Đang tải... (xem toàn văn)
DANH MỤC CÁC HÌNH 4 LỜI NÓI ĐẦU 7 Chương I – TỔNG QUAN VỀ HỆ THỐNG HONEYNET 9 1. HONEYPOT 9 1.1. Khái niệm Honeypot: 9 1.2. Phân loại Honeypot: 11 2. Honeynet 13 2.1. Khái niệm Honeynet : 13 2.2. Các chức năng của Honeynet 15 2.3. Một số mô hình triển khai Honeynet trên thế giới 16 3. Vai trò và ý nghĩa của Honeynet 20 CHƯƠNG II MÔ HÌNH KIẾN TRÚC HONEYNET 21 1. Mô hình kiến trúc vật lý 21 1.1. Mô hình kiến trúc Honeynet thế hệ I 21 1.2. Mô hình kiến trúc Honeynet II, III 23 1.3. Hệ thống Honeynet ảo 24 2. Mô hình kiến trúc loggic của Honeynet 26 2.1. Module điều khiển dữ liệu (hay kiểm soát dữ liệu) 27 2.1.1. Vai trò nhiệm vụ của Module điều khiển 27 2.1.2. Cơ chế kiểm soát dữ liệu 29 2.1.3. Kiểm soát dữ liệu trong Honeynet II 31 2.2. Module thu nhận dữ liệu 36 2.2.1. Vai trò nhiệm vụ của Module thu nhận dữ liệu 36 2.2.2. Cơ chế thu nhận dữ liệu 37 2.3. Modul phân tích dữ liệu 43 2.3.1. Vai trò 43 2.3.2. Cơ chế phân tích dữ liệu 43 Chương III – MỘT SỐ KỸ THUẬT TẤN CÔNG DỊCH VỤ WEB 46 1. Các kỹ thuật tấn công cơ bản. 48 1.1. Các nguy cơ mất an toàn dịch vụ web 48 1.1.1. Chiếm hữu phiên làm việc (Session Mangement) 48 1.1.1.1. Ấn định phiên làm việc( Session Fixation) 48 1.1.1.2. Đánh cắp phiên làm việc (Session Hijacking) 48 1.1.2. Lợi dụng việc thiếu sót trong việc kiểm tra dữ liệu nhập hợp lệ (Input validation) …………………………………………………………………………..48 1.1.3. Từ Chối Dịch Vụ (Denial of service (DoS) 49 1.2. Tấn công SQL Injection 49 1.2.1. Khái niệm SQL Injection 49 1.2.2. Các dạng tấn công thường gặp 50 1.2.3. Biện pháp phòng chống 60 1.3. Chèn mã lệnh thực thi trên trình duyệt nạn nhân(CrossSite Scripting). 63 1.3.1. Giới thiệu về XSS 63 1.3.2. Phương pháp tấn công XSS truyền thống 63 1.3.3. Tấn công XSS bằng Flash 65 1.3.4. Cách phòng chống 65 1.4. Tấn công từ chối dịch vụ (Deny of service DoS) 66 1.4.1. Khái niệm 66 1.4.2. Các nguy cơ tấn công bằng DOS 67 1.4.3. Một số dạn tấn công thường gặp 67 1.4.4. Biện pháp phòng chống 71 2. Các kỹ thuật tấn công mới nhất. 72 2.1. Kiểu tấn công “padding oracle crypto” 72 2.2. Evercookie 73 2.3. Tấn công Autocomplete 73 2.4. Tấn công HTTPS bằng cache injection 73 2.5. Bỏ qua bảo vệ CSRF bằng ClickJacking và HTTP Parameter Pollution 73 2.6. Universal XSS trong IE8 73 2.7. HTTP POST DoS 73 2.8. JavaSnoop 74 2.9. Tấn công qua CSS History trong Firefox không cần JavaScript cho PortScanning trong mạng nội bộ 74 2.10. Java Applet DNS Rebinding 74 3. Tổng kết chung quá trình tấn công của Hacker 74 Chương IV TRIỂN KHAI CÀI ĐẶT VẬN HÀNH HỆ THỐNG HONEYNET 77 1. Mô hình triển khai thực tế 77 2. Cài đặt và cấu hình hệ thống Honeynet 78 2.1. Cài đặt và cấu hình Honeywall 78 2.2 Cài đặt và cấu hình Sebek 89 3. Vận hành hệ thống Honeynet và phân tích kỹ thuật tấn công của Hacker 91 3.1. Kịch bản tấn công 91 3.2. Phân tích kỹ thuật tấn công của hacker 92 3.2.1. Quá trình hacker thực hiện tấn công Website 92 3.2.2. Sử dụng Honeynet để phân tích kỹ thuật tấn công của Hacker 100 3.3. Nhận xét kết quả phân tích và biện pháp khắc phục lỗi SQLinjection của website bị tấn công trên. 111 4. Ứng dụng Honeynet trong thực tế hiện nay 113 KẾT LUẬN 114 DANH MỤC CÁC HÌNH Hình 1.1 Các loại hình Honeypot 12 Hình 1.2 Mô hình kiến trúc honeynet 14 Hình 1.3 Sơ đồ triển khai dự án Artemis đại học Bắc Kinh, Trung Quốc 16 Hình 1.4 Sơ đồ triển khai Honeynet của Greek Honeynet Project 17 Hình 1.5 Sơ đồ triển khai Honeynet của UK Honeynet Project 19 Hình 2.1 Mô hình kiến trúc vật lý Honetnet thế hệ I 21 Hình 2.2 – Một số luật Firewall đối với Honeynet 22 Hình 2.3 Mô hình kiến trúc Honeyney thế hệ II, III 24 Hình 2.4 Mô hình kiến trúc Honeynet ảo 25 Hình 2.5 Mô hình kiến trúc logic của Honeynet 26 Hình 2.6 Mô hình kiểm soát dữ liệu 28 Hình 2.7 – Quá trình lọc và xử lý gói tin của IPtables 32 Hình 2.8 Sơ đồ kiểm soát dữ liệu 33 Hình 2.9 Quá trình hoạt động này của Snort_inline 35 Hình 2.10 Cơ chế làm việc của Snort_inline 36 Hình 2.11 Sơ đồ thu nhận dữ liệu 38 Hình 2.12 Nhật ký sử dụng thu nhận dữ liệu trên Honeynet 39 Hình 2.13 Mô hình hoạt động của Sebek 40 Hình 2.14 Sebek client thu nhận dữ liệu 42 Hình 2.15 Sơ đồ kiến trúc Honeywall 44 Hình 2.16 Giao diện của Walleye 45 Hình 2 17 – Cách phương thức tấn công năm 2011 47
EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM MỤC LỤC DANH MỤC CÁC HÌNH LỜI NÓI ĐẦU Chương I – TỔNG QUAN VỀ HỆ THỐNG HONEYNET HONEYPOT 1.1 Khái niệm Honeypot: 1.2 Phân loại Honeypot: 11 Honeynet 13 2.1 Khái niệm Honeynet : 13 2.2 Các chức Honeynet .15 2.3 Một số mơ hình triển khai Honeynet giới .16 Vai trò ý nghĩa Honeynet 20 CHƯƠNG II- MƠ HÌNH KIẾN TRÚC HONEYNET 21 Mơ hình kiến trúc vật lý 21 1.1 Mơ hình kiến trúc Honeynet hệ I 21 1.2 Mơ hình kiến trúc Honeynet II, III .23 1.3 Hệ thống Honeynet ảo .24 Mơ hình kiến trúc loggic Honeynet 26 2.1 Module điều khiển liệu (hay kiểm soát liệu) 27 2.1.1 Vai trò - nhiệm vụ Module điều khiển 27 2.1.2 Cơ chế kiểm soát liệu .29 2.1.3 Kiểm soát liệu Honeynet II 31 2.2 Module thu nhận liệu 36 2.2.1 Vai trò - nhiệm vụ Module thu nhận liệu 36 2.2.2 Cơ chế thu nhận liệu .37 2.3 Modul phân tích liệu .43 2.3.1 Vai trò 43 2.3.2 Cơ chế phân tích liệu 43 Chương III – MỘT SỐ KỸ THUẬT TẤN CÔNG DỊCH VỤ WEB .46 Các kỹ thuật công 48 Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin 1.1 EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Các nguy an toàn dịch vụ web 48 1.1.1 Chiếm hữu phiên làm việc (Session Mangement) 48 1.1.1.1 Ấn định phiên làm việc( Session Fixation) 48 1.1.1.2 Đánh cắp phiên làm việc (Session Hijacking) 48 1.1.2 Lợi dụng việc thiếu sót việc kiểm tra liệu nhập hợp lệ (Input validation) ………………………………………………………………………… 48 1.1.3 Từ Chối Dịch Vụ (Denial of service (DoS) 49 1.2 Tấn công SQL Injection 49 1.2.1 Khái niệm SQL Injection 49 1.2.2 Các dạng công thường gặp .50 1.2.3 Biện pháp phòng chống 60 1.3 Chèn mã lệnh thực thi trình duyệt nạn nhân(Cross-Site Scripting) 63 1.3.1 Giới thiệu XSS 63 1.3.2 Phương pháp công XSS truyền thống .63 1.3.3 Tấn công XSS Flash 65 1.3.4 Cách phòng chống 65 1.4 Tấn công từ chối dịch vụ (Deny of service - DoS) 66 1.4.1 Khái niệm .66 1.4.2 Các nguy công DOS 67 1.4.3 Một số dạn công thường gặp 67 1.4.4 Biện pháp phòng chống 71 Các kỹ thuật công .72 2.1 Kiểu công “padding oracle crypto” 72 2.2 Evercookie 73 2.3 Tấn công Autocomplete 73 2.4 Tấn công HTTPS cache injection 73 2.5 Bỏ qua bảo vệ CSRF ClickJacking HTTP Parameter Pollution 73 2.6 Universal XSS IE8 73 2.7 HTTP POST DoS 73 2.8 JavaSnoop .74 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin 2.9 EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Tấn công qua CSS History Firefox không cần JavaScript cho PortScanning mạng nội .74 2.10 Java