- Một số kỹ thuật tấn công hệ thống mạng máy tính. - Sơ đồ hệ thống. - 5 Hình 2: Kiến trúc tấn công DDos trực tiếp. - 10 Hình 3: Kiến trúc tấn công DDos gián tiếp hay phản phiếu. - 61 Hình 22: Mô phỏng tấn công SQL injection qua form đăng nhập. - 62 Hình 23: Snort IDS phát hiện tấn công SQL injection. - 63 Hình 24: Bắt gói tin tấn công có từ khóa truy vấn trong SQL. - 64 Hình 25: Phát hiện tấn công chứa từ khóa truy vấn trong SQL. - 65 Hình 27: Mô hình tấn công bằng các gói SYN. - 66 Hình 28: Wireshark bắt gói tin tấn công DOS TCP SYN Flood. - 68 Hình 29: Phát hiện tấn công TCP SYN Flood. - 69 Hình 30: Tấn công UDP Flood. - 70 Hình 31: Wireshark bắt gói tin tấn công DOS UDP Flood. - 71 Hình 32: Phát hiện tấn công DOS UDP Flood. - 72 Hình 33: Tấn công DOS ICMP Flood. - 72 Hình 34: Tấn công DOS ICMP Flood. - 73 Hình 35: Wireshark bắt gói tin tấn công DOS ICMP Flood. - 73 Hình 36: Phát hiện tấn công DOS ICMP Flood. - 78 Hình 40: Phát hiện tấn công SQL injection trên snort inline. - 80 Hình 41: Ngăn chặn tấn công DOS TCP SYN Flood. - 81 Hình 42: Ngăn chặn tấn công DOS UDP Flood. - 81 Hình 43: Ngăn chặn tấn công DOS ICMP Flood. - Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà hacker thƣờng sử dụng để tấn công vào hệ thống mạng. - Xây dựng một số tập luật cơ bản cho hệ thống Snort, nhằm phát hiện các kiểu tấn công xâm nhập bất hợp pháp. - Đối tƣợng nghiên cứu - Các hình thức tấn công phổ biến của Hacker vào hệ thống mạng. - Các hình thức và kỹ thuật tấn công đa dạng nhƣ. - Một số kỹ thuật tấn công hệ thống mạng máy tính 1.2.1. - Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thể xem xét các hành động tiếp theo. - Và kết quả của cuộc tấn công buffer attack là các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc Shell. - Dựa trên mức độ tự động Theo mức độ tự động, có thể chia tấn công DDoS thành 3 dạng. - Các agent sẽ theo lệnh gửi các gói tin tấn công đến hệ thống nạn nhân. - Dựa trên giao thức mạng: Dựa trên giao thức mạng, tấn công DDoS có thể chia thành 2 dạng. - Dạng tấn công DDoS này có thể đƣợc chia nhỏ thành 2 dạng (i) tấn công khai thác tính năng hoặc lỗi cài đặt của các giao thức và (ii) tấn công sử dụng các gói tin đƣợc tạo đặc biệt. - Phƣơng pháp này nhằm hạn chế các mạng ngƣời dùng tham gia tấn công DDoS. - Phòng chống tấn công DDoS ở tầng TCP bao gồm một số biện pháp. - Phƣơng pháp này có thể giúp phòng chống tấn công SYN Flood hiệu quả. - Phòng chống tấn công DDoS ở tầng ứng dụng có thể bao gồm. - Sử dụng các phƣơng pháp thống kê để phát hiện tấn công DDoS ở mức HTTP. - Giám sát hành vi của ngƣời dùng trong các phiên làm việc để phát hiện tấn công. - Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động tƣơng ứng với các kĩ thuật xâm nhập đã đƣợc biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống. - Ngắt dịch vụ + Gián đoạn phiên + Cấm địa chỉ IP tấn công + Tạo log 2.2. - Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đối với firewall. - Modul phân tích gói tin - Modul phát hiện tấn công - Modul phản ứng 2.2.4.1. - Các thông tin này đƣợc chuyển lên module phát hiện tấn công. - Modul phát hiện tấn công Đây là module quan trọng nhất của hệ thống phát hiện xâm nhập, có khả năng phát hiện ra các cuộc tấn công. - Có một số phƣơng pháp để phát hiện ra các dấu hiệu xâm nhập hoặc các kiểu tấn công (signature-base IPS, anomally-based, IPS. - Các mẫu tấn công này đƣợc gọi là dấu hiệu tấn công. - Quan niệm của phƣơng pháp này về các cuộc tấn công là khác với các hoạt động bình thƣờng. - Có một số kỹ thuật dò sự không bình thƣờng của các cuộc tấn công. - thì hệ thống cho rằng có dấu hiệu tấn công. - Phƣơng pháp dò sự không bình thƣờng của hệ thống rất hữu hiệu trong việc phát hiện các kiểu tấn công từ chối dịch vụ DDOS. - Lúc đó modul phản ứng sẽ kích hoạt firewall thực hiện chức năng ngăn chặn cuộc tấn công. - Các kiểu tấn công mới ngày càng phát triển đe dọa đến sự an toàn của các hệ thống mạng. - IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu xâm nhập, tấn công. - Quá trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay tức thì. - Nếu không đáp ứng đƣợc điều này thì các cuộc tấn công đã thực