các phương pháp phòng chống hacker xâm nhập mạng

CHƯƠNG I MẠNG MÁY TÍNH I.Giới thiệu chung về mạng máy tính 1.Khái niệm mạng máy tính Mạng máy tính là một tập hợp các thiết bị máy tính nối vào nhau để chia sẻ thông tin với các tài ngu

1 Phân loại theo cách sử dụng tài nguyên trên mạng9 9

2 Phân loại theo kiến tróc (Topologies) của mạng10 10

II Cỏc cỏch tấn công mạng windows 9x

1 Khai thác từ xa

2 Nối trực tiếp tài nguyên dùng chung win9x

3 Từ chối dịch vô win 9x

4 Một số cách xâm nhập khác

MẠNG WINDOWS NT VÀ CÁC CHỖ HỞ 25

I.Giới thiệu về mạng windows NT Server

1.Kiến trúc mạng

IV.Administrator

1.Đoán mật 2.Phá mật mã NT

3.Khai thác uỷ quyền

Chương III Các phương pháp phòng chống Hacker xâm nhập mạng

38 windows 9x và mạng windows NT Server

I.Cỏc biện pháp an ninh vật lý

II.Lưu dự phòng

III.Bảo mật đăng nhập

1.Các kỹ thuật bẻ khoá tài khoản Administrator

2.Các nội quy và các biện pháp đề phòng đăng nhập

Chương IV : Từ chối dịch vô

51 Chương V Các vấn đề an toàn thông tin trên mạng

64

I.Tổng quan

1.Đặt vấn đề

III.Một vài bức tường lửa thụng dụng

1.Black Hole của Milkyway Network

2.Filewall/Plus of Network-1

3.Eagle NT of Raptor Systems

4.Hệ Socks

5.Các bức tường lửa Home-Grown Windows NT

IV.Microsoft Proxy Server

Kết luận

I.Những việc mà đề án làm việc được

II.Những hạn chế của đề án

III.Đề suất về an ninh và bảo mật

IV.14 chỗ yếu dễ bị xâm nhập

Tài liệu tham khảo

Lời cảm ơn

LỜI MỞ ĐẦU

Từ khi mạng máy tính xuất hiện, các máy tính được kết nối lại với nhau để đáp

ứng nhu cầu chia sẻ tài nguyên thì vấn đề bảo mật thông tin ngày trở nên cần thiết

và khó khăn lên rất nhiều Vì vậy vấn đề đặt ra là làm thế nào để có thể bảo vệ được hệ thống thông tin mật của chúng ta? Đã có rất nhiều giải pháp được đặt ra trong lĩnh vực này, nhưng tình trạng mất mát thông tin vẫn xảy ra Vì vậy việc thiết lập các hệ thống bảo vệ là một việc rất cần thiết đối với mọi hệ thống thông tin để đảm bảo an toàn tối đa có thể được cho hệ thống Đồ án này sẽ nêu ra một số kiểu

mà Hacker xâm nhập vào hệ thống mạng Cách phòng chống sự xâm nhập của

Hacker vào hệ thống mạng Bảo mật thông tin trên mạng và chiến lược phòng

chống.

• Chương I Giới thiệu về mạng máy tính

• Chương II Mạng Windows thông dụng và các chỗ hở

• Chương III Các phương pháp phòng chống Hacker

• Chương IV Từ chối dịch vụ

• Chương V.Cỏc vấn đề an toàn thông tin trên mạng

Em xin chân thành cảm ơn thầy giáo, Tiến Sỹ Đào Thanh Tĩnh đã tận tình

giúp đỡ em để em có thể hoàn thành đề tài tốt nghiệp này Với trình độ và thòi gian có hạn nên đồ án này còn nhiều hạn chế và thiếu sót Cho nên em rất mong

có được sự tham gia đóng góp và giúp đỡ của các thầy cô giỏo và các bạn để đồ

án này hoàn thiện hơn

Sinh viên thực hiện:

Nguyễn Tuấn Việt

CHƯƠNG I MẠNG MÁY TÍNH I.Giới thiệu chung về mạng máy tính

1.Khái niệm mạng máy tính

Mạng máy tính là một tập hợp các thiết bị máy tính nối vào nhau để chia sẻ thông tin với các tài nguyên như các thiết bị, các chương trình hệ thống, chương trình ứng dụng, cơ sở dữ liệu…Mạng máy tính có thể là hai máy tính nối với nhau

và cũng có thể lên đến hàng triệu máy tính trên toàn thế giới Các máy tính trên mạng có hai loại chính:

* Máy chủ (Server) là máy điều khiển và cung cấp các tài nguyên trên mạng.

* Máy trạm (workstation) là máy khai thác tài nguyên trên mạng, mỗi trạm làm

việc được gọi là nút trờn mạng

Bất kỳ một sự kết nối vật lý nào mà các máy tính không thể dùng chung tài nguyên của nhau thỡ đú không phải là mạng máy tính

2.Lịch sử hình thành và phát triển máy tính

Trong những năm 60 đã xuất hiện các mạng, trong đó các trạm cuối thụ động

được nối vào máy xử lý trung tâm Máy xử lý trung tâm là một mỏy tính mini có cấu trúc đơn giản nhưng tốc độ xử lý thông tin cao, có khả năng làm việc phõn tỏn,nú cú nhiệm vụ quản lý và điều khiển toàn bộ sự hoạt động của hệ thống như:thủ tục truyền dữ liệu, sự đồng bộ ở các trạm cuối Trong một số các hệ thống khác, để giảm bớt nhiệm vụ cỏc mỏy xử lý trung tâm, hay giảm bớt số trạm cuối nối trực tiếp vào nó, người ta thêm vào các bộ tiền xử lý để tạo thành một mạng truyền tin, hệ thống này cũn cú các thiết bị tập trung và dồn kênh Bộ dồn kờnh cú nhiệm

vụ cung cấp song song các thông tin do các trạm cuối gửi tới Bộ tập trung dùng bộ nhớ đệm để lưu trữ tạm thời các hệ thống thông tin

Từ đầu những năm 70, các mạng máy tính đã được nối vào với nhau trưc tiếp

để tạo thành một mạng máy tính nhằm phân tán tải của hệ thống và tăng độ tin cậy.Cũng trong những năm 70, bắt đầu xuất hiện mạng truyền thông, trong đó các thành phần chính là cỏc nút mạng, được gọi là các chuyển mạch dùng để hướng thông tin về đích của nó Cỏc nút mạng được nối vào nhau bằng đường truyền còn

các máy tính xử lý thông tin của người dùng (Host) hoặc các trạm cuối được nối

trực tiếp vào cỏc nút mạng để khi cần thì trao đổi thông tin qua mạng Bản thân cỏc nút mạng thường là các máy tính nên có thể đồng thời đóng vai trò của người dùng Cho đến năm 1980 mạng máy tính mới thực sự phát triển cho đến nay, điển

hình là sự phát triển không ngừng của mạng INTERNET/INTRANET

II.PHÂN LOẠI MẠNG MÁY TÍNH

1.Phân loại theo cách sử dụng tài nguyên trên mạng

a.Mạng ngang hàng(peer to peer)

Các máy tính trên mạng có vai trò ngang nhau Các máy tính này có thể vừa là máy chủ vừa là máy trạm Ví dụ các mạng máy tính mà trong các máy tính dùng hệ

điều hành windows for workstation hay windows 95, windows 98 là mạng ngang hàng (peer to peer).

b.Mạng Server Based (mạng dựa trờn một máy chủ)

Trong mạng Server Based có Ýt nhất một máy chủ, trờn mỏy đú cú cài đặt hệ điều hành mạng (Network Operating System) có chức năng điều khiển và cung cấp tài nguyên trên mạng Ví dụ, điển hình là các mạng dùng hệ điều hành Novell 3.x,4.x là các mạng Server Based.

c.Mạng kết hợp giữa peer to peer và Server based

Để tận dụng những ưu điểm của hai kiến trúc này

2.Phân loại theo kiến trúc (Topologies) của mạng

a.Kiến trúc truyền (Bus)

Mạng có kiến trúc truyền bao gồm một đường cáp chính được kết thúc ở hai

đầu (bằng Teminator) Cỏc nót được nối trực tiếp vào đường cáp chung này và tín

hiệu được truyền đi theo cả hai hướng của cáp Tất cả các thiết bị được nối vào

đường cáp chung khụng đũi hỏi phải có Concentrator (Hub) Tuy nhiên, do kiểu

chạy đường cáp là không có cấu trúc ,có nghĩa không có một điểm tập trung, nên thường gặp khó khăn trong việc phát hiện lỗi

Kiến trúc này có ưu điểm là đơn giản, kinh tế nhưng lại không thích hợp với địa hình phức tạp ,khó bảo hành khi sự cố xảy ra trên một node sẽ gây lỗi toàn hệ thống

b Kiến trúc sao (star)

Theo kiến trúc này, mỗi Node được nối vào mét “Hub” trung tâm của mạng

Trong trường hợp mét Node bị hỏng nú xẽ không gây ảnh hưởng trực tiếp đến các Node còn lại tất cả thông tin đều phải qua một điểm trung tâm (Hub) ,vì vậy Hub trở thành điểm đảm bảo thông tin trong mạng Một số Hub cũn cú cỏc phần mềm

quản lý làm đơn giản công việc sử lý lỗi

Kiến trúc hình sao đơn giản thích hợp với địa hình phức tạp, bảo hành khi có sự cố nhưng đòi hỏi phải thêm nhiều thiết bị khác

c.Kiến trỳc vũng(Ring)

Kiến trúc vòng thực chất là kiến tróc Bus nhưng hai Node đầu và cuối trùng nhau

tạo thành vòng khép kín Đây là kiến trúc mạng đặc trưng của hãng IBM Cỏc gói

tin luân chuyển trên mạng theo hướng trờn vũng khép kín đó Mỗi thiết bị trong

mạng đóng vai trò nh một bé Repeater làm nhiệm vụ khuếch đại tín hiệu Kiến trúc

này ưu điểm là tốc độ truyền dữ liệu nhanh, độ an toàn cao Nhưng thiết bị cho kiến trúc này đắt, không kinh tế

d.Kiến trúc hỗn hợp

Kiến trúc này thường dùng trong thực tế.Tuỳ theo điều kiện địa hình ,khả năng đầu tư mà người ta kết hợp các kiểu kiến trúc với nhau gọi là kiến trúc hỗn hợp

3 Phân loại theo quản lý của mạng

a.LAN(local area network )

Mạng máy tính có vi phạm cục bộ ,thường dùng trong một văn phòng hay một

cơ quan ,các thiết bị nối dùng thường là đồng nhất Khoảng cách từ Server đến workstation thường không vượt quá 500m.

b.MAN(metropolitan area network)

Phương tiện kết nối đa dạng ,quy mô thường là bao phủ một thành phố, thị trấn

c.WAN(wide area network)

Phát triển trên diện rộng ,thậm chí có thể vượt ra khỏi biên giới ,phương tiện

phong phú tổ chức phức tạp Thông thường, WAN là kết quả của nhiều mạng LAN ghép lại với nhau thông qua các thiết bị viễn thông nh Brigde, getway,modem 4.Phân loại theo kỹ thuật chuyển mạch

a Mạng chuyển mạch kênh

khi có hai thực thể cần trao đổi thông tin với nhau thì giữa chúng sẽ được thiết lập một kênh cố định với nhau và được duy trì cho đến khi mét hai kênh được ngắt liên lạc Các dữ liệu chỉ được truyền trên một đường cố định Phương pháp chuyển mạch kờnh cú hai nhược điểm chính:

-Phải tiêu tốn thời gian để thiết lập con đường cố định giữa hai thực thể

-Hiệu suất dùng đường truyền không cao vì sẽ cú lỳc kờnh bỏ không do hai bên không cần truyền thông tin trong khi các thực thể khác không được phép dựng kờnh này để truyền thụnh tin

b.Mạch chuyển thụng bỏo

Thông báo Message là một đơn vị thông tin của người dùng có khuôn dạng

được quy định trước Mỗi thông báo đều chứa trong vùng thông tin này là mỗi nót trung gian có thể truyền thông báo tới cỏc nút kế tiếp theo đường dẫn tới đích của

nã Nh vậy mỗi nót phải lưu giữ tạm thời để đọc thông tin điều khiển trên thông báo rồi sau đó chuyển tiếp thông báo đi Tuỳ thuộc vào các thông báo được gửi đi trờn cỏc đường truyền khác nhau

c.Mạng chuyển mạch gói

Mỗi thông báo đươcc chia thành nhiều các phần tử nhỏ hơn được gọi là cỏc gúi

tin (Packet) có khuôn dạng có quy định trước Mỗi gói tin cũng chứa thông tin điều

khiển trong đó có địa chỉ nguồn (người gửi) và địa chỉ đớch (ngươỡ nhận) Cỏc gúi tin thuộc về thông báo nào đó có thể được gửi qua mạng để tới đích bằng nhiều con đường khác nhau

Phương pháp chuyển mạch thông báo và phương pháp chuyển mạch gói gần giống nhau Điểm khác biệt là ở chỗ các kích thước tối đa sao cho cỏc nút mạng có

thể sử lý toàn bộ gói tin trong bộ nhớ mà không cần lưu trữ tạm thời trên đĩa Bởi thế mạng chuyển mạch cỏc gúi tin là nhanh hơn và hiệu quả hơn so với mạng chuyển mạch thông báo Vấn đề khó khăn nhất của loại mạng này là việc tập hợp cỏc gúi tin để tạo lại thông báo đầu của người sử dụng Đặc biệt là trong cỏc gúi tin truyền đi theo nhiều đường khác nhau.cần phải cài đặt cơ chế đánh dấu gói tin và phục hồi cỏc gúi tin bị thất lạc hoặc truyờng bị lỗi do cỏc nút mạng.

III.MỘT SỐ MẠNG THÔNG DỤNG

1.Mạng LAN

LAN là một mạng tương đối nhỏ, nằm trong phạm vi một vùng cụ thể (một

phòng ban, … ) ở quy mô này thì vấn dề bảo mật không phải là vấn dề lớn Ngoài

ra, hầu hết thông tin trên LAN đều dễ quản lý và bảo mật bởi chúng thường được

lưu dữ trên một hệ phuc vụ đơn lẻ và mọi người nối với nó không phải người xa lạ

2.Mạng tương kết

Là sự kết nối giữa các LAN với nhau Các đường cáp dài xuất hiện , các đường

cáp này được kéo qua các nơi bất thường kém an ninh không có gỡđảm bảo về tính bảo mật vì bất cứ lúc nào mạng cũng có thể bị truy cập bằng việc cõu cỏp Hơn nữa lượng cáp nhiều chạy từ phía rất khó khăn trong việc theo dõi đường cáp chúng ta

có thể dùng cáp quang để khắc phục những nhược điểm của cáp song giá thành không rẻ chút nào

3.Kiến trúc khách hàng dịch vụ (client-server)

Đây là một khía cạnh quan trọng của ngành điện toán mạng Trong đó mô hình

client/server,gánh nặng xử lý được phân phối giữa các máy tính để bàn và các hệ

phục vụ mạng Mô hình này vận dụng việc dùng việc máy tính để bàn có khá nhiều

năng lực xử lý không như các trạm cuối nối với hệ máy tính lớn (Mainframe) Với ứng dông Client/Server mét phần mã chạy trên hệ client và một phần chạy trên Server Phía hệ client tương tác với người dùng trong khi phía hệ Server làm việc

với dữ liệu đã lưu trữ và các tài nguyên gắn với chúng

4.Các mạng tạp chủng

Mét cơ quan lớn có thể có một mạng máy tính với nhiều kiểu hệ máy khác nhau

và các hệ điều hành khác nhau Như hệ máy chủ IBM các hệ phục vụ trạm UNIC máy mini DEC, các hệ phục vô NOWELL,NETWARE,các hệ phục vụ làm việc windows NT còng như các hệ khách DOS, Macintosh,windows và UNIC, mí hỗn

tạp này thường là kết quả của tớờn trỡnh tương kết cỏc phũng ban và các phân ban

có nội quy và chuẩn điện toán riờng đó được xác lập từ nhiều năm nay

5.Mạng sở tại, đô thị và diện rộng

Mạng sở tại là sự tương kết các hệ thống trong các toà nhà khác nhau trờn cỏc khu

sở tại trường học và kinh doanh trong các khu đô thị hoăc trên bình diện toàn cầu

Tên gọi là MAN(Metropolitan Area Networics = Mạng đô thị) và WAN(Wide Area Network = Mạng diện rộng)

6.Mỏy tính di động và truy cập từ xa

Làm việc từ xa (Telecommuting) là xu thế mới nhất trong ngành điện toán

công ty Nhân viên cú mỏy xách tay hoặc cú cỏc hệ máy gia đình nối mạng văn phòng để truy cập tài nguyên, gửi và nhận thư điện tử Cho phép mọi người có thể làm việc ở bất kỳ chỗ nào

7.Các mạng TCP/IP

Các mạng TCP/IP là những hệ truyền thông dùng chung, có nghĩa là người

phiên truyền thông khác nhau có thể diễn ra cựng lỳc Dữ liệu chuyển giao từng

phiên làm việc dược chia nhá ra và đặt vào gói tin (Packets) riờng lẻ Cỏc gúi tin này được cấp địa chỉ của mỏy mớnh đớch và được gửi trên Internet là một loạt các

tuyến nối những lộ trỡnh khả dĩ mà cỏc gúi tin có thể đi qua Các thiết bị này có tên

là bộ định tuyến (Routers) tương kết cỏc kờnh truyền Gói tin được truyền tới đích

theo một lộ trỡnh tốt nhất có sẵn một phiên truyền có liên quan tới hàng trăm hàng ngàn cỏc gúi tin riêng lẻ Một ưu điểm là nếu có trục trặc trên mạng chỉ có thể ảnh hưởng tới một gói tin Khi đó mạng chỉ phải truyền lại cỏc gúi tin bị mất, chứ không phải truyền lại cả bản tin Nếu một đường truyền bị hỏng thỡ bộ định tuyến sẽ gửi cỏc gúi tin theo lộ trỡnh khỏc

8.Các mạng diện rộng ảo(WAN)

Là mạng dùng các thiết bị đặc biệt để xây dựng các mạch truyền tư, thông qua

Internet Do Internet đã có sẵn nh mét hệ thống toàn cầu, nên chỉ cần có một tuyến nối vào đó Với trang thiết bị đúng đắn các WAN ảo cung cấp một kênh mó hoỏ

bảo mật để truyền cỏc gúi tin đến cỏc chuyờn khu khác

CHƯƠNG II CÁC MẠNG WINDOWS THÔNG DỤNG MẠNG WINDOWS 9X VÀ CÁC CHỖ HỞ I.GIỚI THIỆU

Đối với windows 9x,nhà quản trị mạng và người dùng cần ý thức một điều là nó

không được thiết kế để trở thành một hệ điều hành an toàn nh người anh em

windows NT

Người dùng thiếu ý thức đó có thể mở cửa sau cho mạng công ty hoặc lưu thông

tin tế nhị trên PC nối mạng Internet Cùng với sự chấp nhận ngày càng cao nối kết

Internet thường trực tốc độ cao, vấn đề này chỉ tồi tệ hơn mà thôi Bất kể bạn là

người quản trị mạng hay dang dùng win 9x để lướt trên mạng và truy cập mạng

công ty,bạn phải hiểu rõ công cụ hoặc kỹ thuật vốn có khả năng được triển khai nhằm chống lại bạn

May sao, tính dơn giản của win 9x cũng có cái hay Bởi không được thiết kế để

trở thành hệ điều hành đa người dùng thật sự

II.CÁC CÁCH TẤN CÔNG WIN 9X

Chỉ có hai cách tấn công “sở hữu” hệ thống win 9x:

*Lừa cho người vận hành hệ thống thi hành mã của mình

*Lừa cho người vận hành hệ thống truy cập vật lý hệ thống

Có lẽ sai sót bảo mật phổ biến nhất là việc quản lý tồi tên người dựng,mật mó.Đú cũng chính là phương pháp xâm nhập bất hợp pháp hệ thống đơn giản nhưng cũng rất hiệu quả

1.Khai thác từ xa win 9x

Kỹ thuật khai thác từ xa win 9x được xếp thành bốn thể loại cơ bản: nối kết trực tiếp tài nguyên dùng chung (kể cả tài ngưyờn quay số), cài đặt daemon máy

phục vụ cửa sau, khai thác chỗ yếu ứng dụng máy phục vụ đẵ biết, và từ chối dịch

vụ Lưu ý ba trong số tình huống này cần người quản trị hoặc người dùng hệ thống

win 9x lập cấu hình sai hoặc xét đoán lầm.

2.Nối trực tiếp tài nguyên dùng chung win 9x

Đõy chính là lối vào hệ thống Win 9x từ xa.Win 9x có ba cách truy cập trực tiếp

hệ thống :

+Dùng chung in và tập tin

+Máy phuc vô quay sè

+Thao tác Registry từ xa.

Cách xâm nhập thứ nhất là theo dõi các giấy uỷ nhiệm đươc người dùng nối tài nguyên dùng chung.Do người dùng thường xuyên dùng lại mật mã, nên cũng luôn

sinh ra giấy uỷ nhiệm hợp lệ trờn mỏy từ xa.Tệ hại hơn nữa là để lộ cỏc hệ thống khỏc trờn mạng.

Mét trong số những công cụ quét thư mục dùng chung là Legion của nhóm Rhino9 Bên cạnh khả năng quét địa chỉ IP cho các thư mục dùng chung windows, Legion còn đi với cụng cụ BF chuyờn đoán mật mã trong tập tin văn bản và tự động

lập bản đồ những cỏi đoỏn chỳng

Kẻ xâm nhập gây phương hại kế nào là còn tuỳ thuộc vào từ điển hiện được xây dựng Các tập tin quan trọng có thể nằm trên thư mục đó, hoặc một số người dùng chia sẻ toàn bộ phần chia gốc của mình, tạo điều kiện thuận lợi cho tin tặc Chúng

sẽ gài các tập tin vào

systemroot%\startmenu\program\startup Trong lần khởi động tới, mã này sẽ khởi động hoặc có thể lấy các tập tin PWL để bẻ khoá.

Cách xâm nhập thứ hai là xâm nhập bất hợp pháp win 9x Dial-Up Server Bất

cứ người dùng nào cũng có thể trở thành cửa sau mạng cục bộ bằng cách nối

modem và cài Microsoft Plus!cho bộ chương trình Windows 9x chứa thành phần Dial-Up Server Hầu nh hệ thống nào cũng lập cấu hình để có cơ chế dùng chung

tập tin Thì khi đó ta có thể liệt kờ,đoỏn mật mã các thư mục dùng chung ở đầu kia

modem, giả định là chưa định mật mã quay sè.

Cách xâm nhập thứ ba là vào Registry Do win 9x không cung cấp tính năng truy cập từ xa Registry Nhưng nếu cài Microsoft Remote Registry Service (trong thư mục \admin\nettools\remotreg trên CD-ROM phân phối windows 9x) thì có

thể xâm nhập vào,truy cập thư mục dùng chung, và đoán nhận được giấy uỷ nhiệm

truy cập Registry ,vậy có thể làm tuỳ thớch trờn hệ thống đích.

3.Từ chối dịch vụ win 9x

Tấn công bằng từ chối dịch vụ là chỗ dùa cuối cùng của kể tấn cụng.Vụ số chương

trình có khả năng gửi gói dữ liệu mạng được tạo một cách phi lývới những cáI tên

như:ping ofdeath, teardrop, land và winnuke.

4.Mét số cách xâm nhập khác

Khác với Windows NT,win 9x không có khái niệm đăng nhập đa người dùng

an toàn.Vỡ vậy,bất cứ ai cũng có thể tiếp cận win 9x ,bật nguồn hệ thống, hoặc tái khởi động cứng hệ thống khoá bằng cơ chế bảo vệ màn hình Các phiên bản win 9x cho phép huỷ cơ chế bảo vệ màn hình bằng tổ hợp phím Ctrl-Alt-Del hoặc Alt- Tab Mật mã windows đơn thuần kiểm soát bộ lưu trữ người dùng nào đang hoạt

động và không bảo vệ tài nguyên nào cả (ngoài danh sách mật mã) Bạn có thể trục xuất bằng nót Cancel, hệ thống vẫn tiếp tục nạp bình thường, cho phép truy cập hầu như hoàn toàn tài nguyên hệ thống Đối với màn hình đăng nhập mạng cũng như vậy (có thể khác tuỳ theo loại mạng nối mục tiêu)

a.Tự động chạy và phá mật mã bảo vệ màn hình

Lợi dông hai chỗ nhược bảo mật win 9x đăc tính CD-ROM Autorun và mó

hoỏ tồi mật mã bảo vệ màn hình trong Registry.