Applet DNS Rebinding 74 Tổng kết chung q trình cơng Hacker .74 Chương IV -TRIỂN KHAI- CÀI ĐẶT- VẬN HÀNH HỆ THỐNG HONEYNET 77 Mơ hình triển khai thực tế 77 Cài đặt cấu hình hệ thống Honeynet 78 2.1 Cài đặt cấu hình Honeywall 78 2.2 Cài đặt cấu hình Sebek 89 Vận hành hệ thống Honeynet phân tích kỹ thuật công Hacker 91 3.1 Kịch công 91 3.2 Phân tích kỹ thuật cơng hacker 92 3.2.1 Quá trình hacker thực cơng Website 92 3.2.2 Sử dụng Honeynet để phân tích kỹ thuật công Hacker 100 3.3 Nhận xét kết phân tích biện pháp khắc phục lỗi SQL-injection website bị công 111 Ứng dụng Honeynet thực tế 113 KẾT LUẬN 114 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM DANH MỤC CÁC HÌNH Hình 1.1- Các loại hình Honeypot 12 Hình 1.2 - Mơ hình kiến trúc honeynet 14 Hình 1.3 - Sơ đồ triển khai dự án Artemis đại học Bắc Kinh, Trung Quốc .16 Hình 1.4 - Sơ đồ triển khai Honeynet Greek Honeynet Project 17 Hình 1.5 - Sơ đồ triển khai Honeynet UK Honeynet Project 19 Hình 2.1- Mơ hình kiến trúc vật lý Honetnet hệ I 21 Hình 2.2 – Một số luật Firewall Honeynet 22 Hình 2.3 - Mơ hình kiến trúc Honeyney hệ II, III 24 Hình 2.4 - Mơ hình kiến trúc Honeynet ảo 25 Hình 2.5 - Mơ hình kiến trúc logic Honeynet 26 Hình 2.6 - Mơ hình kiểm sốt liệu 28 Hình 2.7 – Q trình lọc xử lý gói tin IPtables 32 Hình 2.8 - Sơ đồ kiểm soát liệu 33 Hình 2.9 - Quá trình hoạt động Snort_inline 35 Hình 2.10 - Cơ chế làm việc Snort_inline 36 Hình 2.11 - Sơ đồ thu nhận liệu 38 Hình 2.12 - Nhật ký sử dụng thu nhận liệu Honeynet 39 Hình 2.13 - Mơ hình hoạt động Sebek 40 Hình 2.14 - Sebek client thu nhận liệu .42 Hình 2.15 - Sơ đồ kiến trúc Honeywall 44 Hình 2.16 - Giao diện Walleye 45 Hình 17 – Cách phương thức công năm 2011 47 Hình 3.1 - Tấn cơng DOS truyền thống 67 Hình 3.2 – Kiểu cơng DOS vào băng thơng 69 Hình 3.3 - Tấn công DDOS .70 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 3.4 - Tấn công kiểu DRDoS 71 Hình 4.1 - Mơ hình triển khai thực tế 77 Hình 4.2 - Màn hình cài đặt Honeywall 78 Hình 4.3 - Màn hình cấu hình Honeywall .79 Hình 4.4 - Cấu hình địa IP Public cho Honeypots 86 Hình 4.5 – Cấu hình địa IP đích cho gói tin Sebek 86 Hình 4.6 – Hình cấu hình lựa chọn Honeywall xử lý gói tin Sebek 87 Hình 4.7 - Cấu hình địa IP cho Management Interface ( eth2 ) 87 Hình 4.8 - Cấu hình default gateway cho Managemant Interface 87 Hình 4.9 - Sau cấu hình xong Honeywall Resart dịch vụ 88 Hình 4.10 - Giao diện quản lý Honeywall .88 Hình 4.11 - Cấu hình Sebek Client Windows 90 Hình 4.12 - Kịch công hệ thống Honeynet 91 Hình 4.13 – Giao diện website bị công 92 Hình 4.14 – Thơng báo lỗi để lộ website bị mắc lỗi SQL-injection 93 Hình 4.15 – Thơng báo vị trí cột chèn câu lệnh SQL 94 Hình 4.16 – Tên sở liệu cần tìm .95 Hình 4.17 – Danh sách table CSDL genu 96 Hình 4.18 – Danh sách column table genu_users 97 Hình 4.19 – Thơng tin username/password cần tìm 98 Hình 4.20 – Password giải mã 98 Hình 4.21 – Giao diện trang web lúc ban đầu 99 Hình 4.22 – Giao diện trang web bị deface .99 Hình 4.23 -Tổng quan luồng liệu vào/ra hệ thổng Honeynet 100 Hình 4.24 - Chuỗi gói tin thu nhận Walleye .101 Hình 4.25 - Nội dung gói tin chứa mã độc SQL tiêm vào 101 Hình 4.26 - Nội dung gói tin trả tương ứng với gói tin .102 Hình 4.27 - Nội dung gói tin hacker thực thành cơng bước đầu 103 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.28 - Nội