Bao cao thuc hanh an toan thong tin

báo cáo thực hành an toàn thông tin 1. Tấn công bắt gói tin ( sử dụng wireshark) 3 1.1. Phân tích gói tin bắt được: 3 1.2. Lọc theo luật các gói tin: 4 1.3. Phân tích quá trình bắt tay 3 bước theo giao thức TCP khi bắt đầu truy cập trang web 7 2. TẤN CÔNG BẺ KHÓA SỬ DỤNG CÔNG CỤ CAINABEL: 8 2.1. Khai thác chức năng Decoder: 8 2.1.1. Protected Storaged: 8 2.1.2. Wireless Passwords: 9 2.1.3. LSA Secrects: 10 2.1.4. IE 789 Passwords: 11 2.1.5. Windows Mail Passwords: 11 2.1.6. Edit Boxes: 12 2.1.7. Dialup Passwords: 12 2.1.8. Windows Vault: 13 2.1.9. Credential Manager: 13 2.1.10. Enterprise Manager: 14 2.2. Khai thác chức năng Network: Kết nối từ xa 14 2.3. Khai thác chức năng Cracker: 18 2.4. Chức năng Sniffer: bắt mật khẩu 19 3. QUÉT THÔNG TIN MÁY CHỦ 21

Trang 1

TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN

Tel (84-236) 3736949, Fax (84-236) 3842771Website: http://dut.udn.vn/khoacntt, E-mail: cntt@dut.udn.vn

BÁO CÁO THỰC HÀNH AN TOÀN THÔNG TIN

Giảng viên hướng dẫn: PGS.TS Nguyễn Tấn Khôi Sinh viên thực hiện : Hồ Anh Tuấn

Mã số sinh viên : 102150209

Lớp : 15T3

Trang 2

1 Tấn công bắt gói tin ( sử dụng wireshark) 3

1.1 Phân tích gói tin bắt được: 3

1.2 Lọc theo luật các gói tin: 4

1.3 Phân tích quá trình bắt tay 3 bước theo giao thức TCP khi bắt đầu truy cập trang web 7

2 TẤN CÔNG BẺ KHÓA SỬ DỤNG CÔNG CỤ CAIN&ABEL: 8

2.1 Khai thác chức năng Decoder: 8

2.1.1 Protected Storaged: 8

2.1.2 Wireless Passwords: 9

2.1.3 LSA Secrects: 10

2.1.4 IE 7/8/9 Passwords: 11

2.1.5 Windows Mail Passwords: 11

2.1.6 Edit Boxes: 12

2.1.7 Dialup Passwords: 12

2.1.8 Windows Vault: 13

2.1.9 Credential Manager: 13

2.1.10 Enterprise Manager: 14

2.2 Khai thác chức năng Network: Kết nối từ xa 14

2.3 Khai thác chức năng Cracker: 18

2.4 Chức năng Sniffer: bắt mật khẩu 19

3 QUÉT THÔNG TIN MÁY CHỦ 21

3.1 Công cụ GFI 21

3.2 Whois: 24

3.3 Nmap: 25

3.4 Nessus WX 25

3.5 Acunetix: 28

5 Xây dựng các luật cho Snort và thử nghiệm cho các kịch bản tấn công (PING, DoS, SQL Injection, ….) ……… 36

6 PHÂN TÍCH MÃ ĐỘC: 37

6.1 Dùng ProcessExplorer và TCPView v3.05: 37

6.1.1 ProcessExplorer: 37

Trang 3

Báo cáo Th c hành An toàn thông tin ực hành An toàn thông tin

7 Lab Windows Server Firewall 50

7.1 Cấu hình cơ bản 50

7.2 Mở giao thức ICMP cho phép Ping trên Windows 55

7.3 Hướng dẫn sử dụng windows firewall để block dải địa chỉ ip 60

7.4 Hướng dẫn mở port Windows Firewall 66

8 Bảo mật dữ liệu với OpenSSL: 70

Trang 4

1 Tấn công bắt gói tin ( sử dụng wireshark)

- Khởi động wireshark, chọn Card mạng Wireless để bắt gói tin:

- Giao diện xuất hiện như bên dưới:

1.1 Phân tích gói tin bắt được:

Trang 5

- Thông tin header của một packet:

- Mã số dưới dạng Hexadecimal hoặc ASCII:

1.2 Lọc theo luật các gói tin:

1.2.1 Theo giao thức:

- TCP:

- UDP:

Trang 6

- ICMP:

- HTTP:

- FTP:

Trang 7

1.2.2 Theo địa chỉ:

- Địa chỉ nguồn và đích (ip.addr)

- Địa chỉ nguồn ( ip.src):

- Địa chỉ đích (ip.dst):

Trang 8

1.3 Phân tích quá trình bắt tay 3 bước theo giao thức TCP khi bắt đầu truy cập trang web

-Mở trình duyệt truy cập vào một Website:

-Xem địa chỉ ip và mac của máy tính hiện hành:

Trang 9

-Kiểm tra các thông tin trong gói tin bao gồm địa chỉ IP, cổng TCP, cờ TCP

-Để dễ quan sát, ta chọn menu Statistics -> Flow Graph:

Giải thích:

a.Tại máy client hiện tại (192.168.1.119) gửi gói tin có cờ SYN = 1 (yêu cầu kết nối),

giá trị segment khởi đầu seg(client)=0

b.Máy chủ (23.15.155.27) đồng ý kết nối trả lời gói tin có cờ SYN = 1, ACK =1 và giá

trị seg(23.15.155.27) = 1, ack = seg(192.168.1.119) + 1 = 0+1 =2 (đã nhận gói tin 0 củamáy client và chờ gói tin 1)

c.Máy client xác nhận thiết lập kết nối trả lời gói tin có cờ ACK = 1; giá trị ack= seg

(192.168.1.119) + 1 = 0+1 =1 (nghĩa là đã nhận gói tin 0 của máy chủ và chờ gói tin 1)

2.TẤN CÔNG BẺ KHÓA SỬ DỤNG CÔNG CỤ CAIN&ABEL:

-Cain & Abel là chương trình tìm mật khẩu chạy trên hệ điều hành Microsoft Nó cho phép

dễ dàng tìm ra nhiều loại mật khẩu bằng cách dò tìm trên mạng, phá các mật khẩu đã mã hóa bằng các phương pháp Dictionary, Brute-Force and Cryptanalysis, ghi âm các cuộc đàm thoại qua đường VoIP, giải mã các mật khẩu đã được bảo vệ, tìm ra file nơi chứa mật

Trang 10

2.1.2 Wireless Passwords:

Trang 11

2.1.3 LSA Secrects:

Trang 12

2.1.4 IE 7/8/9 Passwords:

Trang 13

2.1.5 Windows Mail Passwords:

2.1.6 Edit Boxes:

Trang 14

2.1.7 Dialup Passwords:

2.1.8 Windows Vault:

Trang 15

2.1.9 Credential Manager:

2.1.10 Enterprise Manager:

2.2 Khai thác chức năng Network: Kết nối từ xa

B1: Chọn cấu hình card mạng:

Trang 16

B2: Sniffer địa chỉ MAC

Trang 17

Trang 18

B3: Chọn tab Network >Quick list:

Trang 19

B4: Bấm chuột phải chọn add to quick list rồi điền IP

Trang 20

2.3 Khai thác chức năng Cracker:

Trang 21

2.4 Chức năng Sniffer: bắt mật khẩu

B1: Chọn card mạng

B2: Bấm nút Start Sniffer rồi chuyển qua Tab Sniffer Tiếp theo bấm chuột phải để Scan MAC Addresses:

Trang 22

- Ta có được các địa chỉ IP và địa chỉ MAC

- Chuyển qua Tab APR ở góc dưới bên trái màn hình Bấm vào icon dấu cộng (+)

Trang 23

- Tiếp theo ta bấm vào nút Start ARP (Hình nuclear ) để bắt đầu:

- Chuyển qua Tab Passwords ở góc trái phía dưới màn hình: Ta có các Passwords

Trang 24

3 QUÉT THÔNG TIN MÁY CHỦ

3.1 Công cụ GFI

- Giao diện chính:

- Tiến hành quét máy tính

Trang 25

Trang 26

- Group and User:

- Thông tin thiết bị mạng :

Trang 27

- Thông tin các tiến trình đang chạy trên máy:

3.2 Whois:

Trang 28

3.4 Nessus WX

- Nessus là một công cụ quét lỗ hổng bảo mật độc quyền được phát triển bởi Công ty An

ninh mạng Tenable, được phát hành miễn phí cho việc sử dụng phi thương mại

- Theo cuộc khảo sát năm 2009 bởi sectools.org, Nessus là công cụ quét lỗ hổng bảo mật

nổi tiếng nhất thế giới, đứng đầu trong các năm 2000, năm 2003, và năm 2006 Công ty Tenable ước tính rằng trong năm 2005, có hơn 75.000 tổ chức trên toàn thế giới sử dụng Nessus

- Đầu tiên tạo một Quest mới:

Trang 29

Trang 31

3.5 Acunetix:

- Acunetix WVS là phần mềm quét lỗ hổng website hiệu quả nhất, nó kiểm tra tất cả

các lỗ hổng website bao gồm cả SQL Injection, Cross Site Scripting và quét nhiều nhiều lỗhổng website khác

Trang 32

- Mức độ bảo mật của trang web này là Medium.

- Cấu trúc của trang web:

- Các thông tin về lỗi cũng như các mối nguy hiểm đang gặp phải của trang web và các khuyến nghị về cách khắc phục

Trang 33

4 Multichain:

LAB 1

1 Tạo một blockchain trên Server thứ nhất

1.1 Tạo một blockchain mới với tên chainTuan01

1.2 Xem cài đặt mặc định của blockchain

Trang 34

- Khởi tạo blockchain, bao gồm các block gốc:

- Bạn nên được thông báo rằng máy chủ đã khởi động và sau vài giây, khối genesis

đã được tìm thấy Bạn cũng nên được cung cấp địa chỉ nút mà người khác có thể sửdụng để kết nối với chuỗi này

- Ghi lại địa chỉ nút của bạn Trong hình dưới đây, nó là:

Trang 35

- Quay lại máy chủ đầu tiên mchain11, thêm quyền kết nối cho địa chỉ này:

- Bây giờ hãy thử kết nối lại từ máy chủ thứ hai mchain12:

3 Một số lệnh trong chế độ tương tác

Trang 36

3.2 Xem danh sách tất cả các lệnh có sẵn: help

Trang 37

3.3 Hiển thị tất cả các quyền hiện được gán: listpermissions

- Tạo một địa chỉ mới trong ví: getnewaddress

3.4 Liệt kê tất cả các địa chỉ trong ví: getaddresses

3.5 Lấy thông số của blockchain này (dựa vào file params.dat): getblockchainparams

Trang 38

3.6 Nhận danh sách đỉnh được kết nối cho mỗi nút: getpeerinfo

LAB 2

1 Tạo một tài sản mới và gửi nó giữa các nút

Trên máy chủ đầu tiên, hãy lấy địa chỉ có quyền tạo tài sản: listpermissions issue

Trang 39

2 Tạo một tài sản mới trên một nút

Tạo một tài sản mới trên nút này với 1000 đơn vị, mỗi đơn vị có thể được chiathành 100 phần, gửi nó đến chính nó

3 Xác minh rằng tài sản có tên asset01 được liệt kê trên cả hai máy chủ: listassets

Trên máy mchain01:

Trên máy mchain02:

Trang 40

4 Kiểm tra số dư tài sản trên Server thứ nhất mchain11: gettotalbalances

Server thứ nhất mchain11 có 1000 đơn vị "asset01"

5 Kiểm tra số dư tài sản trên Server thứ hai mchain12: gettotalbalances

mchain12 không có bất kì "asset01" nào

6 Thêm quyền nhận và gửi.

5 Xây dựng các luật cho Snort và thử nghiệm cho các kịch bản tấn công (PING, DoS, SQL Injection, ….)

 DOS attack: Tại máy Linux chạy: hping3 -S -p 80 flood rand-source 192.168.1.2

Trang 41

Hình: Cảnh báo máy đang bị một cuộc tấn công DOS Attack.

Chức năng:

 Xem các quá trình theo cấu trúc cây

 Có khả năng hiện biểu tượng và tên nhà sản xuất của từng quá trình

 Có khả năng tạm dừng/tiếp tục một quá trình

 Diệt một cây quá trình

Trang 42

6.1.2 TCP View

Trang 43

Trang 44

6.2 OllyDBG_windows

 Mở file Easy_CrackMe:

Trang 45

 Chạy chương trình:

Tìm kiếm chuỗi Incorrect Password

Trang 46

Đoạn code sử dụng chuỗi Incorrect Password

Trang 47

Tìm đến câu lệnh JNZ đầu tiên

Trang 49

 Quan sát stack

Chuỗi “3456” và “5y” được đẩy vào stack trước khi thực hiện lệnh call

 Ấn F7 để thực hiện lệnh Call, quan sát stack

Trang 50

 Ấn F7, nhảy đến đoạn chương trình so sánh chuỗi 3 và 5

 Tiếp tục nhấn F7 đến đoạn chương trình so sánh ‘R’ và ‘5’

 Rồi nhấn F7 và lại sửa cờ Z

 Và làm tương tự đối với các đoạn CMP khác

 Ta có được chuỗi cần tìm dạng “??5yR3versing”

Trang 51

Và khi Goto đến JNZ cuối, ta phát hiện được dòng code

 Nhấn F2 để đặt Breakpoint ở đây

 Nhấn F7 và chỉnh cờ Z, và thông báo nhập đúng password hiện ra

 Vậy, đoạn code này để so sánh ký tự đầu với “E”

 Vậy password của chúng ta là: Ea5yR3versing

 Nhập vào và “Bingo!”

6.3 Resource Hacker:

Trang 53

 Hình dưới là chương trình trước khi chỉnh sửa:

Trang 54

 Tiến hành Việt hóa menu:

Trang 55

 Kết quả:

Trang 56

7 Lab Windows Server Firewall

Windows Firewall with Advanced Security là một tường lửa chạy trên các phiên bản hệ điều hành Windows Kể từ bản Windows Server 2008, Firewall này đã được cải tiến

và được bật theo mặc định

Firewall này sẽ quản lý mọi traffic vào ra của hệ thống, khi chúng ta triển khai các dịch vụ như web/mail,… trên hệ thống windows server, nếu không cấu hình Firewall thì các client

sẽ không sử dụng được dịch vụ do các server này cung cấp

Thiết lập tường lửa trong Windows Server 2012 được quản lý từ bên trong MMC

Windows Firewall (Microsoft Management Console) Để xem xét và thiết lập các cài đặt Firewall thực hiện như sau:

7.1 Cấu hình cơ bản

 Từ giao diện Server Manager.

Trang 57

 Nhấp vào menu Tools và chọn Windows Firewall with Advanced Security.

- Chọn Windows Firewall Properties, tính năng cho phép truy cập để sửa đổi các

thiết lập cho ba chế độ firewall; Domain, Private và Public

Tùy chỉnh cho phép mức độ kiểm soát lưu lượng truy cập vào và ra máy chủ Windows Server 2012:

Trang 58

sẽ liệt kê những điều khiển các kết nối gửi đến máy chủ Còn nút Outbound Rules điều khiển các kết nối gửi đi được tạo bởi máy chủ.

Lưu ý: Điều này sẽ cung cấp một danh sách trên mỗi quy định tường lửa hiện cấu

hình Quy định hiện đang được kích hoạt được biểu thị bằng biểu tượng checkbox xanh, trong khi quy định vô hiệu hóa hiển thị một biểu tượng checkbox xám Cho phép tuỳ chỉnh enable Rule or Disiable rule

3 Từ Action bên phải của một trong hai Inbound Rules hoặc Outbound Rules -> New

Rule (cách mở port trên firewall)

Trang 59

4 Chọn Port từ Rule Type Radial button -> next.

Trang 60

6 Click Allow the connection (Chọn một hành động để đưa vào phù hợp với lưu lượng truy cập) -> Next.

7 Check chọn cho phép firewall rule: Domain, Private, Public -> Next.

Trang 61

8 Ghi mô tả vào Name và Description -> Finish

Trang 62

hiệu hóa hoặc xóa, kích chuột phải vào nó và chọn một trong hai Disable Rule hay Delete.

7.2 Mở giao thức ICMP cho phép Ping trên Windows

 Mặc định Windows Firewall trên Windows sẽ chặn tất cả các traffic không được phép

và giao thức ICMP cũng không được cho phép vì vậy khi cần kiểm sự hoạt động của một máy tính cài Windows bằng lệnh ping là không thể Để có thể thực hiện lệnh ping chúng taphải tiến hành việc tắt Windows Firewall hoặc mở rule cho phép gói ICMP đi qua, việc tắt hoàn toàn Windows không khuyến khích

 Để mở Rule cho gói ICMP ta mở Windows Firewall -> Advanced setting ->

chọn Inbound Rules.

Trang 63

 Trong cửa sổ tiếp theo bạn có thể chỉ định chương trình (Program) chịu tác động bởi

rule này Ở đây tôi để mặc định là All program và tiếp tục nhấn Next

 Trong của sổ tiếp theo trong mục Protocol, chúng ta chọn giao thức muốn thiết lập cho rule mới này Mặc định là Any, có nghĩa là bất cứ giao thức nào, điều này cũng bằng với việc tắt Windows Firewall

Trang 64

 Ở đây chúng ta chọn ICMPv4 nếu dùng mạng IPv4 hoặc ICMPv6 nếu dùng IPv6 Sau khi chọn xong, nhấn Next để tiếp tục.

 Trong của sổ tiếp theo chúng ta có thể thêm địa chỉ IP được bị tác động

Ở mục đầu tiên là xác định địa chỉ IP trên máy local

Ở mục thứ 2 là xác định địa chỉ IP của máy truy cập đến

 Ở đây để mặc định, có nghĩa là chấm nhận mọi IP và nhấn Next để tiếp tục.

Trang 65

 Tiếp theo là tùy chọn việc cho phép (allow) hoặc chặn (Block) truy cập Ở đây ta đang

mở cho phép nên ta có thể chọn một trong hai tuy chọn phía trên Điểm khác biệt của hai

tùy chọn này là tùy chọn đầu tiên cho phép Allow the connection thì cho phép kết nối an

toàn và cả không an toàn, tùy chọn thứ hai allow the connection of it is secure là chỉ cho

phép các kết nối an toàn có xác thực sử dụng IPsec Sau khi chọn xong nhấn Next.

Trang 66

 Cuối cùng, chúng ta sẽ đặt tên và chú thích cho rule mới tạo Sau khi xong, chúng ta

nhấn Finish để kết thúc.

Trang 67

 Hoặc đơn giản hơn, ta có thể tìm đến rule File and Printer Sharing (Echo Request –

ICMPv4-In) và enable rule này lên.

 Đối với rule này có thể có hai rule, một cho áp dụng cho mạng Private, Public và một cho Domain, bạn lưu ý để mở cho chính xác trong từng trường hợp

7.3 Hướng dẫn sử dụng windows firewall để block dải địa chỉ ip

Ở đây chúng ta sẽ lấy một địa chỉ IP bất kỳ: 207.111.0.0 - 207.111.0.15

Bước 1: Khởi động bộ điều khiển tường lửa

- Nhấn tổ hợp phím: Windows+R mở hộp thoại Run box

- Gõ từ WF.msc -> Enter

Bước 2: Chọn Inbound Rules trong Windows Firewall.

Trang 68

 Tại cửa sổ tiếp theo, các bạn chọn Custom -> Next

 Tại màn hình tiếp theo, các bạn nhấn Next

Trang 69

Bước 3:

 Tại cửa sổ tiếp theo, các bạn chọn These IP addresses, và click vào Add

 Tại cửa sổ mới, các bạn nhập dãy địa chỉ IP: 207.111.0.0/15

Trang 70

 Sau khi chọn OK, dãy IP sẽ hiển thị trong ô These IP addresses, chọn Next

Định dạng
Số trang	92
Dung lượng	15,49 MB