Tất cả tài liệu: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing
Trang 1Mục lục
Câu 2: nguy cơ lỗ hỏng giao thức TCP/ UDP 2
Câu 3: các biện pháp ngăn ngừa, phòng chống tấn công 2
Câu 1: nguy cơ lỗ hỏng giao thức DNS 3
Câu 4: Trình bày các mô hình phòng thủ chủ yếu trong an toàn mạng máy tính 5
Câu 5: Trình bày nguyên lý tấn công từ chối dịch vụ tầng liên kết 6
Câu 6: Trình bày nguyên lý tấn công từ chối dịch vụ tầng giao vận 7
Câu 7: Trình bày nguyên lý tấn công từ chối dịch vụ tầng ứng dụng 7
Câu 8: Trình bày kỹ thuật vượt qua tường lửa và tránh bị phát hiện 9
Câu 9: Trình bày kỹ thuật do thám DNS 11
Câu 10: Trình bày các giải pháp phòng ngừa, ngăn chặn tấn công chủ yếu 13
Câu 11: Quy trình và kỹ thuật ra quét mạng 15
Câu 12: Quy trình và kỹ thuật do thám mạng 17
Câu 13: Các yêu cầu đảm bảo an toàn mạng 18
Câu 14: Trình bày hoạt động của giao thức ARP 19
Câu 15: Trình bày kỹ thuật tấn công làm gián đoạn dịch vụ bằng cách khai thác lỗ hổng của giao thức ARP 21
Câu 16: Xây dựng giải pháp phòng chống nguy cơ làm gián đoạn dịch vụ do hacker khai thác lỗ hổng của giao thức ARP .21
Câu 17: Trình bày kỹ thuật tấn công đánh cắp thông tin bằng cách khai thác lỗ hổng của giao thức ARP 22
Trang 2Câu 18: Xây dựng giải pháp phòng chống nguy cơ đánh cắp thông tin do hacker khai thác lỗ hổng của giao thức ARP 22
Trang 3Câu 2: nguy cơ lỗ hỏng giao thức TCP/ UDP.
Tấn công DoS-SYN Flooding: Kẻ tấn công gửi hàng loạt gói tin SYN với địa chỉnguồn là các địa chỉ IP giả; Server gửi lại SYN/ACK chuẩn bị tài nguyên đểtrao đổi dữ liệu, chờ ACK trong thời gian time-out
Làm cạn kiệt tài nguyên của ứng dụng, máy chủ vật lý
Tấn công can thiệp vào kết nối TCP: giao thức TCP cho phép 2 bên đóng liênkết 1 cách độc lập
Kẻ tấn công có thể ngắt kết nối đột ngột của người dùng nếu biết được thôngtin về số hiệu cổng, Sequence Number
Tấn công dịch vụ DHCP (Dynamic Host Configuration Protocol): sử dụng UDP,cổng 67(server), 68(client)
Lỗ hổng: Bất kỳ máy trạm nào yêu cầu cũng được cấp phát địa chỉ IP
Nguy cơ: Tấn công DoS làm cạn kho địa chỉ (DHCP Starvation);
Lỗ hổng: Không xác thực cho các thông tin cấp phát từ DHCP Server ->DHCP Spoofing
Nguy cơ: Thay đổi địa chỉ DNS Server tin cậy bằng địa chỉ DNS của kẻ tấncông;
Nguy cơ: Thay địa chỉ default router, cho phép kẻ tấn công: chặn bắt, dothám thông tin; tấn công phát lại; tấn công MITM;
Câu 3: các biện pháp ngăn ngừa, phòng chống tấn công.
1 Giám sát, đánh giá bảo mật & xây dựng một chiến lược an ninh tổng thể;
2 Đào tạo nhân viên về các nguyên tắc an ninh mạng;
3 Cài đặt, sử dụng và thường xuyên cập nhật phần mềm chống vi-rút và phần
mềm gián điệp trên mọi máy tính được sử dụng trong doanh nghiệp củabạn;
4 Sử dụng Root guard, BPDU guard, BPDU filtering (STP);
5 Sử dụng Port Security ( chống cơ chế tự học MAC), sử dụng Dynamic ARP
11 Từ chối các thông điệp HTTP request có Host không tin cậy;
12 Sử dụng tường lửa cho kết nối Internet của bạn;
13 Tải xuống và cài đặt các bản cập nhật phần mềm cho các hệ điều hành và
ứng dụng của bạn khi chúng có sẵn;
14 Tạo bản sao dự phòng dữ liệu và thông tin quan trọng;
15 Kiểm soát truy cập vật lý vào máy tính và các thành phần mạng của bạn;
16 Hãy bảo mật mạng Wi-Fi của bạn Nếu bạn có mạng Wi-Fi cho nơi làm việc,
hãy đảm bảo rằng nó an toàn và bí mật;
17 Không sử dụng các phần mền crack;
18 Yêu cầu tài khoản người dùng cá nhân cho mỗi nhân viên;
Trang 419 Hạn chế quyền truy cập của nhân viên vào dữ liệu và thông tin và giới hạn
quyền hạn để cài đặt phần mềm;
20 Thường xuyên thay đổi mật khẩu.
Trang 5Câu 1: nguy cơ lỗ hỏng giao thức DNS.
Giao thức Domain Name System (DNS) thì có sức lan tỏa Nhìn chung, chúng
ta sử dụng nó hàng tỷ lần một ngày, thường không hề biết rằng nó tồn tại;
Đối với các doanh nghiệp, đó là bản sắc kỹ thuật số cũng như một thànhphần quan trọng trong kiến trúc bảo mật của họ;
Tuy nhiên, giống như tất cả các công nghệ, nó dễ bị đe dọa Quá thườngxuyên, bản chất luôn luôn xuất hiện, có mặt khắp mọi nơi của DNS làm cho
Biện pháp khắc phục:
Theo dõi các tên miền mới được đăng ký cho các tên tương tự gây nhầmlẫn với thương hiệu của bạn;
Thông tin về đăng ký tên miền mới nên có sẵn từ các cơ quan đăng ký;
Có nhiều công ty cung cấp dịch vụ quản lý thương hiệu kỹ thuật số chuyêndụng để đơn giản hóa quá trình tìm kiếm này
2 Cache poisoning (đầu độc bộ nhớ cache):
Bất cứ khi nào bạn gửi email hoặc truy cập một trang web, thì máy tính củabạn có thể đang sử dụng dữ liệu DNS đã được lưu trong bộ nhớ cache ở đâu
đó trên mạng, chẳng hạn như với ISP của bạn;
Kẻ tấn công đôi khi khai thác lỗ hổng hoặc lựa chọn cấu hình kém trong máychủ DNS để đưa thông tin địa chỉ gian lận vào bộ nhớ cache;
DDoS không phải là mối đe dọa cụ thể đối với DNS Tuy nhiên, DNS đặc biệt
dễ bị tổn thương trước các cuộc tấn công như vậy bởi vì nó đại diện cho mộtđiểm nghẹt logic trên mạng;
Loại lỗi này thường bị bỏ qua khi các tổ chức lên kế hoạch cho cơ sở hạ tầngcủa họ;
Trang 6 Cho dù trang web có mạnh như thế nào, nếu cơ sở hạ tầng DNS không thể
xử lý số lượng yêu cầu đến cái mà nó nhận được, thì hiệu suất của trangweb cũng sẽ bị suy giảm hoặc bị vô hiệu hóa;
4 DNS Amplification Attacks (tấn công khuếch đại DNS).
- Là một chiến thuật được sử dụng trong các cuộc tấn công DDoS nhằm thúcđẩy các máy chủ DNS được triển khai trong các cấu hình đệ quy không antoàn;
- Đệ quy là một tính năng của DNS cho phép phân giải tên miền được chuyểnđến các máy chủ tên mạnh hơn; đây là một tính năng cần thiết, hữu íchthường được triển khai trong môi trường doanh nghiệp;
- Kẻ tấn công đã tận dụng các máy chủ DNS đệ quy "mở" (một máy chủ tên
đệ quy mà quyền truy cập không bị kiểm soát cũng không bị hạn chế, cóthể bị khai thác) để tăng sức mạnh cho các cuộc tấn công DDoS của chúng;
- Bằng cách giả mạo địa chỉ nguồn trên các truy vấn DNS để khớp với nạnnhân dự định, chúng gửi gói tin giả từ một trong các bot của chúng đến máychủ tên đệ quy để khuếch đại tin giả; Phản hồi gửi cho nạn nhân sẽ lớn hơnhàng chục lần so với truy vấn ban đầu Điều này có thể dẫn đến một botnet
sử dụng hỏa lực nhiều lần, gây ra hiệu suất xuống cấp nghiêm trọng hơnnhiều tại trang web của nạn nhân;
- Biện pháp:
Hạn chế dùng một máy chủ DNS đệ quy mở cho toàn bộ Internet;
Thay đổi cấu hình thường xuyên để máy chủ DNS có thể chống lại loại tấncông này
5 Registrar Hijacking (cướp công ty đăng ký):
Phần lớn các tên miền được đăng ký thông qua một công ty đăng ký và cáccông ty này tự đại diện cho các điểm thất bại;
Nếu kẻ tấn công có thể thỏa hiệp tài khoản của bạn với nhà đăng ký đãchọn, chúng sẽ giành quyền kiểm soát tên miền của bạn, cái mà cho phépchúng trỏ nó đến các máy chủ mà chúng chọn, bao gồm máy chủ tên, máychủ Web, máy chủ email,,,,;
Tệ hơn nữa, tên miền sẽ được chuyển giao cho chủ sở hữu mới hoặc đếncông ty đăng ký “khó tìm”, cái mà khiến việc khôi phục tên miền trở thànhmột vấn đề phức tạp;
Các cuộc tấn công như vậy có thể được hướng vào nhà đăng ký theo kiểuphổ biến, có thể nhắm đến tài khoản của bạn một cách cụ thể, thông quamột cuộc tấn công vào mật khẩu của bạn hoặc một cuộc tấn công kỹ thuậtmạng xã hội chống lại các hoạt động hỗ trợ kỹ thuật của nhà đăng ký
Trang 7 Biện pháp:
Hãy chọn một công ty đăng ký cung cấp các biện pháp phòng ngừa bảomật bổ sung, chẳng hạn như xác thực đa yếu tố hoặc người quản lý tàikhoản mà bạn có thể xây dựng mối quan hệ cá nhân;
Sử dụng dịch vụ cao cấp cho từ nhà cung cấp để có thể giảm thiểu rủi romất quyền kiểm soát tài khoản của bạn cho một tên không tặc Những thứnày có chi phí, nhưng đó là một cái giá nhỏ phải trả để đảm bảo rằng tênmiền của bạn vẫn nằm trong tầm kiểm soát của bạn
Trang 8Câu 4: Trình bày các mô hình phòng thủ chủ yếu trong an toàn mạng máy tính.
a Mô hình phòng thủ Lollipop.
Hình thức phòng thủ phổ biến nhất, được gọi là an ninh vành đai, liên quan
đến việc xây dựng một bức tường xung quanh đối tượng có giá trị
Tường lửa là lựa chọn phổ biến nhất để kiểm soát truy cập bên ngoài vàomạng nội bộ
Nhược điểm:
Một khi kẻ tấn công xâm nhập
vào bên trong sẽ không có biện
Không bảo vệ chống lại cuộc tấn
công bên trong
Tường lửa là một phần quan
trọng của chiến lược an ninh
mạng gắn kết, nhưng chỉ mình
chúng là không đủ
b Mô hình phòng thủ Onion.
Mô hình phòng thủ này được triển
khai trong nhiều trường hợp và
không dựa vào một lớp bảo vệ
Khó dự đoán và khó thâm nhập hơn
nhiều so với mô hình lollipop
Mô hình Onion giải quyết những sự
cố khi kẻ tấn công vượt qua tường
lừa hoặc những người đáng tin cậy
trong tổ chức bỏ qua đặc quyền của
họ Kiến trúc bảo mật phân lớp này
cung cấp nhiều mức độ bảo vệ
chống lại các mối đe dọa bên
trong( điều mà tường lửa không làm
được) và bên ngoài
Mô hình bảo mật này có thể đượcthiết kế theo nhiều cách:
Phân đoạn mạng dựa trên quyềntruy cập và nhu cầu của mỗingười
Xác định những vùng đáng tin cậy
để phân vùng tải sản
Bảo vệ ở nhiều cấp độ khác nhau:
Mạng
Phần mềm tường lửa cá nhân
Điều khiển xác thực truy cập hệthống
Ứng dụng các xác thực đa yếu
tố, quản lý phân quyền
Trang 10Câu 5: Trình bày nguyên lý tấn công từ chối dịch vụ tầng liên kết.
Tầng liên kết dữ liệu đảm bảo truyền tin tin cậy giữa hai thiết bị vật lý kết nốitrực tiếp với nhau, dữ liệu tại tầng này gọi là khung (Frame)
Tấn công từ chối dịch vụ thực chất là hacker sẽ chiếm dụng một lượng lớn tàinguyên trên server (tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩacứng, ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy củanguời khác (máy của những người dùng bình thường ) và server có thể nhanhchóng bị ngừng hoạt động, crash hoặc reboot
Các cuộc tấn công quan trọng nhất ở lớp liên kết dữ liệu bao gồm cạn kiệt địachỉ bảng (CAM), giả mạo ARP, tấn công DHCP starvation, giả mạo địa chỉMAC, tấn công VLAN và nhiều hơn nữa Các cuộc tấn công này thường phá vỡlưu lượng giao thông bình thường từ người gửi đến người nhận
Mac Table Overflow attack: MAC Table Overflow là kỹ thuật tấn công sử
dụng để khai thác điểm yếu bộ nhớ và phần cứng hạn chế trong bảng CAMcủa Switch Các loại switch khác nhau có khả năng lưu trữ bảng CAM khácnhau Tuy nhiên một khi các bảng CAM đã bị làm đầy bởi các địa chỉ MAC giảmạo, Switch sẽ không còn khả năng xác định cổng đích để truyền gói tin, nó
sẽ gửi broadcast ra toàn bộ các cổng
Một kẻ tấn công có thể khai thác hạn chế về giới hạn bảng CAM bằng các bắncác gói tin ARP request giả mạo MAC lên switch, cho đến khi bảng CAM đầy.Một tool trong Kali Linux là Macof (MAC Overflow) có thể tạo ra khoảng 155nghìn địa chỉ MAC giả mạo/phút Khi nhận được gói tin ARP Request switch sẽđẩy các gói tin này đến tất cả các cổng trên nó Các switch khác trong mạngnội bộ cũng có thể nhận được các gói tin ARP request rồi lại tiếp tục đẩy ra tất
cả các cổng trên nó dẫn đến là toàn bộ hệ thống mạng bị quá tải Lưu lượngcác gói tin ngập trong mạng nội bộ khi hiện tượng tràn bảng CAM xảy ra.Những kẻ tấn công có thể chớp cơ hội này để chặn bắt các gói tin của ngườidùng
Trang 11Câu 6: Trình bày nguyên lý tấn công từ chối dịch vụ tầng giao vận.
Tầng vận tải chịu trách nhiệm chuyển toàn bộ bản tin từ nơi gửi đến nơi nhậnmột cách toàn vẹn Nói cách khác, tầng vận tải đảm bảo liên kết giữa cáctiến trình trên các máy tính khác nhau trên môi trường mạng;
Các dạng tấn công phổ biến nhất bao gồm SYN Flood, UDP Flood (25%), NTP(7,4%) và ICMP (6,6%) Các cuộc tấn công này phụ thuộc vào việc tạo vàtruyền khối lượng lớn lưu lượng mạng để làm gián đoạn hoặc chặn hoàn toàntính khả dụng của các dịch vụ / tài nguyên mạng cho người dùng hợp pháp.Các cuộc tấn công như vậy thường liên quan đến việc khai thác các giao thứcTCP và UDP để bảo vệ tài nguyên mạng;
SYN Flood: Tấn công SYN Flood là kỹ thuật tấn công DoS khai thác điểm yếutrong thủ tục bắt tay 3 bước (3-way handshake) khi hai bên tham gia truyềnthông thiết lập kết nối TCP để bắt đầu phiên trao đổi dữ liệu;
Thủ tục bắt tay khi một người dùng hợp pháp thiết lập một kết nối TCP đếnmáy chủ, gồm 3 bước như sau:
Người dùng thông qua máy khách gửi yêu cầu mở kết nối (SYN hay REQ) đến máy chủ;[2]
SYN- Máy chủ nhận được lưu yêu cầu kết nối vào Bảng kết nối (Backlog) và gửilại xác nhận kết nối SYN-ACK cho máy khách;[2]
Khi nhận được SYN-ACK từ máy chủ, máy khách gửi lại xác nhận kết nốiACK đến máy chủ Khi máy chủ nhận được xác nhận kết nối ACK từ máykhách, nó xác nhận kết nối mở thành công, máy chủ và máy khách bắtđầu phiên truyền thông TCP Bản ghi mở kết nối được xóa khỏi Bảng kếtnối.[2]
Kịch bản tấn công SYN Flood, gồm các bước sau:
Kẻ tấn công gửi một lượng lớn yêu cầu mở kết nối (SYN-REQ) đến máy nạnnhân;
Nhận được yêu cầu mở kết nối, máy nạn nhân lưu yêu cầu kết nối vàoBảng kết nối trong bộ nhớ;
Máy nạn nhân sau đó gửi xác nhận kết nối (SYN-ACK) đến kẻ tấn công;
Do kẻ tấn công không gửi lại xác nhận kết nối ACK, nên máy nạn nhân vẫnphải lưu tất cả các yêu cầu kết nối chưa được xác nhận trong Bảng kết nối.Khi Bảng kết nối bị điền đầy thì các yêu cầu mở kết nối của người dùnghợp pháp sẽ bị từ chối
Máy nạn nhân chỉ có thể xóa một yêu cầu kết nối đang mở khi nó hết hạn(timed-out)
Câu 7: Trình bày nguyên lý tấn công từ chối dịch vụ tầng ứng dụng.
Tầng ứng dụng cung cấp các tiện ích để người dùng truy cập vào mạng như:các dịch vụ như gửi thư điện tử, truy cập và chuyển file từ xa… Tầng ứngdụng cũng cung cấp các phương thức cho các ứng dụng khác (ví dụ truy nhập
cơ sở dữ liệu mô hình khách/chủ…) Tầng ứng dụng là tầng cao nhất trong
Trang 12mô hình OSI, do đó nó tạo ra dữ liệu thực sự chứ không có các thông tin điềukhiển.
Hiệu quả của hầu hết các cuộc tấn công DDoS đến từ sự khác biệt giữa sốlượng tài nguyên cần thiết để khởi động một cuộc tấn công và số lượng tàinguyên cần thiết để hấp thụ hoặc giảm thiểu nó Trong khi điều này vẫn đúngvới tấn công tầng ứng dụng, sự ảnh hưởng đến cả máy chủ mục tiêu và mạngđòi hỏi ít tổng băng thông hơn để đạt được cùng một kết quả; một cuộc tấncông tầng ứng dụng tạo ra nhiều thiệt hại hơn với tổng băng thông ít hơn
