Làm thế nào để có thể nhận biết một số kỹ thuật tấn công thông qua các chương trình phân tích gói tin

[chip]

Chíp tôi đang làm đề tài là viết một chương trình phân tích gói tin trong đó có phần chức năng IDS, cho nên hôm nay chíp tôi mạn phép post bài này với mục đich.
-Trao đổi, học hỏi.
-Tạo nguồn tài liệu, kiến thức cho diễn đàn.
-Quan trọng hơn "Trao dồi bản thân mình".

+Chủ đề: Nhận biết một số kỹ thuật tấn công thông qua 1 số phần mềm phần tích gói tin

+Nội dung chi tiết: Tiến hành nhận biết một số kỹ thuật tấn công sau:

-ARP Spoofing
-IP Spoofing
-DNS Spoofing
-DOS/DDOS
-Web aplication(SQL INJECTION, XSS, LFI/RFI,..)
-SCAN PORT

+Đối tượng tham gia: Tất cả những ai muốn tham gia.

+Yêu cầu:
-Nắm rõ chống giao thức TCP-IP
-Tham gia thảo luận, trảo đổi trong phạm vi chủ đề.

Thân!

--------------------------------------------------
Xem các chủ đề cùng chuyên mục:

• Hướng dẫn sử dụng Nmap - công cụ Scan tuyệt vời 31/08/2009
• Công cụ diệt virus nhỏ gọn, mạnh mẽ và không cần cài đặt 04/05/2011
• Một số công cụ xem Password 10/07/2009
• Attack Local 15/01/2010
• Thiết lập Proxy cho IE 14/10/2009
• Tìm hiểu về tấn công Man-in-the-Middle – Chiếm quyền điểu khiển SSL 22/06/2010
• Các anh giúp em cái! 10/08/2010
• Đọc mật khẩu 13/05/2011
• Cần giúp đở IE 8! 27/09/2009
• Sniffer nội dung chat trong LAN 20/07/2009

+1 EXP

[sunboy]

Có liên quan một chút đến đề tài thực tập của tớ... (web aplication..). Ok tớ sẽ xoáy phần có liên quan đến giao thức HTTP.

[sino]

Em cũng biết chút ít về
-ARP Spoofing
-IP Spoofing
-DNS Spoofing
-DOS/DDOS
Nhưng cái
-Web aplication(SQL INJECTION, XSS, LFI/RFI,..)
-SCAN PORT
em không hiểu cơ chế của nó. Anh chip giải thích hộ em với.

[chip]

Em cũng biết chút ít về
-ARP Spoofing
-IP Spoofing
-DNS Spoofing
-DOS/DDOS
Nhưng cái
-Web aplication(SQL INJECTION, XSS, LFI/RFI,..)
-SCAN PORT
em không hiểu cơ chế của nó. Anh chip giải thích hộ em với.

--->em có thể nói lên những gì em hiểu về những kỹ thuật trên để chúng ta cùng nhau trao đổi biết đâu khi thảo luận chúng ta lậi ngộ ra nhiều điều.

-Các kỹ thuật dạng này(Web aplication) như SQL Injection thường xuất hiện với nguyên nhân chủ yếu là từ phía người lập trình web(php,asp), trong quá trình lập trình đã sơ ý tạo nên các lỗ hỏng này. Hiện nay các kỹ thuật thuộc dạng này đã cũ, tuy nhiên nó vẫn là một trong các kỹ thuật tấn công rất mạnh và nếu server không cấu hình kỹ có thể kết hợp các kỹ thuật tấn công dạng này với việc up shell "leo thang đặt quyền" lên server có thể truy vấn một số thông tin nhạy cảm trên server, các attacker hiện nay gọi nó là kỹ thuật tấn công local attack.
-Đối với dạng tấn công XSS cũng tương tự như SQL Injection lỗi xuất hiện chủ yếu từ phía người lập trình web, tuy nhiên mực độ ảnh hưởng cũng như tác hại của nó so với SQL Injection là khác nhau. Nếu SQL Injection ảnh hướng phía nhà cung cấp dịch vụ(Server, chủ thể các web service), thì XSS chỉ ảnh hưởng đến phía người dùng đầu cuối, khách hàng... Mục đích của kỹ thuật này là thông qua lỗi ứng dụng có thể truy vấn một số thông tin từ khách hàng, cũng có thể xử dụng kỹ thuật này để thực thi một số mã độc đến khách hàng. Người dùng đầu cuối vô tình không biết đã trở thành các zoombie, nhằm phục vụ cho các cuộc tấn công từ chối dịch vụ sau này cái mà các attacker gọi là ddos.
-LFI/RFI cũng giống như 2 kỹ thuật trên lỗi xuất hiện cũng từ phía người lập trình, tuy nhiên để kỹ thuật này thực hiện hoàn tất nó còn phụ thuộc và việc config server. Attacker thông qua 2 kỹ thuật này có thể truy vấn trực tiếp đến các thông tin nhạy cảm trên server như /etc/passwd,....

-Scan Port thực chất nó không phải là một kỹ thuật tấn công, nhưng thực sự nó là một khâu rất quan trọng trong quá trình tấn công và một hệ thống, nên chíp tôi xin đưa nó ra thảo luận luôn. Scan Port là một trong các khâu trong một quá trình tấn công một hệ thống, mục đích của kỹ thuật này là quét thông tin victim mà attacker muốn tấn công như OS mà victim đang dùng là gì, có những port nào đang mở.Từ những thông tin này attacker có thể tiến hành check, bug hay exploit một số dịch vụ trên hệ thống đó. Để hiểu hơn các bạn có thể sử dụng công cụ nmap để kiểm thử, sau khi thử xong thử suy nghĩ xem cơ chế và nguyên tắc hoạt động nó như thế nào.

--->Vì sao phải tìm hiểu những cái này?Tìm hiểu nhứng cái này để làm gì ?

+3 EXP

[integer]

Ở đây anh nhắc đến khía cạnh phát sinh từ phía người lập trình, vậy người lập trình cần học những điều gì về bảo mật để khắc phục các lỗ hổng trên.

[chip]

Ở đây anh nhắc đến khía cạnh phát sinh từ phía người lập trình, vậy người lập trình cần học những điều gì về bảo mật để khắc phục các lỗ hổng trên.

Thường xuyên xem những những thông tin cập nhật về các bug, exploit trên một số trang web, thường thì những trang web chuyên về các bug và các exploit luôn theo nó là cách fix cho các bug đó:
http://www.securityfocus.com/
http://www.exploit-db.com/
https://www.owasp.org

+1 EXP

[hjhj]

Ngày 13-06-2011, tôi đang đi lang thang trên mạng thông qua phương tiện google tôi đã đáp xuống website thegioimang.org. Chắc có vẽ đã lâu không vào, nên giao diện của website đã thay đổi lúc nào tôi cũng không biết. Tôi cũng đang rảnh, tôi liền đọc một số bài viết và bài viết tôi ghe thăm đầu tiên là bài "Cơ chế dò quét cổng và IP ". Nội dung bài viết này là một câu hỏi :
"Mình đang làm về cái đề tài scan IP mà chưa hiểu rõ lắm về cái cơ chế dò quét cổng và IP trong hệ thống mạng,bạn nào hiểu rõ về vấn đề này trình bày cho mình với .
Thank all ..!" . Chắc bởi lẻ tôi cũng đang đọc một topic về nhận dạng các kiểu tấn công, trong đó có SCAN Port nên tôi tiếp tục đọc các bài ở dưới và tìm được câu trả lời cho việc SCAN PORT này, nên tôi xin trích từ bài trả lời của 1 thành viên bên thegioimang.org để các bạn tham khảo.

--->Tuy nhiên scan port không giống như scan IP, Scan ip chủ yếu hoạt động ở lớp 2(Internet) trong mô hình TCP-IP, việc thực hiện scan port sẽ thực hiện đến lớp 3(Transport) trong mô hình TCP/IP. Tại tầng này hoạt động liên quan đến các giao thức vận chuyển là TCP và UDP, nói một cách cụ thể bạn sẽ làm việc với các chỉ sổ port, ứng với mỗi dịch vụ sẽ có 1 port tương ứng(thường nằm trong khoảng 0-1023). Trong phạm vi bài trả lời này tôi sẽ dùng TCP để minh họa cơ chế scan port.
Nếu bạn từng nghiên cứu giao thức TCP chắc hẳn bạn sẽ biết đến các khái niệm về bắt tay ba bước. Vì sao tôi lại nhắc đến quy tắc bắt tay 3 bước ở đây, mặc định khi server lắng nghe một dịch vụ ví dụ http thì cổng lắng nghe lúc này sẽ là 80. Các client muốn gửi yêu cầu lấy dữ liệu từ web server hay server trả lời yêu cầu cho client, trước hêt web server và client phải thiết lập kết nối, lúc này quy tắc bắt tay 3 bước được thiết lập nhằm mục đích thiết lập kết nối. Thế việc thiết lập kết nối này nhưu thế nào, đầu tiên client sẽ gửi một gói TCP với cờ SYN được bật lên đến web server với mục đích muốn thiết lập kết nối. Lúc này nếu server đang lắng nghe cổng dịch vụ 80(theo giả thiết ở trên là đã lắng nghe) thì nó sẽ trả lời 1 gói TCP với cờ SYN và ACK được bật lên. Chi tiết quy tắc này như thế nào bạn có thể tìm kiếm trên mạng. Tương tự như vậy các chương trình scan port như nmap chẳng hạn nó sẽ tạo 1 vòng lặp, gửi liên tiếp các gói TCP với cờ SYN được bật lên với port nguồn là random trong khoảng(1024-65535) và port đích là range port(0-1023). Lúc này nếu port nào đang lắng nghe sẽ trả lời gói TCP có cờ SYN và ACK, đồng nghĩa port này đang open.
--->Trên là một trường hợp đơn giản scan port vớ flag SYN, ngoài ra còn nhiều trường hợp khác, ACK và RST hoặc SYN và FIN, để biết thêm, bạn nên dùng một công cụ nào đó sau đó dùng các phần mềm capture packet để phân tích thì sẽ thấy.

.
Trích http://thegioimang.org/forum/basic-m...ong-va-ip.html
thegioimang.org-haonhien(chip-2mit.org)

+2 EXP