dung gói tin webserver trả 103 Hình 4.29 - Nội dung gói tin hacker khai thác thông tin database 104 Hình 4.30- Nội dung gói tin chứa thơng tin tên database 104 Hình 4.31 - Nội dung gói tin hacker tiêm vào .105 Hình 4.32 - Nội dung gói tin hiển thị danh sách table genu 105 Hình 4.33 - Nội dung gói tin hacker tiêm vào khai thác column 106 Hình 4.34 - Nội dung gói tin chứa thơng tin colomn genu_users 106 Hình 4.35 - Nội dung gói tin chứa đoạn mã hacker tiêm vào để lấy thông tin admin 107 Hình 4.36 - Nội dung gói tin chứa thơng tin tài khoản admin .107 Hình 4.37 - Nội dung gói tin thơng báo website bị cơng 108 Hình 4.38 - Nội dung gói tin thơng báo website bị deface 108 Hình 4.39 - Website ban đầu 109 Hình 4.40 - Website bị deface 109 Hình 4.41 - Gói tin hacker sử dụng để kiểm tra lỗi SQL Injection 110 Hình 4.42 - Gói tin biểu lỗi SQL Injection 110 Hình 4.43 - Nội dung file read.php ban đầu 112 Hình 4.44 - Nội dung file read.php sau sửa .112 Hình 4.45 - Kết sau fix lỗi SQL Injection 113 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM LỜI NÓI ĐẦU Ngày nay, Công nghệ thông tin phát triển với tốc độ “vũ bão”, bên cạnh mặt tích cực lợi ích to lớn mà Xã hội thông tin mang lại cho nhân loại lại tồn mặt tiêu cực : nguy công mạng nhằm phá hoại hệ thống mạng, nguy bị đánh cắp thông tin “nhạy cảm “ cá nhân, tổ chức, doanh nghiệp, quan Nhà nước … Để ngăn chặn lại nguy này, đòi hỏi Cơ quan, tổ chức, doanh nghiệp, phải tổ chức xây dựng Hệ thống an ninh mạng nhằm đảm bảo an toàn cho Hệ thống mạng Cơ quan Và vơ số biện pháp ngăn chặn đó, "Honeypot" (tạm gọi Mắt ong) "Honeynet" (tạm gọi Tổ ong) coi cạm bẫy hiệu quả, thiết kế với mục đích Đối với tin tặc Hệ thống “ Cạm bẫy đáng sợ ”; vậy, giới Hacker thường xun thơng báo – cập nhật hệ thống Honeynet triển khai giới diễn đàn Hacker, nhằm tránh “sa bẫy” hệ thống Honeynet Khác với hệ thống An ninh mạng khác như: Hệ thống phát xâm nhập chống xâm nhập ( IDS - IPS ), Hệ thống Firewall,…, thiết kế làm việc thụ động việc phát - ngăn chặn công tin tặc ( Hacker ) vào hệ thống mạng; Honeynet lại thiết kế nhằm chủ động lôi kéo Hacker công vào hệ thống giả bố trí bên cạnh hệ thống thật nhằm mục đích: Thu thập kỹ thuật – phương pháp công, công cụ mà Hacker sử dụng, đặc biệt kỹ thuật công mạng , mẫu virus- mã độc Giúp sớm phát lỗ hổng bảo mật tồn sản phẩm công nghệ thông tin triển khai - cài đặt Hệ thống thật Từ đó, sớm có biện pháp ứng phó - khắc phục kịp thời Đồng thời, kiểm tra độ an toàn hệ thống mạng, dịch vụ mạng ( : Web, DNS, Mail,…), độ an toàn - tin cậy chất lượng sản phẩm thương mại công nghệ thông tin khác ( đặc biệt Hệ điều hành : Unix, Linux, Window,…) Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Thu thập thông tin, dấu vết Hacker ( : địa IP máy Hacker sử dụng công, vị trí địa lý Hacker, thời gian Hacker cơng,…) Từ đó, giúp chun gia an ninh mạng truy tìm thủ phạm Tuy nhiên, điều kiện thời gian có hạn nên “Đồ án tốt nghiệp” trình bày nội dung “Nghiên cứu Hệ thống Honeypots Honeynet nhằm nghiên cứu số kỹ thuật công dịch vụ Web”, nhờ giúp sớm phát kịp thời khắc phục lỗi hổng bảo mật tồn dịch vụ Web Em hi vọng thông qua nội dung trình bày nghiên cứu em giúp hiểu Hệ thống Honeynet với vai trò - tác dụng to lớn Hệ thống nhiệm vụ đảm bảo An ninh mạng Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Chương I – TỔNG QUAN VỀ HỆ THỐNG HONEYNET Chương trình bày kiến thức tổng quan, Honeynet bao gồm: nguồn gốc, trình phát triển Honeynet; khái niệm Honeypot, Honeynet, phân loại Honeypot; chức năng, vai trò, ý nghĩa Honeynet nhiệm vụ đảm bảo an ninh mạng, với số mơ hình triển khai Honeynet giới HONEYPOT 1.1 Khái niệm Honeypot: Honeypot công nghệ với tiềm khổng lồ cho cộng đồng bảo mật Định nghĩa đưa đầu tiền vài biểu tượng bảo mật máy tính, cụ thể Cliff Stoll sách “The Cuckoo’s Egg” báo Bill Cheswick Từ đó, Honeypot tiếp tục phát triển với công cụ bảo mật mạnh mẽ mà chũng ta biết Thuật ngữ “Honeypot” nhắc đến lần vào ngày tháng năm 1999 báo “To Buil a Honeypot” tác giả Lance Spitzner – người đứng thành lập dự án Honeynet ( Honeynet Project ), giới thiệu ý tưởng xây dựng hệ thống Honeynet nhằm mục đích nghiên cứu kỹ thuật cơng Hacker; từ đó, có biện pháp ngăn chặn cơng kịp thời Và tháng năm 2000, dự án Honeynet thành lập 30 chuyên gia an ninh mạng Công ty bảo mật như: Foundstone, Security Focus, Source Fre, …., tình nguyện tham gia nghiên cứu phi lợi nhuận Dự án Honeynet triển khai quốc gia ( Mỹ, Ấn Độ, Hy Lạp,…) với 12 trạm Honeynet, bao gồm 24 hệ thống Unix 19 hệ thống Linux, với số hệ thống khác : Suse 6.3, Suse 7.1,Window,… Bước để hiểu Honeypot trước hết phải hiểu Honeypot gì?Nó khơng giống firewall, hay hệ thống IDS, Honeypot không giải cụ thể vấn đề Thay vào đó, cơng cụ linh hoạt có nhiều hình dạng kích cỡ Nó làm tất thứ từ phát cơng mã hóa mạng IPv6 Sự linh hoạt cung cấp sức mạnh thực cho Honeypot Nó hỗn hợp làm cho kẻ cơng khó xác định hiểu Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật Honeypot xem “Mắt ong”; tất nhiên Honeypot có phải có “Mật ngọt” – tức có chứa Hệ thống tài ngun thơng tin có giá trị, nhạy cảm, có tính bí mật : thơng tin chứng khốn, thơng tin tài khoản ngân hàng, thơng tin bí mật an ninh quốc gia…., để làm “mồi” dụ Hacker ý đến cơng Hệ thống tài ngun thơng tin có nghĩa Honeypot giả dạng loại máy chủ tài nguyên Mail Server, Domain Name Server, Web Server…, cài đặt chạy Hệ điều hành như: Linux ( Red hat, Fedora…), Unix( Solaris), Window ( Window NT, Window 2000, Window XP, Window 2003, Vista,… ), ….Honeypot trực tiếp tương tác với tin tặc tìm cách khai thác thơng tin tin tặc hình thức cơng, cơng cụ cơng hay cách thức tiến hành thay bị công - Ưu điểm Honeypot: Honeypot khái niệm đơn giản, cung cấp số đặc điểm mạnh mẽ Dữ liệu nhỏ đặt giá trị cao: Honeypot thu thập lượng nhỏ thơng tin Thay đăng nhập GB liệu ngày, họ phải đăng nhập MB liệu ngày Thay tạo 10.000 cảnh báo ngày, tạo 10 thơng báo ngày Hãy nhớ rằng, Honeypot nắm bắt hành động xấu, tương tác với Honeypot không xác thực hay hành động độc hại Như vậy, Honeypot giảm thiểu “tiếng ồn”, có nghĩ với thu thập liệu nhỏ, thơng tin có giá trị cao, hành động xấu Điều có nghĩa dễ dàng nhiều để phân tích liệu mà Honeypot thu thập lấy giá trị từ Cơng cụ chiến thuật mới: Honeypots thiết kế để nắm bắt tất tương tác vào nó, bao gồm cơng cụ, chiến thuật không thấy trước 10 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.24 - Chuỗi gói tin thu nhận Walleye Ta phân tích q trình cơng hacker nhờ vào hệ thống Honeynet sau: - Phân tích gói tin thứ ta thấy nội dung gói tin chứa đoạn mã (đánh dấu ô vuông), cơng SQL-injection vào WebServer có địa 192.168.1.111 Hình 4.25 - Nội dung gói tin chứa mã độc SQL tiêm vào Trên ta nhìn