Mặc dù HTTP là giao thức bị tấn công nhiều nhất nhưng các giao thức kháccũng bị tấn công, chẳng hạn như: DNS dictionary attacks, tấn công đầu độccache, VoIP (SIP INVITE Flood Attack), tấn công tràn bộ đệm SMTP,…
Ví dụ: HTTP flooding attack
Tấn công HTTP GET: nhiều máy tính hoặc các thiết bị khác được phối hợp
để gửi nhiều yêu cầu cho hình ảnh, tệp hoặc một số nội dung khác từ máychủ được nhắm mục tiêu Khi mục tiêu bị tràn ngập với các yêu cầu và phảnhồi đến, việc từ chối dịch vụ sẽ xảy ra với các yêu cầu bổ sung từ các nguồnlưu lượng hợp pháp
Tấn công HTTP POST: thường khi một biểu mẫu được gửi trên một trang
web, máy chủ phải xử lý yêu cầu đến và đẩy dữ liệu vào một lớp kiên trì,thường là một cơ sở dữ liệu Quá trình xử lý dữ liệu biểu mẫu và chạy cáclệnh cơ sở dữ liệu cần thiết là tương đối chuyên sâu so với số lượng sức mạnh
xử lý và băng thông cần thiết để gửi yêu cầu POST Cuộc tấn công này sửdụng sự chênh lệch về mức tiêu thụ tài nguyên tương đối, bằng cách gửinhiều yêu cầu đăng trực tiếp đến một máy chủ được nhắm mục tiêu cho đếnkhi công suất bão hòa và từ chối dịch vụ xảy ra
a Tấn công DDoS trực tiếp
Kẻ tấn công (Attacker) chiếm quyền điều khiển hàng ngàn, thậm chí hàngchục ngàn máy tính trên mạng Internet, sau đó bí mật cài các chương trìnhtấn công tự động (Automated agents) lên các máy này Các automatedagents còn được gọi là các Bots hoặc Zombies (Máy tính ma);
Các máy bị chiếm quyền điều khiển hình thành mạng máy tính ma, gọi làbotnet hay zombie network Các botnet, hay zombie network không bị giớihạn bởi chủng loại thiết bị và tô pô mạng vật lý;
Kẻ tấn công có thể giao tiếp với các máy botnet, zombie thông qua mộtmạng lưới các máy trung gian (handler) gồm nhiều tầng Phương thức giaotiếp có thể là IRC (Internet Relay Chat), P2P (Peer to Peer), HTTP,…
Tiếp theo, kẻ tấn công ra lệnh cho các automated agents đồng loạt tạo cácyêu cầu giả mạo gửi đến các máy nạn nhân tạo thành cuộc tấn công DDoS;
Lượng yêu cầu giả mạo có thể rất lớn và đến từ rất nhiều nguồn, vị trí địa lýkhác nhau nên rất khó đối phó và lần vết để tìm ra kẻ tấn công thực sự
b Tấn công DDoS gián tiếp
Kẻ tấn công chiếm quyền điều khiển của 1 lượng lớn máy tính trên mạngInternet, cài đặt phần mềm tấn công tự động bot/zombie (còn gọi là slave),hình thành nên mạng botnet;
Trang 13 Theo lệnh của kẻ tấn công điều khiển các Slaves/Zombies gửi một lượng lớnyêu cầu giả mạo với địa chỉ nguồn là địa chỉ máy nạn nhân đến một số lớncác máy khác (Reflectors) trên mạng Internet;
Các Reflectors gửi các phản hồi (Reply) đến máy nạn nhân do địa chỉ củamáy nạn nhân được đặt vào địa chỉ nguồn của yêu cầu giả mạo;
Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụtđường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫnđến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng Các Reflectors
bị lợi dụng để tham gia tấn công thường là các hệ thống máy chủ có côngsuất lớn trên mạng Internet và không chịu sự điều khiển của tin tặc
Trang 14Câu 8: Trình bày kỹ thuật vượt qua tường lửa và tránh bị phát hiện.
a Vượt tường lửa sử dụng phương pháp máy chủ proxy
Tìm máy chủ proxy phù hợp;
Trên menu Tools của bất kỳ trình duyệt Internet nào, chọn LAN trên tabNetwork Connections, và sau đó nhấp vào LAN/Network Settings;
Tại Proxy server settings, chọn use a proxy server for LAN;
Trong hộp địa chỉ, gõ địa chỉ IP của máy proxy;
Trong hộp port, gõ số port được sử dụng bởi máy chủ proxy cho các kết nốicủa client;
Tích vào tùy chọn Bypass proxy server for local access nếu bạn không muốnmáy tính của máy chủ proxy để được sử dụng khi kết nối với mọt máy tínhtren mạng nội bộ;
Bấm OK để đóng hộp thoại Settings LAN;
Click OK lần nữa để đóng hộp thoại tùy chọn internet
b Vượt qua tường lửa thông qua phương pháp ICMP Tunneling
Nó cho phép tạo backdoor shell trong phần dữ liệu của các gói tin ICMP Echo;
RFC 792, mô tả về ICMP Operations, không xác định nhưng gì nên thuộc vềphần dữ liệu;
Phần payload là bất kỳ và không bị kiểm tra bởi hầu hết tường lửa, do đó bất
kỳ dữ liệu có thể chèn vào trog phần payload của gói tin ICMP, bao gồm cảứng dụng backdoor;
Một số quản trị viên giữ ICMP mở trên tường lủa của họ vì nó giúp ích cho cáccông cụ như ping hay traceroute;
Giả sử ICMP được cho phép thông qua một Firewall, sử dụng Loki ICMPtunneling để thực hiện các lệnh tùy ý bằng cách chèn chúng ngầm bên trongcác payload của các gói tin ICMP echo
c Vượt tường lửa thông qua phương pháp Tunneling ACK
Cho phép ứng dụng chạy ngầm backdoor với các gói tin TCP với các thiết lậpbit ACK;
ACK bit được sử dụng để xác nhận đã nhận một gói tin;
Môt số tường lửa không kiểm tra các gói dữ liệu với các bit ACK vì bít ACKthường được sử dụng để phản hồi với các traffic hợp pháp đã được cho phépthông qua;
Công cụ như ACKCMD có thể được sử dung đẻ thực hiện ACK Tunneling
d Vượt tường lửa thông qua phương pháp HTTP Tunneling
Phương pháp này có thể được thực hiện nếu mục tiêu chung có một máy chủweb public với cổng 80 được sủ dụng cho giao tiếp HTTP, không được lọc trêntường lửa của nó;
Tường lửa không xem xét payload của một gói tin HTTP để xác nhận rằng nóhợp pháp do đó nó có thể trao đổi lưu lượng tennel bên trong TCP cổng 80 vì
nó đã được cho phép;
Đóng gói dữ liệu trong lưu lượng HTTP cổng 80
Trang 15e Vượt tường lửa bằng các hệ thống ngoài
Người dùng ngoài thường làm việc với các hệ thống bên ngoài để truy cậpđến mạng của công ty;
Kẻ tấn công nghe lén traffic của người dùng, đánh cắp session ID và cookie;
Kẻ tấn công truy cập đến mạng bằng cách vượt tường lửa và lấy Windows IDcủa tiến trình netscape hoặc mozilla của người dùng trong mạng công ty;
Kẻ tấn công thực thi lệnh openurl trên cửa sổ người dùng;
Trình duyệt web của người dùng bị chuyển hướng đến trang của hacker;
Mã độc trên trang của hacker được download và thực thi trên máy ngườidùng
f SSH tunneling
Trong vai trò quản trị hệ thống hay chuyên viên hỗ trợ kỹ thuật, đôi khi chúng
ta cần kết nối từ máy tính trong văn phòng đến các máy tính ở nhà hoặc ởcác chi nhánh để tiến hành các thao tác xử lý sự cố họăc hổ trợ kỹ thuật nào
đó thông qua các chương trình như VNC,Terminal Service hay RAdmin Tuynhiên khi công ty sử dụng Firewall như ISA, CheckPoint để bảo vệ hệ thống vàkiểm sóat các luồng dữ liệu vào và ra một cách chặt chẽ thì ta sẽ gặp trởngại lớn Chúng ta không thể (hoặc không có quyền) mở các TCP 10 Port
4899 (Radmin), hay 5900 (VNC) để thực hiện các kết nối của mình Vậy làmcách nào để chúng ta vẫn có thể hòan thành được công việc mà vẫn đảm bảochính sách bảo mật của công ty không bị thay đổi?
Cho dù hệ thống của bạn có các Firewall bảo vệ thì các TCP Port quan trọng