Phân tích các đặc điểm : Khoá học Tactical Perimeter Defense, bạn thực hiện việc bắt gói tin và dùngnhững công cụ phát hiện xâm nhập, như là Snort.. Trong việc phân tíchcác đặc điểm, bạn
Trang 1Mạng Máy Tính & Truyền Thông 03
-o0o -BÁO CÁO Môn Học: Ứng Dụng Truyền Thông & An Toàn Thông Tin
Đề Tài: Phân Tích Đặc Điểm Gói Tin
-Analyzing Packet Signatures
Giáo Viên hướng dẫn:
Th.sĩ: Tô Nguyễn Nhật Quang
SV thực hiện :
Nguyễn Thành 08520347 Nguyễn Hữu Ru 08520582
Trang 2Mục Lục
I Tổng quan về phân tích đặc điểm của gói tin: 4
II Phân tích các đặc điểm : 4
III Common Vulnerabilities and Exposures – CVE : 6
IV Đặc điểm các cuộc tấn công: 8
Khai thác các lỗi thông thường : 8
1 CGI Script: 8
2 Tấn công Web Server: 9
3 Tấn công Web Browser: 10
4 Các tấn công vào SMTP(SendMail) 11
5 Tấn công IMAP : 11
6 IP Spoofing : 11
7 Tràn bộ đệm : 12
8 DNS Cache Poisoning: 12
9 Các hình thức quét do thám phổ biến 12
10 Ping Sweeps : 12
11 Quét port : 12
12 Quét user account : 13
13 Tấn công từ chối dịch vụ (DoS): 13
14 Ping of Death Attacks: 14
15 Tràn SYN (SYN Floods) : 14
16 Land Attack : 14
17 WinNuke Attacks : 14
V Các dấu hiệu của lưu lượng bình thường : 14
1 Snort Logs : 15
Trang 32 Các dấu hiệu của gói tin Ping : 17
3 Các dấu hiệu của gói tin Web 21
4 Các dấu hiệu của gói tin FTP : 23
5 Các dấu hiệu của gói tin Telnet : 25
VI Đặc điểm các lưu lượng bất thường : 27
1 Ping Sweeps: 27
2 Quét port: 28
3 Đặc điểm của Backdoor và Trojan Horse: 29
4 Quét với công cụ Nmap : 32
5 Quét Ack bằng Nmap : 33
6 Quét Syn với Nmap: 33
7 Quét Fin với Nmap 34
8 Quét XMAS với Nmap : 35
9 Quét Null bằng Nmap : 36
Trang 4I Tổng quan về phân tích đặc điểm của gói tin:
Trong bài này bạn sẽ được giới thiệu về khái niệm cốt lõi của việc phân tích góitin, bao gồm những việc được chỉ định cho phép và không cho phép sử dụng trênmạng Bạn sẽ kiểm tra chi tiết cả 2 phần header và payload của một số loại gói tin
Mục đích : để phân tích các dấu hiệu của gói tin TCP/IP, trong bài này gồm các
nội dung sau
A Mô tả khái niệm của việc phân tích đặc điểm gói tin TCP/IP.
Bạn sẽ mô tả các khái niệm về thực hiện phân tích các dấu hiệu ở các cấp củagói tin trong môi trường mạng
B Mô tả lợi ích của các chuẩn CVE.
Bạn sẽ kiểm tra chức năng cơ bản của các chuẩn CVE, và lợi ích của nó đối với các chuyên gia an ninh mạng
C Xem xét các khái niệm về các đặc điểm chính của các lưu lượng có hại.
Bạn sẽ xem xét các khái niệm của các đặc điểm để xác định nhiều loại truy cập mạng nguy hại
D Kiểm tra và xác định đặc điểm của các truy cập thông thường mạng TCP/IP.
Bắt lấy gói tin trên đường truyền mạng, bạn sẽ kiểm tra và xác định đặc điểmcủa các gói tin với hành vi truy cập mạng bình thường
E Kiểm tra và xác định đặc điểm của các truy cập bất thường trên mạng TCP/IP.