thấy Honeywall đọc đoạn mã SQL mà Hacker tiêm vào để khai thác lỗ hổng SQL-injection mà Website mắc phải Và đoạn mã SQL mà Hacker tiêm vào là: …id=null select from information_schema.tables— 101 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Câu lệnh thực thi đầy đủ là: http://192.168.1.111/genu/articles/read.php?article_id=null select from information_schema.table-Chúng ta thấy phần in nghiêng phần câu lệnh mà tiêm vào Ở hacker dò xem table chứa thơng tin article website có chứa cột cột chèn SQL vào để khai thác thông tin sở liệu Và kết nhận từ webserver trả tương ứng với câu lệnh là: Hình 4.26 - Nội dung gói tin trả tương ứng với gói tin Lưu ý: Trong bước công Hacker sau đoạn SQL in nghiêng câu lệnh SQL kết hợp với đoạn SQL mà Hacker tiêm vào tạo thành câu lệnh SQL thực thi Tức là: Câu lệnh SQL thực thi = select * from member where m_username = ' + với đoạn SQL tiêm Sau này, bước công Hacker, Đồ án không trình bày lại điều Tiếp theo, hacker dò với select 1,2,3,4,5 hình kết trả webserver trang index hồn chỉnh hiển thị thơng tin cột 2,3,5 chèn SQL vào Câu lệnh hacker dùng để khai thác: http://192.168.1.111/genu/articles/read.php?article_id=null union select 1,2,3,4,5 from information_schema.tables-102 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.27 - Nội dung gói tin hacker thực thành cơng bước đầu Hình 4.28 - Nội dung gói tin webserver trả Sau hacker biết vị trí cột tiêm SQL vào, hacker thực truy vấn thêm trường database() vào vị trí cột để lấy thông tin tên sở liệu mà website sử dụng Câu lệnh hacker sử dụng để khai thác: http://192.168.1.111/genu/articles/read.php?article_id=null union select 1,database(),3,4,5 from information_schema.tables 103 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.29 - Nội dung gói tin hacker khai thác thông tin database Và kết webserver trả về: Hình 4.30- Nội dung gói tin chứa thơng tin tên database Phân tích gói tin tiếp theo, ta lại tiếp tục thu được đoạn mã SQL mà hacker tiêm vào : article_id=null union select 1,group_concat(table_name),3,4,5 from information_schema.tables where table_schema=CHAR(103,101,110,117)— 104 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.31 - Nội dung gói tin hacker tiêm vào Mục đích đoạn mã SQL nhằm tìm database genu có table liệt kê tên table Xem tiếp nội dung gói tin ta thấy thông tin trả từ webserver honeywall ghi lại: Hình 4.32 - Nội dung gói tin hiển thị danh sách table genu Tiếp tục phân tích gói tin tiếp theo, hacker sau lấy tên bảng cần thiết genu_users, lại tiếp tục tiêm vào đoạn mã SQL để khai thác thông tin cột có chứa thơng tin username password admin Đoạn mã tiêm vào: article_id=null union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_name=CHAR(103,101,110,117,95,117,115,101,114,115)— 105 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.33 - Nội dung gói tin hacker tiêm vào khai thác column Mục đích đoạn mã khai thác danh sách colum có table genu_users Và theo dõi tiếp gói tin thấy thơng tin trả webserver danh sách column mà hacker cần khai thác Hình 4.34 - Nội dung gói tin chứa thông tin colomn genu_users Từ thông tin lấy trong genu_users, hacker biết xác column chứa thơng tin tài khoản admin user_id, user_name, user_password Và theo dõi gói tin ta thấy hacker lấy thông tin tài khoản admin cách tiêm vào đoạn mã SQL: article_id=null union select 1,concat(user_id,char(58),user_name,char(58),user_password),3,4,5 from genu_users— 106 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.35 - Nội dung gói tin chứa đoạn mã hacker tiêm vào để lấy thơng tin admin Theo dõi tiếp tục gói tin ta thấy nội dung thông tin tài khoản admin webserver trả 1:admin:ca5b27f0ec89a3dcbcf7f07e47d446ff9c848c98 có gói tin Hình 4.36 - Nội dung gói tin chứa thơng tin tài khoản admin Đến hacker dễ dàng lấy password để chiếm quyền điều khiển website Và sau sở hữu tài khoản admin, ta tiếp tục theo dõi xem máy hacker đăng nhập vào website với tài khoản admin honeywall có nhận biết không? 107 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.37 - Nội dung gói tin thơng báo website bị công Và tiếp tục gói tin thể chi tiết sau hacker đột nhập vào bên website Hình 4.38 - Nội dung gói tin thơng báo website bị deface Ở nhận thấy sau hacker lấy tài khoản admin đột nhập vào website, website bị hacker deface cách thay đổi thông tin trang web, cụ thể để lại nội dung “ hacked!!! ” Và kiệt tác mà hacker để lại 108 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.39 - Website ban đầu Hình 4.40 - Website bị deface Honeywall khơng giúp ghi lại tồn q trình cơng website Hacker mà giúp nhận biết công cụ Hacker sử dụng công Trong kịch công này, hacker phát lỗi SQL Injection cách thêm ký tự đặc biệt cụ thể dấu nháy đơn vào sau đường dẫn viết http://192.168.1.111/genu/articles/read.php?article_id=1’ 109 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.41 - Gói tin hacker sử dụng để kiểm tra lỗi SQL Injection Hình 4.42 - Gói tin biểu lỗi SQL Injection Như vậy, nhờ vào Honeywall mà tồn q trình thực công website http://192.168.1.111/genu/ Hacker Honeywall ghi lại tóm tắt sau : - Đầu tiên, Hacker phát lỗi SQL-injection cách thêm dấu nháy đơn ’ vào sau đường dẫn, phát website mắc lỗi SQL-injection - Tiếp theo, Hacker sử dụng kỹ thuật công SQL-injection để công website xâm nhập thành cơng, chiếm quyền kiểm sốt Website - Cuối cùng, Hacker thay đổi Website cách upload file ảnh xedap.jpg, thay đổi nội dung viết cách để lại chữ “ hacked!!! ” 110 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Ngoài điều hacker cài đặt virus lên website, biến website thành công cụ phán tán virus mạng 3.3 Nhận xét kết phân tích biện pháp khắc phục lỗi SQL-injection website bị công Hệ thống Honeynet thu số kết sau: - Giúp thấy rõ q trình cơng hacker diễn cụ thể nào: công cụ thể diễn bước Sau chiếm quyền điều khiển honeypot, hacker làm v.v - Thu kỹ thuật công hacker: Kỹ thuật công SQL-injection, thực thi web shell từ xa (Remote Procedure Call – RPC ), phát tán virus - Ngoài Honeynet giúp biết cơng cụ giúp hacker phát website bị lỗi SQL Injection mà khơng phải phát tay Với mục đích nghiên cứu Honeynet để thu thập kỹ thuật cơng dịch vụ web Từ đó, giúp sớm phát lỗ hổng bảo mật, điểm yếu Web để sớm có biện pháp khắc phục, sử lý kịp thời, đảm bảo an toàn cho Website lẫn người sử dụng web Do vậy, thật thiếu sót Đồ án khơng trình bày biện pháp khắc phục lỗi SQL-injection Website bị công Dưới biện khắc phục : Căn vào thông tin thu thập Honeynet, ta xác định lỗi SQL-injection Website bị công bị mắc file read.php thư mục /articles Vì thêm dấu nháy đơn ’ vào sau đường dẫn: http://192.168.1.111/genu/articles/read.php?article_id=1 trình duyệt thơng báo lỗi: Error in query "SELECT genu_articles.article_date, genu_articles.article_subject, genu_articles.article_text, genu_users.user_id, genu_users.user_name FROM genu_articles, genu_users WHERE genu_articles.user_id = genu_users.user_id AND genu_articles.article_id = 1\'" Điều chứng tỏ trình duyệt khơng thể loại bỏ ký tự đặc biệt khỏi URL nên câu truy vấn sai Vậy nhà quản trị website cần phải biến giá trị $id phải số nguyên, hacker khơng thể tiêm mã độc hại SQL Mở file read.php thư mục / articles ta thấy: 111 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Hình 4.43 - Nội dung file read.php ban đầu Để khắc phục lỗi này, ta việc thêm hàm intval(), intval int có nghĩa integrals (số ngun), val có nghĩa value ( giá trị ) để biến giá trị $id ln số ngun Hình 4.44 - Nội dung file read.php sau sửa 112 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Và kết hacker cố gắng phát lỗi SQL Injection cách thêm dấu nháy đơn Hình 4.45 - Kết sau fix lỗi SQL Injection Ứng dụng Honeynet thực tế Hiện giới có nhiều tổ chức , quan , đặc biệt Công ty – tố chức An ninh mạng tiến hành triển khai Hệ thống Honeynet : Symantec, Trend Micro ,Snort… ; Việt Nam ta Trung tâm an ninh mang Bkis triển khai Hệ thống Hiện hoạt động tốt, có tác dụng hữu hiệu việc giúp chuyên gia an ninh mạng nghiên cứu sớm phát lỗ hổng bảo mật tồn sản phẩm công nghệ thông tin ; Các kỹ thuật công mạng , mẫu virus- mã độc ; giúp truy tìm dấu vết - tung tích tin tặc ; kiểm tra độ an tồn hệ thống mạng qua góp phần bảo Hệ thống mạng ngăn chặn xâm nhập trái phép tin tặc 113 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM KẾT LUẬN Trong trình nghiên cứu thực Đồ án tốt nghiệp “Nghiên cứu Hệ thống Honeypot Honeyner nhằm nghiên cứu số kỹ thuật tuấn công dịch vụ Web”, hướng dẫn tận tình thầy Hồng Sỹ Tương, em nghiên cứu nắm vững hoạt động, mục đích Hệ thống Honeynet Có khả triển khai áp dụng phát triển Honeynet vào thực tế Do điều kiện thời gian thiết bị triển khai thiếu nên việc nghiên cứu triển khai xây dựng Hệ thống Honeynet ứng dụng thực tế Honeynet em giới hạn phạm vi thí nghiệm Mặc dù cố gắng Đồ án khơng tránh khỏi có sai xót Em mong góp ý, giúp đỡ nhiệt tình thầy cô bạn để đề tài em hoàn thiện.Em xin chân thành cảm ơn 114 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin EBOOKBKMT.COM - HỖ TRỢ SINH VIÊN VIỆT NAM Dưới số link tham khảo : http://www.tracking-hackers.com/papers/honeypots.html www.honeynet.org http://www.icst.pku.edu.cn/honeynetweb/honeyneten/HoneynetTopology.htm http://www.honeynet.org.gr/reports/apr2005-sept2005.html http://www.honeynet.org/papers/phishing/details/index.html http://www.exploit-db.com/webapps/ http://vietcloud.net/thong-tin/91/0/top-10-ky-thuat-tan-cong-tren-web.aspx 115 Học Viện Kỹ Thuật Mật Mã – Khoa An Tồn Thơng Tin ... trình bày nội dung Nghiên cứu Hệ thống Honeypots Honeynet nhằm nghiên cứu số kỹ thuật công dịch vụ Web , nhờ giúp sớm phát kịp thời khắc phục lỗi hổng bảo mật tồn dịch vụ Web Em hi vọng thông... thông tin Honeynet Honeynet khác với hệ thống Firewall, hệ thống phát ngăn chặn xâm nhập, hệ thống mã hóa chỗ : hệ thống có khả bảo vệ hệ thống mạng tài nguyên mạng hệ thống thực nhiệm vụ “Phòng... Symantec… Còn đa số tổ chức có honeynet 2.3 Một số mơ hình triển khai Honeynet giới Dưới số mơ hình triển khai hệ thống Honeynet giới nhằm nghiên cứu, thu thập thông tin kỹ thuật công Hacker mạng: