gói tin bị loại bỏ Hình 1.3 Cách thức hoạt động IDS 1.5 Các cách để phát hiện xâm nhập: Có cách để phát xâm nhập 1.5.1 Phát dấu hiệu(signature): Là việc xác định kiệnlạm dụng hệ thống.Nó thực cách tạo mơ hình xâm nhập.Các kiện đến so sánh với mơ hình xâm nhập.Trong tạo signature, mơ hình phải phát công mà không làm ảnh hưởng đến hệ thống.Các công phải trùng khớp với mô hình -Hình thức đơn giản việc cơng nhận signature sử dụng mơ hình kết hợp đơn giản để so sánh gói liệu mạng với chữ ký nhị phân công biết đến Một signature nhị phân định nghĩa cho phần cụ thể gói tin, chẳng hạn TCP flags -Việc cơng nhận chữ kí phát cơng Tuy nhiên, có khả gói liệu trùng khớp mơ tả lại signature sau kích hoạt tín hiệu khơng có thật.Chữ ký tùy chỉnh người dùng có đầy đủ thơng tin tạo chúng -Signatures hình thành khơng cách gây tín hiệu giả Để phát việc này, số lượng signature yêu cầu lớn.Các nhiều signature có nhiều công phát Chương : Cơng cụ dò tìm xâm nhập IDS Honeypot 4.1 Snort 4.1.1 Khái niệm Snort hệ thống nguồn mở dùng để phát xâm nhập, thực phân tích gói tin mạng IP thời gian thực Nó phân tích giao thức nội dung tìm kiếm hay xem sử dụng để phát loạt cơng thăm dò chẳng hạn tràn đệm, quét cổng ẩn, công CGI, thăm dò SMB dấu vân OS Nó sử dụng ngơn ngữ cách linh hoạt để mô tả việc truyền thơng, thu thập vượt qua, công cụ phát cách lợi dụng kiến trúc mô dun plug-in 4.1.2 Kiến trúc Snort Snort bao gồm nhiều thành phần, phần có chức riêng biệt Module giải mã gói tin Module tiền xử lý Module phát Module log cảnh báo Module kết xuất thông tin Kiến trúc Snort thể qua mô hình sau: Hình 4.1- Hình kiến trúc Snort 4.1.2.1 Module giải mã gói tin Snort sử dụng thư viện pcap để bắt gói tin mạng lưu thơng qua hệ thống Một gói tin giải mã đưa tiêp vào modul tiền xử lý Nhiệm vụ chủ yếu hệ thống phân tích gói liệu thơ bắt mạng phục hồi thành gói liệu hồn chỉnh lớp application, làm input cho hệ thống detection engine Quá trình phục hồi gói liệu tiến hành từ lớp Datalink lớp Application theo thứ tự Protocol Stack 4.1.2.2 Module tiền xử lý Module quan trọng bất kỳ hệ thống để chuẩn bị gói liệu đưa vào cho Module phát phân tích nhiệm vụ chính: Kết hợp lại gói tin: Khi liệu lớn gửi đi, thơng tin khơng đóng gói tồn vào gói tin mà thực phân mảnh, chia thành nhiều gói tin gửi Khi Snort nhận gói tin này, phải thực kết nối lại để có gói tin ban đầu Module tiền xử lý giúp Snort hiểu phiên làm việc khác Giải mã chuẩn hóa giao thức (decode/normalize): cơng việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều thất bại kiểm tra giao thức có liệu biểu diễn nhiều dạng khác Ví dụ: Web server nhận nhiều dạng URL: URL viết dạng hexa/unicode hay URL chấp nhận dấu / hay Nếu Snort thực đơn việc so sánh liệu với dấu hiệu nhận dạng xảy tình trạng bỏ sót hành vi xâm nhập Do vậy, số Module tiền xử lý Snort phải có nhiệm vụ giải mã chỉnh sửa, xếp lại thông tin đầu vào Phát xâm nhập bất thường (nonrule/anormal): plugin dạng thường để xử lý với xâm nhập khó phát luật thơng thường Phiển Snort có kèm plugin giúp phát xâm nhập bất thường portscan bo (backoffice) Portscan dùng để đưa cảnh báo kẻ công thực quét cổng để tìm lỗ hổng Bo dùng để đưa cảnh báo hệ thống nhiễm trojan backoffice 4.1.2.3 Module phát Đây module quan trọng Snort.Nó chịu trách nhiệm phát dấu hiệu xâm nhập Module phát sử dụng luật định nghĩa trước để so sánh với liệu thu thập được, từ xác định xem có xâm nhập xảy hay không Một vấn đề quan trọng module phát vấn đề thời gian xử lý gói tin: IDS thường nhận nhiều gói tin thân có nhiều luật xử lý Khi lưu lượng mạng lớn xảy việc bỏ sót khơng phản hồi lúc Khả xử lý module phát phụ thuộc vào nhiều yếu tố: số lượng luật, tốc độ hệ thống, băng thơng mạng Một module phát có khả tách phần gói tin áp dụng luật lên phần gói tin: IP header Header tầng transport: TCP, UDP Header tầng application: DNS, HTTP, FTP … Phần tải gói tin Do luật Snort đánh số thứ tự ưu tiên nên gói tin bị phát nhiều luật khác nhau, cảnh báo đưa theo luật có mức ưu tiên cao 4.1.2.4 Module log cảnh báo Tùy thuộc vào module phát có nhận dạng xâm nhập hay khơng mà gói tin bị ghi log hay đưa cảnh báo Các file log file liệu ghi nhiều định dạng khác tcpdump 4.1.2.5 Module kết xuất thông tin Module thực thao tác khác tùy thuộc vào việc cấu hình lưu kết xuất Ghi log file Ghi syslog Ghi cảnh báo vào sở liệu Tạo file log XML Cấu hình lại Router, firewall Gửi cảnh báo gói gói tin sử dụng giao thức SNMP 4.1.3 Quy tắc Snort Snort cho phép tùy chỉnh quy tắc để đáp ứng nhu cầu mạng Các quy tắc Snort giúp phân biệt hoạt động bình thường hoạt động độc hại Các quy tắc Snort phải chứa dòng, quy tắc Snort khơng xử lý nhiều dòng Quy tắc Snort kèm với hai phần logic - Phần đầu : xác định hành động rule chẳng hạn nhu báo động, thực tự động - Phần lựa chọn : xác định gói tin báo động thuộc luật 4.1.3.1 Snort rules: quy tắc hoạt động giao thức IP Rule action : - Phần tiêu đề lưu trữ đầy đủ thơng tin gói tin xác định hành động để thực luật áp dụng - Các hành động Snort báo động tìm thấy gói tin gây nguy hiểm - Có hành động sẵn sàng tỏn Snort : + Alert : tạo cảnh báo cách sử dụng phương pháp lựa chọn cảnh báo truy nhập gói tin + Log : ghi gói tin + Pass : loại bỏ (bỏ qua) gói tin IP protocols : - Có giao thức IP Snort hỗ trợ : TCP, UDP, ICMP 4.1.3.2 Snort rules : Điều khiển hệ thống địa IP Điều khiển hệ thống - Chỉ đường cho việc truyền thông hệ thống việc truyền thơng theo hướng định (->) nhiều hướng () - Ví dụ : Snort sử dụng điều khiển chiều Log !192.168.1.0/24 any 192.168.1.0/24 23 Địa IP - Nó thỏa thuận thơng tin địa IP, cổng cho bất kỳ luật dặc biêt - Sử dụng từ khóa “any” để xác định địa Ip - Snort chấp nhận địa tạo thành số địa khối CIDR áp dụng netmark vào luật địa để xác định gói tin khơng hợp lệ - Ví dụ : địa IP sai quy tắc Alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (content :”|00 01 86 a5|”; msg: “external mountd access”;) 4.1.3.3 Snort rules : Số cổng Số cổng liệt kê nhiều cách khác bao gồm “any” cổng, xác định cổng tĩnh, dãy cổng cổng sai quy tắc Dãy số hiệu cổng cổng phép hoạt động “:” Ví dụ : Cổng khơng hợp lệ Log tcp any any -> 192.168.1.0/24 !6000:6010 Protocols Log UDP any any -> IP address 192.168.1.0/24 1:1024 Log TCP any any -> 192.168.1.0/24 :5000 Log TCP any :1024 -> 192.168.1.0/24 400: Action Gói tin UDP truyền từ cổng cổng đích (nhận) từ đến 1024 Gói tin TCP truyền từ kỳ cổng đến cổng nhỏ 5000 Gói tin TCP phép truyền từ cổng =400 4.2 Công cụ Honeypot 4.2.1 KFSensor KFSensor máy chủ dò dùng để dò tìm xâm nhập vào hệ thống (IDS) Nó hoạt động honeypot để thu hút phát kẻ xâm nhập cách giả vờ hệ thống dễ bị công dễ nhiểm Trojan 4.2.2 Đặc điểm - Quản lý giao diện GUI - Cho phép quản lý từ xa - Tương thích với snort - Có khả cạnh tranh với giao thức Windows - Xuất ghi nhiều kiểu định dạng Bảo vệ bị công DoS CHƯƠNG 5: CÁC KIỂU TẤN CÔNG ĐỂ NÉ TRÁNH IDS, FIREWALL VÀ HONEYPOTS 5.1 Các kiểu công IDS : 5.1.1 Tấn công từ chối dịch vụ : Trong “tấn công từ chối dịch vụ“, kẻ công cố gắng ngăn cản người dùng truy cập tới website hay dịch vụ trực tuyến Mục tiêu nhắm đến kiểu công máy tính kết nối mạng máy tính đó,các máy chủ web kết nối mạng, dịch vụ website đó, kẻ cơng ngăn cản bạn truy cập vào email, website hay tài khoản trực tuyến (banking, v.v) Cách phổ biến cung hay gặp công DOS kẻ công cố gắng làm “ngập lụt” (flood) mạng bạn cách gửi dòng liệu lớn tới mạng hay máy chủ website bạn Khi bạn gõ URL website cụ thể vào trình duyệt, bạn gửi yêu cầu tới máy chủ website để xem nội dung trang web.Máy chủ web xử lý số yêu cầu lúc, kẻ công gửi nhiều yêu cầu để làm cho máy chủ bị tải xử lý yêu cầu khác bạn.Đây cơng “từ chối dịch vụ” bạn khơng thể truy cập vào trang web hay dịch vụ Một kẻ cơng sử dụng email spam để khởi động công tương tự vào tài khoản email bạn Mặc dù bạn sử dụng tài khoản email cung cấp bời quan bạn hay thông qua dịch vụ email miễn phí Yahoo, HotMail, Gmail… bạn bị giới hạn số lượng liệu có tài khoản bạn Bằng việc gửi nhiều gửi email với kịch thước lớn tới tài khoản bạn, kẻ công làm tải liệu giới hạn bạn khiến bạn nhận email hợp lệ khác Trong công DDOS, kẻ tấn cơng khơng sử dụng máy tính mà lợi dụng hay sử dụng hợp pháp máy tính khác Bằng việc lợi dụng lỗ hổng bảo mật hay điểm yếu ứng dụng, kẻ cơng lấy quyền kiểm sốt máy tính bạn Sau họ chúng lợi dụng máy tính bạn để gửi liệu hay yêu với số lượng lớn vào trang web gửi thư rác đến địa email cụ thể Gọi công “phân tán – Distributed” kẻ cơng sử dụng nhiều máy tính, bao gồm bạn để thực cơng từ chối dụng vụ Có năm kiểu công sau đây: Nhằm tiêu tốn tài ngun tính tốn băng thơng, dung lượng đĩa cứng thời gian xử lý Phá vỡ thơng tin cấu thơng tin định tuyến Phá vỡ trạng thái thông tin việc tự động reset lại phiên TCP Phá vỡ thành phần vật lý mạng máy tính Làm tắc nghẽn thơng tin liên lạc có chủ đích người dùng nạn nhân dẫn đến việc liên lạc hai bên không thông suốt Một cơng từ chối dịch vụ bao gồm việc thực thi malware nhằm: Làm tải lực xử lý, dẫn đến hệ thống khơng thể thực thi cơng việc khác Những lỗi gọi tức microcode máy tính Những lỗi gọi tức chuỗi thị, dẫn đến máy tính rơi vào trạng thái hoạt động không ổn định bị Những lỗi khai thác hệ điều hành dẫn đến việc thiếu thốn tài nguyên bị thrashing VD: sử dụng tất lực có sẵn dẫn đến không công việc thực tế hồn thành Gây crash hệ thống Tấn công từ chối dịch vụ iFrame: trang HTML gọi đến trang web với nhiều yêu cầu nhiều lần băng thơng trang web bị hạn 5.1.2 Quét thăm dò (Scanning Probe) Bộ qt thăm dò tự động tìm kiếm hệ thống mạng để xác định điểm yếu Việc thăm dò thực cách ping tới hệ thống kiểm tra cổng TCP UDP để phát ứng dụng có lỗi biết tới Giải pháp: Network IDS phát hiện hành động nguy hiểm trước chúng xảy Host IDS có tác dụng đối với kiểu công 5.1.3 Tấn công vào mật (Password attack) Có phương thức để tiếp cận: Kiểu dễ nhận thấy ăn trộm mật khẩu, mang lại quyền quản trị cho kẻ cơng truy cập thơng tin mạng Đốn hay bẻ khóa mật phương thức tiếp cận cách thử nhiều lần mật để tìm đáp án Với kiểu bẻ khóa, kẻ công cần truy cập tới mật mã hóa hay file chứa mật mã hóa Và sử dụng chương trình đốn mật với thuật tốn mã hóa để xác định mật Giải pháp: Một Network IDS phát hiện ngăn chặn cố gắng đốn mật khẩu, khơng hiệu quả việc phát hiện truy cập trái phép tới file bị mã hóa Trong đó, Host IDS lại thể hiện hiệu quả việc phát hiện đoán mật truy cập trái phép 5.1.4 Chiếm đặc quyền (Privilege-grabbing) Khi kẻ công xâm nhập hệ thống, chúng cố chiếm quyền truy cập.Khi thành cơng, chúng tìm cách phá hoại hệ thống đánh cắp thông tin quan trọng Một số kỹ thuật thường dung cho việc chiếm đặc quyền: Đoán hay đánh cắp mật root, admin Gây tràn đệm Khai thác registry Sử dụng file, script hay lỗi hệ điều hành, ứng dụng Giải pháp: Cả NIDS HIDS xác định việc thay đổi đặc quyền trái phép 5.1.5 Cài đặt mã nguy hiểm (Hostile code insertion): Một số loại cơng cài đặt mã nguy hiểm vào hệ thống Mã lấy trộm liệu, gây từ chối dịch vụ, xóa file hay tạo backdoor cho lần truy cập Virus: thực thi dẫn tới hành động tự động, có khơng có hại, ln tạo file hệ thống, file ứng dụng hay liệu Trojan Horse: đặt tên chương trình người ta muốn sử dụng thực tế chúng kích hoạt hành động dẫn tới hỏng hệ thống Giải pháp: khơng có loại IDS chống việc phá hoại từ virus hay Trojan Cách tốt cài đặt phần mềm diệt virus 5.1.6 Tấn công hạ tầng bảo mật (Security infrastructure attack) Có nhiều loại cơng can thiệp vào việc điều khiển sở hạ tầng bảo mật tạo tường lửa trái phép, chỉnh sửa tài khoản người dung hay thay đổi quyền file Tấn công vào sở hạ tầng cho phép kẻ xâm nhập có them quyền truy cập hay tạo them nhiều đường xâm nhập vào hệ thống Giải pháp: HIDS bắt giữ đăng nhập mà thực hiện hành động 5.1.7 Time to Live Attack Những cơng đòi hỏi kẻ cơng phải có kiến thức topology mạng nạn nhân - Những thơng tin thu cách sử dụng công cụ tracert cung cấp thơng tin số lượng thiết bị định tuyến kẻ cơng nạn nhân - Một router có mặt IDS nạn nhân - kẻ công thực công cách phá vỡ thành ba mảnh - Kẻ cơng gửi fragment với giá trị TTL lớn điều nhận IDS nạn nhân, sau gửi fragment thứ hai (2') có giá trị TTL tải trọng giả - Fragment nhận IDS router loại bỏ giá trị TTL giảm xuống khơng - Ở giai đoạn này, IDS có fragment thực kết hợp lại stream bị flushed - Kẻ công cuối gửi fragment thứ hai với payload hợp lệ, nạn nhân thực việc kết hợp lại fragment 1, và bị công - Kẻ cơng sau gửi fragment với TTL hợp lệ Điều làm cho IDS thực giao thức TCP-reassembly fragment 1, 2'và nạn nhân chờ đợi cho fragment thứ hai 5.1.8 Overlapping Fragment Attack Tại host destination, sau nhận đủ fragment từ packet ban đầu (bằng cách nhìn vào field MF tính tổng cộng chiều dài fragment nhận được), công việc tái lập packet ban đầu bắt đầu Rất khơng may thuật tốn tái lập nằm RFC IP cho phép fragment ghi đè lên Kẻ công gửi fragment (offset = 0) với đầy đủ thông tin hợp lệ để vượt qua static packet filter, sau dùng fragment (offset !=0, không bị kiểm tra static packet filter) để ghi đè lên vùng thơng tin header fragment Ví dụ kẻ công muốn xâm nhập vào mail server host A bảo vệ static packet filter F Ngồi mail server, host A đóng vai trò web server, F cho phép kết nối từ vào web server cản tất kết nối vào mail server Kẻ công tạo fragment có source port = 12345, dest port 80, giả sử fragment có chiều dài 30 bytes Fragment F cho qua Fragment thứ 2, lẽ phải có offset=30, nhiên, kẻ cơng cố tình chỉnh offset lại 26, byte đủ để kẻ cơng overwrite giá trị dest port từ 80 thành 25 5.1.9 Polymorphic Shellcode: (Shellcode đa hình) Hầu hết IDSes có signature cho chuỗi thường sử dụng shellcode Điều dễ dàng bị vượt qua cách sử dụng mã hóa shellcode chứa stub giải mã shellcode Điều có nghĩa shellcode hồn tồn khác gửi Shellcode đa hình cho phép kẻ công để ẩn shellcode họ cách mã hóa hình thức đơn giản Dẫn đến khó khăn cho IDS để xác định liệu shellcode.Phương pháp giúp giấu chuỗi thường sử dụng shellcode, làm cho signature shellcode vô dụng 5.1.10 ASCII shellcode ASCII shellcode chứa ký tự chứa tiêu chuẩn ASCII.Hình thức shellcode cho phép kẻ công để vượt qua kí tự hạn chế thường thực thi vòng chuỗi nhập mã.Nó giúp kẻ cơng vượt qua mơ hình IDS so sánh trùng khớp với signature chuỗi ẩn shellcode lớp ngụy trang tương tự shellcode đa hình 5.2 Tấn công vượt Firewall 5.2.1 IP spoofing Kỹ thuật giả mạo IP(Spoofing IP) Một hacker giả mạo địa IP quét máy hệ thống để hạn chế thấp khả bị phát hiện.Khi nạn nhân (Victim) gửi trả lời địa IP, khơng gửi đến địa giả mạo Một nhược điểm giả mạo IP phiên TCP khơng thể hồn thành được, gửi hồi đáp ACK Source routing cho phép kẻ công định việc định tuyến gói tin có thơng qua Internet Điều giảm thiểu hội phát cách bỏ qua IDS tường lửa 5.2.2 Tiny Fragment Attack Đây dạng công cách chia thật nhỏ (thật khéo) IP packet ban đầu thành fragment nhỏ, cho phần thông tin TCP header nằm IP packet ban đầu nằm fragment thứ hai Do static packet filter kiểm tra fragment có offset = 0, với TCP header bị chia vậy, khả static packet filter lọc sót lớn Trong thực tế có cơng cụ sử dụng Tiny Fragment Attack để vượt qua Static Packet Filter 5.2.3 Man in middle DNS Giả mạo DNS kỹ thuật MITM sử dụng nhằm cung cấp thông tin DNS sai cho host để người dùng duyệt đến địa đó, ví dụ, www.bankofamerica.com có IP XXX.XX.XX.XX, cố gắng gửi đến địa www.bankofamerica.com giả mạo cư trú địa IP YYY.YY.YY.YY, địa mà kẻ công tạo trước để đánh cắp thông tin tài khoản ngân hàng trực tuyến từ người dùng Mỗi truy vấn DNS gửi qua mạng có chứa số nhận dạng nhất, mục đích số nhận dạng để phân biệt truy vấn đáp trả chúng Điều có nghĩa máy tính cơng chặn truy vấn DNS gửi từ thiết bị cụ thể, tất cần thực tạo gói giả mạo có chứa số nhận dạng để gói liệu chấp nhận mục tiêu Đầu tiên, cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu lượng qua host cơng mình, từ chặn yêu cầu DNS gửi gói liệu giả mạo Mục đích kịch lừa người dùng mạng mục tiêu truy cập vào website độc thay website mà họ cố gắng truy cập 5.3 Tấn công vượt qua Honeypots Kẻ công sử dụng hệ thống gọi hệ thống phát honeypots để phát honeypots cài đặt máy mục tiêu Khi phát hiện, kẻ công cố gắng vượt qua chúng để tập trung vào mục tiêu Việc phát honeypots gồm bước: - Kẻ công xác định diện honeypots cách thăm dò máy chủ hệ thống - Kẻ cơng tạo gói tin thăm dò độc hại để quét dịch vụ HTTPS, SMTPS, IMAPS Các cổng hiển thị dịch vụ chạy từ chối kết nối bắt tay ba chiều( three way handshake) cho thấy diện honeypots KẾT LUẬN Sau trình nghiên cứu tìm hiểu, đề đạt số kết quả: - Hiểu hệ thống phát xâm nhập IDS, Firewall, Honeypot - Chức nguyên lý hoạt động IDS, Firewall, Honeypot - Từ đưa biện pháp hữu hiệu áp dụng cho doanh nghiệp Nhưng vấn đề chúng em chưa làm được: - Chưa tìm hiểu hết kĩ thuật lập trình Firewall, IDS, Honeypot - Chưa tiếp cận thực tế, nhiều vấn đề qua tài liệu TÀI LIỆU THAM KHẢO Tài liệu tiếng anh [1] Giáo trình "Certified Ethical Hacker (CEHv8)" Tài liệu internet [2] http://www.doc.edu.vn [3] http://www.quantrimang.com ... DSL/ADSL 2.1.2 Các lựa chọn Firewall Có số cơng ty sản xuất sản phẩm Firewall có hai loại để chọn: Firewall phần cứng Firewall phần mềm 2.1.2.1 Firewall phần cứng Về tổng thể, Firewall phần cứng cung... QUAN VỀ FIREWALL .13 2.1 KHÁI NIỆM VỀ FIREWALL 13 2.1.1 Khái niệm 13 2.1.2 Các lựa chọn Firewall 13 2.1.2.1 Firewall phần cứng .13 2.1.2.2 Firewall. .. thống lại sinh nhiều cảnh báo sai định nghĩa chung công Thống kê cho thấy hệ thống này, hầu hết cảnh báo cảnh báo sai, có nhiều cảnh báo từ hành động bình thường, có vài hành động có ý đồ xấu,