Bắt lấy gói tin trên đường truyền mạng, bạn sẽ kiểm tra và xác định các đặc điểm gói tin với hành vi truy cập mạng bất thường
II Phân tích các đặc điểm :
Khoá học Tactical Perimeter Defense, bạn thực hiện việc bắt gói tin và dùngnhững công cụ phát hiện xâm nhập, như là Snort Những công cụ tiêu biểu nàyđược thiết kế để giúp cho công việc phát hiện xâm nhập Nhưng bạn muốn tìmhiểu kỹ về cái gì? Và bắt đầu từ đâu?
Bạn biết là những công cụ đó có thể thực hiện việc bắt các gói tin Nhưng, nếubạn thật sự muốn tìm hiểu kỹ việc phát hiện xâm nhập, bạn sẽ phải kiểm tratừng gói tin, cũng như một nhóm các gói tin hay toàn bộ Chỉ như vậy thì bạn
Trang 5mới có một nền tảng vững chắc về phát hiện xâm nhập Trong việc phân tíchcác đặc điểm, bạn sẽ nhìn thẳng vào mỗi gói tin, và phân tích chi tiết chúng.Trước khi bạn nhận định đúng các gói tin, bạn phải có một nền tảng Các kháiniệm trong việc phân tích các đặc điểm phải được làm sáng tỏ trước khi bạn bắtđầu thực hiện việc đó.
Phân tích đặc điểm gói tin là gì?
Trong bài trước, bạn xem xét cấu trúc của gói tin truyền đi được thực hiện với giao thức TCP/IP Những tài liệu RFC là những quy tắc chuẩn giúp cho các kỹ thuật viên xây dựng hệ thống TCP/IP của họ có thể liên kết được các hệ thống
và thiết bị khác nhau Giao tiếp giữa bất kỳ hai máy phải tuân thủ theo một số quy tắc được xác định , rất nhiều quy tắc trong số đó trở thành các mô hình mẫu Các mô hình mẫu có thể được xếp thành mục, và thường được gọi là đặc điểm mẫu Khi bạn bắt được gói tin, bạn có thể xác định được thông tin liên lạcdiễn ra giữa hai hay nhiều máy với nhau
Mục tiêu của phân tích các đặc điểm:
Hầu như tất cả mọi người sử dụng máy tính để giao tiếp hợp pháp, bạn không
có nhu cầu thực tế cho việc phân tích các đặc điểm, ngoài việc xử lý sự cố,giám sát băng thông, V.V… Tuy nhiên, có rất nhiều người dùng với mục đíchxấu, sử dụng tính công khai và sự tiện lợi của giao thức TCP/IP để phá hoại vàlàm tổn hại đến hệ thống hoặc toàn bộ các mạng Vì vậy, mục tiêu của việcphân tích các đặc điểm là để phân biệt được các hoạt động nguy hại và cố gắngtheo dõi những kẻ tấn công
Các file log (nhật ký) của ứng dụng:
Tùy thuộc vào các công cụ được sử dụng và cách thức chúng thực hiện trongmột khoảng thời gian, một số lượng lớn dữ liệu có thể được thu thập Nó sẽ là
vô cùng khó khăn để tìm dữ liệu có liên quan để trao đổi thông tin cụ thể nếuphiên làm việc không ghi quá trình Do đó, khai thác file log là một phần củaphân tích hoạt động mạng
Làm thế nào để bắt chụp các gói tin:
Một số công cụ miễn phí có sẵn giúp cho việc thu thập các bản ghi gói tin từmạng, ngoài Window’s Network Monitor and Wireshark Tcpdump với phiênbản chạy trên nền Windows là Wimdump, là một trong những công cụ được sửdụng rộng rãi nhất Nó không cung cấp cách thức để xem các phần dữ liệu củacác gói tin bắt được, nhưng nó cho phép xuất ra đầy đủ các gói tin bắt đượctrong định dạng hệ thập lục phân Có một vài chương trình được viết ra để thực
Trang 6hiện việc chuyển đổi các chùm gói tin dạng thập lục phân từ Tcpdump thànhvăn bản mã ASCII có thể đọc được, chẳng hạn như sniffit hoặc tcpshow, cungcấp một bản tổng hợp các header của gói tin và cho phép người dùng xem phầnvăn bản định dạng mã ASCII của mỗi gói tin của dữ liệu.
III Common Vulnerabilities and Exposures – CVE :
Bạn có thể nhớ lại kiến thức trong khóa học Hardening the Infrastructure, CVE
là một danh sách các tên tiêu chuẩn cho các lỗ hỏng và các lỗi bảo mật khác.CVE nhằm mục đích chuẩn hóa tên cho tất cả các lỗ hỏng công khai và các lỗibảo mật Để biết chi tiết hơn, bạn nên truy cập vào trang web CVE tạiwww.cve.mitre.org/about
Mục tiêu của CVE là tạo nên sự dễ dàng cho việc chia sẻ dữ liệu thông qua các
cơ sở dữ liệu về lổ hổng riêng biệt và các công cụ bảo mật Trong khi CVE cóthể tạo nên sự dễ dàng trong việc tìm kiếm, nghiên cứu thông tin trong cơ sở
dữ liệu khác thì CVE không nên được xem như là một cơ sở dữ liệu về lỗ hổngcủa chính nó
CVE là một cộng đồng có ảnh hưởng rộng rãi, nội dung của CVE là một kết quả của một nỗ lực hợp tác của các thành viên CVE Các thành viên bao gồm các đại diện từ nhiều tổ chức bảo mật liên quan như các nhà cung cấp công cụ bảo mật, các trường đại học, và chính phủ, cũng như các chuyên gia bảo mật nổi tiếng khác Tổng công ty Mitre hỗ trợ, duy trì CVE và điều phối các cuộc hôi thảo của các thành viên CVE
Phân loại CVE:
Phiên bản CVE hiện nay là 20010507 Trong đó, tất cả các lỗ hỏng đã biếtđược liệt kê bằng một con số duy nhất và bất kỳ tài liệu tham khảo có liênquan tới lỗ hỏng được áp dụng Tên CVE bao gồm:
Tên (cũng được gọi như là một con số) là một mã của năm và một số n duynhất cho các ứng cử viên thứ n được đề xuất trong năm đó Ví dụ, tên CVE
là CVE-1999-0067 là ứng cử viên 67 từ năm 1999
Một mô tả ngắn gọn về các lỗ hổng và lỗi bảo mật
Bất kỳ tài liệu tham khảo thích hợp
Các minh họa sau đây cho thấy một vài phân loại lỗ hỏng, đây chỉ là một vài ví
dụ mà bạn sẽ thấy khi bạn truy cập vào các trang web
Trang 7Hình 8-1: Biểu diễn CVE cho một hệ thống tập tin mạng (NFS) có lỗ hỏng tràn
Trang 8IV Đặc điểm các cuộc tấn công:
Việc phân tích các đặc điểm đòi hỏi sự hiểu biết các phương thức tấn côngthường được sử dụng Từ phương pháp ping cơ bản đến quét port, tấn công từ
chối dịch vụ đến tấn công toàn bộ (full attempt) và truy cập trái phép(unauthorized access) hoặc thỏa hiệp hệ thống (system compromise) Các
đặc điểm tấn công được phân chia làm 3 loại:
Exploit
Reconnaissance scan
Tấn công DoS
Khai thác các lỗi thông thường :
Phần này đề cập đến một số kiểu khai thác lỗi rất phổ biến trong thế giới mạng Nhiều loại trong đó đã trở nên quen thuộc như bạn kiểm tra một cuộc tấn công phổ biến và khai thác Từ các cuộc tấn công web để khai thácmail, bạn sẽ tìm được các cuộc tấn công đó là một phần trong việc phân tích đặc điểm các cuộc tấn công hàng ngày
1 CGI Script:
CGI (Common Gateway Interface) : là một phương thức mà web server
sử dụng để cho phép tương tác giữa server và client.
Bug: một đặc tính không mong muốn và không mong đợi của một chương trình hay phần cứng, đặc biệt là nguyên nhân làm cho nó trục trặc.
CGI Script: cho phép việc tạo ra các trang web động và tương tác Đó cũng là một phần dễ bị tổn thương nhất của máy chủ web (bên cạnh việc bảo mật bên dưới máy chủ).
Trang 9PHF: chương trình tập tin danh bạ điên thoại trình diễn mà hacker sử dụng để được truy cập vào một hệ thống máy tính và có khả năng đọc
và nắm bắt mật khẩu file.
Chương trình CGI là một chương trình nổi tiếng không an toàn Các
lỗ hổng bảo mật điển hình bao gồm truyền nhiễm trực tiếp vào lệnh shell thông qua việc sử dụng siêu kí tự shell, dùng các biến ẩn xác định bất kỳ tên tập tin trên hệ thống và nếu không để lộ thêm về hệ thống thì tốt hơn Lỗi CGI nổi tiếng nhất là thư viện vận chuyển PHF với NCSA httpd Thư viện PHF yêu cầu cho phép máy chủ phân tích cú pháp HTML, nhưng có thể được khai thác để cung cấp lại cho các tập tin bất
kì Các tập lệnh CGI nổi tiếng khác mà những kẻ xâm nhập có thể cố gắng khai thác là TextCounter, GuestBook , EWS, info2www,
Count.cgi, handler, webdist.cig, php.cig, files.pl, test-cgi, publish, AnyForm, and FormMail Nếu bạn nhận thấy một ai đó cố gắngtruy cập một hay tất cả những tập lệnh CGI khi bạn không dùng đến, đó
nph-là dấu hiệu rõ ràng của một nỗ lực xâm nhập, giả sử bạn không có một phiên bản cài đặt mà bạn thực sự muốn sử dụng
2 Tấn công Web Server:
Ngoài việc thực hiện các chương trình CGI, web server còn có các lổhổng khác Một số lượng lớn máy chủ tự viết (bao gồm IIS 1.0 vàNetWare 2.x) có các lỗ hổng mà theo đó một tên file có thể bao gồmmột chuỗi / trong tên đường dẫn đến một nơi nào đó trong file hệthống, cho phép người dùng lấy file bất kì.Một lỗi phổ biến khác là làmtràn bộ nhớ đệm trong trường request hoặc một trong các trường HTTPkhác
Web server thường có các lỗi liên quan đến sự tương tác của nó với hệthống điều hành cơ bản Một lỗi cũ trong các giao dịch Microsoft IISvới thực tế các tập tin có 2 tên, một tên tập tin dài, và một chuỗi bămngắn mà đôi lúc có thể được truy cập bằng cách vượt quyền NTFS cómột tính năng gọi là Chuỗi Dữ Liệu Thay Thế (Alternate Data Stream)tương tự như dữ liệu Macintosh và các nguồn tài nguyên phân nhánh.Bạn có thể truy câp một file thông qua chuỗi tên của nó được gắn vào ::
$DATA để xem một một tập lệnh hơn là chạy nó
Các server từ lâu đã có vấn đề với các URL Ví dụ như vấn đề “chết bởinghìn gạch chéo” trong các phiên bản cũ của Apache Web Server sẽ làmcho CPU tải lớn như các server cố gắng xử lý mỗi thư mục trong mộtnghìn gạch chéo URL
Trang 103 Tấn công Web Browser:
Có vẻ như tất cả web browser của Microsoft hay Netcape đều có những
lổ hổng bảo mật Nó bao gồm cả các hình thức tấn công URL, HTTP,HTLM, JavaScript, Frames, Java, và Active-X
Trường URL có thể là nguyên nhân tràn bộ nhớ đệm quyết định bởi: khichúng được phân tách trong phần HTTP header, khi được hiển thị trênmàn hình, hoặc khi được xử lý trong một số dạng (như lưu trong lịch sử
bộ nhớ cache) Ngoài ra, một lỗi cũ với Internet Explorer cho phéptương tác với một lỗi mà nhờ đó trình duyệt thực thi các lệnh LNK hayURL
Phần HTTP header có thể được dùng để khai thác bởi vì một số trườngđược thông qua hàm mà chỉ mong đợi một số thông tin HTML có thểthường được khai thác giống như tràn MIME-type trong các lệnh nhúngNetscap Communicator
JavaScript là điểm tấn công ưa thích trong nhiều năm, và những kẻ tấncông thường thử phân tích các hàm Upload File bằng cách tạo ra mộttên file và tự động ẩn đi nút SUBMIT Có nhiều biến thể của lỗi này,với nhiều bản vá đã tìm thấy nhưng sau đó lại bị phá vỡ bởi các cáchkhác
Các Frame cũng thường được sử dụng như một phần trong việc hackJavaScript hay Java (ví dụ như ẩn trang web trong một-điểm-ảnh-bởi-một-điểm-ảnh cỡ màn hình), nhưng chúng hiện là một vấn đề đặc biệt
Ví dụ như một kẻ tấn công có thể chèn đến một site đáng tin cậy mà sửdụng các frame, sau đó thay thế một số frame đó với trang web từ cácsite của họ, và các site đó sẽ xuất hiện đến user cuối cùng đến phần củasite từ xa đó
Java có một mô hình bảo mật mạnh mẽ, nhưng mô hình đó đã đượcchứng minh vẫn thường có lỗi (mặc dù nó đã được chứng minh là mộttrong những yếu tố an toàn nhất của toàn bộ hệ thống) Hơn nữa, sự bảomật mạnh mẽ có thể phá hoại; bình thường Java applet không có quyềntruy cập vào hệ thống địa phương, nhưng đôi khi nó sẽ hữu ích hơn nếu
có quyền đó Do đó, việc thực hiện các mô hình tin cậy có thể dễ dàng
bị hack
ActiveX cũng nguy hiểm như Java, kể từ khi nó hoạt động hoàn toàn từ một mô hình tin cậy và chạy mã nguồn gốc Thậm chí bạn có thể vô tìnhbắt một virus đã được nhúng ngẫu nhiên vào một số mã của nhà cung cấp
Trang 114 Các tấn công vào SMTP(SendMail)
SendMail là một chương trình cực kì phức tạp và được sử dụng rộng rãi,
và như một hệ quả nó trở thành nguồn thường xuyên của các lỗ hổngbảo mật Trong những năm trước (Morris Worm ‘88), hacker sẽ lợidụng lỗ hổng trong các lệnh DEBUG hay tính năng ẩn WIZ để phá vỡSMTP Trong thời điểm đó, chúng thường cố gắng làm tràn độ đệm.SMTP cũng có thể được khai thác trong các cuộc tấn công do thám, nhưviệc sử dụng lệnh VRFY để tìm các tên user
5 Tấn công IMAP :
Người dùng lấy lại mail từ các server thông qua giao thức IMAP (trong khi ngược lại, SMTP chuyển mail giữa các máy chủ) Hacker đã tìm thấy một số lỗi trong những server IMAP phổ biến
6 IP Spoofing :
Đó là một chuỗi các tấn công mà lợi dụng khả năng giả mạo (hay đánhlừa) của địa chỉ IP Trong khi địa chỉ nguồn gửi cùng với mỗi gói IP,thực sự nó không dùng cho việc định tuyến Điều này có nghĩa những
kẻ xâm nhập có thể giả mạo bạn khi giao tiếp với server Những kẻ xâmnhập không bao giờ thấy những gói trả về khi máy tính của bạn còn làmviệc, nhưng nó ném chúng đi bởi vì chúng không phù hợp với bất kì yêucầu nào mà bạn đã gửi Những kẻ xâm nhập sẽ không nhận được dữliệu từ cách này, nhưng có thể gửi các lệnh đến server để giả mạo bạn.Giả mạo IP thường được sử dụng như một phần của cuộc tấn công khácnhư:
- Các cuộc tấn công Smurf: trong các cuộc tấn công Smurf, địa chỉ nguồn của một vùng quảng bá ping được giả mạo, thế nên một số lượng khổng lồ của các thiết bị trả lời lại với một nạn nhân được chỉ định, làm cho nó quá tải
- Dự đoán số sequence number TCP: khi mở một kết nối TCP, máy tính bạn sẽ lựa chọn số sequence number kết thúc Và server phải lựachọn một số sequence number cho kết thúc đó Các ngăn xếp TCP
cũ sẽ dự đoán một số sequence number, cho phép những kẻ xâm nhập tạo ra một kết nối TCP từ việc giả mạo địa chỉ IP (mà sẽ khôngbao giờ nhìn thấy gói tin trả về) có thể bỏ qua an ninh
- Nhiễm độc DNS thông qua dự đoán sequence number: DNS server phân giải tên DNS theo kiểu đệ quy Do đó, các DNS server thỏa mãn client yêu cầu nó và trở thành client cho server tiếp theo trong chuỗi đệ quy Sequence number là số mà nó dùng để dự đoán, vậy
Trang 12nên một kẻ xâm nhập có thể gửi yêu cầu đến DNS server và một phản ứng về server giả mạo từ server tiếp theo trong cái chuỗi đó.
- Trạng thái tràn xảy ra khi một cái tên DNS quá dài được cung cấp
8 DNS Cache Poisoning:
Bất kì gói DNS nào cũng bao gồm phiên Hỏi và Trả lời Những server
dể bị tấn công sẽ tin những câu trả lời mà bạn gửi cùng với câu hỏi Hầuhết, nhưng không phải tất cả, lỗ hổng server DNS đã được vá vào tháng
11 năm 1998
9 Các hình thức quét do thám phổ biến
Nhiều kẻ tấn công bắt đầu với một ít hay không có kiến thức bên trong các phiên làm việc của mạng mục tiêu Nếu họ có ý muốn tạo tiến trình quan trọng để thâm nhập vào hệ thống, họ phải tìm hiểu các chi tiết bên trong
10 Ping Sweeps :
Cách quét đơn giản này có thể ping đến một chuỗi địa chỉ IP để tìm các thiết bị có tồn tại Một chương trình quét tinh vi hơn sẽ sử dụng các giaothức khác (chẳng hạn như SNMP) để làm việc tương tự
11 Quét port :
Quét mở (lắng nghe) port là hành động thăm dò thông thường khác Cácport quét thông thường bao gồm:
- Quét thăm dò TCP mở (lắng nghe) cổng TCP, tìm kiếm các dịch vụ
mà những kẻ xâm nhập có thể khai thác Quá trình quét có thể sửdụng kết nối TCP bình thường, hoặc có thể quét tàn hình sử dụng kếtnối haft-open (để ngăn ngừa đăng nhập), hoặc ngay cả quét FIN(không bao giờ mở một cổng, để lắng nghe việc đăng nhập) Việcquét có thể thực hiện tuần tự, ngẫu nhiên hoặc được cấu hình danhsách các port
- Quét UDP có một chút khó khăn bởi vì UDP là một giao thức phikết nối Phương pháp đó là gửi một gói tin UDP rác vào cổng mongmuốn Hầu hết các thiết bị sẽ trả lời với một tin ICMP Destination
Trang 13Port Unreachable, để chỉ rằng không có dịch vụ nào đang lắng nghetrên port đó Tuy nhiên, có nhiều máy điều tiết các tin nhắn ICMP,
do đó bạn không thể làm điều này rất nhanh
- Quét nhận dạng hệ điều hành làm việc bằng cách gửi các gói ICMP hay TCP bất hợp pháp giúp cho kẻ xâm nhập nhân dạng hệ điều hành đang chạy trên mục tiêu Các tiêu chuẩn thường nêu rõ việc trả lời các gói tin hợp pháp như thế nào, do đó mà các thiết bị có xu hướng thống nhất trong các hồi đáp của chúng để đầu vào hợp lệ Tiêu chuẩn bỏ qua (thường là tiêu chuẩn quốc tê) những đáp ứng không hợp lệ, do đó mỗi hệ điều hành có cách trả lời riêng đối với
dữ liệu đầu vào không hợp lệ tạo thành một chữ kí mà hacker có thể
sử dụng để tìm ra máy mục tiêu Loại hoạt động này xẩy ra ở mức độthấp (giống như quét TCP tàn hình) mà hệ thống không đăng nhập
12 Quét user account :
Sau khi một kẻ tấn công nắm bắt được chi tiết của mạng, chẳng hạn nhưđịa chỉ IP và các port mở, hay là nhiều hơn Các thông tin bổ sung này
có thể tập trung vào các tài khoản người dùng, tổ chức Các tùy chọn khác nhau mà kẻ tấn công có thể cố gắng để thực hiện là:
- Cố gắng đăng nhập vào các tài khoản khác nhau
- Cố gắng đăng nhập vào các tài khoản không dùng password
- Cố gắng đăng nhập với các tài khoản mà password giống như
username, hoặc dùng từ password làm password.
- Cố gắng để đăng nhập với các tài khoản mặc định có sẳn từ khi sản xuất (phổ biến trên Microsoft cũng như Linux, được tạo bởi nhà sản xuất và chạy ngầm dưới tài khoản người dùng)
13 Tấn công từ chối dịch vụ (DoS):
Một kẻ tấn công có thể không được quan tâm đến trong việc chiếm quyền truy cập(gaining access) hay hệ thống thỏa hiêp (system compromise) Nếu trong trường hợp đó thì tấn công từ chối dịch vụ có thể là sự lựa chọn của một kẻ tấn công Kĩ thuật tấn công từ chối dịch vụđược liệt kê trong phần này
14 Ping of Death Attacks:
Một trong kĩ thuật Dos hiển nhiên nhất là Ping of Death Mục tiêu trướctiên của nó là các thiết bị Microssft, nhưng các phiên bản hiện tại của hệđiều hành Windows không còn dể bị tổn thương cho kiểu tấn công này.Ping of Death gửi một đoạn không hợp lệ, bắt đầu lúc chưa kết thúc góitin và trải dài đến cuối cùng của gói tin đó Một biến thể của Ping of
Trang 14Death là gửi những gói tin bình thường với kích thước lớn, do đó máytính tiếp nhận không thể xử lý luồng đi vào dẫn đến tắt máy.
15 Tràn SYN (SYN Floods) :
Trong việc tràn SYN, kẻ tấn công gửi các gói SYN TCP ( bắt đầu kết nối) rất nhanh, để lại nạn nhân chờ đợi để hoàn thành số lượng lớn các kết nối, khiến cho nó hết tài nguyên và loại bỏ các kết nối hợp pháp Một cách phòng chống lại kiểu tấn công này là SYN cookies Mỗi bên của một kết nối có số thứ tự của riêng mình Trong phản hồi đến một SYN, một thiết bị tấn công tạo ra một số thứ tự đặc biệt là cookie của một kết nối, và sau đó quên đi mọi thứ nó biết về kết nối đó Nó có thể tái tạo thông tin bị lãng quên về kết nối đó khi gói tin đến từ một kết nốihợp pháp
16 Land Attack :
Land Attack là khi một kẻ tấn công gửi một gói SYN giả mạo đến mụctiêu, với nguồn giống nhau và địa chỉ IP đích và nguồn giống nhau vớicác port đích, vì vậy hệ thống đi vào một vòng lặp vô hạn cố gắng đểhoàn thành kết nối TCP
17 WinNuke Attacks :
Trong tấn công WinNuke, kẻ tấn công gửi dữ liệu OOB/URG trên kết nối TCP ở port 139 (NetBIOS Sesion/SBM), là nguyên nhân hệ thống Windows bị treo Loại tấn công này bình thường trên các phiên bản Windows cũ, nhưng các phiên bản mới hơn chẳng hạn như Windows
2000, 2003 và XP không còn dể bị tổn thương để tấn công
V Các dấu hiệu của lưu lượng bình thường :
Không phải tất cả các dấu hiệu đều được xem như một sự đe dọa trong mạng Mộtnhà phân tích tốt phải có khả năng định nghĩa được những lưu lượng bình thường
và phải phân biệt được với những lưu lượng bất thường khác Việc học hỏi cáchphân chia các lưu lượng riêng biệt, có ích từ một lưu lượng hỗn hợp, không có giátrị cần phải được cải thiện như là một kỹ năng quan trọng để có được những thôngtin hữu ích khi tìm kiếm thông qua các file log trong và sau khi các cuộc tấn côngxảy ra
Phần này sẽ mô tả một vài loại dấu hiệu quen thuộc trong những lưu lượng mạng thường ngày Ví dụ như ping, web browsing, FTP và các phiên kết nối telnet Các gói tin minh họa được lưu trong đĩa CD của chương trình học
Trang 151 Snort Logs :
Tất cả các dấu hiệu được ghi nhận bằng việc sử dụng Snort – một tiện ích ghilại log TCPDump là một tiện ích khác được dùng để phân tích các loại gói tin,