+Windows liên tiếp thăm dò xem đẵ đưa CD-ROM vào hay chưa.Khi dã CD-ROM còng kiểm tra volume trong tập tin Autorun.inf Nếu volume chứa tập tin Autorun.in, các chương trình sẽ liệt kê ở dòng “open=” trong tập tin đang chạy Có thể khai thác đặc tính này để chạy bất cứ chương trình nào(back orifice hay netbus) Tuy nhiên phần quan trọng là trong win 9x ,chương trình này vẫn thi

hành ngay cả khi đang chạycơ chế bảo vệ màn hình

+Win9x lưu mật mã bảo vệ màn hình trong khoá Registry

HKEY\Users\.Default\Contrlpanel\ScreenSave_Data, vốn làm rối mật mã đã bị

cơ chế này phá Vì vậy, vấn đề này là kéo giá trị này khái Registry(nếu không kích hoạt bộ lưu trữ người dùng c:\Windows\USER.DAT),giải mó,rồi đưa mật mã vào

win 9x thông qua cuộc gọi chuẩn.Khi đó cơ chế bảo vệ màn hình biến mất

b.Tiết lé mật mã win 9x trong bộ nhớ

Trong trường hợp này khi đó phỏ được cơ chế bảo vệ màn hỡnh.Khi đó có thể tận dụng những công cụ tiết lé mật mã trên màn hình để lé ra những mật mã hệ thống khác được che dấu dưới những dấu hoa thị Một trong những trình tiết lé mật

mã nổi tiếng đó là Revelation của SandBoy software.

c.Bẻ khoá

Chóng ta không cần ngồi lõu trờn thiết bị đầu cuối để lấy thông tin,mà chúng ta có thể đổ thông tin ra đĩa cứng rồi sau này giải mã Phương pháp này cú thờm ưu điểm là chỉ yêu cầu hệ thống khởi động lại hệ thống từ đĩa mềm vốn có chức năng như nơi chứa các tập tin chụp

Sau đó tìm danh sách mật mã win 9x, tức là tập tin PWL, trong thư mục gốc trên hệ thống (thường là c:\windows).Những tập tin này đặt theo tên bộ lưu trữ người dùng trên hệ thống, cho nên tập tin bat trên đĩa mềm sẽ lấy gần hết.

Copy c:windows\*.pwl a:

Tập tin PWL là danh sách mật mã dùng dể truy cập các tài nguyên nh:

+Tài nguyên được bảo vệ bằng bảo mật cấp độ dùng chung

+Cỏc óng dụng đã ghi để bẫy mật mã giao diện lập trình ứng dụng

MẠNG WINDOWS NT VÀ CÁC CHỖ HỞ I.Giới thiệu Hệ điều hành Windows NT Server

1.Kiến trúc mạng a.Tỡm hi

a.Tìm hiểu về mô hình tham chiếu OSI

b.Tầng vật lý (Physical Layer)

Có trách nhiệm chuyển các bit từ một máy tính tới một máy tính khác, và nã quyết định việc truyền một luồng bit trên một phương tiện vật lý Tầng này định

nghĩa cách gắn cáp vào một bảng mạch điều hợp mạng (network adapter card) và

kỹ thuật truyền dùng để gửi dữ liệu qua cỏp đú Nó định nghĩa việc đồng bộ và kiểm tra các bit

c.Tầng liên kết dữ liệu (Data Link Layer)

Đúng gói cho các bit từ tầng vật lý thành các frame (khung) Một frame là một gãi tin logic, có cấu tróc trong đó cú chứa dữ liệu Tầng Liên Kết Dữ Liệu có trách nhiệm truyền các frame giữa các máy tính, mà không có lỗi Sau khi Tầng Liên Kết Dữ Liệu gửi đi một frame, nã đợi một xác nhận (acknowledgement) từ

máy tính nhận frame đó Cỏc frame không được xác nhận sẽ được gửi lại

d.Tầng mạng (Network Layer)

Đánh địa chỉ các thông điệp và chuyển đổi các địa chỉ và cỏc tờn logic thành các địa chỉ vật lý Nã cũng xác định con đường trong mạng từ máy tính nguồn tới máy tính đích, và quản lý các vấn đề giao thông, như chuyển mạch, chọn đường, và kiểm soát sự tắc nghẽn của cỏc gúi dữ liệu

e.Tầng giao vận (Transport Layer)

Quan tâm tới việc phát hiện lỗi và phục hồi lỗi, đảm bảo phân phát các thông điệp một cách tin cậy Nã cũng tái đóng gói các thông điệp khi cần thiết bằng cách chia các thông điệp dài thành cỏc gúi tin nhỏ để truyền đi, và ở nơi nhận nã sẽ xây dựng lại từ cỏc goớ tin nhỏ thành thông điệp ban đầu Tầng Giao Vận cũng gửi một xác nhận về việc nhận của nã

f.Tầng phiên (Session Layer)

Cho phép hai ứng dụng trên 2 máy tính khác nhau thiết lập, dùng, và kết thóc

một phiên làm việc (session) Tầng này thiết lập sự kiểm soát hội thoại giữa hai

máy tính trong một phiên làm việc, qui định phía nào sẽ truyền, khi nào và trong bao lâu

g.Tầng trình diễn (Presentation Layer)

Chuyển đổi dữ liệu từ Tầng ứng Dụng theo một khuôn dạng trung gian Tầng này cũng quản lý các yêu cầu bảo mật bằng cách cung cấp các dịch vụ như mã hóa

dữ liệu, và nén dữ liệu sao cho cần Ýt bit hơn để truyền trên mạng

h.Tầng ứng dụng (Application Layer)

Là mức mà ở đó cỏc ứng dụng của người dùng cuối có thể truy nhập vào các dịch vụ của mạng Khi hai máy tính truyền thông với nhau trên một mạng, phần mềm ở mỗi tầng trên một máy tính giả sử rằng nã đang truyền thông với cùng một tầng trên máy tính kia Ví dụ, Tầng Giao Vận của một máy tính truyền thông với Tầng Giao Vận trên máy tính kia Tầng Giao Vận trên máy tính thứ nhất không cần

để ý tới truyền thông thực sự truyền qua các tầng thấp hơn của máy tính thứ nhất, truyền qua phương tiện vật lý, và sau đã đi lên tới các tầng thấp hơn của máy tính thứ hai

IV.ADMINISTRATOR

1.Đoán mật mã qua mạng

Có ba cơ chế đoán mật mã NT qua mạng:bằng tay, tự động và nghe lén trao đổi đăng nhập NT để thu thập mật mã một cách trực tiếp.

Muốn tận dụng hiệu quả hai phương pháp đầu, chúng ta cần danh sách tên người

dùng hợp lệ Dùng nối kết vô danh bằng lệnh net use thông qua “phiờn rỗng” DumpACL của Somarsoft Inc hoặc sid2user…Khi đó với tên tài khoản hợp lệ

trong tay,đoỏn mật mã là chuyện quá dễ dàng

Phương pháp thứ ba đòi hỏi công cụ chuyên dông

L0phterack(http:/www.l0pht.com).

a.Đoỏn mật mã bằng tay.

-Người dùng hay chọn mật mã dễ nhất - tức là chẳng có mật mã gì cả

-Họ sẽ chọn cái gì đó dễ nhớ, chẳng hạn như tên người dùng hoặc cum từ khá

rõ ràng như: “guest”, “test” hoặc “password”…Tài khoản người dùng cũng là nơi

gợi ý mật mã

Với danh sách người dùng hợp lệ trong tay – thu thập qua DumpACL hoặc sid2user khi đó chúng ta sẽ tấn công vào network neighborhood Hoăc tỡm tờn máy tính và địa chỉ IP.Sau đú đoỏn mật mã qua dòng lệnh (net use) Khi đó hệ

thống nhắc nh sau:

C:\>net use \\192.168.202.44\IPC$ */user:Administrator

Type the password for \\192.169.202.44\IPC$:

The command completed successfully

Nhìn chung kẻ tấn công cố đoán mật mã tài khoản cục bộ đã biết trên NT Server hoặc Workstation độc lập, thay vì tài khoản toàn cục trờn mỏy điều khiển

vùng NT Tài khoản cục bộ phản ánh chính xác hơn những sơ hở bảo mật của người

quản trị hệ thống và người dùng Ngoài ra, NT Workstation còn cho người dùng

quyền đăng nhập tương tác (bất cứ ai cũng có thể đăng nhập cục bộ),tạo điều kiện

dễ dàng cho thi hành lệnh từ xa

b.Đoỏn mật mã tự động

Đến giờ,lỗ hổng lớn nhất trên mạng là mật mã rỗng hoặc mật mã dễ

đoỏn.Chỳng ta có hai chương trình đoán mật mã tự động :Legion và NetBIOS Auditing Tool(NAT).Legion quột dãy địa chỉ IP líp C trờn cỏc thư mục dùng chung Windows và trang bị công cụ tấn công bằng từ điển.

NAT thực hiện chức năng tương tự với mỗi lần một mục tiêu mà thôI Thế nhưng nó hhoạt động từ dòng lệnh cho nên có thể viết kịch bản hoạt động NAT nối

hệ thống đích rồi tìm cách đoán mật mã từ mạng điịnh sẵn và danh sách do người

dùng cung cấp Một bất lợi của NAT là một khi đoán đúng tập hợp giấy uỷ nhiệm,

nó sẽ truy cập ngay bằng giấy uỷ nhiệm này

NtinfoScan là công cụ điều chỉnh mật mã rỗng NtinfoScan là công cụ dòng lệnh

dễ hiểu, chuyên kiểm tra Internet và NetBIOS rồi đổ kết quả vào tập tin HTML

Nã chịu khó liệt kê người dùng rồi làm nổi bật tài khoản có mật mã rỗng ở cuối báo biểu

Muốn đoán mật mã nhanh chóng ta có CyberCop Scanner với trình tiện Ých SMBGrind cực nhanh với khả năng thiết lập nhiều grinder chạy song song Dưới đây chúng ta minh họa đầu ra của SMBGrind -1 trong cú pháp qui định số

nối kết đồng thời,tức là phiên song song

c.Nghe lén trao đổi mật mã mạng

L0phtcrack là công cụ đoán mật mã NT, thường làm việc ngoại tuyến trên cơ

sở dữ liệu mật mã NT đã chụp cho nờn khoá tài khoản chẳng có nghĩa lý gỡ,và công việc đoán có thể dài vụ hạn.Cỏc phiên bản L0phtcrack gần đây có chức năng SMB Packet Capture bá qua nhu cầu chụp tập tin mật mã SMB Packet Capture lắng nghe phân mạng cục bộ rụỡ chụp phiên đăng nhập giữa các hệ thống NT,lột thông tin mật mã đó mó hoỏ, rồi giải mã NT chuẩn

Tác dụng của công cụ phá mật mã L0phtcrack là người nào đã đánh hơi được mật

mã rồi cũng có ngày lấy được Administrator.

d.Từ chối dịch vụ và tràn bộ đệm

-Tràn bộ đệm từ xa là khai thác từ xa đáng sợ nhất Xảy ra khi chương trình

kiểm tra không xuể độ dài thích hợp của đầu vào Do đó, đầu vào ngoài dự kiến sẽ

“tràn sang“ phần khác của ngăn xếp thi hành CPU Đây là tập tin khả thi gán đặc quyền Administrator trên hệ thống.Dường nh người dùng Windows NT có lo lắng

khả năng tràn bộ đÖm NT từ xa sẽ tăng theo cấp số nhân

-Từ chối dịch vụ là cách tấn công quá phổ biến vào năm 1997-1998 cùng với

sự ra đời của nhiều khai thác gói dữ liệu thổi tung dãy giao thức TCP/IP trên nhiều nền Các cuộc tấn công khai thác đều nhằm vào Windows Hình thức tấn công xảo

quyệt nhất là ngốn dải thông Về cơ bản kẻ tấn công sẽ chiếm dụng hết dải thông

khả dụng trên mạng

e.Leo thang đặc quyền

Kẻ xâm nhập tìm tài khoản người dùng không phải Admin, chúng còn mỗi

chọn lùa là nhận diện thêm thông tin cho đặc quyền cao hơn bằng cách lặp lại nhiều bước liệt kờ.Thụng qua kết hợp hiều bước liệt kê thông tin hệ thống,kẻ tấn công có

thể tấn công những thư mục chủ yếu(NTRK srvifno co khả năng mô phỏng các thư mục dùng chung,%systemroot%\system32 và \repair) và mật mã ứng dụng trong

tập tin .bat hoặc tập tin kịch bản(bằng trình tiện Ých Find tìm chuỗi như

“Password”) và có thể truy cập các phần trong registry(bằng công cụ regdmp trong NTRK hoặc connect Network trong regedit)

f.Phỏ SAM

Khi đã lấy được Administrator rồi, ta tấn công ngay vào NT Security Acount Manager (SAM).SAM chứa tên người dùng và mật mã mó hoỏ của tất cả

người dùng trên hệ thống cô bé hoặc vùng nếu máy đó là máy điều khiển vựng Đõy

chớnh là cuộc đảo chính xâm nhập hệ thống NT, đối trọng của tập tin /etc/passwd trong thế giới UniX Dẫu SAM xuất phát từ hệ thống NT độc lập, rất có thể bẻ khoá này sẽ tiết lé giấy uỷ nhiệm truy cập máy điều khiển vựng.Do đú, phỏ SAM còng là

một trong những công cụ leo thang đăc quyền và khai thác uỷ quyền

Microsoft đã làm giảm sút hiệu quả bảo mật của SAM bằng cách dùng thuật toán mó hoỏ một chiều vốn còn sót lại từ gốc LanManger.Tuy đã co thuật tỏon mới, nhưng hệ điốu hành phải lưu LanManger hash cò cùng với cái mới nhằm duy trì tính tương thích với mỏy khỏch win 9x và Windows for Workgroups Thuật toán LanManger Hash yếu hơn này là chỗ nhược cho phép phỏ khỏ dễ dàng mó hoỏ mật mã NT

Công cụ phá mật mã có vẻ giống nh bé giải mã, nhưng trong thực tế chúng là những mỏy đoỏn tinh vi nhanh hơn.Chỳng tính trước thuật toán mó hoỏ mật mã trong đầu vào rồi so sánh với mật mã cảu người dùng Nếu đỳng thỡ mật mã đã bị phá Tiến trình này thường thưc hiện ngoại tuyến trên tập tin mật mã đã chụp để không đụng vấn đề khoá tài khoản, và tiến trình đoán có thể diễn ra bất tận

g.Lấy SAM

*Lấy tập tin mật mã hoặc SAM trong trường hợp NT.

NT lưu dữ SAM trong tập tin trong thư mục %systemoot%\system32\config khoá suốt thời gian chạy hệ điều hành SAM là mét trong năm tập tin chính trong NT Registry, cất giữ dữ liệu đã định trong khoá Registry

HKEY_LOCAL_MACHINE\SAM Đọc khoá này dùng Schedule.

Có bốn cách lấy SAM:

-Khởi động vào hệ thống điều hành thay thế

Cũng đơn giản nh tạo đĩa mềm hệ thống DOS cú trình tiện Ých trong đó Nếu hệ thống chạy trên phần chia NTFS, thì khi đó cần đến trình điều khiển hệ thống tập tin NTFS gọi là NTFSDOS của Systems Internals NTFSDOS sẽ xây dựng phần chia NTFS thành nh ổ đĩa DOS logic,trong đó tập tin SAM chê đến cướp đi.

-Lấy bản sao lưu SAM từ thư mục repair

Hễ khi nào NT Repair Disk Utility (rdisk) chạy với đối số /s sao lưu thông tin cấu hình hệ thốnglà bản nén SAM._ được tạo trong thư mục %Systemroot

%\repair Hầu hết nhà quản trị hệ thống chẳng buồn quay lại xoá tập tin này sau khi rdisk sao chép nó vào đĩa mềm báo trước tai hoạ.

Cần bung bản sao lưu tập tin SAM._ trước khi sử dụng (phiờn bản L0phtcrack hiện nay làm việc này một cách tự động thông qua chức năng “import”).

-Trích HASH từ SAM.

Với truy cập Administrator, có thể dễ dàng đổ trực tiếp hash mật mã từ Registry vào dạng thức giống nh /etc/passwd trong UNIX Trình tiện Ých thực hiện việc này là pwdump của Jeremy Allsion Cú thể tìm mã nguồn sẵn có và binaries windows trong nhiều vùng lưu trữ Internet Phiên bản L0phtcrack mới

có cài sẵn giống nh pwdump Tuy nhiên, cả pwdump và Lophtcrack đều khú nộ tranh đặc tớnh mó hỏo tập tin SAM cải tiến SYSKEY trong Service Pack 2.

Phiên bản pwdump2 của Tod Sabin né tránh SYSKEY Pwdump2 có mặt trên http:\//www.webspan.net/~tas/pwdump2/ Về cơ bản, pwdump2 áp dụng tiêm DLL để nạp mó riờng voà qui trình xử lý đặc quyền, mã này tha hồ gọi truy cập mật mã hoá bằng SYSKEY – mà khái phải giải mã chóng

Không nh pwdump, pwdump2 phải khởi động trong không gian xử lý trên

hệ thống đớch.Vẫn cần đặc quyền Administrator Pwdump2 nhắm vào quy trình

xử lý đặc quyền lsass.exe, local Security Authority Subsystem.Trình tiện Ých này

“tiờm ” mó riờng vào không gian địa chỉ và ngữ cảnh người dùng trong lsass Do đó

phảI lấy bằng tay Process ID (PID) cho lsass.exe trước khi pwdump2 phát huy tác dụng Tiếp đó, chúng ta dựng trình tiện Ých pulist trong NTRK để định vị nó tại PID 50:

D: \>pulist | find “lsass”

Lsass.exe 50 NT AUTHORITY=SYSTEM

Bõy giờ chúng ta có thể chạy pwdump2 với PID bằng 50.Kết quả sẽ đổ ra

màn hình theo mặc định (ở dạng thức viết tắt) song cũng dễ dàng đổi hướng vào

tập tin Đừng quên rằng phải thi hành cục bé pwdump2 trên hệ thống từ xa - đừng

sơ ý đổ hash mật mã của mình Về cách thi hành lệnh từ xa

-Nghe lén trao đổi mật mã NT

Mét trong những đặc tính mạnh của L0phtcrack là khả năng đánh hơI hash mật mã SMB ngay ngoài mạng cục bộ Chúng ta đã thấy đặc tính này ở mục đoán

Sau đó phải qui định tập tin từ điển sẽ tra cứu Sau cùng có thể Ên định vài tuỳ

chọn Tuỳ chọn Brute Fore attack qui định đoán chuỗi tạo ngẫu nhiên từ tập hợp

ký tự và có thể thêm thời gian phá mật mã Trước tiên, L0phtcrack thử các từ trong

từ điển, sau đó bắt đầu lại nỗ lực phá mật mã cùng lúc đó, nên chẳng thành vấn đề

Có thể có môI trường giữa vũ lực và phá mật mã bằng từ điển với đạc tớnh Hybrid crack gỏn thêm ký tự và con số vào từ điển, kỹ thuật phổ biến của những người chọn “password123” vì thiếu tập hợp những số có tính năng sáng tạo hơn.

L0phtcrack đồ hoạ là công cụ phá tập tin mật mã NT siêu đẳng trên thị trường

bởi tính dễ sử dụng và sức mạnh của nó, Nhưng có bất lợi là dao diện đồ hoạ lại không thẻ viết kịch bản được

3.Khai thác uỷ quyền

Giấy uỷ nhiệm Local Administrator và Domain Administrator đối xứng

Lỗ hổng dễ nhất cho chóng ta khai thác là quản lý tồi các tài khoản -lưu giấy uỷ

nhiệm người dùng vựng trờn NT Server hoặc Workstation độc lập Trong thế giới hoàn hảo, chẳng ai truy cập hệ thống NT độc lập với tư cách Local Administrator

cú cùng mật mã nh Domain Admin cả Họ sẽ chẳng bao giời tạo tài khoản cục bộ

có cùng tên người dùng và mật mã nh tài khoản vùng Tất nhiên đây không phải thế giới hoàn hảo, mọi chuyện có thể xả ra Chỗ yếu này đã dẫn đến nhiều thoả hiệp

vùng NT.

Giả thiết một nhân viên tìm thầy máy phục vụ thử nghiệm trờn vựng có tài

khoản mật mã rỗng Local Administrator Anh ta khó truy cập sâu hơn vào vùng

bởi tài khoản cục bộ không có đăc quyền trờn vựng này Thật chẳng may, nhà quản trị hệ thống thử nghiệm cũng thiết lập tài khoản giống hệt tài khoản vùng nhằm đỡ gánh nặng truy cập tài nguyờn vùng trong kỳc thử nghiệm trên hệ thống này Kẻ xâm nhập đổ SAM từ Registry rồi phá mật mã tài khoản vùng Lúc này anh ta có thể đăng nhập trực tiếp máy điều khiển vùng bằng bất cứ đặc quyền nào mà nhà quản trị hệ htống thử nghiệm đang nắm giữ Ba vấn đề cần theo sát là:

- Tài khoản Local Administrator lấy cùng mật mã nh thành viên Domain Admins.

- Tài khoản cục bộ trùng tên người dùng và mật mã với tài khoản vùng, nhất là

thành viên Domain Admins.

- Thông tin trong trường chú giảI cung cấp đầu mối về giấy uỷ nhiệm tài

khoản vùng, chẳng hạn nh “password is same as Administrator on Server1”(mật mã giống nh Administrator trên Server1).

*KIẾN TRÚC HỆ BẢO MẬT WINDOWS NT

CHƯƠNG III MỘT SỐ PHƯƠNG PHÁP PHÒNG CHỐNG HACKER

I.CÁC BIỆN PHÁP AN NINH VẬT LÝ

Cần có các biện pháp bảo vệ an ninh vật lý dể đảm bảo các hệ thống và dữ liệu và chống lại trộm cắp, phá huỷ thiên tai.

Trước tiên là bảo vệ an toàn các khu làm việc Nhân viên làm việc, các hệ truy cập thẻ khoá và các thiết bị giám thị là những yếu tố quan trọng nếu khu làm việc thông với khu công cộng Dưới đây là một số biện pháp vật lý

-Nếu ta sử dụng mật khẩu trong CMOS thì phảI khoá vỏ máy lại để không ai có thể tháo pin điện xoá CMOS.

-Kích dụng các mật hiệukhởi động và các tính năng bảo mật khỏc trờn cỏc mỏy PC

-Vô hiệu hoặc tháo bỏ đĩa mềm để tránh copy và việc đưa virut vào máy tính

-Trong CMOS luôn đặt hệ thống luôn khởi động tại ổ C tránh viẹc khởi động từ đĩa

mềm Vì khi khởi động từ ổ đĩa riờng thỡ một số hệ thống bảo vệ sẽ không có tác dụng

II.LƯU DỰ PHÒNG

Chóng ta cần phải sử dụng phương pháp này để đề phòng hoả hoạn,virut thiêu

huỷ, hoặc các Hacker phỏ háng Hiệp hội an ninh máy tính quốc gia Mỹ đưa ra số

liệu đáng lưu ý sau Cơ quan này đã phải đưa ra chi phí khoảng 17.000 USD để táI tạo lại 20 Megabyte thông tin bán hàng và Maketing, 19.000 USD với thông tin kế toán và 98.000 USD với dữ liệu thiết kế kỹ thuật Thật là những con số khổng lồ đáng sợ

Vì vậy chúng ta phải thường xuyên dự phòng dữ liệu và cũng thường xuyên lưu các vật tải dự phòng vào kho tàng lưu trũ để khi xảy ra sự cố ta có thể sử dụng bản

dự phòng

Với windows NT và windows 9X lưu trữ toàn bộ thông tin khởi tạo và cấu hình trong Registry Vậy chúng ta phải cảnh giác, đề phòng và bảo mật thận trong Registry

III.BẢO MẬT ĐĂNG NHẬP

Kỹ thuật bẻ khoá tài khoản Administrator

Các kẻ tấn công đột nhập vào hệ Windows NT bằng cách nào ? Tài khoản Administrator luôn là đích nhắm đầu tiên vì hai lý do : nú cú cỏc mức ưu tiên

không hạn chế và nó không bị khoá chặn Nếu không ổn kẻ tấn công có thể đột nhập thông qua một tài khoản hợp pháp , sau đó tỡm cỏc khe hở để củng cố thờm cỏc quyền ưu tiên

Các cuộc tấn công thường đến bởi một người biết tên tài khoản

Administrator và thử đăng nhập tài khoản đú Chúng ta đã đổi tên tài khoản Administrator thành một nội dung bí hiểm chưa ? Nếu chưa kẻ đột nhập ắt sẽ thử tấn công Administrator không thương tiếc

Cách bảo vệ tốt nhất đó là thay đổi tên tài khoản Administrator và dùng một

mật hiệu thật khó đoán một mật hiệu bao gồm một chuỗi dài các mẫu tự số và không dùng các từ dễ nhận , Ên định cỏc khoỏ chặn trên tất cả các tài khoản người dùng khác Ên định giá trị khoá chặn là bốn lần để phòng trường hợp gõ sai hoặc lùa tiến trình đăng nhập khu uỷ hay cục bộ không đúng

Giả sử một người dùng bên trong đang tấn công mét NT Server Kẻ tấn công

nội bộ thu nhập cỏc tờn tài khoản người dùng và định kỳ thử đăng nhập qua các quãng thời gian cách đoạn dài để đề phòng khoá chặn Nhưng tài khoản

Administrator là đích nhắp tốt nhất Làm thế nào họ biết tên của nó nếu chúng

ta đặt lại tờn ? Một kỹ thuật là gõ lệnh NBTSAT Ipaddress thay Ipaddress bằng địa chỉ ID của một máy tính bất kỳ mà Administrator tình cờ được đăng nhập vào đó NBTSTAT còng chấp nhận tên NetBIOS Do đó tài khoản này

khụng khoỏ chặn , nên tay này có thể thành công qua một thời gian nếu mật hiệu đang dùng thuộc loại yếu

Một kiểu tấn công khác xuất xứ từ người dùng Windows NT tấn công các tài

khoản dùng chung cấp điều hành trờn cỏc hệ phục vô Đây là những tài khoản

ngầm định không thể gỡ bỏ hẳn Chóng được tạo cho thư mục gốc Windows

NT nơI lưu giữ các tập tin hệ thống và cho gốc của từng phân hoạch đĩa Các tài khoản dùng chung này có tiếp vì ngữ là dấu đồng đô la ( C$ , D$, WINNT$) và

người thường thấy chóng Người dùng trái phép trên mạng có thể mở hộp thoại Run rồi gõ một nội dung có dạng tương tù nh \\servename\ C$ để thủe kết giao một tài khoản dùng chung cấp điều hành và thử đăng nhập vào hệ thống

Thực tế có một cách để dễ dàng chặn đứng các cuộc tấn công này đó là ngăn cản tất cả mọi đợt đăng nhập cấp điều hành từ mạng Vì lý do bảo mật hãy xét

đến khả năng yêu cầu toàn bộ việc điều hành hệ phục vụ diễn ra tại Console của

chính hệ phục vô Để thực hiện điều này , chóng ta thu hồi các quyền ưu tiên

đăng nhập mạng dành cho nhóm Administrators và Everyone Mở Use Manager nhập Use Rights trên lệnh đơn Policies, rồi gỡ bỏ cỏc nhúm ra khỏi quyền mang nhãn “ Access this computer from the network” Làm vậy chúng

ta ngăn cấm mọi taon tính đột nhập từ mạng ngoàI vào một tài khoản

Administrator bất kỳ Kế đó , bổ sung trở lại vào nhóm đặc biệt có thể truy cập

hệ phục vụ từ mạng đồng thời bảo đảm Administrator không thuộc thành viên

của nhúm đú

2.Các nội quy và các biện pháp đề phòng đăng nhập

Tuy tiến trình đăng nhập Windows NT tá ra an toàn song không thiếu cơ hội

để vi phạm Người khác có thể quay băng video lộn cỏc cỳ gừ phớm rồi phát lại

theo tốc độ quay chậm hoặc dùng bộ rà trên đường truyền để chốt giữ mật hiệu

chưa mó hoỏ Tuy các mật hiệu Windows NT được mó hoỏ xong người dùng

có thể sử dụng cùng mật hiệu cho một chương trình gửi các mật hiệu của họ hoặc cố ý hay vô tình cho phép người dùng trái phộp truy cập máy tính của họ Dưới đây là danh sách nêu khái quát các mối đe doạ và biện pháp phũng ngừa

a.Trỏnh cỏc tài khoản “bỏ ngỏ”

Đừng bao giê tạo một tài khoản đăng nhập không có mật hiệu và đừng bao giê tạo một tài khoản điều hành theo một tên đơn giản và một mật hiệu dễ đoán Đây là những tài khoản bỏ ngỏ dành cho kẻ tấn công dầy danh kinh nghiệm Mét số điều hành viên tạo các tài khoản tạm thời dùng để trắc nghiệm theo cỏc

tờn nh Test hay Temporary Đích nhắm của các hắc cơ chính là những dạng tài

khoản nh vậy Các tài khoản trắc nghiệm này thường cú cỏc quyền

Administrator bởi các điều hành viên sử dụng chúng để trắc nghiệm các

quyền ! Nếu tạo các tài khoản tạm thời , chóng ta Ên định các tài khoản để

chúng tự động hết hạn trên hộp thoại Propertiesdanhf cho các tài khoản đó b.Cảnh giới các hoạt động bất thường

Tỡm các hoạt động bất thường trờn cỏc tài khoản như các lần thử kết gỏn cỏc chương trình hoặc mở các tập tin trái phép , nhất là nếu chúng xảy ra sau hàng giê lúc mà lẽ ra người dùng bình thường đã phải rời văn phòng Các hoạt động

này có thể được kiểm toán bằng cách Ên định tuỳ chọn Failure cho File and Object Access.

c.Tài khoản cò mồi Administrator

Để nhử các kẻ tấn công , chóng ta đặt tên lại tài khoản Administrator tồn tại một tài khoản “cũ mồi” tên Administrator không có quyền nào cả Các kẻ tấn

công sẽ bỏ hết thời gian để tấn công một tài khoản vô bổ và chúng ta có thể theo

dõi các đợt đăng nhập thất bại của họ trong sổ Event Nếu đó là một người

dùng nội bộ chúng ta sẽ biết trước được họ đang dùng trạm làm việc nào ( tuy nhiên , đừng vội kết tội cá nhân tại trạm làm việc đó Rất có thể một người khác

đó dựng nú để thử bẻ khoá đột nhập )

d.Cỏc điều hành viên cần có hai tài khoản

Mọi người dùng cấp điều hành nờn cú cỏc tài khoản người dùng bình thường để

sử dụng khi không thực hiện các công việc điều hành Làm vậy có thể ngăn người khác tấn công tài khoản của họ nếu họ vô tình bỏ thí một hệ thống

e.Đúng chặn kẻ tấn công

Nếu phát hiện có kẻ tấn công , chóng ta dựng trỡnh tiện Ých Server Managet

để khoá chặn kẻ tấn công Sau đó đặt tên lại tài khoản và thay đổi mật hiệu để ngăn cản cuộc tấn công khác

f.Cỏc hệ khách yếu có thể làm hại hệ bảo mật

Sù an toàn và các điểm mạnh của mật hiệu và tiến trình đăng nhập là mối

quan tâm chớnh trờn hệ khách Windows NT Các hệ thống chạy DOS, Windows for Workgroups, và Windows 9x không cung cấp tiến trình đăng nhập mạnh và các khả năng bảo vệ thẩm định quyền mà các máy tính windows

NT cung cấp Các màn hình đăng nhập trờn cỏc hệ thống này sẽ đăng nhập

người dùng vào một mạng nhưng chỳng khụng cung cấp khr năng bảo vệ các tập

tin Nếu cần bảo vệ các tập tin trên windows NT Server chóng ta cài đặt hệ điều hành Windows NT Workstation và định dạng đĩa theo NTFS Ngoài ra mét Hacker có thể dựng cỏc chương trình quét đĩa cấp thấp để xem thông tin đĩa nếu

có thể truy cập một máy tính khách mà không ai biết anh ta đang làm gì Hệ bảo mật vật lý là thiết yếu, và có khi phải khoỏ cỏc hệ thống và cắt cử nhõn viờn bảo

vệ sau gỡơ làm việc

Mét tính năng của các hệ trạm làm việc khách Windows đó là lập cache các

mật hiệu trên ổ đĩa cục bộ Điều này vừa lợi vừa hạ Nhờ lập cache các mật hiệu

Windows sẽ biết mật hiệu của một tài nguyên mà người dùng đã truy cập trước

CHƯƠNG IV TỪ CHỐI DỊCH VỤ I.Tấn công bằng từ chối dịch vô - DoS Attack là gì?

Tấn công từ chối dịch vụ ngày này đã trở thành nổi ám ảnh lớn đối với tất cả các mạng máy tính Chúng ta đã biết, các websites lớn như Yahoo, eBay đã từng bị hackers tấn công bằng DDoS Thực chất của tấn công bằng từ chối dịch vụ(Denial

Of Services Attack) là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server, tài nguyên có thể là băng thông, bộ nhớ, CPU, đĩa cứng, làm cho server không thể nào đáp ứng cỏc yờu cầu khác từ các clients của những người dùng bình thường

và cứ thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot

II.Một số dạng tấn công từ chối dịch vụ

Có rất nhiều kiểu tấn công bằng từ chối dịch vụ, bao gồm tấn công từ bên ngoài

và tấn công từ mạng bên trong Ở đây chỉ đề cập đến một số dạng tấn công từ chối dịch vụ thường gặp

sử rằng 4000 bytes này được chia thành 3 gãi nhỏ(packet):

packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500packet th

packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000packet th

packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000

Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của cỏc gúi packets

để sắp xếp lại cho đóng với thứ tự ban đầu: packet thứ nhất -> packet thứ hai -> packet thứ ba Trong tấn công Teardrop, một loạt gãi packets với giá trị offset chồng chéo lên nhau được gởi đến hệ thống đích Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồng chéo lên nhau quá lớn!

Xem lại ví dụ trờn, đúng ra các packet được gởi đến hệ thống đích có dạng như sau: (1->1500 bytes đầu tiên) (1501->3000 bytes tiếp theo) (3001->4000 bytes sau

cùng), trong tấn công Teardrop sẽ có dạng khác: (1->1500 bytes) (1501->3000 bytes) (1001->4000 bytes) Gãi packet thứ ba có lượng dữ liệu sai!

là các địa chỉ IP không có thực, hệ thống đích sẽ sẽ chờ đợi vô Ých và còn nối đuôi các "request" chờ đợi này nào hàng đợi, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đóng ra là phải dùng vào việc khác thay cho phải chờ đợi ACK messages

Land Attack

Land Attack cũng gần giống như SYN Attack, nhưng thay vì dựng cỏc địa chỉ IP không có thực, hacker sẽ dựng chớnh địa chỉ IP của hệ thống nạn nhân Điều này sẽ tạo nên một vòng lặp vô tận giữa hệ thống nạn nhân với chính hệ thống nạn nhân

đã, giữa một bên cần nhận ACK messages còn một bên thì chẳng bao giờ gởi ACK messages Tuy nhiên, hầu hết các hệ thống đều dùng filter hoặc firewall để tránh khỏi kiểu tấn công này!

Winnuke

DoS attack này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x Hacker sẽ gởi các packets với dữ liệu "Out of Band" đến cổng 139 của máy tính đích Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các packets có cờ OOB được bật(OOB là chữ viết tắt của Out Of Band) Khi máy tính đích nhận được packets này, một màn hình xanh báo lỗi sẽ đến với nạn nhân do chương trình của Windows đã nhận được các packets này, tuy nhiên nó lại không biết được cần phải đối xử với các dữ liệu Out Of Band như thế nào nữa dẫn đến hệ thống sẽ bị crash

+ Mỗi mạng máy tính đều có địa chỉ broadcast và địa chỉ mạng Địa chỉ broadcast

cú cỏc bit host đều bằng 0 và địa chỉ broadcast cú cỏc bit host đều bằng 1

Vớ dô địa chỉ IP lớp B 140.179.220.200 sẽ có địa chỉ mạng là 140.179.0.0 và địa chỉ broadcast mặc định là 140.179.0.0 Khi một packet được gởi đến địa chỉ broadcast, lập tức packet này sẽ được chuyển đến tất cả cỏc mỏy trong mạng

Trong Smurf Attack, cần có ba thành phần: hacker(người ra lệnh tấn công), mạng khuếch đại(sẽ nghe lệnh của hacker) và là hệ thống nạn nhân Hacker sẽ gởi các ICMP echo request packets đến địa chỉ broadcast của mạng khuếch đại Điều đặc

biệt là các ICMP echo request packets này có địa chỉ IP nguồn chính là địa chỉ IP

của nạn nhân Khi các packets đã đến được địa chỉ broadcast của mạng khuếch đại, lập tức tất cả các máy tính trong mạng khuếch đại sẽ nhận được các packets này Cỏc mỏy này tưởng rằng máy tính nạn nhân đã gởi ICMP echo request packets đến(do hacker đã làm giả địa chỉ IP nguồn), lập tức chóng sẽ đồng loạt gởi trả lại hệ thống nạn nhõn các ICMP reply echo request packets Hệ thống máy nạn nhân sẽ không chịu nỗi một khối lượng khổng lồ các packets này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot Như vậy, chóng ta có thể thấy rằng hacker chỉ cần gởi một lượng nhỏ các ICMP echo request packets đi, và hệ thống mạng khuếch đại sẽ khuếch đại lượng ICMP echo request packets này lên gấp bội Tỉ lệ khuếch đại phụ thuộc vào số mạng tớnh cú trong mạng khuếch đại Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các packets đến địa chỉ broadcast và không lọc địa chỉ nguồn của các outgoing packets

Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trờn cỏc hệ thống cần tấn công

Tấn công DNS

Hacker cụ thể đổi một entry trên Domain Name Server của hệ thống nạn nhân chỉ đến một website nào đã của hacker Khi client yêu cầu DNS phân tích địa chỉ www.company.com thành địa chỉ IP, lập tức DNS(đó bị hacker thay đổi cache tạm thời) sẽ đổi thành địa chỉ IP của www.hacker.com Kết quả là thay vì phải vào http://www.company.com/ thỡ cỏc nạn nhân sẽ vào http://www.hacker.com/ Một cách tấn công từ chối dịch vụ thật hữu hiệu!

Distributed DoS Attacks

Phương pháp tấn công DoS hay còn gọi là DDoS yêu cầu phải có Ýt nhất vài hackers cùng tham gia Đầu tiên các hackers sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đã cài lờn cỏc hệ thống này chương trình DDoS server Bây giờ các hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đã đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân

Các công cụ DDoS Attack

Hiện nay có hai công cụ mà các hackers thường dùng để tiến hành DDoS Attack

Đã là Tribe Flood Network(TFN2K) và Stacheldraht Stacheldraht mạnh hơn TF2K, dùng TCP và ICMP ECHO_REPLY, không dùng UDP nhưng cú thờm chức năng bảo mật rất đáng tin cậy

III.Tìm hiểu đầy đủ về tràn bộ đệm

Tràn bộ đệm là một trong những lỗ hổng bảo mật lớn nhất hiện nay Vậy tràn bộ đệm là gì? Làm thế nào để thi hành các mã lệnh nguy hiểm qua tràn bộ đệm ?

Sơ đồ tổ chức bộ nhớ của một chương trình

- LIFO) Các giá trị được đẩy vào stack sau cùng sẽ được lấy ra khỏi stack trước tiên

PUSH và POP

Stack đổ từ trên xuống duới(từ vùng nhớ cao đến vùng nhớ thấp) Thanh ghi ESP luôn trỏ đến đỉnh của stack(vựng nhớ có địa chỉ thấp)

Đỉnh của bộ nhớ / -\ Đáy của stack

| | | | < ESPĐáy của bộ nhí \ -/ Đỉnh của stack

* PUSH một value vào stack

Đỉnh của bộ nhớ / -\ Đáy của stack

| | | | <- ESP cò

| -|

(2) -> value | <- ESP mới = ESP cò - sizeof(value) (1) Đáy của bộ nhí \ -/ Đỉnh của stack1/ ESP=ESP-sizeof(value) 2/ value được đẩy vào stack

* POP một value ra khỏi stack

Đỉnh của bộ nhớ / -\ Đáy của stack

| |

| |

| |

| | | | <- ESP mới = ESP cò + sizeof(value)(2)

| -|

(1) <- value | <- ESP còĐáy của bộ nhí \ -/ Đỉnh của stack1/ Value được lấy ra khỏi stack

2/ ESP=ESP+sizeof(value)

Khác nhau giữa các lệnh hợp ngữ AT&T với Intel

Khác với MSDOS và WINDOWS, *NIX dựng cỏc lệnh hợp ngữ AT&T Nã hoàn toàn ngược lại với chuẩn của Intel/Microsoft

Ví dụ:

mov eax, esp movl %esp, %eax

mov [esp+5], eax movl %eax, 0x5(%esp)

* Ghi chó:

e - Extended 32 bits% - registermov %src, %desmovl - move 1 longmovb - move 1

Cách làm việc của hàm

Thanh ghi EIP luôn trỏ đến địa chỉ của câu lệnh tiếp theo cần thi hành Khi gọi hàm, đầu tiên các tham số được push vào stack theo thứ tự ngược lại Tiếp theo địa chỉ của câu lệnh được push vào stack Sau đã, thanh ghi EBP được push vào stack(dựng để lưu giá trị cũ của EBP) Khi kết thóc hàm, thanh ghi EBP được pop

ra khỏi stack(phục hồi lại giá trị cũ của EBP) Sau đã địa chỉ trở về(ret address) được pop ra khỏi stack và lệnh tiếp theo sau lời gọi hàm sẽ được thi hành Thanh ghi EBP được dùng để xác định các tham số và các biến cục bộ của hàm

Ví dụ: test.c