Phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ

 Nếu cần chỉnh sửa tập tin cấu hình thì phải di chuyển vào đúng chế độ cấu hình và thực hiện các lệnh cần thiết. Ví dụ: nếu cần mở một cổng nào đó trên router thì trước hết phải vào chế độ cấu hình toàn cục, sau đó vào chế độ cấu hình của cổng đó rồi dùng lệnh no shutdown.

 Để kiểm tra những gì mà vừa thay đổi, dùng lênh show running-config. Lệnh này sẽ hiển thị nội dung tập tin cấu hình hiện tại. Nếu kết quả hiển thị có những chi tiêt không đúng thì có thể chỉnh sửa lại bằng một hoặc nhiều cách sau:

- Dùng dạng no của các lệnh cấu hình.

- Khởi động lại router với tập tin cấu hình nguyên thuỷ trong NVRAM

- Chép tập tin cấu hình dự phòng từ TFTP sever

 

doc24 trang | Chia sẻ: huong.duong | Lượt xem: 1405 | Lượt tải: 0download
Bạn đang xem trước 20 trang tài liệu Phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
c vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai. 3) Phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa: Tường lửa có trạng thái Tường lửa phi trạng thái III) Khả năng và hạn chế của tường lửa hiện nay. 1) Khả năng của một firewall Các chức năng cơ bản của một Firewall là : Cho phép hoặc cấm các dịch vụ truy nhập ra ngoai ( từ intranet ra internet) . Cho phép hoặc cấm các dịch vụ truy nhập vào trong ( từ internet vào intranet ) . Theo dõi luồng dữ liệu trao đổi giũa mạng bên trong ( intranet ) và mạng internet. Kiểm soát địa chỉ truy nhập , cấm địa chỉ truy nhập .Xác định địa chỉ truy nhập giả mạo Kiểm soát ngưòi sử dụng và việc truy nhập của người sử dụng . 2) Hạn chế của một firewall Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. IV) Các phương thức tấn công tường lửa của hacker và biện pháp phòng chống. Trên lí thuyết, Firewall là phương pháp bảo mật an toàn nhất cho hệ thống của bạn khi có kết nối internet. Tuy nhiên vẫn tồn tại những vấn đề xung quanh môi trường bảo mật này. Nếu Firewall được cấu hình quá chặt chẽ thì sẽ làm giảm tiến trình làm việc của mạng, đặc biệt là trong môi truờng người dùng phụ thuộc hoàn toàn vào các ứng dụng phân tán. Do vậy, việc lựa chọn cấu hình Firewall sao cho vừa đảm bảo tiến trình hoạt động của mạng vùa có đựoc mức độ bảo mật cao quả là một vấn đề nan giải đối với người quản trị mạng . Khai thác triệt để vấn đề này, các hacker đã nghiên cứu rất nhiều phưong pháp để vượt qua Firewall. Nhưng cơ bản thì đều gôm hai giai đoạn sau : Tìm ra dạng tường lủa mà mạng đang sử dụng và các dịch vụ hoạt động phía sau nó . Khai thác các tuyến quan hệ (trusted relationship) và các nút bảo mật kết nối lỏng lẻo nhất để cố gắng đi vòng qua Firewall . Một trong những việc phải làm của các hacker là tách các thành phần thực ra khỏi các thành phần giả mạo. Nhiều tường lửa sử dụng trạm (sacrificial hosts) - là hệ thống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy (decoys), dùng để bắt các hành vi thâm nhập của hacker. Bẫy có thể cần dùng tới những thiết bị ngụy trang phức tạp nhằm che dấu tính chất thật của nó, ví dụ : đưa ra câu trả lời tương tự hệ thống tập tin hay các ứng dụng thực. Vì vậy, công việc đầu tiên của hacker là phải xác định đây là các đối tượng tồn tại thật . Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả năng phục vụ mail và các dịch vụ khác. Hacker sẽ tìm cách để nhận được một thông điệp đến từ bên hệ thống . Khi đó, đường đI được kiểm tra và có thể tìm ra những manh mối về cấu trúc hệ thống. Dưới đây là một số phương thức thông dụng mà hacker sử dụng để định danh Firewall và xác định cấu trúc của mạng nội bộ : 1) Định danh firewall Hầu hết mọi Firewall đều mang một "mùi hương"điện tử duy nhất. Nghĩa là, với một tiến trình quét cổng, lập cầu lửa, và nắm giữ biểu ngữ đơn giản, bọn tấn công có thể hiệu quả xác định kiểu, phiên bản, và các quy tắc của hầu hết mọi Firewall trên mạng. Tại sao việc định danh này lại quan trọng? Bởi vỡ một khi đó ánh xạ được các Firewall, chúng có thể bắt đầu tìm hiểu các điểm yếu và gắng khai thác chúng. a) Quét trực tiếp Cách dễ nhất để tìm kiếm các Firewall đó là quét các cổng ngầm định cụ thể. Một số Firewall trên thị trường sẽ tự định danh duy nhất bằng các đợt quét cổng đơn giản bạn chỉ cần biết nội dung tìm kiếm. Ví dụ, Firewall-1 của Check point lắng chờ trên các cổng TCP 256, 257, 258, và Proxy Server của Microsoft thường lắng chờ trên các cổng TCP 1080 và 1745. Với sự hiểu biết này, quá trình tìm kiếm các kiểu Firewall này chẳng có gì khó với một bộ quét cổng như nmap : nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254 Dùng khóa chuyển -PO để vô hiệu hóa tính năng ping ICMP trước khi quét. Điều này quan trọng bởi hầu hết Firewall không đáp ứng các yêu cầu dội ICMP. Cả bọn tấn công nhút nhát lẫn hung bạo đều tiến hành quét rộng rãi mạng theo cách này, tìm kiếm các Firewall này và tìm kiếm mọi khe hở trong két sắt vành đai. Nhưng bọn tấn công nguy hiểm hơn sẽ lùng sục vành đai càng lén lút càng tốt. Có nhiều kỹ thuật mà bọn tấn công có thể sử dụng để hạ sập radar, bao gồm ngẫu nhiên hóa các ping, các cổng đích, các địa chỉ đích, và các cổng nguồn;dùng các hệ chủ cò mồi; và thực hiện các đợt quét nguồn có phân phối. Các Biện Pháp Phòng Chống : Để ngăn cản các đợt quét cổng bức tường lửa từ Internet, cần phong tỏa các cổng này trên các bộ định tuyến đứng trước các Firewall . Nếu các thiết bị này do ISP quản lý, cần liên hệ với họ để tiến hành phong tỏa. b) Ra tuyến đường Một cách thinh lặng và tinh tế hơn để tìm các Firewall trên một mạng đó là dùng traceroute . Các hacker sử dụng traceroute của UNIX hoặc tracert.exe của NT để tìm từng chặng dọc trên đường truyền đến đích và tiến hành suy diễn. Traceroute của Linux có tùy chọn -I, thực hiện rà đường bằng cách gửi các gói tin ICMP, trái với kỹ thuật gúi tin UDP ngầm định. Biện Pháp Phòng Chống : Để ngăn cản các traceroute chạy trên biên, có thể cấu hình các bộ định tuyến không đáp ứng các thông điệp TTL EXPI#800000 khi nó nhận một gói tin có TTL là 0 hoặc 1. Hoặc nên phong tỏa toàn bộ luồng lưu thông UDP không cần thiết tại ứac bộ định tuyến biên. c) Nắm giữ biểu ngữ Kỹ thuật quét tìm các cổng Firewall là hữu ích trong việc định vị các Firewall , nhưng hầu hết các Firewall không lắng chờ trên các cổng ngầm định như Check point và Microsoft, do đó việc phát hiện phải được suy diễn. Nhiều Firewall phổ dụng sẽ công bố sự hiện diện của chúng bằng cách đơn giản nối với chúng. Ví dụ , nhiều Firewall giám quản sẽ công bố chức năng của chúng với tư cách một Firewall , và một số sẽ quảng cáo kiểu và phiên bản của chúng. Ví dụ, khi ta nối với một máy được tin là một bức tường lửa bằng netcat trên cổng 21 (FTP ), ta sẽ thấy một số thông tin thú vị : : C:\TEMP>nc -v -n 192.168.51.129 2 l [UNKNOWN] [ 192.168.5l.129 ] 2 l ( ? ) open 220 Secure Gateway FTP server ready . Biểu ngữ "Secure Gateway server FTP ready" là một dấu hiệu lộ tẩy của một hộp Eagle Raptor cũ. Việc nối thêm với cổng 23 (telnet) sẽ xác nhận tên bức tường lửa là "Eagle." C:\TEMP>nc -v -n 192.168.51.129 23 [UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open Eagle Secure Gateway . Hostname : Và cuối cùng. nếu vẫn chưa bị thuyết phục hệ chủ là một bức tường lửa, có thể netcat với cổng 25 ( SMTP ), và nó sẽ bảo cho biết nó là gì: C:\TEMP>nc -v -n 192.168.51.129 25 [UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open 421 fw3.acme.com Sorry, the firewall does not provide mail service to you. Như đó thấy trong các ví dụ trên đây, thông tin biều ngữ có thể cung cấp các thông tin quý giá cho bọn tấn công trong khi định danh các bức tường lửa. Dùng thông tin này, chúng có thể khai thác các chỗ yếu phổ biến hoặc các cấu hình sai chung. Biện Pháp Phòng Chống : Để chỉnh sửa chỗ yếu rò rỉ thông tin này, chúng ta giới hạn thông tin biểu ngữ quảng cáo. Một biểu ngữ tốt có thể kèm theo một mục cảnh giác mang tính pháp lý và tất cả mọi nỗ lực giao kết sẽ đợc ghi sổ. Hoặc có thể thay đổi thông tin về Firewall từ các biểu ngữ quảng cáo . 2) Quét qua các tường lửa a) Kĩ thuật hping Hping làm việc bằng cách gửi các gói tin TCP đến một cổng đích và báo cáo các gói tin mà nó nhận trở lại. hping trả về nhiều đáp ứng khác nhau tùy theo số điều kiện. Mỗi gói tin từng phần và toàn thể có thể cung cấp một bức tranh khá rõ về các kiểu kiểm soát truy cập của Firewall. Ví dụ, khi dùng hping ta có thể phát hlện các gói tin mở, bị phong tỏa, thả, và loại bỏ. Trong ví dụ sau đây, hping báo cáo cổng 80 đang mở và sẵn sàng nhận một tuyến nối. Ta biết điều này bởi nó đón nhận một gói tin với cờ SA đợc ấn định (một gói tin SYN/ACK). [ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S -p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 0 ) : S set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms Giờ đây ta biết có một cống mở thông đến đích, nhưng chưa biết nơi của Firewall. Trong ví dụ kế tiếp, hping báo cáo nhận một ICMP unreachable type 13 từ 192.168.70.2. Một ICMP type 13 là một gói tin lọc bị ICMP admin ngăn cấm, thường được gửi từ một bộ định tuyến lọc gói tin. [root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S -p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S set, 40 data bytes ICMP Unreachable type 13 f rom 192.168.70.2 Giờ đây nó đã xác nhận, 192.168.70.2 ắt hẳn là bức tường lửa, và ta biết nó đang rõ rệt phong tỏa cổng 23 đến đích của chúng ta. b) Firewalk Firewalk là một cụng cụ nhỏ tiện dụng, như một bộ quét cổng, được dùng để phát hiện các cổng mở đằng sau một Firewall. Được viết bởi Mike Schiffnlan, trình tiện ích này sẽ quét một hệ chủ sử dụng Firewall và báo cáo trở lại các quy tắc được phép đến hệ chủ đó mà không phải thực tế chạm đến hệ đích. Firewalk làm việc bằng cách kiến tạo các gói tin với một IP TTL được tính toán để kết thúc một chặng vượt qúa bức tường lửa. Về lý thuyết, nếu gói tin được Firewall cho phép, nó sẽ được phép đi qua và sẽ kết thúc như dự kiến, suy ra một thông điệp "ICMP TTL expired in transit." Mặt kuasc, nếu áoi tin bị ACL của Firewall phong tỏa, nó sẽ bị thả, và hoặc không có dáp