hiện xong. - Nếu không có sẽ đƣa ra những cảnh báo cho ngƣời quản trị biết về cuộc tấn công đó. - Không có khả năng phát hiện những cuộc tấn công mới hay chƣa biết. - Hệ thống phát hiện sử dụng sai phải biết trƣớc những hoạt động tấn công để nó có thể nhận ra đợt tấn công đó. - Phát hiện bất thƣờng có thể nhanh chóng phát hiện một cuộc tấn công từ bên trong sử dụng tài khoản ngƣời dùng bị thỏa hiệp (compromised user account). - Ví dụ: Một hacker bắt Lương Tuấn Cường – TTMMT – 2015A 36 đầu chạy một chƣơng trình tấn công tới một server. - Một Protocol Analysic-Based sẽ phát hiện ra kiểu tấn công cơ bản trên một số giao thức. - Máy ảo Windows và máy ảo Kali đƣợc sử dụng nhƣ máy tấn công và máy ảo Linux Lương Tuấn Cường – TTMMT – 2015A 53 Mint là máy nạn nhân trong mạng đƣợc giám sát bởi hệ thống phát hiện xâm nhập snort. - Ping thử từ máy tấn công windows sẽ có kết quả sau: Hình 9: Mô tả phát hiện của Snort Lương Tuấn Cường – TTMMT – 2015A 54 4.2.2. - Chuẩn bị tấn công. - Bƣớc 2: máy ảo Linux Mint bắt gói tin và phân tích dấu hiệu của cuộc tấn công này. - Bƣớc 3: xây dựng luật phát hiện tấn công qua dấu hiệu tìm ở bƣớc 2. - $HOME_NET any (msg:"Phát hiện cuộc tấn công quét cổng FIN Scan -sF";flags: F. - Chạy lại hệ thống với luật nhƣ trên, snort đã phát hiện đƣợc khi có tấn công quét cổng FIN Scan đến máy Linux Mint. - msg:"Phát hiện cuộc tấn công NULL Scan –sN". - Chạy lại hệ thống với luật nhƣ trên, snort đã phát hiện đƣợc khi có tấn công quét cổng NULL Scan đến máy Linux Mint. - msg:" Phát hiện cuộc tấn công XMAS Scan -sX". - Lương Tuấn Cường – TTMMT – 2015A 59 Chạy lại hệ thống với luật nhƣ trên, snort đã phát hiện đƣợc khi có tấn công quét cổng XMAS Scan đến máy Linux Mint. - Phát hiện tấn công SQL injection Kịch bản xây dựng luật và phát hiện tấn công SQL injection. - Do vậy kẻ tấn công sẽ đăng nhập đƣợc vào hệ thống. - any $HTTP_PORTS (msg:"Phát hiện cuộc tấn công SQL injection trên form đăng nhâp. - Phát hiện tấn công từ chối dịch vụ DOS 4.2.5.1. - Lương Tuấn Cường – TTMMT – 2015A 66 Phía kẻ tấn công sẽ khởi tạo nhiều TCP, trong mỗi kết nối chỉ để cờ TCP SYN. - Kẻ tấn công gửi các yêu cầu (request ảo) TCP SYN tới máy chủ bị tấn công. - Từ việc phân tích gói tin đƣợc bắt ở trên tôi có dấu hiệu tấn công SYN Flood sau. - Không nhận đƣợc các gói tin ACK-SYN phản hồi từ máy chủ bị tấn công Bƣớc 3: xây dựng luật phát hiện tấn công qua dấu hiệu tìm ở bƣớc 2. - $HOME_NET any (msg:"Phát hiện cuộc tấn công SYN Flood. - Lương Tuấn Cường – TTMMT – 2015A 69 msg:" Phát hiện cuộc tấn công SYN Flood. - Xuất hiện thông báo về loại tấn công TCP-SYN Flood. - Chạy lại hệ thống với luật nhƣ trên, snort đã phát hiện đƣợc khi có tấn công TCP SYN Flood đến máy Linux Mint. - Hình 29: Phát hiện tấn công TCP SYN Flood 4.2.5.2. - Từ đó tôi nhận biết đƣợc dấu hiệu của cuộc tấn công UDP là. - any any (msg:"Phát hiện cuộc tấn công UDP Flood. - Chạy lại hệ thống với luật nhƣ trên, snort đã phát hiện đƣợc khi có tấn công UDP Flood đến máy Linux Mint. - Lương Tuấn Cường – TTMMT – 2015A 72 Hình 32: Phát hiện tấn công DOS UDP Flood 4.2.5.3. - Các bƣớc thực hiện Bƣớc 1: thử nghiệm tấn công DOS ICMP Flood từ máy Kali sử dụng hping3. - Từ đó tôi nhận biết đƣợc dấu hiệu của cuộc tấn công ICMP là. - any any (msg:"Phát hiện cuộc tấn công ICMP Flood. - Chạy lại hệ thống với luật nhƣ trên, snort đã phát hiện đƣợc khi có tấn công ICMP Flood đến máy Linux Mint. - any any(msg:"Phát hiện cuộc tấn công SQL injection trên form đăng nhâp. - rev:28;) Khi chƣa có các luật trên của snort, hệ thống chỉ phát hiện đƣợc các cuộc tấn công SQL injection mà không ngăn chặn đƣợc. - Phát hiện tấn công từ chối dịch vụ DOS” gồm chặn tấn công TCP SYN Flood, UDP Flood, ICMP Flood. - Một hệ thống IPS đặt bên ngoài mạng sẽ ngăn chặn đƣợc các cuộc tấn công zezo day, nhƣ là virus hoặc worm. - Đó là tƣơng tự nhƣ các bộ quét virus (virus scanner), snort chỉ có thể chống lại các cuộc tấn công một cách hiệu quả nếu nhƣ nó biết đƣợc dấu hiệu (signature) của các cuộc tấn công đó. - Từ đó các cuộc tấn công này có thể "qua mặt" đƣợc sự giám sát của snort
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt