Đồ án Tìm hiểu hacking hệ thống

mặc định được quyền Full Control truy cập vào tất cả các tệp đã được chia sẻ.Bất kỳ một ai ánh xạ tới kết nối IPC$ bằng một null session sẽ tự động là thành viên của nhóm Everyone. Điều này có nghĩa các Hacker có thể truy cập từ xa vào một Windows NT hoặc 2000 Server nếu như họ thiết lập một null session. Windows 2003 Server: Trên Windows 2003 Server nhóm Everyone chỉ được cấp quyền Read đối với các tài nguyên chia sẻ. Đây là một sự cải tiến so với Windows 2000 và NT.Tuy nhiên, đây không phải là sự thiết lập an ninh tốt nhất bởi vì đôi khi chúng ta không muốn nhóm Everyone có quyền Read khi truy cập vào tài nguyên chia sẻ trên hệ thống. Lỗ hổng bảo mật trong các ứng dụng 1.2.2.1 Lỗ hổng bảo mật trong các ứng Web Những cơ chế đăng nhập không an toàn Nhiều Web Site yêu cầu các user thực hiện đăng nhập trước khi làm việc với các ứng dụng.Cơ chế đăng nhập này thường không xử lý các user ID ,mật khẩu không hợp lệ. Các Script mặc định Các chương trình Web như Common Gateway Interface (CGI) script và Active Server Pages (ASP) script có thể cho phép các Hacker tìm hiểu và thao tác trên các tệp trong Web Server mà không cần phải thực hiện truy cập hợp lệ. Một số lỗ hổng trong CGI: Nph-test-cgi: Có thể khai thác lỗ hổng này như sau: Đánh tên trang Web bị lỗi vào trình duyệt. Đánh dòng sau vào cuối cùng : /cgi-bin/nph-test-cgi Trên URL nhìn giống như sau : http:// www. Servername. com/cgi-bin/nph-test-cg%20i Nếu thành công sẽ thấy toàn bộ thư mục bên trong. Php. cgi Tương tự như trên dung dòng sau để lấy pass: Servername. com/cgi-bin/php. cgi?/et c/passwd CHƯƠNG 2 TÌM HIỂU KỸ THUẬT HACKING HỆ THỐNG Kỹ thuật thu thập thông tin hệ thống Khái niệm Các phương pháp này không có ảnh hưởng trực tiếp đến hệ thống, được sử dụng để cung cấp các thông tin cho sự xâm nhập vào một hệ thống. 2.1.2. Các kỹ thuật thu thập thông tin hệ thống Quét cổng (Port scanning) Các hacker sử dụng các phần mềm tự động thiết lập các kết nối TCP tới các cổng quan trọng trên Server để xác định những host tồn tại và các dịch vụ có thể khai thác đang chạy. Thông thường các công cụ quét cổng thực hiện theo ba bước như sau: Các cộng cụ quét cổng sẽ gửi các yêu cầu TCP SYN tới Host hoặc tập hợp các host cần quét. Các công cụ quét cổng đợi tín hiểu trả lời từ các host Các công cụ quét cổng sẽ thăm dò các cổng TCP và UDP có trên host từ đó xác định các dịch vụ đang chạy trên các host đó. ( Hình 13 ) là kết quả đạt được khi dùng công cụ SupperScan quét cổng TCP. Hình 2: Sử dụng SupperScan quét cổng TCP Trojan Horses Khái niệm Trojan là một chương trình chạy không hợp lệ trên một hệ thống với vai trò như là một chương trình hợp pháp. Phân loại Loại điều khiển từ xa RAT đóng vai trò như một Server trên máy tính và tạo điều kiện cho hacker kết nối với máy tính và thực hiện các lệnh khác nhau .     Sử dụng trojan loại này khá đơn giản , chúng thường gồm 2 file Server và client , mỗi khi tải chúng về , chúng ta chỉ cần đọc mục Help của chúng là đã có thể biết cách sử dụng . Nhưng mỗi khi sử dụng chúng thường phải ngụy trang chúng dưới dạng 1 file ảnh và  giấu cái đuôi exe của chúng đi. Keyloggers Hoạt động của loại này khá đơn giản , chúng ghi lại mọi diễn biến trên bàn phím bao gồm cả các password như: Password account internet , Password hòm thư , Password FTP và lưu trong máy bạn hoặc  gửi về một địa chỉ email nào đó của hacker Keyloggers thường nhỏ gọn và sử dụng rất ít bộ nhớ nên rất khó để có thể nhận ra chúng. Ví dụ về loại này như : Kuang Keylogger Trojan lấy cắp mật khẩu Trojan này ăn cắp password lưu trong máy chúng ta như pass ICQ, IRC, hotmail , yahoo , account internet hoặc tất cả các pass trên để gửi về cho hacker qua email . Ví dụ trojan loại này : Barri, kuang , barok FTP Trojans Loại này mở cổng 21 trên máy nạn nhân và mọi người đều có thể truy cập vào máy của nạn nhân mà không cần mật khẩu và có thể tải file trên máy của bạn về . Trojan phá hoại Chúng hầu như không có mục đích gì ngoài việc phá hoại máy tính của nạn nhân . Loại này có thể phá huỷ toàn bộ đĩa cứng , mã hoá các file . Trojan chiếm quyền kiểu leo thang Thường được sử dụng đối với các admin kém cỏi . Chúng có thể được “gắn” vào trong một ứng dụng hệ thống . Một khi người quản trị hệ thống chạy chúng , chúng sẽ tạo cho hacker quyền cao hơn trong hệ thống , những trojan này có thể được gửi tới những người dùng có ít quyền và cho họ quyền xâm nhập hệ thống . Cách thức vận hành của Trojan Cách thức vận hành của trojan khá là đơn giản , thường chúng gồm 2 thành phần là client và Server , khi máy nạn nhân bị lây nhiễm trojan thì chúng sẽ biến thành Server và một cổng sẽ bị mở ra , chúng ta sẽ dùng client để kết nối tới IP của nạn nhân . Server sẽ ẩn trong bộ nhớ và nó tạo nên những thay đổi trong hệ thống . Nó sẽ tạo thêm đường khởi động vào registry hoặc trong các file autoexec.bat , win.ini hoặc các file hệ thống khác , do vây mà Server sẽ tự khởi động khi windows làm việc trong phiên tiếp theo. 2.1.3. Biện pháp ngăn chặn Xây dựng hệ thống lọc thông tin trên router, firewall Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng. Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường. Kỹ thuật khai thác lỗ hổng hệ thống 2.2.1.Khái niệm Tấn công vào các lỗ hổng thực chất là sự khai thác các lỗ hổng trên hệ thống được các Hacker thực hiện nhằm chiếm quyền điều khiển hệ thống. 2.2.2. Các kỹ thuật khai thác lỗ hổng hệ thống Đoán mật khẩu Đoán mật khẩu là một trong những cách tấn công bình thường và dễ dàng nhất mà các Hacker thực hiện để giành được quyền truy cập vào hệ thống. Hacker có nhiều cách để thực hiện chiếm password như là : Social engineering , Shoulder surfing , Phần mềm crack mật khẩu , Bruce-force. . . Social engineering Social engineering là một phương pháp tấn công không sử dụng công nghệ mà sử dụng các áp lực xã hội để lừa người sử dụng máy tính thực hiện các việc có hại đến mạng máy tính để các cá nhân này có thể đánh cắp thông tin quan trọng (mật khẩu) . . . Bruce-force Brucer-force là phương pháp có thể crack bất kỳ một mật khẩu nào. Nguyên tác hoạt động của Bruce-force là thử tất cả các trường hợp dựa vào sự kết hợp các số, chữ cái và các ký tự đặc biệt cho đến khi tìm ra mật khẩu. Chèn câu lệnh SQL (SQL injection) SQL injection là gì ? SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng Web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để “chèn vào” (injection) và thi hành các câu lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước). Hậu quả của nó rất tai hại vì nó cho phép những kẻ tấn công có thể thực hiện các thao tác xoá, hiệu chỉnh, do có toàn quyền trên cơ sở dữ liệu của ứng dụng, thậm chí là Server mà ứng dụng đó đang chạy. Các dạng tấn công bằng SQL injection Dạng tấn công vượt qua kiểm tra đăng nhập Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăng nhập nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng Web. Dạng tấn công sử dụng câu lệnh SELECT Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công. Dạng tấn công sử dụng câu lệnh INSERT Thông thường các ứng dụng Web cho phép người dùng đăng ký một tài khoản để tham gia. Chức năng không thể thiếu là sau khi đăng ký thành công, người dùng có thể xem và hiệu chỉnh thông tin của mình. SQL injection có thể được dùng khi hệ thống kiểm tra tính hợp lệ của thông tin nhập vào. Dạng tấn công sử dụng STORED-PROCEDURES Việc tấn công bằng stored-procedures sẽ gây tác hại lớn nếu ứng dụng được thực thi với quyền quản trị hệ thống ‘sa’ . Ví dụ nếu ta thay đoạn mã chèn vào dạng : ‘ ; EXEC xp_cmdshell ‘cmd. exe dir c: ’. Lúc này hệ thống sẽ liệt kê thư mục trên ổ đĩa C:\ cài đặt Server. Việc phá hoại kiểu này tuỳ thuộc vào câu lệnh đằng sau cmd.exe. Biện pháp ngăn chặn Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống. Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác. Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router. Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời. Tấn công DoS (Denial-of-Service) 2.3.1. Khái niệm DoS attack ( tấn công từ chối dịch vụ ) là kiểu tấn công rất lợi hại , với loại tấn công này, chúng ta chỉ cần một máy tính kết nối Internet là có thể thực hiện việc tấn công được máy tính đối phương, thực chất DoS attack sẽ chiếm dụng một lượng lớn tài nguyên trên Server (tài nguyên đó có thể là: băng thông, bộ nhớ, cpu, đĩa cứng ) làm cho Server không thể đáp ứng các yêu cầu từ các máy của người khác (máy của những người dùng bình thường) và Server có thể nhanh chóng bị ngừng hoạt động , crash hoặc reboot. 2.3.2. Các loại tấn công DoS Ping of death Ở kiểu DoS attack này, chúng ta chỉ cần gửi một gói dữ liệu có kích thước lớn thông qua lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo. VD : ping –l 650000 địa chỉ máy đích Winnuke DoS attack loại này có thể áp dụng cho các máy tính đang chạy Windows9x. Hacker sẽ gửi các gói tin với dữ liệu “Out of Band” đến cổng 139 của máy tính đích ( cổng 139 chính là cổng NetBIOS , cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ). Khi máy tính của nạn nhân nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống bị crash. Teardrop Chúng ta chỉ cần gửi đến hệ thống đích một loạt các gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn. SYN Attack Trong SYN Attack, Hacker sẽ gửi đến hệ thống đích một loạt SYN packets với địa chỉ IP nguồn không có thực . Hệ thống đích nhận được các SYN packets này sẽ gửi trở lại các địa chỉ IP không có thực đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ IP giả. Vì đây là địa chỉ IP không có thật , nên hệ thống đích sẽ chờ đợi vô ích và còn đưa các “request” chờ đợi này vào bộ nhớ, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này. Nếu ta gửi một lúc nhiều gói tin có địa chỉ IP như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính. Hình 7: Kiểu tấn công SYN flood Land Attack Land Attack cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ IP không có thực, Hacker sẽ dùng chính địa chỉ IP của hệ thống nạn nhân. Điều này sẽ tạo nên một vòng lặp vô tận trong chính hệ thống nạn nhân đó, giữa một bên cần nhận thông tin phản hồi còn một bên thì chẳng bao giờ gửi thông tin phản hồi đó đi cả. Smurf Attack Trong Smurf Attack, cần có ba thành phần : Hacker (người ra lệnh tấn công) , mạng khuếch đại (sẽ nghe lệnh của Hacker ) và hệ thống của nạn nhân. Hacker sẽ gửi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP này có địa chỉ IP nguồn chính là địa chỉ IP của nạn nhân. Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gửi gói tin ICMP đến và chúng đồng loạt gửi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot. Hình 8: Kiểu tấn công Smurf UDP Flooding Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP. Và giả mạo địa chỉ IP của các gói tin là địa chỉ loopback (127. 0. 0. 1) , rồi gửi gói tin này đến hệ thống của nạn nhân trên cổng UDP echo (cổng 7). Hệ thống của nạn nhân sẽ trả lời lại các messages do 127. 0. 0. 1 (chính nó) gửi đến, kết quả là nó sẽ đi một vòng lặp vô tận. Tấn công DNS Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn nhân rồi cho chỉ đến một website nào đó của Hacker. Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ IP, lập tức DNS ( đã bị Hacker thay đổi cache tạm thời ) sẽ đổi thành địa chỉ IP mà Hacker đã cho chỉ đến đó. Kết quả là thay vì phải vào trang web muốn vào thì các nạn nhân sẽ vào trang web do chính Hacker tạo ra. Distributed DoS Attacks (DDos) DDoS yêu cầu phải có ít nhất vài Hacker cùng tham gia. Đầu tiên các Hacker sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ thống này chương trình DDoS Server. Bây giờ các Hacker sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS Server, sau đó đồng loạt ra lệnh cho các DDoS Server này tiến hành tấn công DDoS đến hệ thống nạn nhân. Hình 9: Kiểu tấn công DDoS DRDoS (The Distributed Reflection Denial of Service Attack) Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất. Cách làm thì cũng tương tự như DDoS nhưng thay vì tấn công bằng nhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các Server lớn trên thế giới. Vẫn với phương pháp giả mạo địa chỉ IP của nạn nhân, kẻ tấn công sẽ gửi các gói tin đến các Server mạnh nhất, nhanh và có đường truyền rộng nhất như Yahoo. v. v, các Server này sẽ phản hồi các gói tin đó đến địa chỉ của nạn nhân. Việc cùng một lúc nhận được nhiều gói tin thông qua các Server lớn này sẽ nhanh chóng làm tắc ghẽn đường truyền của máy tính nạn nhân và làm crash , reboot máy tính đó. Fraggle Attack Tương tự như Smuft attack nhưng thay vì dùng ICMP ECHO REQUEST packet thì sẽ dùng UDP ECHO packet gửi đến mục tiêu. Hình 10: Tấn công Fraggle 2.3.3. Các công cụ tấn công DoS Jolt2 Cho phép kẻ tấn từ chối dịch vụ (DoS) lên các hệ thống trên nền tảng Windows Hình 11: Công cụ Jolt2 Bubonic.c Bubonic.c là một tools DoS dựa vào các lỗ hổng bảo mật trên Windows 2000. Nó hoạt động bằng cách ngẫu nhiên gửi các gói tin TCP với các thiết lập ngẫu nhiên làm cho máy chủ tốn rất nhiều tài nguyên để xử lý vấn đề này, và từ đó sẽ xuất hiện những lỗ hổng bảo mật. Sử dụng bubonic.c bằng cách gõ câu lệnh: bubonic 12.23.23.2 10.0.0.1 100 Land and LaTierra Giả mạo địa chỉ IP được kết hợp với quá trình mở các kết nối giữa hai máy tính. Cả hai địa chỉ IP, địa chỉ nguồn (source) và địa chỉ IP đích, được chỉnh sửa thành một địa chỉ của IP đích khi đó kết nối giữa máy A và máy B đang được thực hiện nếu có tấn công này xảy ra thì kết nối giữa hai máy A và B sẽ bị ngắt kết nối. Kết quả này do địa chỉ IP nguồn và địa chỉ IP đích của gói tin giống nhau và gói tin không thể đi đến đích cần đến. Targa Targa là một chương chình có thể sử dụng 8 dạng tấn công DoS khác nhau. Nó được coi như một bộ hướng dẫn tích hợp toàn bộ các ảnh hưởng của DoS và thường là các phiên bản của Rootkit. Blast 2.0 Blast rất nhỏ, là một công cụ dùng để kiểm tra khả năng của dịch vụ TCP nó có khả năng tạo ra một lưu lượng rất lớn gói TCP và có thể sẽ gây nguy hiểm cho một hệ thống mạng với các Server yếu. Dưới đây là cách sử dụng để tấn công HTTP Server sử dụng Blast2.0 + Blast 192.168.1.219 80 40 50 /b "GET /some" /e "url/ HTTP/1.0" /nr /dr /v - Tấn công máy chủ POP + Blast 192.168.1.219 110 15 20 /b "user te" /e "d" /v Nemesys Hình 12: Công cụ Nemesny Đây là một chương trình sinh ra những gói tin ngẫu nhiên như (protocol, port, etc. size, ) Dựa vào chương trình này kẻ tấn công có thể chạy các đoạn mã nguy hiểm vào máy tính không được bảo mật. Panther2. Tấn công từ chối dịch vụ dựa trên nền tảng UDP Attack được thiết kế dành riêng cho kết nối 28.8 – 56 Kbps. Nó có khả năng chiếm toàn bộ băng thông của kết nối này. Nó có khả năng chiếm băng thông mạng bằng nhiều phương pháp ví như thực hiện quá trình Ping cực nhanh và có thể gây ra tấn công DoS Hinh 13: Công cụ Parther 2 Crazy Pinger Công cụ này có khả năng gửi những gói ICMP lớn tới một hệ thống mạng từ xa. Hình 14: Công cụ Crazy Pingger Some Trouble Hình 15: Công cụ SomeTrouble SomeTrouble 1.0 là một chương trình gây nghẽn hệ thống mạng SomeTrouble là một chương trình rất đơn giản với ba thành phần + Mail Bomb (tự có khả năng Resole Name với địa chỉ mail có) + ICQ Bomb + Net Send Flood UDP Flood Hinh 16: Công cụ UDP Flood UDPFlood là một chương trình gửi các gói tin UDP Nó gửi ra ngoài những gói tin UDP tới một địac hỉ IP và port không cố định Gói tin có khả năng là một đoạn mã văn bản hay một số lượng dữ liệu được sinh ngẫu nhiên hay từ một file. Được sử dụng để kiểm tra khả năng đáp ứng của Server FSMAX Hình 17: Công cụ FSMAX Kiểm tra hiệu năng đáp ứng của máy chủ. Nó tạo ra một file sau đó chạy trên Server nhiều lần lặp đi lặp lại một lúc. Tác dụng của tools này là tìm cách tấn công làm chàn bộ nhớ đệm và tấn công DoS tới máy chủ. 2.3.4. Biện pháp ngăn chặn Phòng ngừa các điểm yếu của ứng dụng (Application Vulnerabilities) Cập nhật bản vá (patching) là một trong những yêu cầu quan trọng cho việc phòng ngừa. Trong thời gian chưa thể cập nhật toàn bộ mạng, hệ thống phải được bảo vệ bằng bản vá ảo (virtual patch). Ngoài ra, hệ thống cần đặc biệt xem xét những yêu cầu trao đổi nội dung giữa Client và Server, nhằm tránh cho Server chịu tấn công qua các thành phần gián tiếp (ví dụ SQL injection) Phòng ngừa việc tuyển mộ zombie Zombie là các đối tượng được lợi dụng trở thành phần phát sinh tấn công. Để phòng chống, hệ thống mạng cần có những công cụ theo dõi và lọc bỏ nội dung (content filtering) nhằm ngăn ngừa việc tuyển mộ zombie của Hacker. Ngăn ngừa kênh phát động tấn công sử dụng công cụ Có rất nhiều các công cụ tự động tấn công DoS, chủ yếu là tấn công phân tán DDoS như TFN, TFN2000 (Tribe Flood Network) tấn công dựa trên nguyên lý Smurf, UDP, SYN, hay ICMP; Trinoo cho UDP flood; Stacheldraht cho TCP ACK, TCP NULL, HAVOC, DNS flood, hoặc tràn ngập TCP với packets headers ngẫu nhiên. Các công cụ này có đặc điểm cần phải có các kênh phát động để zombie thực hiện tấn công tới một đích cụ thể. Hệ thống cần phải có sự giám sát và ngăn ngừa các kênh phát động đó. Ngăn chặn tấn công trên băng thông Khi một cuộc tấn công DdoS được phát động, nó thường được phát hiện dựa trên sự thay đổi đáng kể trong thành phần của lưu lượng hệ thống mạng. Hệ thống cần có những công cụ giám sát và điều phối băng thông nhằm giảm thiểu tác hại của tấn công dạng này. Ngăn chặn tấn công qua SYN Điểm căn bản để phòng ngừa việc tấn công này là khả năng kiểm soát được số lượng yêu cầu SYN-ACK tới hệ thống mạng. Phát hiện và ngăn chặn tấn công tới hạn số kết nối Để phòng ngừa tấn công dạng này, hệ thống cần phân tích và chống được spoofing. Giới hạn số lượng kết nối từ một nguồn cụ thể tới Server (quota). Phát hiện và ngăn chặn tấn công tới hạn tốc độ thiết lập kết nối Một trong những điểm các Server thường bị lợi dụng là khả năng các bộ đệm giới hạn giành cho tốc độ thiết lập kết nối, dẫn đến quá tải khi phải chịu sự thay đổi đột ngột về số lượng sinh kết nối. Ở đây việc áp dụng bộ  lọc để giới hạn số lượng kết nối trung bình rất quan trọng. Một bộ lọc sẽ xác định ngưỡng tốc độ kết nối cho từng đối tượng mạng. Thông thường, việc này được đo bằng số lượng kết nối trong thời gian nhất định để cho phép sự dao động trong lưu lượng. CHƯƠNG 3 BIỆN PHÁP BẢO MẬT HỆ THỐNG Các vấn đề chung về bảo mật hệ thống Các tài nguyên trên hệ thống rất dễ bị phân tán, dẫn đến việc chúng sẽ bị xâm phạm gây mất mát dữ liệu cũng như các thông tin có giá trị. Càng giao thiệp rộng càng dễ bị tấn công, đó là quy luật. Từ đó, vấn đề bảo vệ thông tin xuất hiện. Bảo mật ra đời. Mục tiêu của bảo mật không nằm gói gọn trong lĩnh vực bảo vệ thông tin mà nó còn nhiều vấn đề khác như kiểm duyệt web, bảo mật Internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến, Theo thống kê của tổ chức bảo mật nổi tiếng CERT (Computer Emegency Response Team), các vụ tấn công ngày càng tăng, cụ thể : Năm 1989 có 200 vụ tấn công và truy cập trái phép trên mạng Internet được báo cáo. Năm 1991 có 400 vụ. Năm 1993 có 1400 vụ. Năm 1994 là 1300 vụ. Những năm 200x có hàng chục ngàn vụ trên mỗi năm. Mục đích bảo mật hệ thống Ðó là những hoạt động nhằm thiết lập các khung chính sách nhằm đảm bảo an toàn cho hệ thống, đồng thời đảm bảo hệ thống ổn định và có tính thực thi cao, có khả năng chống lại các cuộc tấn công vào mạng. Tuy nhiên, một hệ thống nếu dựa vào mục tiêu bảo mật mà làm mất đi tính mềm dẻo và dễ sử dụng thì chính sách bảo mật trên hệ thống đó cũng chưa phải là tốt. Có thể nói rằng một hệ thống có chính sách bảo mật hợp lý là biện pháp tốt nhất để đảm bảo an toàn mạng. Các bước xây dựng bảo mật hệ thống Thành lập bộ phận chuyên trách về vấn đề bảo mật Bất kỳ kế hoạch bảo mật nào cũng cần sự hỗ trợ trên nhiều phương diện khác nhau, nếu nó muốn thành công. Một trong những phương thức tốt nhất để có thể được sự hỗ trợ là nên thiết lập một bộ phận chuyên trách về vấn đề bảo mật. Bộ phận này sẽ chịu trách