BÀI TẬP NHÓM AN TOÀN MẠNG MÁY TÍNH

BÀI TẬP NHÓM MÔN HỌC AN TOÀN MẠNG MÁY TÍNH Bài 1: Tổng quan Câu 1: Mô tả các kỹ thuật tấn công.  Eavesdropping: Eavesdropping là hình thức tấn công mà trong đó, attacker nghe lén một cách thụ động các giao tiếp trong mạng để lấy các thông tin riêng tư như số hiệu node (node identification numbers), routing updates, hay dữ liệu nhạy cảm trong ứng dụng. Attacker sử dụng các thông tin mật này để xâm nhập các node trong mạng, gián đoạn routing hay làm giảm hiệu năng ứng dụng.  Identity Spoofing Identity Sppofing là hành động giả mạo danh tính của một cá thể khác để đoạt một mục đích nhất định. Attacker có thể tạo ra một tin nhắn trông có vẻ được đến từ một nguồn khác hay từ chữ kýcredentials giả mạo hay bị đánh cắp. Ngoài ra, attacker có thể can thiệp một tin nhắn được gửi từ một nguồn chính đáng và làm chúng như là được gửi từ kẻ tấn công mà không cần thay đổi gì trong đó.  Snooping Attack Snooping là một kỹ thuật tấn công, trong đó attacker có được truy cập trái phép vào dữ liệu của người khác. Một trong những cách làm đó là giám sát từ xa các hoạt động của máy tínhthiết bị mạng. Các thông tin có thể bị lấy cắp như password, thông tin tài chính, dữ liệu cá nhân, các thông tin về giao thức internet tầng thấp.  Interception Các dữ liệu hoặc tin nhắn được gửi bởi người gửi bị chặn bởi một cá nhân không được phép, nơi tin nhắn sẽ bị thay đổi thành hình thức khác hoặc nó sẽ được sử dụng bởi attacker cho mục đích xấu.

 Snooping Attack

Snooping là một kỹ thuật tấn công, trong đó attacker có được truy cập trái phép vào dữ liệu của người khác Một trong những cách làm đó là giám sát từ xa các hoạt động của máy tính/thiết bị mạng Các thông tin có thể bị lấy cắp như password, thông tin tài chính, dữ liệu cá nhân, các thông tin vềgiao thức internet tầng thấp

 Interception

Các dữ liệu hoặc tin nhắn được gửi bởi người gửi bị chặn bởi một cá nhân không được phép, nơi tin nhắn sẽ bị thay đổi thành hình thức khác hoặc nó

sẽ được sử dụng bởi attacker cho mục đích xấu

 Replay Attack

Một vụ tấn công phát lại - replay attack, hay còn gọi là playback attack, là một hình thức tấn công mạng lưới trong đó các thực thể độc hại chặn và lặp lại việc truyền tải một dữ liệu hợp lệ đi vào trong mạng lưới Nhờ có tính hợp lệ của dữ liệu ban đầu (thường đến từ người dùng đã được cấp quyền), các giao thức bảo mật của mạng lưới sẽ xử lý vụ việc tấn công nàychỉ giống như một hình thức truyền tải dữ liệu thông thường Do các tệp tin ban đầu đã bị ngăn chặn và được truyền tải lại nguyên văn nên attackerthực hiện vụ tấn công sẽ không cần giải mã chúng Tấn công phát lại có thể được sử dụng nhằm chiếm quyền truy cập thông tin lưu trữ trên một mạng lưới được bảo vệ khác bằng cách chuyển tiếp các thông tin có vẻ như là hợp lệ

 Data Modification Attacks

Data Modification Attacks là hành động cố tình xâm nhập data qua kênh không chính thống (Unauthorized channels) sau đó sửa đổi nội dung hoặc các header liên quan mà không có sự nhận biết của người gửi hay nhận

Dữ liệu có thể bị thay đổi ở cả hai hình thức đứng yên và đang vận chuyển

 Repudiation Attack

Repudiation là hành động từ chối định danh Nó diễn ra khi một phần mềm hay hệ thống không theo dõi và lưu thông tin hành vi sử dụng của người dùng hợp lý, tạo nên lỗ hổng cho phép các hành động điều khiển không tốt hay tạo ra các thông tin giả mạo Ngoài ra nó có thể che giấu cáchành vi của attacker bằng cách nhập dữ liệu sai vào log file Nếu có hành động này thì thông tin trong các log file có thể coi như vô dụng hoặc sai trái

 DoS Attack

Tấn công Dos ( Từ chối dịch vụ) là một hình thức tấn công được thiết kế như một cơn lũ các lưu lượng truy cập vào máy tính mục tiêu , khiến cho máy tính mục tiêu không thể xử lý kịp các tác vụ dẫn đến quá tải và bị treo Các cuộc tấn công Dos thường nhằm vào hệ thống máy chủ (web

server) của ngân hàng, tài chính, thương mại điện tử, tin tức của một tổ chức, thậm chí quốc gia Một kiểu Dos rõ ràng và phổ biến nhất là kẻ tấncông "tuồn" ồ ạt traffic vào máy chủ, hệ thống hoặc mạng, làm cạn kiệt tàinguyên của nạn nhân, khiến người dùng hợp pháp gặp khó khăn hoặc thậm chí không thể sử dụng chúng Cụ thể hơn, khi bạn nhập vào URL củamột website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công làm gửi ồ ạt nhiềuyêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được

xử lý Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó

 DDoS Attack

DDoS là viết tắt của Distributed Denial of Service, nghĩa tiếng Việt là từchối dịch vụ phân tán Tấn công DDoS là nỗ lực làm sập một dịch vụ trựctuyến bằng cách làm tràn ngập nó với traffic từ nhiều nguồn Trong tấncông từ chối dịch vụ phân tán (DDoS), một kẻ tấn công có thể sử dụngmáy tính của bạn để tấn công vào các máy tính khác Bằng cách lợi dụngnhững lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thểgiành quyền điều khiển máy tính của bạn Sau đó chúng sử dụng máy tínhcủa bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đếnmột địa chỉ hòm thư nào đó Tấn công này được được gọi là “phân tán” vì

kẻ tấn công sử dụng nhiều máy tính trong đó có cả máy tính bạn để thựchiện tấn công Dos Mặc dù DDoS cung cấp một chế độ tấn công ít phứctạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh

mẽ và tinh vi hơn Có ba loại tấn công cơ bản:

 Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng

 Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ

 Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi và nghiêm trọng nhất

 Password Guessing Attack

Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng “phá” mật khẩu được lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các tập tin Các cuộc tấn công mật khẩu bao gồm 3 loại chính:

các cuộc tấn công dạng từ điển (dictionary attack), brute-force attack và hybrid attack Trong đó:

 Dictionary Attack: Tìm mật khẩu trong một file từ điển tạo sẵn

 Brute Force Attack: Tìm mật khẩu bằng cách tổ hợp các ký tự

 Hybird Attack: Lai giữa hai phương thức trên

 Man-in-middle Attack

Một trong những hình thức tấn công mạng thường thấy nhất được sử dụng

để chống lại những cá nhân và các tổ chức lớn chính là các tấn công in-the-Middle (MITM) Kiểu tấn công này thì attacker như một kẻ nghetrộm MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạnnhân và relay các message giữa chúng Trong trường hợp bị tấn công, nạnnhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhânkia, trong khi đó sự thực thì các luồng truyền thông lại bị thông qua hostcủa kẻ tấn công Và kết quả là các host này không chỉ có thể thông dịch dữliệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữliệu để kiểm soát sâu hơn những nạn nhân của nó

Man- Backdoor Attack

Backdoor (cửa hậu) trong phần mềm hay hệ thống máy tính thường là mộtcổng không được thông báo rộng rãi, cho phép người quản trị xâm nhập hệthống để tìm nguyên nhân gây lỗi hoặc bảo dưỡng Ngoài ra nó cũng dùng

để chỉ cổng bí mật mà hacker và gián điệp dùng để truy cập bất hợp pháp Thông thường chỉ có chủ hệ thống hay chủ phần mềm biết được về sự tồn tại của backdoor Những backdoor quản trị này cũng tạo ra lỗ hổng để kẻ

lạ có thể khai thác, chiếm quyền truy cập vào hệ thống/dữ liệu Một kiểu backdoor khác là do kẻ tấn công có thể cài lên hệ thống nạn nhân Nhờ đó

họ có thể đến và đi tùy ý, cho phép truy cập hệ thống từ xa Một hình thức của backdoor mà tin tặc hay sử dụng đó là webshell Webshell là một giao diện web đơn giản được dùng để quản lí file, thực thi các lệnh, quản lí cơ

sở dữ liệu, đọc mail, quản lí các tài khoản: thêm, sửa, xoá tài khoản,… Ban đầu webshell được sinh ra để giúp các quản trị viên tương tác với máychủ dễ dàng hơn Nhưng sau đó, các tin tặc đã lợi dụng webshell để phục

vụ cho các mục đích xấu của mình

 Spoofing Attack

Spoofing là hành động giả mạo một kết nối từ một nguồn không rõ thành

một nguồn chính đáng Spoofing có thể được thực hiện dưới nhiều hình thức, có thể kể đến như IP, ARP, DNS.

Nó được sử dụng để lấy thông tin nạn nhân, chia sẻ malware qua các link

bị nhiễm mã độc hay có thể hướng luồng dữ liệu tới nơi khác phục vụ cho một cuộc tấn công từ chối dịch vụ

Nhiều giao thức trong TCP/IP không cung cấp cơ chế xác thực nguồn hoặc đích của dữ liệu và do đó dễ bị giả mạo tấn công khi các biện pháp phòng ngừa thêm không được thực hiện bởi các ứng dụng để xác minh danh tính gửi hoặc nhận máy chủ

 Compromised Key Attacks

Đây là hành động sử dụng một key mà attacker đã đánh cắp để lấy quyền truy cập tới luồng trao đổi dữ liệu được bảo vệ Key này cho phép kẻ tấn công có thể giải mã dữ liệu được gửi Người gửi và người nhận thường không nhận thức được cuộc tấn công và việc mã hóa dữ liệu song song dễ gặp kiểu tấn công này

 Application Layer Attack

Application Layer Attack (thường là DDoS) là một hình thức tấn công DDoS nơi mục tiêu là các quá trình ở lớp ứng dụng Kiểu tấn công này làm quá tải một số chức năng cụ thể của website hay webapp với mục đích

vô hiệu hóa chúng, cản trở các truy cập dữ liệu Kiểu tấn công ở tầng ứng dụng này cần ít tài nguyên để thực hiện hơn so với tấn công tầng mạng Với sự phát triển của các ứng dụng tiếp tục chuyển sang các dịch vụ đám mây, tấn công như vậy sẽ khó khăn hơn để bảo vệ

Bài 2: Các phần mềm gây hại

Câu 1: Nêu các chức năng và cách sử dụng các công cụ

Cách sử dụng netstat (linux) – Một số lệnh thường dùng

Hiển thị thông tin Ipv4 và Ipv6

- Netstat –ap | grep http

Hiển thị kết nối kèm với tên chương trình

- Netstat –ap | grep ESTA

Hiển thị các kết nối đang trạng thái Establish

 Fport

Fport báo cáo tất cả các cổng TCP / IP và UDP mở và ánh xạ chúng tớiứng dụng sở hữu Giống lệnh 'netstat -an', nhưng nó còn ánh xạ các cổng đó để chạy các tiến trình với PID, tên quy trình và đường dẫn Fport có thể được sử

dụng để nhanh chóng xác định các cổng mở không xác định và các ứngdụng

liên quan của chúng Ứng dụng trong việc detect spyware, malware & trojans Fport được khởi chạy từ command line hoặc batch script

sở hữu tiến trình con

- Đối với trường hợp có một tiến trình là mơ hồ khó xác định, công cụTCPView còn cung cấp thêm thông tin về tiến trình này Để xem thêm các

thông tin này, kích đúp chuột vào tiến trình con mà thuộc nó sở hữu, hoặc

chọn Process Properties từ thực đơn Process để truy cập vào hộp thoạiProperties của tiến trình Hộp thoại này hiển thị đường dẫn đầy đủ đến file

thực thi của tiến trình, các lệnh được sử dụng để khởi động tiến trình này,

và một số thông tin khác mà thông tin phiên bản tiến trình (nếu có): môtả

của file thực thi, tên nhà cung cấp, và số các phiên bản

- Để dịch một từ tên miền sang địa chỉ IP và số cổng cơ bản của nó, người

quản trị chỉ cần nhấn Ctrl + R, hoặc bấm vào biểu tượng chữ A trên thanh

công cụ

- Ở chế độ mặc định, khi tiến trình mới được mở sẽ được đánh dấu màuxanh, khi tiến trình được đóng lại sẽ được tô màu đỏ, và khi thay đổi trạng

thái sẽ được đánh dấu màu vàng

 CurrPorts Tool

- Liệt kê tất cả các cổng TCP/IP và UDP đang mở trên máy tính

- Thu thập đầy đủ các thông tin về mỗi cổng giao thức

- Đóng những ổng TCP không mong muốn

 CurrPorts Tool

CurrPorts liệt kê tất cả các cổng TCP/IP và UDP đang mở trên máytính của bạn Với mỗi cổng trong danh sách, bạn sẽ thấy thông tin vềtiến trình đang sử dụng nó, bao gồm tên tiến trình, đường dẫn đầy đủ,thông tin về phiên bản (nhà sản xuất, mô tả file, …), thời gian tiến trìnhđược tạo ra và user nào đã tạo Thêm nữa, CurrPorts cho phép bạn đóngnhững cổng TCP không mong muốn, dừng các tiến trình đã mở cáccổng, và lưu giữ thông tin về các cổng TCP/UDP ở dạng file HTML,XML hay file text

cơ sở, kích thước, ngày tháng) của sáng tạo, đường dẫn đầy đủ)

- Xem heap (heap ID, kích thước, được sử dụng, miễn phí, cờ), bộ nhớ

và thời gian CPU (ví dụ: biểu đồ lịch sử hiệu suất), nhưng bạn cũng có thể sao chép đường dẫn, tìm kiếm quá trình qua Google, chuyển sang

nó hoặc đưa nó lên phía trước, cũng như giết chết quá trình, hoặc đặt

ưu tiên và mối quan hệ

Cách sử dụng:

- Hầu hết các tính năng được thực hiện bằng việc nháy chuột phải vào tiến

trình đó

- Nháy đúp chuột vào tiến trình để xem thông tin version của tiến trình đó

Bên cạnh đó, bạn đồng thời có thể biết được các dịch vụ nào đang chạy bên trong một tiến trình cũng như các kết nối IP tương ứng tiến trình đang mở Qua đó, bạn có khả năng khởi động, tạm dừng hay thiết đặt

sự ưu tiên

Bạn có thể khởi động hay tạm dừng các dịch vụ hoặc xem thông tin chi tiết về mỗi dịch vụ nhất định, ví dụ như các tiến trình nào chạy bên trong dịch vụ Đồng thời biết được các thông tin về tên, kiểu của các startup và nhiều hơn nữa

Có thể nói đây là mục thú vị nhất của What's Running, qua đây bạn sẽ nhanh chóng biết được tất cả các kết nối mạng và Internet hiện đang

được kích hoạt sử dụng từ hệ thống Bạn sẽ nhìn thấy các cổng (local hay remote) và nhận biết được các tiến trình hay chương trình nào đang

sử dụng cổng đó

Một sự thay thế hoàn hảo nữa cho MSCONFIG mặc định của

Windows Qua mục này, bạn có khả năng vô hiệu hóa các trình starup hay xóa bỏ hoàn toàn chúng nếu như bạn muốn Startup Programs sẽ liệt kê tất cả các chương trình khởi động cùng Windows bất kể chúng ởtrong registry hay trong thư mục Startup Ở đây, bạn có thể tạo ra các trình starup của riêng mình

Những thông tin về phiên bản OS, Service Pack, vi xử lý, bộ nhớ và nhiều hơn nữa sẽ được hiển thị trực quan tại mục này

 One file exe maker

tệp hợp pháp nào, tùy chọn tốt nhất là setup file hoặc portable application

- Từ Open mode, chọn Hide cho tệp Trojan và Action là open/execute

- Bạn có thể thêm bao nhiêu tệp bạn muốn và lưu thành một tệp thực thi,gửi cho nạn nhân và bạn đã hoàn tất

Câu 2: Module 06 (Trojans and Backdoors) trong CEH v8

Lab 1: Gói một Trojan bằng một tệp exe

Mở phần mềm

Thêm file laziris.exe

Thêm mcafee.exe và thêm 8080 vào command line parameters

Chọn chế độ mở của lazaris là normal

Lưu lại dưới tên rose

Mở rose

Mở task manager lên và thấy mcafee đang chạy

Lab 2: HTTP trojan

Mở service và Disable/Stop World Wide Web Publishing Services.

Mở HTTP RAT

Disable Send notification with ip address to mail option.

Tạo httpserver.exe file

Chạy file vừa mới tạo và thấy trong task manager đang chạy

Vào web browser và truy cập vào địa chỉ ip của máy vừa cài httpserver

Nhấn vào running process

Bạn có thể tắt bất kỳ quá trình chạy từ đây

Lab 3: Creating a Server Using the Theef

Chạy file server 210 trên máy nạn nhân

Mở client210 để truy cập và điều khiển

Nhập ip của máy nạn nhân và giữ nguyên port

Và bây giờ bạn đã truy cập được vào máy nạn nhân

Để xem thông tin máy, nhấn vào icon phía dưới

Bạn có thể xem pc details, os info, home, network

Nhấp vào biểu tượng Spy để chụp màn hình, keylogger, v.v của nạn nhân

Chọn keylogger

Tương tự, bạn có thể truy cập các chi tiết của máy nạn nhân bằng cách nhấp vào các biểu tượng tương ứng

Lab 4: Creating a Server Using the Biodox

Chạy file BIODOX

Chọn ngôn ngữ tiếng anh

Bấm vào để chỉnh sửa

Nhập ip của máy nạn nhân và giữ nguyên tất cả , nhấn tạo server

File vừa được tạo ra

Chạy file server trên máy nạn nhân, sau đó quay lại máy attacker nhấn active, kết quả

Nhấp vào tùy chọn trình quản lý cài đặt để xem các ứng dụng đang chạy và các cài đặt ứng dụng khác.

Lab 5: Creating a Server Using the ProRat Tool

Chạy file prorat

Tạo server

Tại tab General Settings, bỏ chọn các thành phần như sau:

Tại tab Bind with File, chọn một file hình ảnh bất kỳ để gắn Trojan vào

Chọn EXE tại tab Server Extensions

Chọn 1 icon bất kỳ và chọn Create Server

Sau khi tạo xong, tại thư mục ProRat sẽ xuất hiện file binded_server.exe Lúc

này, ta đã có được file Trojan binded_server.exe Cần phát tán file này đến

victim và lừa victim mở file này để kích hoạt Trojan

Giả sử đã gửi file đến máy victim, sau đó victim mở file này lên, sau khi kíchhoạt file exe sẽ biến mất và file ảnh đã giấu sẽ xuất hiện

Quay lại máy attacker, khởi động ProRat và kết nối đến máy victim qua địa chỉ IP của Victim.

Truy cập thành công

Bài 3: Các giải thuật mã hóa dữ liệu

Câu 2: Viết ứng dụng cho phép mã hoá/giải mã đối với giải thuật RSA

Bài làm : đính kèm theo file báo cáo

Bài 4: Chứng thực dữ liệu

Câu 1: Thiết kế slides (3 slides cho 3 công dụng) mô tả các công dụng cơ bản của MAC trong hình đính kèm.

Bài làm : file powerpoint đính kèm theo file báo cáo.

Câu 2: Thiết kế slides (3 slides cho 3 công dụng) mô tả các công dụng cơ bản của hàm băm trong hình đính kèm

Bài làm : file powerpoint đính kèm theo file báo cáo

Bài 5: Các giao thức bảo mật mạng

Câu 1: Thiết kế slide mô phỏng giao thức Kerberos

Bài làm : file powerpoint đính kèm theo file báo cáo

Câu 2: Thiết kế slide mô phỏng giao thức SSL

Bài làm : file powerpoint đính kèm theo file báo cáo