ứng nào sẽ được gửi, hoặc một gói tin lọc bị ICMP type 13 admin ngăn cấm sẽ đợc gửi. Biện Pháp Phòng Chống : Bạn có thể phong tỏa các gói tin ICMP TTL EXPI#800000 tại cấp giao diện bên ngoài, nhưng điều này có thể tác động tiêu eực đến khả năng vận hành của nó, vì các hệ khách hợp pháp đang nối sẽ không bao giờ biết điều gì đó xảy ra với tuyến nối của chúng. V) Địa chỉ IP 1) Địa chỉ IP là gì ? Mỗi máy tính khi kết nối vào internet đều có một địa chỉ duy nhất, đó là địa chỉ IP. Địa chỉ này dùng để phân biệt máy tính đó với các máy tính còn lại trên mạng internet . Địa chỉ ip là một số 32 bit = 4 byte nên có thể coi địa chỉ ip được tạo thành từ 4 số có kích thước 1 byte, mỗi số có giá trị từ o-255 .Mỗi địa chỉ ip đều gôm 2 phần là địa chỉ mạng ( network ) và địa chỉ máy (host).Ví dụ : 192.168.10.56;255.144.10.51 … 2) Các lớp của địa chỉ IP Toàn bộ địa chỉ IP được chia vào 6 lớp khác nhau : A,B,C,D,E và loopback . Mỗi lớp có cách xác định địa chỉ network và địa chỉ host khác nhau . Biểu đồ cấu trúc các lớp của địa chỉ IP : Lớp Cấu trúc địa chỉ IP Format Số bít mạng/số bit host Tổng số mạng/lớp Tổng số host/mạng Vùng địa chỉ IP 0 32 A 0 Netid Hostid N.H.H.H 7/24 126 17.7777.214 1.0.0.1-126.0.0.0 B 1 0 Netid Hostid N.N.H.H 14/16 16.382 65.643 128.1.0.0-191.254.0.0 C 1 1 0 netid Hostid N.N.N.H 22/8 4194.302 245 195.0.1.0-233.255.254.0 D 1 1 1 0 địa chỉ multicast - - - - 224.0.0.0-239.255.255.255 E 1 1 1 1 Dành riêng - - - - 240.0.0.0-254.255.255.255 Loopback - - - - - 127.x.x.x ghi chú : N=network ; H = host . Giải thích : Lớp A : bit đầu tiên là 0, 7 bit tiếp theo dành cho địa chỉ network nên có tối đa 2^7-2 = 126 địa chỉ mạng trên lớp A, 24 địa chỉ tiếp theo dành cho địa chỉ host nên mỗi mạng thuộc lớp A sẽ có tối đa là 2^24-2=17.777.214 máy.Nguyên nhân phảI trừ đi 2 tại vì có 2 địa chỉ được dành riêng là địa chỉ mạng ( x.x.x.0) và địa chỉ broadcast ( x.x.x.255).Lớp A chỉ dành riêng cho các tổ chức lớn trên thế giới , vùng địa chỉ ip của lớp A là 1.0.0.1-126.0.0.0. Lớp B có 2 bit đầu tiên là 10, 14 bit tiếp theo dành cho địa chỉ nework , 16 bit còn lại dùng cho địa chỉ host, số mạng tối đa trên lớp B là 16.382 và số máy tối đa trên mỗi mạng là 65.643 máy. Lớp B được dành cho các tổ chức hạng trung trên thế giới. Vùng địa chỉ dành cho lớpB là 128.1.0.0*192.254.0.0. Lớp C có 3 bit đầu tiên là 110 , 22 bit tiếp theo dành cho địa chỉ network ,8 bit còn lại dành cho host . Số mạng tối đa trên lớp C là 4194302 mạng và mỗi mạng chứa tối đa 245 máy. Lớp C được dành cho các tổ chức nhỏ và các máy tính cá nhân .vùng địa chỉ của lớp C là 192.0.1.0-223.255.254.0. Lớp D Bốn bit đầu tiên luôn là 1110, được dành cho các nhóm multicast, có vùng địa chỉ từ 224.0.0.0-239.255.255.255. Lớp E với 4 bit đầu là 1111 , lớp này được dùng cho các mục đích nghiên cứu. Vùng địa chỉ từ 240.0.0.0-254.255.255.255 Loopback là địa chỉ quay trở lại, 127.x.x.x. Bạn thường bắt gặp địa chỉ 127.0.0.1 đây chính là địa chỉ IP quay trở lại máytính mà bạn đang nối internet. Ví dụ : 128.7.15.1 Bin 10000000 00000111 00001111 00000001 Dec 128 7 15 1 Hai bit đầu tiên là 10 vậy đây là địa chỉ thuộc lớp B (N.N.H.H) từ đó có thể suy ra địa chỉ mạng là 127.7 còn địa chỉ máy là 15.1 Ta cũng có thể xác định dựa vào byte đầu tiên của địa chỉ IP : Lớp Byte đầu tiên của địa chỉ IP A 1-126 B 128-191 C 192-223 D 224-239 E 240-254 Loopback 127 3) Tìm hiểu về subnet Để cấp phát địa chỉ IP cho các mạng khác nhau một cách hiệu qủa và dễ quản lý, người ta dùng một kĩ thuật gọi là subnet. Subnet sẽ vay mượn một số bit của host id để là subnet mask (mặt nạ mạng) . Subnet mask có tất cả các bit network va subnet đều bằng 1 còn các bit host đều bằng 0 Tất cả các máy trên cùng một mạng phảI có cùng một subnet mask . Để phân biệt được các mạng con (subnet) khác nhau , bộ định tuyến dùng phép logic AND. VI) Tấn công từ chối dịch vụ (DOS - Denial of sevices) 1) DOS attack là gì? DoS attack là kiểu tấn công rất lợi hại, với loại tấn công nào, chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công được máy tính của đối phương. Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyên trên server (tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa cứng, ...) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác (máy của những người dùng bình thường) và server cú thể nhanh chóng bị ngừng hoạt động, crash hoặc reboot. 2) Các loại DOS attack . a) Winnuke DOS attack loại này chỉ có thể áp dụng cho các máy tính đang chạy Windows9x. Hacker sẽ gửi các gói tin với dữ liệu ``Out of Band`` đến cổng 139 của máy tính đích.( Cổng 139 chính là cổng NetBIOS, cổng này chỉ chấp nhận các gói tin có cờ Out of Band được bật ). Khi máy tính của victim nhận được gói tin này, một màn hình xanh báo lỗi sẽ được hiển thị lên với nạn nhân do chương trình của Windows nhận được các gói tin này nhưng nó lại không biết phản ứng với các dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash b) Ping of Death Trong kiểu DoS attack này, hacker sẽ gửi một gói dữ liệu có kích thước lớn thông qua lệnh ping đến máy đích thì hệ thống của họ sẽ bị treo . Ví dụ : ping –i 65000. c) TearDrop Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu. Lợi dụng sơ hở đó, Hacker chỉ cần gửi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn. d) SYN attack Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân . Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đó gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot. Như vậy, chỉ cần gởi một lượng nhỏ các gói tin ICMP packets đi thì hệ thống mạng khuếch đại sẽ khuếch đại lượng gói tin ICMP packets này lên gấp bội. Tỉ lệ khuếch đại phụ thuộc vào số mạng tính có trong mạng khuếch đại. Nhiệm vụ của các hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phép chuyển trực tiếp các gói tin đến địa chỉ broadcast không qua chỗ lọc địa chỉ nguồn ở các đầu ra của gói tin . Có được các hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trên các hệ thống cần tấn công . e) UDP Flooding Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia. Hackers sẽ làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP. Và giả mạo địa chỉ ip của các gói tin là địa chỉ loopback ( 127.0.0.1 ), rồi gởi gói tin này đến hệ thống của nạn nhân trên cổng UDP echo ( 7 ). Hệ thống của nạn nhân sẽ trả lời lại các messages do 127.0.0.1( chính nó ) gởi đến, kết quả là nó sẽ đi vòng một vòng lặp vô tận. Tuy nhiên, có nhiều hệ thống không cho dùng địa chỉ loopback nên hacker sẽ giả mạo một địa chỉ ip của một máy tính nào đó trên mạng nạn nhân và tiến hành ngập lụt UDP trên hệ thống của nạn nhân . f) Tấn công DSN Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn nhân rồi cho chỉ đến một website nào đó của hacker. Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ ip, lập tức DNS ( đó bị hacker thay đổi cache tạm thời ) sẽ đổi thành địa chỉ ip mà hacker đã cho chỉ đến đó . Kết quả là thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra . Một cách tấn công từ chối dịch vụ thật hữu hiệu !. g) Distributed DOS Attack. DDoS yêu cầu phải có ít nhất vài hackers cùng tham gia. Đầu tiên các hackers sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém, sau đó cài lên các hệ thống này chương trình DDoS server. Bởi giờ các hackers sẽ hẹn nhau đến thời gian đã định sẽ dùng DDoS client kết nối đến các DDoS servers, sau đó đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn công DDoS đến hệ thống nạn nhân . h) The Distributed Reflection Denial of Service Attack Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính của đối phương nhanh gọn nhất. Cách làm thì cũng tương tự như DDos nhưng thay vì tấn công bằng nhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các server lớn trên thế giới . Vẫn với phương pháp giả mạo địa chỉ IP của victim, kẻ tấn công sẽ gởi các gói tin đến các server mạnh nhất, nhanh nhất và có đường truyền rộng nhất như Yahoo v.v., các server này sẽ phản hồi các gói tin đó đến địa chỉ của victim. Việc cùng một lúc nhận được nhiều gói tin thông qua các server lớn này sẽ nhanh chúng làm nghẽn đường truyền của máy tính nạn nhân và làm crash, reboot máy tính đó. Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giản với đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn . 3) Những wed bị tấn công wedsite của bộ giáo duc bi tấn công. thông qua lỗ hổng SQL của phần mềm và truy cập bất hợp pháp vào cơ sở dữ liệu trong may chủ của Trung tâm tin học – Bộ GD-ĐT làm thay đổi dữ liệu, huỷ hoại dữ liệu và gây rối loại của trang. www.vnn.vn website được xem là bộ măt của internet Việt Nam bị đánh sập. www.vietcombank.com.vn , của ngân hàng ngoại thương Việt Nam (Vietcombank) bị tấn công và thông tin thẻ tín dụng của hơn 30 khách hàng đã bị đánh cắp. www.mobilefone.com.vn, trang chủ của công ty viễn thông di động Mobilefone đã bị hacker xâm nhập vào cơ sở dữ liệu và thông tin vể tài khoản của một số khách hàng đã bị rò rỉ. VII) Router 1)Vài trò của router Router vừa được sử dụng để phân đoạn mạng LAN vừa là thiết bị chính trong mạng WAN. Do đó, trên router có cả cổng giao tiếp LAN va WAN. Thực chất các kỹ thuật WAN được sử dụng để kết nối các router, router này giao tiếp với router khác qua đường liên kết WAN. Router là thiết bị xương sống của mạng Intranet lớn và mạng Internet. Router hoạt đọng ở lớp 3 (session) và thực hiện chuyển gói dữ liệu dựa trên địa chỉ mạng. Router có hai chức năng chính là: chọn đường đi ngắn nhất và chuyển mạnh gói dữ liệu. Để thực hiện hai chức năng này, mỗi router phải xây dựng một bảng định tuyến và thực hiện trao đổi thông tin định tuyến với nhau. Vài trò của Router trong mạng WAN Một trong những nhiệm vụ của router trong mạng WAN là định tuyến gói dữ liệu ở lớp 3, đây cũng là nhiệm vụ của router trong mạng LAN. Tuy nhiên, định tuyến không phải là nhiệm vụ chính yếu của router trong mạng WAN. Khi router sử dụng các chuẩn và giao thức của lớp vật lý và lớp liên kết dữ liệu để kết nối mạng WAN thì lúc này nhiệm vụ chính yếu của router trong mạng WAN không phải là định tuyến nữa mà là cung cấp kết nối giữa các mạng WAN với các chuẩn vật lý và liên kết dữ liệu khác nhau. Router phải có khả năng chuyển đổi luồng bít từ loại dịch vụ này sang loại dịch vụ khác. 2) Cấu hình cho router a) Đặt tên cho router. Công việc đầu tiên khi cấu hình router là đặt tên cho router. Trong chế độ cấu hình toàn cục, ta dùng lệnh sau: Router(config)#hostname Tokyo Tokyo(config)# Ngay sau khi nhấn phím Enter để thực thi câu lệnh sẽ thấy dấu nhắc đổi tên mặc định (Router) sang tên mà vừa mới đặt (Tokyo) b) Đặt mật mă cho router Mật mã được sử dụng để hạn chế việc truy cập vào router. Ngoài ra mật mã còn được sử dụng để kiểm soát sự truy cập vào chế độ EXEC đặc quyền trên router. Khi đó, chỉ những người nào được phép mới có thể thực hiện việc thay đổi tập tin cấu hình trên router. Chúng ta cũng cần đặt mật mã cho một hoặc nhiều đường vty để kiểm soát các user truy cập từ xa vào router bằng Telnet. Chúng ta thường sử dụng một mật mã cho tất cả các đường vty, nhưng đôi khi nên đặt mật mã riêng cho một đường để dự phòng khi các đường còn lại đều đạng sử dụng. Sau đây là các lệnh cần sử dụng để đặt mật mã cho đường vty: Router (config) # line vty 0 4 Router (config-line) # password Router (config-line) # login Mật mã enable và enable secret được sử dụng để hạn chế việc truy cập vào chế độ EXEC đặc quyền. Mật mã enable chỉ được sử dụng khi chúng ta không cài đặt mật mã enable chỉ được sử dụng khi chúng ta không cài đặt mạt mã enable secret. Chúng ta nên sử dụng mật mã enable secret vì mật mã này được mã hoá còn mật mã enable thì không. Router (config) # enable password Router (config) # enable secret c) Kiểm tra bằng các lệnh show Có rất nhiều lênh show được dùng để kiểm tra nội dung các tập tin trên router và để tim ra sự cố. - Show interfaces – hiển thị trạng thái của tất cả các thông tin chuyển biệt về phần cứng của các loại cổng serial. Ví dụ: Router#show interfaces serial 0/1 - Show controllers serial – hiển thị các thông tin chuyên biệt về phần cứng của các cổng serial. - Show clock – hiển thị đồng hồ được cài đặt trên router. - Show hosts – hiển thị tất cả các user đang kết nối vào router. - Show history – hiển thị danh sách các câu lệnh vừa mới được sử dụng. - Show flash – hiển thị thông tin về bộ nhớ flash . - Show version – hiển thị thông tin router đang chạy trên RAM. - Show ARP – hiển thị bảng ARP trên router. - Show protocol – hiển thị trạng thái toàn cục và trạng thái của các cổng giao tiếp đã được cấu hình giao thức ở lớp 3. - Show startup-configuration – hiển thị tập tin cấu hình đang lưu trong NVRAM. - Show running-configuration – hiển thị tập tin cấu hình đang chạy trên RAM. d) Cấu hình cổng serial Các bước thực hiện khi cấu hình cổng serial. Vào chế độ cấu hình toàn cục. Vào chế độ cấu hình cổng serial. Khai báo địa chỉ và subnet mask. Đặt tốc độ clock nếu đầu cắm vào cổng serial lad DCE. Nừu đầu cáp là DTE thì chúng ta có thể bỏ qua bước này. Khởi động cổng serial. Mỗi một cổng serial đều phải có một địa chỉ IP và subnet mask để chúng có thể định tuyết các gói IP. Để cấu hình địa chỉ IP chúng ta dùng lệnh sau: Router (config) #interface serial 0/0 Router (config-if) #if address Cổng serial cần phải có tín hiệu clock để điều khiển thời gian thực hiện thông

Các file đính kèm theo tài liệu này:

  • docDAN427.doc