nhiệm trước công ty về  các công việc bảo mật. Thu thập thông tin Trước khi đưa ra các thông báo mô tả thực hiện bảo mật, bạn phải lường được mọi tình huống sẽ xảy ra, không chỉ bao gồm toàn bộ các thiết bị và hệ thống đi kèm trong việc thực hiện bảo mật mà còn phải kế đến cả các tiến trình xử lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được bảo vệ. Điều này rất quan trọng khi cung cấp một cái nhìn bao quát về hệ thống bảo mật của công ty. Sự chuẩn bị này cũng nên tham chiếu tới các chính sách bảo mật cũng như các hướng dẫn thực hiện của công ty trong vấn đề an toàn bảo mật. Phải lường trước được những gì xảy ra trong từng bước tiến hành của các dự án. Thẩm định tính rủi ro của hệ thống Khi thẩm định tính rủi ro của hệ thống, hãy sử dụng công thức sau: Tính rủi ro = Giá trị thông tin * Mức độ của lỗ hổng * Khả năng mất thông tin Tính rủi ro bằng với giá trị thông tin trong câu hỏi (bao gồm giá trị đồng tiền, giá trị thời gian máy bị lỗi do lỗi bảo mật, giá trị mất mát khách hàng – tương đối), thời gian của quy mô lỗ hổng (tổng cộng/từng phần của tổn thất dữ liệu, thời gian hệ thống ngừng hoạt động, sự nguy hiểm khi dữ liệu hỏng), thời gian về khả năng xuất hiện mất thông tin. Để lấy được các kết quả từ bước đầu (các giá trị, báo cáo về cơ chế bảo mật ngoài, và chính sách bảo mật), và tập trung vào 3 trong số các mặt thường được đề cập. Sau đó, bắt đầu với một số câu hỏi khung sau: Cơ chế bảo mật đã tồn tại của công ty có được đề ra rõ ràng và cung cấp đủ biện pháp bảo mật chưa? Kết quả từ cơ chế bảo mật bên ngoài có hợp lệ so với chính sách bảo mật của công ty? Có mục nào cần sửa lại trong cơ chế bảo mật mà không được chỉ rõ trong chính sách? Hệ thống bảo mật sẽ mất tác dụng trong tính rủi ro cao nhất nào? Giá trị, thông tin gì mang tính rủi ro cao nhất? Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về toàn bộ chính sách bảo mật của công ty. Có lẽ, thông tin quan trọng được lấy trong quá trình kết hợp các giá trị thẩm định và tính rủi ro tương ứng. Theo giá trị thông tin, bạn có thể tìm thấy các giải pháp mô tả được toàn bộ các yêu cầu, bạn có thể tạo ra một danh sách quan tâm về lỗ hổng bảo mật.  Xây dựng giải pháp Kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật đa năng. Firewall Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các thông tin quan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống. Hệ thống kiểm tra xâm nhập mạng (IDS) Một IDS, không liên quan tới các công việc điều khiển hướng đi của các gói tin, mà nó chỉ có nhiệm vụ phân tích các gói tin mà firewall cho phép đi qua, tìm kiếm các chữ kí tấn công đã biết (các chữ kí tấn công chính là các đoạn mã được biết mang tính nguy hiểm cho hệ thống) mà không thể kiểm tra hay ngăn chặn bởi firewall. Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS) Sự lựa chọn, thực hiện và sử dụng một hệ thống kiểm tra sự xâm phạm trên máy chủ dựa trên nhiều hệ điều hành và môi trường ứng dụng chỉ định. Một hàm chức năng đầy đủ của H-IDS có thể cung cấp các thông báo đều đặn theo thời gian của bất kỳ sự thay đổi nào tới máy chủ từ tác động bên trong hay bên ngoài. Hệ thống kiểm tra xâm phạm dựa theo ứng dụng (App-IDS) Các công cụ này thực hiện việc phân tích các thông điệp từ một ứng dụng cụ thể hay thông tin qua proxy tới ứng dụng đó.