và trong khóa học Tactical Perimeter Defense, chúng ta sẽ làm việc với công
cụ Wireshark và Network Monitor Để có thể nhận biết các dấu hiệu và bắtđược các gói tin, bạn cần phải xác định được vùng để bắt gói tin và dùng công
cụ gì
Ví dụ sau sẽ đưa ra định dạng cơ bản của một gói tin được bắt bằng Snort và sựphân chia các thành phần trong gói tin Hình 8.4 đưa ra thông tin về gói tin ICMP bắt được, hình 8.5 đưa ra thông tin về gói tin TCP bắt được
Hình 8.4 được tạo ra bằng cách sử dụng chức năng ghi log của Snort bao gồm
cả phần header và phần mang thông tin
Hình 8.5 sẽ trình bày thông tin cả phần header và phần thông tin của gói tin TCP Trong trường hợp này, gói tin là một yêu cầu đến một website Sự khác biệt trong gói tin này là các trường như flags, Time To Live, Sequence và Acknoledgement đều được đặt các giá trị
Trang 162 Các dấu hiệu của gói tin Ping :
Một trong những tiện ích được sử dụng nhiều nhất trên mạng là ping hay còn gọi là ICMP ECHO và ICMP ECHO REPLY Vì vậy, chúng tôi khuyến cáo các học viện của SCNP nên đọc các RFCs về TCP, IP, UDP và TCP
ICMP ECHO REQUEST
Trang 17Trong hình 8.6, bạn có thể xác định được vài thông tin để quyết định các dấu hiệu của gói tin Ví dụ như:
a Trường Time To Live có giá trị là 128 Mặc dù giá trị được gán bởi chínhmáy gửi sẽ không có những nhận định chính xác nhưng ta có thể đoán đượcgói tin xuất phát từ một máy tính theo kiến trúc của Micosoft (vì các máytheo kiến trúc Microsoft thường gán trường TTL là 128)
b Quan sát trường IP Header Length (IpLen) và Datagram Length (DgmLen).Trường IpLen được gán là 20 bytes, điều này thích hợp với nhiều loại hệđiều hành, bao gồm cả Microsoft và Linux Tuy nhiên, trường DgmLenđược gán là 60 bytes, điều này có thể khẳng định là gói tin đến từ một máytheo kiến trúc Microsoft
c Phấn thứ hai của hai gói tin xác định phần bắt đầu của dữ liệu gói tin củacác máy theo kiến trúc Microsoft Đối với các máy này thì trường sequencecủa gói tin ICMP ECHO REQUEST dùng các kí tự alphabet, bắt đầu từ ađến w Gói tin trên tuân theo quy luật này
d Cuối cùng, để quyết định loại máy phát sinh gói tin này, ta chú ý giá trị ID
và Seq Giá trị ID tăng từng đơn vị từ 9466 đến 9467 Điều này chỉ có ở window 2000 Tương tự, giá trị Seq tăng từng đơn vị, từ 34 đến 35 Điều này càng khẳng định gói tin xuất phát từ máy chạy hệ điều hành window 2000
Kết hợp các giá trị được cung cấp với những dấu hiệu của gói tin ICMP ECHOREQUEST, ta có thể biết được gói tin đến từ máy dùng window 2000 Xét một
ví dụ khác
Trang 18ICMP ECHO REPLY
Quan sát gói tin ICMP ECHO REPLY trong hình 8.7 (đây là gói tin trả lời cho các gói tin ICMP ECHO REQUEST trong hình 8.6), bạn có thể xác định các giá trị tương tự
a Các trường như IP Header Length, Datagram Length cho ta xác định mộtmáy window trả lời yêu cầu của gói tin ping
b Giá trị TTL và phần truyền tải thông tin của gói tin cũng cho biết việc trảlời đến từ một máy window
c Quan sát trường ID và Sequence ở phần cuối của gói tin trả lời yêu cầu, cóthể biết được gói tin được tạo bởi một máy window 2000
Xét một ví dụ khác:
